Bedrijfsbeheer van verouderde systeemextensies in macOS Big Sur
Lees hier hoe systeembeheerders de installatie van verouderde systeem- of kernelextensies (kexts) in macOS Big Sur kunnen beheren.
Dit artikel is bedoeld voor systeembeheerders van bedrijven en onderwijsinstellingen.
Over systeemextensies in macOS
Met systeemextensies in macOS Catalina 10.15 en hoger kan software, zoals netwerkextensies en eindpuntbeveiligingsoplossingen, de functionaliteit van macOS uitbreiden zonder dat toegang op kernelniveau vereist is. Lees hoe u systeemextensies in gebruikersruimte installeert en beheert in plaats van in de kernel.
Verouderde systeemextensies, ook bekend als kernelextensies of kexts, worden uitgevoerd in een zeer geprivilegieerde modus van het systeem. Vanaf macOS High Sierra 10.13 moet een kernelextensie worden goedgekeurd door een beheerdersaccount of in een MDM-profiel (Mobile Device Management) voordat deze kan worden geladen.
Met macOS Big Sur 11.0 en hoger kunnen verouderde systeemextensies worden beheerd voor zowel Intel-Macs als Mac-computers met Apple Silicon.
Verouderde systeemextensies beheren
Kernelextensies die niet meer gebruikte en niet-ondersteunde KPI's gebruiken, worden niet meer langer standaard geladen. U kunt MDM gebruiken om standaardbeleid zo te wijzigen dat er niet periodiek dialoogvensters worden weergegeven en toe te staan dat kernelextensies worden geladen. Voor Mac-computers met Apple Silicon moet u eerst het beveiligingsbeleid wijzigen.
U kunt een van de volgende handelingen uitvoeren als u een nieuwe of bijgewerkte kernelextensie in macOS Big Sur wilt installeren:
Vraag de gebruiker om de aanwijzingen in het voorkeurenpaneel 'Beveiliging en privacy' te volgen om de extensie toe te staan, en vervolgens de Mac te herstarten. U kunt gebruikers die geen beheerder zijn, toestemming geven om de extensie toe te staan met behulp van de sleutel
AllowNonAdminUserApprovals
in de MDM-payload Kernelextensiebeleid.Stuur het
https://support.apple.com/nl-nl/guide/deployment/dep789n2k1qp
MDM-commandoRestartDevice en stelRebuildKernelCachekey
in op 'True'.
Elke keer dat de set goedgekeurde kernelextensies verandert, ofwel na de eerste goedkeuring of als de versie is bijgewerkt, is een herstart vereist.
Aanvullende vereisten voor Mac-computers met Apple Silicon
Voordat u een kernelextensie op een Mac-computer met Apple Silicon kunt installeren, moet het beveiligingsbeleid op een van de volgende manieren worden gewijzigd:
Als uw apparaten zijn geregistreerd bij MDM met automatische apparaatinschrijving, kunt u automatisch extern beheer van kernelextensies autoriseren en het beveiligingsbeleid wijzigen.*
Als uw apparaten zijn geregistreerd bij MDM met apparaatinschrijving, kan een lokale beheerder het beveiligingsbeleid handmatig wijzigen in macOS-herstel en extern beheer van kernelextensies en software-updates autoriseren. Bovendien kan een MDM-beheerder de lokale beheerder adviseren deze wijziging door te voeren door
PromptUserToAllowBootstrapTokenForAuthentication
in MDMOptions in te stellen of door dezelfde sleutel in het MDM-profiel in te stellen.*Als u niet-MDM-apparaten hebt of apparaten die zijn ingeschreven bij MDM met gebruikersinschrijving, kan een lokale beheerder het beveiligingsbeleid handmatig wijzigen in macOS-herstel en het gebruikersbeheer van kernelextensies en software-updates autoriseren.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.