Gestionarea la nivel de companie a extensiilor vechi de sistem în macOS Big Sur

Află cum administratorii de sistem pot gestiona instalarea extensiilor vechi de sistem sau a extensiilor de kernel (kexts) în macOS Big Sur.

Acest articol este destinat administratorilor de sistem din companii și instituții de învățământ.

Despre extensiile de sistem în macOS

Extensiile de sistem din macOS Catalina 10.15 și versiunile ulterioare permit unor programe software, cum ar fi extensii de rețea și soluții de securitate a punctelor finale, să extindă funcționalitatea macOS fără a necesita acces la kernel. Află cum să instalezi și să gestionezi extensii de sistem în spațiul de utilizator și nu în kernel. 

Extensiile vechi de sistem, denumite și extensii de kernel sau kexts, se execută într-un mod extrem de privilegiat al sistemului. Începând cu macOS High Sierra 10.13, o extensie de kernel trebuie să fie aprobată de un cont de administrator sau de un profil de gestionare a dispozitivelor mobile înainte de a putea fi încărcată.

macOS Big Sur 11.0 și versiunile ulterioare permit gestionarea extensiilor vechi de sistem atât pentru computerele Mac cu arhitectură Intel, cât și pentru computerele Mac cu procesor Apple.

Gestionarea extensiilor vechi de sistem

Extensiile de kernel care folosesc KPI-uri perimate și neacceptate nu se mai încarcă în mod implicit. Poți folosi o soluție de gestionare a dispozitivelor mobile pentru a modifica politicile implicite astfel încât să nu se afișeze periodic dialoguri și să se permită încărcarea extensiilor de kernel. Pentru computerele Mac cu procesor Apple, mai întâi trebuie să modifici politica de securitate.

Pentru a instala o extensie de kernel nouă sau actualizată în macOS Big Sur, poți efectua una dintre următoarele acțiuni:

  • Instruiește utilizatorul să urmeze instrucțiunile din preferințele Securitate și intimitate pentru a permite extensia, apoi să repornească Mac-ul. Poți permite utilizatorilor care nu sunt administratori să permită extensia folosind cheia AllowNonAdminUserApprovals în sarcina de gestionare a dispozitivelor mobile Politica pentru extensii de kernel.
  • Trimite comanda de gestionare a dispozitivelor mobile RestartDevice și configurează RebuildKernelCachekey la Adevărat.

De fiecare dată când setul de extensii de kernel aprobate se modifică, fie după aprobarea inițială, fie dacă versiunea este actualizată, este necesară o repornire.

Cerințe suplimentare pentru computerele Mac cu procesor Apple

Computerele Mac cu procesor Apple necesită compilarea extensiilor de kernel cu o arhitectură arm64e.

Înainte de a putea instala o extensie de kernel pe un computer Mac cu procesor Apple, politica de securitate trebuie modificată într-unul dintre următoarele moduri: 

  • Dacă ai dispozitive înscrise într-o soluție de gestionare a dispozitivelor mobile prin caracteristica de înscriere automată a dispozitivelor, poți autoriza automat gestionarea de la distanță a extensiilor de kernel și poți modifica politica de securitate.*
  • Dacă ai dispozitive înscrise într-o soluție de gestionare a dispozitivelor mobile prin caracteristica de înscriere a dispozitivelor, un administrator local poate modifica politica de securitate manual în Recuperare macOS și poate autoriza gestionarea de la distanță a extensiilor de kernel și a actualizărilor de software. În plus, un administrator al soluției de gestionare a dispozitivelor mobile poate sfătui administratorul local să efectueze această modificare prin configurarea PromptUserToAllowBootstrapTokenForAuthentication din MDMOptions sau prin configurarea aceleiași chei în profilul soluției de gestionare a dispozitivelor mobile.*
  • Dacă ai dispozitive incompatibile cu soluții de gestionare a dispozitivelor mobile sau dispozitive înscrise într-o soluție de gestionare a dispozitivelor mobile prin caracteristica de înscriere a utilizatorilor, un administrator local poate modifica manual politica de securitate în Recuperare macOS și poate autoriza gestionarea de către utilizatori a extensiilor de kernel și a actualizărilor de software.

* Dispozitivele compatibile cu soluții de gestionare a dispozitivelor mobile trebuie să poată accepta și un token de dezamorsare. În plus, clientul trebuie să trimită tokenul de dezamorsare către serverul MDM înainte ca dispozitivul compatibil cu soluții de gestionare a dispozitivelor mobile să încerce să efectueze o operațiune care necesită tokenul de dezamorsare.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: