对 macOS Big Sur 中的旧版系统扩展进行企业级管理

了解系统管理员如何管理 macOS Big Sur 中旧版系统或内核扩展 (kext) 的安装。

本文适用于企业和教育组织中的系统管理员。

关于 macOS 中的系统扩展

macOS Catalina 10.15 及更高版本上的系统扩展允许软件(例如网络扩展和端点安全解决方案)在无需内核级访问权限的情况下扩展 macOS 的功能。了解如何不在内核中而在用户空间中安装和管理系统扩展

旧版系统扩展也称为内核扩展或 kext,在系统的高特权模式下执行。从 macOS High Sierra 10.13 开始,内核扩展必须先获得管理员帐户或移动设备管理 (MDM) 描述文件的批准,然后才能载入。

macOS Big Sur 11.0 及更高版本允许管理基于 Intel 的 Mac 电脑和搭载 Apple 芯片的 Mac 电脑的旧版系统扩展。

如何管理旧版系统扩展

那些使用之前已弃用且不受支持的 KPI 的内核扩展不再默认载入。您可以使用 MDM 来修改默认策略,以停止定期显示对话框,并允许载入内核扩展。对于搭载 Apple 芯片的 Mac 电脑,您必须首先更改安全策略

要在 macOS Big Sur 中安装新的或更新的内核扩展,您可以进行以下任一操作:

  • 指导用户按照“安全性与隐私”偏好设置中的提示来允许扩展,然后重新启动 Mac。您可以使用“内核扩展策略”MDM 有效负载中的 AllowNonAdminUserApprovals 键,让非管理员用户允许扩展。

  • 发送 RestartDevice MDM 命令,并将 RebuildKernelCachekey 设置为“True”。

每当批准的内核扩展集发生变化时,无论是在首次批准后还是版本更新时,都需要重新启动。

搭载 Apple 芯片的 Mac 电脑的其他要求

搭载 Apple 芯片的 Mac 电脑需要通过 arm64e 片区编译内核扩展。

要在搭载 Apple 芯片的 Mac 电脑上安装内核扩展,必须先通过以下方式之一更改安全策略:

  • 如果您拥有已通过“自动设备注册”功能在 MDM 中注册的设备,则您可以自动授权对内核扩展的远程管理,并可更改安全策略*。

  • 如果您拥有已通过“设备注册”功能在 MDM 中注册的设备,则本地管理员可以在 macOS 恢复功能中手动更改安全策略,并可授权对内核扩展和软件更新的远程管理。此外,MDM 管理员还可以通过在 MDMOptions 中设置 PromptUserToAllowBootstrapTokenForAuthentication,或在 MDM 描述文件中设置同一键,来通知本地管理员进行这样的更改*。

  • 如果您拥有非 MDM 设备或已通过“用户注册”功能在 MDM 中注册的设备,则本地管理员可以在 macOS 恢复功能中手动更改安全策略,并可授权用户对内核扩展和软件更新的管理。

* MDM 还必须支持 Bootstrap Token。此外,客户端必须向 MDM 服务器发送 Bootstrap Token,然后 MDM 才会尝试执行需要 Bootstrap Token 的操作。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: