Bedrijfsbeheer van verouderde systeemextensies in macOS Big Sur

Lees hier hoe systeembeheerders de installatie van verouderde systeem- of kernelextensies (kexts) in macOS Big Sur kunnen beheren.

Dit artikel is bedoeld voor systeembeheerders van bedrijven en onderwijsinstellingen.

Over systeemextensies in macOS

Met systeemextensies in macOS Catalina 10.15 en hoger kan software, zoals netwerkextensies en eindpuntbeveiligingsoplossingen, de functionaliteit van macOS uitbreiden zonder dat toegang op kernelniveau vereist is. Lees hoe u systeemextensies in gebruikersruimte installeert en beheert in plaats van in de kernel. 

Verouderde systeemextensies, ook bekend als kernelextensies of kexts, worden uitgevoerd in een zeer geprivilegieerde modus van het systeem. Vanaf macOS High Sierra 10.13 moet een kernelextensie worden goedgekeurd door een beheerdersaccount of in een MDM-profiel (Mobile Device Management) voordat deze kan worden geladen.

Met macOS Big Sur 11.0 en hoger kunnen verouderde systeemextensies worden beheerd voor zowel Intel-Macs als Mac-computers met Apple Silicon.

Verouderde systeemextensies beheren

Kernelextensies die niet meer gebruikte en niet-ondersteunde KPI's gebruiken, worden niet meer langer standaard geladen. U kunt MDM gebruiken om standaardbeleid zo te wijzigen dat er niet periodiek dialoogvensters worden weergegeven en toe te staan dat kernelextensies worden geladen. Voor Mac-computers met Apple Silicon moet u eerst het beveiligingsbeleid wijzigen.

U kunt een van de volgende handelingen uitvoeren als u een nieuwe of bijgewerkte kernelextensie in macOS Big Sur wilt installeren:

  • Vraag de gebruiker om de aanwijzingen in het voorkeurenpaneel 'Beveiliging en privacy' te volgen om de extensie toe te staan, en vervolgens de Mac te herstarten. U kunt gebruikers die geen beheerder zijn, toestemming geven om de extensie toe te staan met behulp van de sleutel AllowNonAdminUserApprovals in de MDM-payload Kernelextensiebeleid.
  • Stuur het https://support.apple.com/nl-nl/guide/deployment/dep789n2k1qpMDM-commandoRestartDevice en stel RebuildKernelCachekey in op 'True'.

Elke keer dat de set goedgekeurde kernelextensies verandert, ofwel na de eerste goedkeuring of als de versie is bijgewerkt, is een herstart vereist.

Aanvullende vereisten voor Mac-computers met Apple Silicon

Mac-computers met Apple Silicon vereisen dat kernelextensies worden gecompileerd met een arm64e-slice.

Voordat u een kernelextensie op een Mac-computer met Apple Silicon kunt installeren, moet het beveiligingsbeleid op een van de volgende manieren worden gewijzigd:

  • Als uw apparaten zijn geregistreerd bij MDM met automatische apparaatinschrijving, kunt u automatisch extern beheer van kernelextensies autoriseren en het beveiligingsbeleid wijzigen.*
  • Als uw apparaten zijn geregistreerd bij MDM met apparaatinschrijving, kan een lokale beheerder het beveiligingsbeleid handmatig wijzigen in macOS-herstel en extern beheer van kernelextensies en software-updates autoriseren. Bovendien kan een MDM-beheerder de lokale beheerder adviseren deze wijziging door te voeren door PromptUserToAllowBootstrapTokenForAuthentication in MDMOptions in te stellen of door dezelfde sleutel in het MDM-profiel in te stellen.*
  • Als u niet-MDM-apparaten hebt of apparaten die zijn ingeschreven bij MDM met gebruikersinschrijving, kan een lokale beheerder het beveiligingsbeleid handmatig wijzigen in macOS-herstel en het gebruikersbeheer van kernelextensies en software-updates autoriseren.

* MDM moet ook een bootstraptoken kunnen ondersteunen. Bovendien moet de client het bootstraptoken naar de MDM-server verzenden voordat er met MDM wordt geprobeerd een bewerking uit te voeren waarvoor het bootstraptoken vereist is.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: