Корпоративное управление устаревшими системными расширениями в macOS Big Sur

Узнайте, как системные администраторы могут управлять установкой устаревших системных расширений (или расширений ядра, KEXT) в macOS Big Sur.

Эта статья предназначена для системных администраторов, работающих в компаниях и образовательных организациях.

Сведения о системных расширениях в macOS

Благодаря системным расширениям можно улучшать функциональные возможности ОС macOS Catalina 10.15 и более поздних версий с помощью программного обеспечения, например расширений сети или решений для обеспечения безопасности конечных точек, не получая доступа к ядру. Узнайте, как устанавливать системные расширения и управлять ими в пространстве пользователя, а не ядра. 

Устаревшие системные расширения, которые также называют расширениями ядра (KEXT), выполняются в режиме работы системы с высоким уровнем привилегий. Начиная с macOS High Sierra 10.13 для загрузки расширений ядра требуется утверждение через учетную запись администратора или профиль управления мобильными устройствами (MDM).

Управление устаревшими системными расширениями возможно на компьютерах Mac с процессорами Intel либо Apple, если на устройстве установлена ОС macOS Big Sur 11.0 или более поздней версии.

Управление устаревшими системными расширениями

Расширения ядра, использующие устаревшие и неподдерживаемые ключевые показатели эффективности (KPI), больше нельзя загружать по умолчанию. Вы можете изменить правила по умолчанию с помощью MDM, чтобы прекратить периодическое отображение уведомлений и разрешить загрузку расширений ядра. На компьютерах Mac с процессорами Apple нужно сначала изменить политику безопасности.

Чтобы установить новое расширение ядра для macOS Big Sur или обновить существующее, выполните одно из следующих действий.

  • Попросите пользователя перейти в раздел настроек «Защита и безопасность» и, следуя указаниям, разрешить расширение, а затем перезапустить компьютер Mac. Используйте ключ AllowNonAdminUserApprovals из полезной нагрузки политики расширений ядра в системе MDM, чтобы предоставить пользователям без статуса администратора право разрешать расширения.
  • Отправьте команду MDM RestartDevice и установите значение True (Истина) для ключа RebuildKernelCachekey.

Каждый раз при изменении утвержденных расширений ядра (после первоначального утверждения либо обновления версии) необходимо перезапускать компьютер.

Дополнительные требования для компьютеров Mac с процессорами Apple

На компьютерах Mac с процессорами Apple расширения ядра необходимо компилировать с архитектурой arm64e.

Прежде чем установить расширение ядра на компьютере Mac с процессором Apple, необходимо внести изменения в политику безопасности одним из следующих способов. 

  • Если для устройства выполнена автоматическая регистрация устройств в MDM, вы можете автоматически включить функцию удаленного управления расширениями ядра и изменить политику безопасности.
  • Если для устройства выполнена регистрация устройств в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить удаленное управление расширениями ядра и обновлениями программного обеспечения. Кроме того, администратор MDM может порекомендовать локальному администратору выполнить это изменение путем настройки ключа PromptUserToAllowBootstrapTokenForAuthentication в MDMOptions или профиле MDM.
  • Если устройство не зарегистрировано в MDM или для него выполнена регистрация пользователя в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить пользователям управлять расширениями ядра и обновлениями программного обеспечения.

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: