Zarządzanie starszymi rozszerzeniami systemu w systemie macOS Big Sur w przedsiębiorstwie

Dowiedz się, jak administratorzy systemów mogą zarządzać instalacją starszych rozszerzeń systemu lub jądra (kext) w systemie macOS Big Sur.

Ten artykuł jest przeznaczony dla administratorów systemów w firmach i instytucjach edukacyjnych.

Rozszerzenia systemu w systemie macOS

Rozszerzenia systemu w systemie macOS Catalina 10.15 lub nowszym umożliwiają oprogramowaniu, takiemu jak rozszerzenia sieciowe i rozwiązania zabezpieczające punkty końcowe, rozszerzanie funkcjonalności systemu macOS bez wymagania dostępu na poziomie jądra. Dowiedz się, jak instalować rozszerzenia systemu w przestrzeni użytkownika, a nie w jądrze, oraz jak zarządzać nimi

Starsze rozszerzenia systemu, znane także jako rozszerzenia jądra (kext), są wykonywane w trybie systemu z wysokimi uprawnieniami. Począwszy od systemu macOS High Sierra 10.13, rozszerzenie jądra musi zostać zatwierdzone przez konto administratora lub profil rozwiązania do zarządzania urządzeniami przenośnymi (MDM, Mobile Device Management), zanim będzie możliwe jego wczytanie.

System macOS Big Sur 11.0 lub nowszy umożliwia zarządzanie starszymi rozszerzeniami systemu zarówno na komputerach Mac z procesorem Intel, jak i komputerach Mac z procesorem Apple.

Zarządzanie starszymi rozszerzeniami systemu

Rozszerzenia jądra, które używają wcześniej wycofanych i nieobsługiwanych interfejsów KPI, domyślnie nie są już wczytywane. Za pomocą rozwiązania MDM można zmodyfikować domyślne zasady, aby nie wyświetlać okresowo okien dialogowych oraz aby zezwolić na wczytywanie rozszerzeń jądra. W przypadku komputerów Mac z procesorem Apple należy najpierw zmienić zasady zabezpieczeń.

Aby zainstalować nowe lub uaktualnione rozszerzenia jądra w systemie macOS Big Sur, należy wykonać jedną z następujących czynności:

  • Poinstruuj użytkownika, że powinien postępować zgodnie z monitami w panelu preferencji Ochrona i prywatność, aby zezwolić na rozszerzenie, a następnie by ponownie uruchomił komputer Mac. Możesz pozwolić użytkownikom, którzy nie są administratorami, aby zezwolili na rozszerzenie, używając klucza AllowNonAdminUserApprovals w pakiecie zasad rozszerzenia jądra rozwiązania MDM.
  • Wyślij polecenie RestartDevice w rozwiązaniu MDM i ustaw właściwość RebuildKernelCachekey na wartość True.

Za każdym razem, gdy zestaw zatwierdzonych rozszerzeń jądra ulega zmianie (w wyniku początkowego zatwierdzenia lub uaktualnienia wersji), wymagane jest ponowne uruchomienie.

Dodatkowe wymagania dla komputerów Mac z procesorem Apple

Komputery Mac z procesorem Apple wymagają skompilowania rozszerzeń jądra przy użyciu elementu slice arm64e.

Zanim będzie można zainstalować rozszerzenie jądra na komputerze Mac z procesorem Apple, należy zmienić zasady zabezpieczeń w jeden z następujących sposobów: 

  • Jeśli urządzenia zarejestrowano w rozwiązaniu MDM przy użyciu funkcji automatycznej rejestracji urządzeń, można automatycznie autoryzować zdalne zarządzanie rozszerzeniami jądra i zmienić zasady zabezpieczeń*.
  • Jeśli urządzenia zarejestrowano w rozwiązaniu MDM przy użyciu funkcji rejestracji urządzeń, administrator lokalny może ręcznie zmienić zasady zabezpieczeń w narzędziu Odzyskiwanie systemu macOS oraz autoryzować zdalne zarządzanie rozszerzeniami jądra i uaktualnieniami oprogramowania. Ponadto administrator MDM może zalecić administratorowi lokalnemu dokonanie tej zmiany przez ustawienie klucza PromptUserToAllowBootstrapTokenForAuthentication w sekcji MDMOptions lub przez ustawienie tego samego klucza w profilu MDM*.
  • Jeśli istnieją urządzenia poza rozwiązaniem MDM lub urządzenia zarejestrowane w rozwiązaniu MDM przy użyciu funkcji rejestracji przez użytkownika, administrator lokalny może ręcznie zmienić zasady zabezpieczeń w narzędziu Odzyskiwanie systemu macOS oraz autoryzować zarządzanie rozszerzeniami jądra i uaktualnieniami oprogramowania przez użytkownika.

* Rozwiązanie MDM musi również obsługiwać token Bootstrap Token. Ponadto klient musi wysłać token Bootstrap Token do serwera MDM, zanim rozwiązanie MDM spróbuje wykonać operację wymagającą tego tokena.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: