Come prepararsi alle modifiche apportate alle estensioni del kernel in macOS High Sierra

Se sei un amministratore di sistema, usa queste informazioni per prepararti alle modifiche apportate alle estensioni del kernel se esegui l'upgrade a macOS High Sierra nel tuo istituto.

Per migliorare la sicurezza del Mac, il caricamento delle estensioni del kernel installate in concomitanza o dopo macOS High Sierra richiede l'autorizzazione dell'utente. Questa funzionalità è nota come "caricamento delle estensioni del kernel approvato dall'utente". Qualsiasi utente può approvare un'estensione del kernel, anche se non dispone di privilegi di amministratore.

Queste estensioni del kernel non richiedono l'approvazione:

  • Estensioni installate prima dell'aggiornamento a macOS High Sierra
  • Estensioni che sostituiscono estensioni approvate in precedenza
  • Estensioni che possono essere caricate senza consenso dell'utente tramite il comando spctl durante l'avvio in macOS Recovery
  • Estensioni che possono essere caricate tramite Kernel Extension Policy

A partire da macOS 10.13.4, la registrazione in MDM non disattiva più il caricamento delle estensioni del kernel approvato dall'utente e per questo le estensioni che in precedenza potevano essere caricate ora richiedono l'approvazione. Tuttavia, puoi usare MDM per specificare le estensioni del kernel che si caricano senza approvazione. Questa operazione richiede un Mac con macOS 10.13.2 o versione successiva registrato in MDM tramite DEP o la cui registrazione MDM è approvata dall'utente.

Registrazione MDM approvata dall'utente

macOS High Sierra 10.13.2 ha introdotto il concetto di registrazione MDM approvata dall'utente. Questo tipo di registrazione è richiesto solo se vuoi gestire determinate impostazioni sensibili sotto il profilo della sicurezza su un Mac la cui registrazione MDM non viene effettuata tramite DEP.

Puoi già gestire impostazioni sensibili sotto il profilo della sicurezza su dispositivi la cui registrazione MDM è effettuata tramite DEP, perciò la registrazione approvata dall'utente non è necessaria per questi dispositivi.

Puoi comunque gestire le impostazioni non sensibili sotto il profilo della sicurezza su dispositivi registrati in MDM senza l'opzione "approvata dall'utente".

Tipo di
registrazione
Può gestire
le impostazioni sensibili sotto il profilo della sicurezza?
Può gestire
le impostazioni non sensibili sotto il profilo della sicurezza?

Registrazione MDM tramite DEP

MDM approvato dall'utente

MDM non approvato dall'utente

No

Come registrare un Mac in MDM approvato dall'utente:

  • Se un Mac è registrato in DEP, la sua registrazione è equivalente a "approvata dall'utente" quando è registrato in MDM.
  • Se un Mac è stato registrato in MDM non approvato dall'utente prima dell'aggiornamento a macOS 10.13.4, la registrazione viene convertita ad approvata dall'utente con l'installazione di macOS 10.13.4.
  • Puoi anche scaricare o inviarti tramite email un profilo di registrazione. Fai doppio clic sul profilo e segui le istruzioni nelle Preferenze di Sistema per la registrazione MDM.

L'automazione o il tentativo di registrazione da remoto tramite la condivisione dello schermo non risulteranno in una registrazione approvata dall'utente.

Se il tuo Mac è stato registrato in MDM senza autorizzazione dell'utente in macOS 10.13.4, la registrazione non sarà approvata dall'utente. Per gestire le informazioni sensibili sotto il profilo della sicurezza, puoi approvare la registrazione:

  1. Scegli menu Apple > Preferenze di Sistema, quindi fai clic su Profili.
  2. Seleziona il profilo di registrazione provvisto di badge:  .
  3. Fai clic sul pulsante Approva a destra, poi segui le istruzioni sullo schermo.

Caricamento delle estensioni del kernel approvato dall'utente con MDM

A partire da macOS 10.13.4, il caricamento delle estensioni del kernel approvato dall'utente è attivato su tutti i dispositivi, compresi quelli registrati in MDM. Usa il payload Kernel Extension Policy per:

  • Specificare quali estensioni del kernel devono caricarsi senza autorizzazione dell'utente.
  • Facoltativamente, evitare che gli utenti approvino altre estensioni del kernel.

Caricamento delle estensioni del kernel approvato dall'utente senza MDM

Se desideri gestire il caricamento delle estensioni del kernel approvato dall'utente fuori dalla soluzione MDM, esegui l'avvio in macOS Recovery e usa il comando spctl. Per ulteriori informazioni su come usare il comando spctl, eseguilo senza opzioni.

Se gestisci il caricamento delle estensioni del kernel approvato dall'utente senza comando spctl e reimposti la NVRAM, il tuo Mac ritorna allo stato di default con il caricamento delle estensioni del kernel approvato dall'utente attivato. Puoi impostare una password del firmware sul Mac per impedire che vengano apportate modifiche non autorizzate alla NVRAM.

Data di pubblicazione: