為 macOS High Sierra 核心延展功能變更做好準備
如果你是系統管理員並需要為機構系統升級至 macOS High Sierra,請依照本文所述為核心延展功能的變更做好準備。
為加強 Mac 的安全性,使用 macOS High Sierra 或更新版本安裝的核心延展功能需要先取得使用者同意方能載入。這就是「載入使用者核准核心延展功能」。無論使用者擁有管理員權限與否,均可以核准核心延展功能。
如果核心延展功能符合以下情況,則無需獲得核准:
在升級至 macOS High Sierra 前已安裝的延展功能
用來取代早前已核准之延展功能的延展功能
在透過「macOS 還原」開機並使用
spctl獲准透過核心延展功能政策
從 macOS 10.13.4 開始,註冊 MDM 不會停用「載入使用者核准核心延展功能」,而早前基於該原因而允許載入的延展功能,如今則需要獲得核准。不過,你可以使用 MDM 來指定無需使用者核准載入的核心延展功能。這個選項適用於運行 macOS 10.13.2 或之後版本的 Mac,而 MDM 必須經由 DEP 註冊或 MDM 註冊「經使用者核准」。
經使用者核准的 MDM 註冊
macOS High Sierra 10.13.2 引入「經使用者核准」MDM 註冊的概念。只有需在非經由 DEP 註冊 MDM 的 Mac 上管理某些涉及安全性的敏感設定,才需要用到這種註冊方式。
經由 DEP 註冊 MDM 的裝置本身已能管理涉及安全性的敏感設定,因此毋須使用「經使用者核准」這一註冊方式。
即使裝置並非採用「經使用者核准」選項註冊 MDM,你仍可以管理非涉及安全性的非敏感設定。
註冊類型 | 是否可以管理保安敏感設定? | 是否可以管理非保安敏感設定? |
|---|---|---|
經由 DEP 註冊的 MDM | 會 | 是 |
經使用者核准的 MDM | 會 | 是 |
非經使用者核准的 MDM | 否 | 是 |
要為 Mac 註冊經使用者核准的 MDM,方法如下:
如果 Mac 已註冊 DEP,在註冊 MDM 時便會等同於「經使用者核准」註冊。
如果 Mac 在升級至 macOS 10.13.4 前註冊了非經使用者核准 MDM,則其註冊將在系統升級時變成「經使用者核准」。
你也可以下載註冊描述檔或透過電郵將其寄送給自己。按兩下描述檔,然後依照「系統偏好設定」中的提示註冊 MDM。
採用自動化操作或嘗試透過螢幕分享功能遙距註冊裝置,將無法完成「經使用者核准」的註冊。
如果 Mac 使用 macOS 10.13.4 且在沒有經使用者同意下註冊 MDM,則其註冊並非「經使用者核准」。若要管理涉及安全性的敏感設定,你可以核准註冊:
選擇 Apple 選單 >「系統偏好設定」,然後按一下「描述檔」。
選擇附有標記的註冊描述檔:
。點一下右側的「核准」按鈕,然後依照畫面上的指示操作。
透過 MDM 使用「載入使用者核准核心延展功能」
從 macOS 10.13.4 開始,所有裝置均啟用「載入使用者核准核心延展功能」,包括註冊了 MDM 的裝置。「核心延伸功能政策」承載資料可用於:
指定哪些核心延展功能該在無需使用者同意下載入。
為防止使用者核准其他核心延展功能配置特定設定。
透過 MDM 以外方式使用「載入使用者核准核心延展功能」
如果你想透過 MDM 以外方式管理「載入使用者核准核心延展功能」,請以「macOS 還原」模式開機,然後使用 模式開機,然後使用 spct
如果你使用 spctl 指令管理「載入使用者核准的核心延伸功能」,並重設 NVRAM,Mac 將會還原至啟用「載入使用者核准的核心延伸功能」的預設狀態。你可以在 Mac 上設定韌體密碼,防止 NVRAM 出現未經授權的變更。
