在 macOS Big Sur 對舊版系統延伸功能進行企業管理

了解系統管理員如何能夠在 macOS Big Sur 管理舊版系統或內核延伸功能 (kexts) 的安裝程序。

本文旨在供公司和教育機構的系統管理員參考。

關於 macOS 中的系統延伸功能

macOS Catalina 10.15 和之後版本的系統延伸功能允許網絡延伸功能、端點安全方案等軟件,在無需內核等級存取權限的情況下延伸 macOS 的功能。了解如何在使用者空間安裝和管理系統延伸功能,而並非透過內核。

舊版系統延伸功能亦稱內核延伸功能或 kexts,需要在具有較高系統權限的模式中執行。由 macOS High Sierra 10.13 開始,內核延伸功能必須獲得管理員帳戶或「流動裝置管理」(MDM) 描述檔的批准後才可載入。

macOS Big Sur 11.0 和之後版本允許在 Intel 型 Mac 電腦和配備 Apple 晶片的 Mac 電腦上管理舊版系統延伸功能。

如何管理舊版系統延伸功能

採用之前已停用且不受支援的 KPI 的內核延伸功能無法再預設載入。你可以使用 MDM 更改預設政策,以停止定期顯示對話框及允許載入內核延伸功能。對於配備 Apple 晶片的 Mac 電腦,你必須先更改保安政策

如要在 macOS Big Sur 安裝全新或已更新的內核延伸功能,請按照以下其中一種方法操作:

  • 指示使用者按照「保安與私隱」偏好設定內的提示允許延伸功能,然後重新啟動 Mac。你可以透過「內核延伸功能政策」MDM 承載資料中的 AllowNonAdminUserApprovals 密鑰,批准非管理員使用者允許延伸功能。

  • 傳送 RestartDevice MDM 指令並將 RebuildKernelCachekey 設為「True」。

無論獲允許的內核延伸功能組合是在初次允許後抑或版本更新後變更,電腦都需要重新啟動。

配備 Apple 晶片的 Mac 電腦的額外要求

配備 Apple 晶片的 Mac 電腦要求內核延伸功能符合 arm64e 分段。

在配備 Apple 晶片的 Mac 電腦中安裝內核延伸功能前,你必須按照以下其中一種方式更改保安政策:

  • 如果裝置已註冊「自動裝置註冊」的 MDM,你就可以自動允許遙距管理核心延伸功能,以及更改保安政策*。

  • 如果你的裝置已註冊「裝置註冊」的 MDM,則本機管理員可以在「macOS 還原」中手動更改保安政策,並允許遙距管理核心延伸功能和軟件更新。此外,MDM 管理員亦可以提議本機管理員在 MDMOptions 中設定 PromptUserToAllowBootstrapTokenForAuthentication,或在 MDM 描述檔中設定相同的密鑰以作出此變更*。

  • 如果你有非 MDM 裝置或已註冊「用戶註冊」的 MDM,則本機管理員可以在「macOS 還原」中手動更改保安政策,並允許使用者管理內核延伸功能和軟件更新。

* MDM 必須支援 Bootstrap Token。此外,在 MDM 嘗試執行需要 Bootstrap Token 的操作之前,用戶端必須將 Bootstrap Token 傳送至 MDM 伺服器。

對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商

發佈日期: