macOS Big Sur でのレガシーシステム機能拡張のエンタープライズ管理

システム管理者は、レガシーのシステム機能拡張やカーネル機能拡張 (kext) の macOS Big Sur へのインストールを管理できます。その方法をご紹介します。

この記事は、企業や教育機関のシステム管理者の方を読者として想定しています。

macOS のシステム機能拡張について

macOS Catalina 10.15 以降のシステム機能拡張のおかげで、ネットワーク機能拡張やエンドポイントセキュリティソリューションなどのソフトウェアが、カーネルレベルのアクセス権がなくても macOS の機能を拡張できるようになっています。カーネルではなくユーザ空間でシステム機能拡張をインストールし、管理する方法については、こちら (英語) を参照してください。 

レガシーのシステム機能拡張はカーネル機能拡張 (kext) とも呼ばれていて、特権が必要なシステムモードで実行されます。macOS High Sierra 10.13 以降、カーネル機能拡張を読み込むには、管理者アカウントまたはモバイルデバイス管理 (MDM) プロファイルによる事前承認が必須となりました。

macOS Big Sur 11.0 以降では、Intel 搭載の Mac と Apple シリコン搭載の Mac の双方に対し、レガシーのシステム機能拡張を管理できるようになっています。

レガシーのシステム機能拡張を管理する方法

以前から非推奨および非対応になっている KPI を使ったカーネル機能拡張は、デフォルトでは読み込まれなくなりました。MDM を使ってデフォルトのポリシーを変更し、ダイアログを定期的に表示しないようにしたり、カーネル機能拡張を読み込めるようにしたりできます。Apple シリコンを搭載した Mac については、先にセキュリティポリシーを変更しておく必要があります。

macOS Big Sur で新しい、または更新されたカーネル機能拡張をインストールするには、以下のいずれかの方法があります。

  • システム環境設定の「セキュリティとプライバシー」パネルの案内に従って機能拡張を許可し、その上で Mac を再起動するようにユーザに指示します。カーネル機能拡張ポリシー MDM ペイロードの AllowNonAdminUserApprovals キーを使えば、管理者以外のユーザによる機能拡張の承認を許可できます。
  • RestartDevice MDM コマンドを送信し、RebuildKernelCachekey を True に設定します。

承認済みのカーネル機能拡張のセットが変更されたときは、初回の承認後でも、バージョンの更新後でも必ず再起動が必要です。

Apple シリコンを搭載した Mac 向けの追加の要件

Apple シリコン搭載の Mac では、カーネル機能拡張が arm64e スライスでコンパイルされている必要があります。

Apple シリコン搭載の Mac にカーネル機能拡張をインストールする前に、以下のいずれかの方法でセキュリティポリシーを変更しておく必要があります。

  • デバイスを自動デバイス登録で MDM に登録している場合は、カーネル機能拡張のリモート管理を自動で承認し、セキュリティポリシーを変更できます。
  • デバイスをデバイス登録で MDM に登録している場合は、ローカルの管理者が macOS 復旧で手動でセキュリティポリシーを変更し、カーネル機能拡張とソフトウェア・アップデートのリモート管理を承認できます。また、MDM 管理者はローカル管理者に対し、この変更の方法として、MDMOptions で PromptUserToAllowBootstrapTokenForAuthentication を設定するか、MDM プロファイルで同じキーを設定するように助言できます。
  • MDM で管理していないデバイスや、ユーザ登録で MDM に登録されているデバイスがある場合は、ローカル管理者は macOS 復旧で手動でセキュリティポリシーを変更し、カーネル機能拡張とソフトウェア・アップデートのユーザによる管理を承認できます。

 

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: