針對 macOS High Sierra 中與核心延伸功能有關的變更做好準備
如果你是系統管理者,在將貴機構的作業系統升級至 macOS High Sierra 之前,請先運用此資訊,針對與核心延伸功能有關的變更做好準備。
為了提升 Mac 的安全性,隨著 macOS High Sierra 一起安裝或之後安裝的核心延伸功能,都必須經過使用者的同意才能載入,這稱之為「使用者核准載入核心延伸功能」。使用者無論是否有管理者權限,皆可核准核心延伸功能。
以下核心延伸功能不需要核准:
升級至 macOS High Sierra 之前安裝的延伸功能
取代先前已核准延伸功能的延伸功能
藉由從「macOS 復原」啟動時使用
spctl允許透過核心延伸功能政策
從 macOS 10.13.4 開始,註冊加入 MDM 不會再停用「使用者核准核心延伸功能載入」,而先前因此允許載入的延伸功能,現在則需要核准。不過,你可以使用 MDM 指定可未經核准載入的核心延伸功能。這需要使用搭載 macOS 10.13.2 或以上版本的 Mac,該 Mac 必須透過 DEP 註冊加入 MDM,或者該 MDM 註冊必須是「使用者核准的」。
通過使用者核准的 MDM 登記
macOS High Sierra 10.13.2 引進了「通過使用者核准」的 MDM 註冊概念。只有當你的 Mac 並非透過 DEP 完成 MDM 註冊,且你想要在該 Mac 上管理某些涉及安全性的設定時,才需要使用這項註冊方式。
如果裝置是透過 DEP 進行 MDM 註冊,則你原本即可在該裝置上管理涉及安全性的設定,因此這些裝置不需採用「通過使用者核准」的註冊方式。
你仍可在未使用「通過使用者核准」選項註冊加入 MDM 的裝置上,管理未涉及安全性的設定。
註冊類型 | 是否可以管理涉及安全性的設定? | 是否可以管理未涉及安全性的設定? |
|---|---|---|
透過 DEP 登記加入 MDM | 是 | 是 |
通過使用者核准的 MDM | 是 | 是 |
未通過使用者核准的 MDM | 否 | 是 |
如何將 Mac 註冊加入通過使用者核准的 MDM:
如果 Mac 已登記加入 DEP,則當這部 Mac 登記加入 MDM 時,其現有登記時就等同於「通過使用者核准」的登記。
如果 Mac 在更新至 macOS 10.13.4 之前,即已註冊加入「未通過使用者核准」的 MDM,則其註冊會在安裝 macOS 10.13.4 時轉換成「通過使用者核准」。
你也可以將註冊描述檔下載或以電子郵件傳送給自己。按兩下描述檔,接著按照「系統偏好設定」中的提示註冊加入 MDM。
使用自動化操作,或嘗試透過螢幕共享進行遠端裝置註冊,將無法完成「使用者核准的」註冊。
如果你的 Mac 在 macOS 10.13.4 中未經使用者同意註冊加入 MDM,其註冊不會是「通過使用者核准」。若要管理涉及安全性的設定,你可以核准你的註冊:
選擇「蘋果」選單 >「系統偏好設定」,然後按一下「描述檔」。
選取帶有標記的註冊描述檔:
。按一下右側的「核准」按鈕,然後按照螢幕上的指示操作。
「使用者核准核心延伸功能載入」搭配 MDM
從 macOS 10.13.4 開始,所有裝置上均會啟用「使用者核准核心延伸功能載入」,包括註冊加入 MDM 的裝置。請使用核心延伸功能規則承載資料來執行下列操作:
指定哪些核心延伸功能可在未經使用者同意下載入。
選擇性地防止使用者核准其他核心延伸功能。
「使用者核准核心延伸功能載入」不搭配 MDM
如果想要在 MDM 之外管理「使用者核准核心延伸功能載入」,請從」macOS 復原 啟動並使用 spctl 指令。若單獨執行該指令而不使用任何參數,即可進一步瞭解如何使用該指令。
如果你是使用 spctl 指令管理「使用者核准的核心延伸功能載入」,一旦重置 NVRAM,Mac 將會回復成啟用「使用者核准的核心延伸功能載入」的預設狀態。你可以在 Mac 上設定韌體密碼,以避免 NVRAM 在未經授權的情況下遭到變更。
