Корпоративное управление устаревшими системными расширениями в macOS Big Sur

Узнайте, как системные администраторы могут управлять установкой устаревших системных расширений (или расширений ядра, KEXT) в macOS Big Sur.

Сведения о системных расширениях в macOS

Благодаря системным расширениям можно улучшать функциональные возможности ОС macOS Catalina 10.15 и более поздних версий с помощью программного обеспечения, например расширений сети или решений для обеспечения безопасности конечных точек, не получая доступа к ядру. Узнайте, как устанавливать системные расширения и управлять ими в пространстве пользователя, а не ядра.

Устаревшие системные расширения, которые также называют расширениями ядра (KEXT), выполняются в режиме работы системы с высоким уровнем привилегий. Начиная с macOS High Sierra 10.13 для загрузки расширений ядра требуется утверждение через учетную запись администратора или профиль управления мобильными устройствами (MDM).

Управление устаревшими системными расширениями возможно на компьютерах Mac с процессорами Intel либо Apple, если на устройстве установлена ОС macOS Big Sur 11.0 или более поздней версии.

Управление устаревшими системными расширениями

Расширения ядра, использующие устаревшие и неподдерживаемые ключевые показатели эффективности (KPI), больше нельзя загружать по умолчанию. Вы можете изменить правила по умолчанию с помощью MDM, чтобы прекратить периодическое отображение уведомлений и разрешить загрузку расширений ядра. На компьютерах Mac с процессорами Apple нужно сначала изменить политику безопасности.

Чтобы установить новое расширение ядра для macOS Big Sur или обновить существующее, выполните одно из следующих действий.

• Попросите пользователя перейти в раздел настроек «Защита и безопасность» и, следуя указаниям, разрешить расширение, а затем перезапустить компьютер Mac. Используйте ключ AllowNonAdminUserApprovals из полезной нагрузки политики расширений ядра в системе MDM, чтобы предоставить пользователям без статуса администратора право разрешать расширения.

• Отправьте команду MDM RestartDevice и установите значение True (Истина) для ключа RebuildKernelCachekey.

Каждый раз при изменении утвержденных расширений ядра (после первоначального утверждения либо обновления версии) необходимо перезапускать компьютер.

Дополнительные требования для компьютеров Mac с процессорами Apple

Прежде чем установить расширение ядра на компьютере Mac с процессором Apple, необходимо внести изменения в политику безопасности одним из следующих способов.

• Если для устройства выполнена автоматическая регистрация устройств в MDM, вы можете автоматически включить функцию удаленного управления расширениями ядра и изменить политику безопасности.

• Если для устройства выполнена регистрация устройств в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить удаленное управление расширениями ядра и обновлениями программного обеспечения. Кроме того, администратор MDM может порекомендовать локальному администратору выполнить это изменение путем настройки ключа PromptUserToAllowBootstrapTokenForAuthentication в MDMOptions или профиле MDM.

• Если устройство не зарегистрировано в MDM или для него выполнена регистрация пользователя в MDM, локальный администратор может вручную изменить политику безопасности в режиме восстановления macOS и разрешить пользователям управлять расширениями ядра и обновлениями программного обеспечения.