Administrering av eldre systemutvidelser i macOS Big Sur i bedrifter

Finn ut hvordan systemadministratorer kan administrere installasjonen av eldre system- eller kjerneutvidelser (kexts) i macOS Big Sur.

Denne artikkelen er beregnet på systemadministratorer i bedrifter og utdanningsorganisasjoner.

Om systemutvidelser i macOS

Med systemutvidelser på macOS Catalina 10.15 og nyere kan programvare, som nettverksutvidelser og sikkerhetsløsninger for endepunkter, utvide funksjonaliteten til macOS uten å kreve tilgang på kjernenivå. Finn ut hvordan du installerer og administrerer systemutvidelser i brukerområdet i stedet for kjernen. 

Eldre systemutvidelser, også kjent som kjerneutvidelser eller kexts, kjører i en svært privilegert modus av systemet. Fra og med macOS High Sierra 10.13 må en kjerneutvidelse være godkjent av en administratorkonto eller en MDM-profil (Mobile Device Management) før den kan lastes inn.

I macOS Big Sur 11.0 og nyere tillates administrasjon av eldre systemutvidelser for både Intel-baserte Macer og Macer med Apple-chip.

Slik håndtere du eldre systemutvidelser

Kjerneutvidelser som bruker KPI-er som fra før er avskrevet og som ikke støttes, lastes ikke lenger inn som standard. Du kan bruke MDM for å endre standardretningslinjene til å ikke vise dialoger med jevne mellomrom og for å la kjerneutvidelsene lastes inn. For Macer med Apple-chip må du først endre retningslinjene for sikkerhet.

For å installere en ny eller oppdatert kjerneutvidelse i macOS Big Sur kan du gjøre ett av følgende:

  • Be brukeren om å følge instruksjonene i Sikkerhets- og personvern-valgene for å tillate utvidelsen, og deretter starte Macen på nytt. Du kan la brukere som ikke er administratorer, tillate utvidelsen ved hjelp av AllowNonAdminUserApprovals-nøkkelen i Kernel Extension Policy-nyttelasten i MDM.
  • Send RestartDevice MDM -kommandoen og angi RebuildKernelCachekey til Sann.

Hver gang settet med godkjente kjerneutvidelser endres, enten etter første godkjenning eller hvis versjonen er oppdatert, kreves det en omstart.

Tilleggskrav til Macer med Apple-chip

Macer med Apple-chip krever at kjerneutvidelser kompileres med en arm64e-inndeling.

Før du kan installere en kjerneutvidelse på en Mac med Apple-chip, må retningslinjene for sikkerhet endres på en av følgende måter: 

  • Hvis du har enheter registrert i MDM med automatisert enhetsutrulling, kan du godkjenne ekstern styring av kjerneutvidelser og endre retningslinjene for sikkerhet automatisk.*
  • Hvis du har enheter registrert i MDM med Enhetsregistrering, kan en lokal administrator endre retningslinjene for sikkerhet manuelt i macOS-gjenoppretting og godkjenne ekstern styring av kjerneutvidelser og programvareoppdateringer. I tillegg kan en MDM-administrator anbefale den lokale administratoren om å foreta denne endringen ved å angi PromptUserToAllowBootstrapTokenForAuthentication i MDMOptions eller ved å sette den samme nøkkelen i MDM-profilen.*
  • Hvis du har ikke-MDM-enheter eller enheter som er registrert i MDM med Brukerregistrering, kan en lokal administrator endre retningslinjene for sikkerhet manuelt i macOS-gjenoppretting og godkjenne brukeradministrasjon av kjerneutvidelser og programvareoppdateringer.

* MDM-løsningen må også ha støtte for Bootstrap Token. I tillegg må klienten også sende Bootstrap Token til MDM-serveren før MDM-løsningen prøver å utføre en operasjon som krever Bootstrap Token.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: