为 macOS High Sierra 中内核扩展的变化做好准备

如果您是系统管理员,则应在将机构系统升级至 macOS High Sierra 时,利用此处信息为内核扩展的变化做好准备。

为了提高 Mac 的安全性,安装 macOS High Sierra 时或之后所安装的内核扩展需要用户同意才能载入。这被称为用户批准的内核扩展载入。任何用户均可批准内核扩展,即使他们没有管理员权限也是如此。

以下这些内核扩展无需获得批准:

  • 升级至 macOS High Sierra 之前安装的扩展
  • 替换以前已批准扩展的扩展
  • 允许无需用户同意即可通过在从 macOS 恢复功能启动时使用 spctl 命令载入的扩展
  • 允许通过“内核扩展政策”载入的扩展

从 macOS 10.13.4 开始,注册使用 MDM 不再会停用“用户批准的内核扩展载入”,并且之前因这个原因而被允许载入的扩展现在需要获得批准。但是,您可以使用 MDM 来指定在载入时无需获得批准的内核扩展。这要求 Mac 使用 macOS 10.13.2 或更高版本,并且 Mac 是通过 DEP 注册 MDM 的,或者它的 MDM 注册是“用户批准的”注册。

用户批准的 MDM 注册

macOS High Sierra 10.13.2 推出了“用户批准的”MDM 注册的概念。仅当您要在 MDM 注册不是通过 DEP 完成的 Mac 上管理某些安全敏感设置时,才需要使用这种注册类型。

由于您已经可以在通过 DEP 进行 MDM 注册的设备上管理安全敏感设置,因此,对于这类设备,没有必要使用“用户批准的”注册。

您仍然可以在未使用“用户批准的”选项注册使用 MDM 的设备上管理非安全敏感设置。

注册
类型
是否可以管理
安全敏感设置?
是否可以管理
非敏感设置?

通过 DEP 注册使用 MDM

用户批准的 MDM

非用户批准的 MDM

如何注册 Mac 使用用户批准的 MDM:

  • 如果 Mac 已注册使用 DEP,那么当这台 Mac 注册使用 MDM 时,已有注册就相当于“用户批准的”注册。
  • 如果 Mac 已在更新至 macOS 10.13.4 之前注册使用了非用户批准的 MDM,那么在安装 macOS 10.13.4 时注册会转换为“用户批准的”注册。
  • 您也可以下载注册描述文件,或通过电子邮件向自己发送注册描述文件。连按两次描述文件,然后按照“系统偏好设置”中的提示注册使用 MDM。

使用自动化操作或尝试通过屏幕共享远程注册设备将不会完成“用户批准的”注册。

如果装有 macOS 10.13.4 的 Mac 在未经用户同意的情况下注册使用 MDM,则注册不会是“用户批准的”注册。要管理安全敏感设置,您可以批准您的注册:

  1. 选取苹果菜单 >“系统偏好设置”,然后点按“描述文件”。
  2. 选择带有标记的注册描述文件:
  3. 点按右侧的“批准”按钮,然后按照屏幕上的说明操作。

使用 MDM 时用户批准的内核扩展载入

从 macOS 10.13.4 开始,用户批准的内核扩展载入会在所有设备上启用,包括注册使用 MDM 的设备。使用“内核扩展政策”有效负载可以:

  • 指定哪些内核扩展可以在无需用户同意的情况下载入。
  • 有选择地阻止用户批准其他内核扩展。

不使用 MDM 时用户批准的内核扩展载入

如果您要在 MDM 之外管理用户批准的内核扩展载入,请从 macOS 恢复功能启动,并使用 spctl 命令。单独运行这个命令可获取有关使用方法的更多信息。

如果您要使用 spctl 命令管理用户批准的内核扩展载入并且重置了 NVRAM,您的 Mac 会还原为默认状态,同时启用用户批准的内核扩展载入。您可以在 Mac 上设置固件密码以防止对 NVRAM 进行未经授权的更改。

发布日期: