Gestione aziendale delle estensioni di sistema legacy in macOS Big Sur

Scopri come gli amministratori di sistema possono gestire l'installazione delle estensioni di sistema legacy, note anche come estensioni del kernel o kext, in macOS Big Sur.

Questo articolo è destinato agli amministratori di sistema di aziende e organizzazioni didattiche.

Informazioni sulle estensioni di sistema in macOS

Le estensioni di sistema su macOS Catalina 10.15 e versioni successive consentono ad altri software (ad esempio, estensioni di rete e soluzioni per la sicurezza degli endpoint) di ampliare le funzionalità di macOS senza che sia necessario l'accesso a livello del kernel. Scopri come installare e gestire le estensioni di sistema nello spazio utente anziché nel kernel. 

Le estensioni di sistema legacy, note anche come estensioni del kernel o kext, vengono eseguite in una modalità del sistema con privilegi elevati. A partire da macOS High Sierra 10.13, un'estensione del kernel deve essere approvata da un account amministratore o da un profilo MDM prima di poter essere caricata.

macOS Big Sur 11.0 e versioni successive consentono la gestione delle estensioni di sistema legacy sia per i computer Mac con processore Intel sia per quelli con processore Apple.

Come gestire le estensioni di sistema legacy

Le estensioni del kernel che utilizzano interfacce KPI obsolete e non supportate non vengono più caricate di default. Puoi usare una soluzione di gestione dei dispositivi mobili (MDM) per modificare le policy di default, in modo da non visualizzare periodicamente le finestre di dialogo e da consentire il caricamento delle estensioni del kernel. Per i computer Mac con processore Apple, devi innanzitutto modificare la policy di sicurezza.

Per installare un'estensione del kernel nuova o aggiornata in macOS Big Sur, puoi seguire uno di questi passaggi:

  • Invita l'utente a seguire le istruzioni visualizzate nelle preferenze Sicurezza e Privacy per consentire il caricamento dell'estensione e poi a riavviare il Mac. Puoi dare la possibilità agli utenti che non hanno il ruolo di amministratore di consentire il caricamento dell'estensione utilizzando la chiave AllowNonAdminUserApprovals nel payload MDM Politiche estensione kernel.
  • Invia il comando MDM RestartDevice e imposta RebuildKernelCachekey su True.

Ogni volta che cambia il set di estensioni del kernel approvate (dopo l'approvazione iniziale o in caso di aggiornamento della versione), è richiesto un riavvio.

Requisiti aggiuntivi per computer Mac con processore Apple

I computer Mac con processore Apple richiedono che le estensioni del kernel siano compilate con una partizione arm64e.

Prima di poter installare un'estensione del kernel su un computer Mac con processore Apple, devi modificare la policy di sicurezza in uno dei seguenti modi: 

  • Se hai dei dispositivi registrati in una soluzione MDM tramite la funzione di registrazione automatica dei dispositivi, puoi autorizzare automaticamente la gestione remota delle estensioni del kernel e modificare la policy di sicurezza.*
  • Se hai dei dispositivi registrati in una soluzione MDM tramite la funzione di registrazione dei dispositivi, un amministratore locale può modificare manualmente la policy di sicurezza in macOS Recovery e autorizzare la gestione remota delle estensioni del kernel e degli aggiornamenti software. Inoltre, un amministratore MDM può consigliare all'amministratore locale di apportare questa modifica impostando PromptUserToAllowBootstrapTokenForAuthentication in MDMOptions o impostando la stessa chiave nel profilo MDM.*
  • Se hai dei dispositivi non registrati in una soluzione MDM oppure dei dispositivi registrati in una soluzione MDM tramite la funzione di registrazione degli utenti, un amministratore locale può modificare manualmente la policy di sicurezza in macOS Recovery e autorizzare la gestione utente delle estensioni del kernel e degli aggiornamenti software.

* La soluzione MDM deve anche essere in grado di supportare un token Bootstrap. Inoltre, il client deve inviare il token Bootstrap al server MDM prima che quest'ultimo tenti di eseguire un'operazione che richieda tale token.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: