為 macOS High Sierra 核心延展功能變更做好準備

如果您是系統管理員並需要為機構系統升級至 macOS High Sierra,請依照本文所述為核心延展功能的變更做好準備。

為加強 Mac 的安全性,使用 macOS High Sierra 或更新版本安裝的核心延展功能需要先取得使用者同意方能載入。這就是「載入使用者核准核心延展功能」。無論使用者擁有管理員權限與否,均可以核准核心延展功能。

如果核心延展功能符合以下情況,則無需獲得核准:

  • 在升級至 macOS High Sierra 前已安裝的延展功能
  • 用來取代早前已核准之延展功能的延展功能
  • 在以「macOS 回復」開機時使用 spctl 指令的情況下,允許無需獲得使用者同意就能載入之延展功能
  • 允許透過核心延展功能原則載入之延展功能

從 macOS 10.13.4 開始,註冊 MDM 不會停用「載入使用者核准核心延展功能」,而早前基於該原因而允許載入的延展功能,如今則需要獲得核准。不過,您可以使用 MDM 來指定無需使用者核准載入的核心延展功能。此選項適用於運行 macOS 10.13.2 或更新版本的 Mac,並且其 MDM 經由 DEP 註冊或是經使用者核准註冊。

經使用者核准的 MDM 註冊

macOS High Sierra 10.13.2 引入了「經使用者核准」MDM 註冊。只有需在非經由 DEP 註冊 MDM 的 Mac 上管理某些涉及安全性的敏感設定,才需要用到這種註冊方式。

經由 DEP 註冊 MDM 的裝置本身已能管理涉及安全性的敏感設定,因此對這些裝置來說,「經使用者核准」這一註冊方式是沒有必要的。

如果裝置既非經由 DEP、也非經使用者核准註冊 MDM,您仍然可以管理非涉及安全性的非敏感設定。

註冊
類型
可否管理
涉及安全性的敏感設定?
可否管理
非敏感設定?

經由 DEP 註冊的 MDM

可以

可以

經使用者核准的 MDM

可以 可以

非經使用者核准的 MDM

不可以

可以

要為 Mac 註冊經使用者核准的 MDM,方法如下:

  • 如果 Mac 註冊了 DEP,則當其註冊加入 MDM 時,現有註冊等同於「經使用者核准」註冊。
  • 如果 Mac 在升級至 macOS 10.13.4 前註冊了非經使用者核准 MDM,則其註冊將在系統升級時變成「經使用者核准」。
  • 您也可以下載註冊描述檔或透過電郵將其寄送給自己。按兩下描述檔,然後依照「系統偏好設定」中的提示註冊 MDM。

採用全自動化操作,或嘗試透過屏幕共享進行遠程裝置註冊,均不會完成「經使用者核准」註冊。

如果 Mac 使用 macOS 10.13.4 且在沒有經使用者同意下註冊 MDM,則其註冊並非「經使用者核准」。若要管理涉及安全性的敏感設定,您可以核准註冊:

  1. 選擇 Apple 選單 >「系統偏好設定」,然後按一下「描述檔」。
  2. 選取具有徽章的註冊描述檔:
  3. 點一下右側的「核准」按鈕,然後依照畫面上的指示操作。

使用 MDM 管理「載入使用者核准核心延展功能」

從 macOS 10.13.4 開始,所有裝置均啟用「載入使用者核准核心延展功能」,包括註冊了 MDM 的裝置。您可以使用「核心延展功能原則」負載資料來:

  • 指定哪些核心延展功能該在無需使用者同意下載入。
  • 為防止使用者核准其他核心延展功能配置特定設定。

不使用 MDM 管理「載入使用者核准核心延展功能」

如果您想在 MDM 以外管理「載入使用者核准核心延展功能」,請以「macOS 回復」開機,然後使用 spctl 令。讓指令自行執行,以了解如何使用該指令。

如果您使用 spctl 指令管理「載入使用者核准核心延展功能」並重設 NVRAM,Mac 會還原成預設狀態並啟用「載入使用者核准核心延展功能」。您可以在 Mac 上設定韌體密碼,以防止 NVRAM 發生未經授權的變更。

發佈日期: