Hantering av äldre systemtillägg i macOS Big Sur för företag

Läs om hur systemadministratörer kan hantera äldre systeminstallationer eller kerneltillägg (kexts) i macOS Big Sur.

Den här artikeln riktar sig till systemadministratörer på företag och utbildningsorganisationer.

Om systemtillägg i macOS

Systemtillägg i macOS Catalina 10.15 och senare gör det möjligt för mjukvara, till exempel nätverkstillägg och säkerhetslösningar för slutpunkter, att utöka funktionaliteten i macOS utan att det krävs åtkomst på kernelnivå. Läs om hur du installerar och hanterar systemtillägg i användarutrymmet istället för i kernel. 

Äldre systemtillägg kallas även kerneltillägg eller kexts och har hög körningsstatus i systemet. Från och med macOS High Sierra 10.13 måste ett kerneltillägg godkännas av ett administratörskonto eller en MDM-profil (Mobile Device Management) innan det kan läsas in.

macOS Big Sur 11.0 och senare tillåter hantering av äldre systemtillägg för både Intel-baserade Mac-datorer och Mac-datorer med Apple-chip.

Så här hanterar du äldre systemtillägg

Kerneltillägg som använder inaktuella KPI:er som inte stöds läses inte längre in som standard. Du kan använda MDM för att ändra standardpolicyer så att dialoger inte visas periodvis och kerneltillägget tillåts att läsas in. För Mac-datorer med Apple-chip måste du först ändra säkerhetspolicyn.

Du kan göra något av följande för att installera ett nytt eller uppdaterat kerneltillägg i macOS Big Sur:

  • Instruera användaren att tillåta tillägget genom att följa uppmaningarna i inställningarna för Säkerhet och integritet och sedan starta om Mac-datorn. Du kan ge användare som inte är administratörer tillstånd att tillåta tillägget med nyckeln AllowNonAdminUserApprovals i policyn om kerneltillägg, MDM-nyttolast.
  • Skicka RestartDevice MDM-kommandot och ställ in RebuildKernelCachekey på Sant.

Omstart krävs om uppsättningen med godkända kerneltillägg ändras, antingen efter första godkännandet eller om versionen uppdateras.

Ytterligare krav för Mac-datorer med Apple-chip

Mac-datorer med Apple-chip kräver att kerneltillägg kompileras med ett arm64e-segment.

Innan du kan installera ett kerneltillägg på en Mac-dator med Apple-chip måste säkerhetspolicyn ändras på ett av följande sätt: 

  • Om du har enheter som registrerats i MDM med automatisk enhetsregistrering kan du automatiskt auktorisera fjärrhantering av kerneltillägg och ändra säkerhetspolicyn.*
  • Om du har enheter som registrerats i MDM med enhetsregistrering kan en lokal administratör ändra säkerhetspolicyn manuellt i macOS Återställning och auktorisera fjärrhantering av kerneltillägg samt programuppdateringar. Dessutom kan MDM-administratörer be lokala administratörer att utföra denna ändring genom att ställa in PromptUserToAllowBootstrapTokenForAuthentication i MDM-alternativ eller genom att ställa in samma nyckel i MDM-profilen.*
  • Om du har enheter som inte registrerats i MDM eller som registrerats i MDM med användarregistrering kan en lokal administratör ändra säkerhetspolicyn manuellt i macOS Återställning och auktorisera användarhantering av kerneltillägg och programuppdateringar.

*MDM måste också kunna stödja en Bootstrap-token. Dessutom måste klienten skicka bootstrap-token till MDM-servern innan MDM försöker utföra en operation som kräver bootstrap-token.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: