因應 macOS High Sierra 核心延展功能變更做好準備

如果你是系統管理員並需要為機構系統升級至 macOS High Sierra,請依照本文資料因應核心延展功能的變更做好準備。

這篇文章已封存,而且 Apple 也不會再更新。

為加強 Mac 的安全性,使用 macOS High Sierra 或更新版本安裝的核心延展功能需要先取得使用者同意方能載入。這就是「載入使用者核准核心延展功能」。無論使用者擁有管理員權限與否,均可以核准核心延展功能。

如果核心延展功能符合以下情況,則毋須獲得核准:

  • 在升級至 macOS High Sierra 前已安裝的延展功能
  • 用來取代早前已核准之延展功能的延展功能
  • 在透過「macOS 復原」開機並使用 spctl 指令的情況下,毋須獲得使用者同意就能載入之延展功能
  • 獲准透過核心延展功能政策載入之延展功能

從 macOS 10.13.4 開始,註冊 MDM 不會停用「載入使用者核准核心延展功能」,而早前基於該原因而允許載入的延展功能,如今則需要獲得核准。不過,你可以使用 MDM 來指定毋須使用者核准載入的核心延展功能。這個選項適用於運行 macOS 10.13.2 或之後版本的 Mac,而 MDM 必須經由 DEP 註冊或者 MDM 註冊「經使用者核准」。

「經使用者核准」的 MDM 註冊

macOS High Sierra 10.13.2 引入「經使用者核准」MDM 註冊的概念。只有在非經由 DEP 註冊 MDM 的 Mac 上管理某些涉及安全性的敏感設定時,才有需要使用這種註冊方式。

經由 DEP 註冊 MDM 的裝置本身已能管理涉及安全性的敏感設定,因此毋須使用「經使用者核准」這一註冊方式。

即使裝置並非採用「經使用者核准」選項註冊 MDM,你仍可以管理非涉及安全性的非敏感設定。

註冊
類型
可否管理
涉及安全性的敏感設定?
可否管理
非敏感設定?

經由 DEP 註冊的 MDM

「經使用者核准」MDM

「非經使用者核准」MDM

如要為 Mac 註冊「經使用者核准」MDM,方法如下:

  • 如果 Mac 已註冊 DEP,在註冊 MDM 時便會等同於「經使用者核准」註冊。
  • 如果 Mac 在更新至 macOS 10.13.4 前註冊了「非經使用者核准」MDM,在系統安裝 macOS 10.13.4 時註冊便會變成「經使用者核准」。
  • 你也可以下載註冊描述檔或透過電郵將之寄交自己。按兩下描述檔,然後依照「系統偏好設定」中的提示註冊 MDM。

採用自動化操作或嘗試透過螢幕分享功能遙距註冊裝置,並不促成「經使用者核准」註冊。

如果 Mac 運行 macOS 10.13.4 且未經使用者同意下註冊 MDM,則不屬「經使用者核准」註冊。若要管理涉及安全性的敏感設定,你可以核准註冊:

  1. 選擇 Apple 選單 >「系統偏好設定」,然後按一下「描述檔」。
  2. 選取具有徽章的註冊描述檔:
  3. 點一下右側的「核准」按鈕,然後依照畫面上的指示操作。

透過 MDM 使用「載入使用者核准核心延展功能」

從 macOS 10.13.4 開始,所有裝置均啟用「載入使用者核准核心延展功能」,包括註冊了 MDM 的裝置。你可以使用「核心延展功能政策」承載資料以便:

  • 指定哪些核心延展功能在未經使用者同意下載入。
  • 隨意防止使用者核准其他核心延展功能。

透過 MDM 以外方式使用「載入使用者核准核心延展功能」

如果你想透過 MDM 以外方式管理「載入使用者核准核心延展功能」,請以「macOS 復原」模式開機,然後使用 spctl 指令。讓指令自行執行,以了解如何使用該指令。

如你使用 spctl 指令管理「載入使用者核准核心延展功能」並重設 NVRAM,Mac 會還原成預設狀態並啟用「載入使用者核准核心延展功能」。你可以在 Mac 上設定韌體密碼,以防止 NVRAM 發生未經授權的變更。

發佈日期: