macOS High Sierra のカーネル機能拡張の変更点について準備を進める

システム管理者の方は、この記事を使って、企業や教育機関で macOS High Sierra にアップグレードする際、カーネル機能拡張の変更に対応できるよう準備を進めてください。

Mac のセキュリティを向上させるため、macOS High Sierra のインストール時またはインストール後にインストールされたカーネル機能拡張には、追加の認証が必要です。これを Secure Kernel Extension Loading (SKEL) と呼びます。管理者権限を持たないユーザを含め、すべてのユーザがこの認証を承認できます。

以下の場合、カーネル機能拡張の認証は必要ありません。

  • macOS High Sierra にアップグレードする前に備わっていた。
  • 過去に承認された機能拡張の置き換え。
  • 既存の承認済み機能拡張と同じチーム ID で署名されている。

SKEL を無効にする場合は、macOS 復元から起動して、spctl コマンドを使用します。 spctl コマンドの使用方法についての情報は、コマンド自体を実行して参照します。

NVRAM をリセットすると、Mac は SKEL が有効になったデフォルトの状態に戻ります。Mac でファームウェアパスワードを設定して、NVRAM での無許可の変更を防止できます。

macOS High Sierra では、モバイルデバイス管理 (MDM) への登録で、自動的に SKEL を無効にできます。カーネル機能拡張の読み込み時の挙動は、macOS Sierra と同様です。

macOS High Sierra の今後のウェアアップデートで、MDM を使用して SKEL を有効/無効にするほか、ユーザの同意なしで読み込みできるカーネル機能拡張の管理が可能になる予定です。

 

公開日: