การจัดการส่วนขยายของระบบรุ่นเก่าสำหรับองค์กรใน macOS Big Sur

เรียนรู้วิธีที่ผู้ดูแลระบบสามารถจัดการการติดตั้งส่วนขยายของระบบรุ่นเก่าหรือส่วนขยายเคอร์เนล (kexts) ใน macOS Big Sur

บทความนี้มีไว้สำหรับผู้ดูแลระบบขององค์กรธุรกิจและสถาบันการศึกษา

เกี่ยวกับส่วนขยายของระบบใน macOS

ส่วนขยายของระบบใน macOS Catalina 10.15 และใหม่กว่าช่วยให้ซอฟต์แวร์ เช่น ส่วนขยายเครือข่ายและโซลูชั่นการรักษาความปลอดภัยปลายทาง ขยายฟังก์ชั่นการทำงานของ macOS ได้โดยไม่ต้องใช้สิทธิ์เข้าถึงระดับเคอร์เนล เรียนรู้วิธีติดตั้งและจัดการส่วนขยายของระบบในพื้นที่ผู้ใช้แทนที่จะเป็นเคอร์เนล

ส่วนขยายของระบบรุ่นเก่าหรือที่เรียกว่าส่วนขยายเคอร์เนลหรือ kext จะทำงานในโหมดที่ได้รับสิทธิ์ขั้นสูงของระบบ ตั้งแต่ macOS High Sierra 10.13 เป็นต้นไป ส่วนขยายเคอร์เนลต้องได้รับอนุมัติจากบัญชีผู้ดูแลระบบหรือโปรไฟล์การจัดการอุปกรณ์เคลื่อนที่ (MDM) ก่อนจึงจะโหลดได้

macOS Big Sur 11.0 และใหม่กว่าช่วยให้จัดการส่วนขยายของระบบรุ่นเก่าได้ทั้งในคอมพิวเตอร์ Mac ที่ใช้ชิพ Intel และคอมพิวเตอร์ Mac ที่ใช้ชิพ Apple Silicon

วิธีจัดการส่วนขยายของระบบรุ่นเก่า

ส่วนขยายเคอร์เนลที่ใช้ KPI ที่ไม่รองรับและเลิกใช้แล้วจะไม่โหลดโดยค่าเริ่มต้นอีกต่อไป คุณสามารถใช้ MDM แก้ไขนโยบายเริ่มต้นไม่ให้แสดงกล่องโต้ตอบเป็นระยะ และอนุญาตให้โหลดส่วนขยายเคอร์เนลได้ สำหรับคอมพิวเตอร์ Mac ที่ใช้ชิพ Apple Silicon คุณต้องเปลี่ยนนโยบายการรักษาความปลอดภัยก่อน

ในการติดตั้งส่วนขยายเคอร์เนลใหม่หรือที่อัพเดทใน macOS Big Sur คุณสามารถเลือกทำข้อใดข้อหนึ่งต่อไปนี้

  • ขอให้ผู้ใช้ทำตามคำแนะนำบนหน้าจอภายในการตั้งค่าการรักษาความปลอดภัยและความเป็นส่วนตัวเพื่ออนุญาตส่วนขยาย แล้วรีสตาร์ทเครื่อง Mac คุณสามารถให้สิทธิ์แก่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบเพื่ออนุญาตส่วนขยายได้โดยใช้คีย์AllowNonAdminUserApprovalsในนโยบายส่วนขยายเคอร์เนลเพย์โหลด MDM

  • ส่งRestartDeviceคำสั่งของ MDM และตั้งค่าRebuildKernelCachekeyเป็น True

ทุกครั้งที่ชุดส่วนขยายเคอร์เนลที่ได้รับอนุมัติมีการเปลี่ยนแปลง จะต้องทำการรีสตาร์ทหลังจากมีการอนุมัติเบื้องต้นหรือเมื่อมีการอัพเดทเวอร์ชั่น

ข้อกำหนดเพิ่มเติมสำหรับคอมพิวเตอร์ Mac ที่ใช้ชิพ Apple Silicon

คอมพิวเตอร์ Mac ที่ใช้ชิพ Apple Silicon ต้องคอมไพล์ส่วนขยายเคอร์เนลด้วยส่วนย่อย arm64e

ก่อนที่จะติดตั้งส่วนขยายเคอร์เนลในคอมพิวเตอร์ Mac ที่ใช้ชิพ Apple Silicon จะต้องเปลี่ยนนโยบายการรักษาความปลอดภัยเป็นแบบใดแบบหนึ่งต่อไปนี้

  • หากคุณมีอุปกรณ์ที่ลงทะเบียนไว้ใน MDM ด้วยการลงทะเบียนอุปกรณ์อัตโนมัติ คุณสามารถอนุญาตการจัดการระยะไกลของส่วนขยายเคอร์เนลและเปลี่ยนนโยบายการรักษาความปลอดภัยโดยอัตโนมัติ*

  • หากคุณมีอุปกรณ์ที่ลงทะเบียนไว้ใน MDM ด้วยการลงทะเบียนอุปกรณ์ ผู้ดูแลระบบภายในจะสามารถเปลี่ยนนโยบายการรักษาความปลอดภัยในการกู้คืน macOS และอนุญาตการจัดการระยะไกลของส่วนขยายเคอร์เนลและการอัพเดทซอฟต์แวร์ได้ด้วยตนเอง นอกจากนี้ ผู้ดูแลระบบ MDM ยังสามารถแนะนำให้ผู้ดูแลระบบภายในทำการเปลี่ยนแปลงนี้ได้โดยการตั้งค่า PromptUserToAllowBootstrapTokenForAuthentication ใน MDMOptions หรือโดยการตั้งค่าคีย์เดิมในโปรไฟล์ MDM*

  • หากคุณมีอุปกรณ์ที่ไม่ได้อยู่ใน MDM หรืออุปกรณ์ที่ลงทะเบียนใน MDM ด้วยการลงทะเบียนผู้ใช้ ผู้ดูแลระบบภายในจะสามารถเปลี่ยนนโยบายการรักษาความปลอดภัยในการกู้คืน macOS และอนุญาตการจัดการระยะไกลของส่วนขยายเคอร์เนลและการอัพเดทซอฟต์แวร์ได้ด้วยตนเอง

* MDM ยังต้องสามารถรองรับ Bootstrap Token ได้ นอกจากนี้ ลูกค้าต้องส่ง Bootstrap Token ไปยังเซิร์ฟเวอร์ MDM ก่อนที่ MDM จะพยายามดำเนินการที่ต้องใช้ Bootstrap Token

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: