macOS Big Sur 中舊式系統延伸功能的企業管理

本文說明系統管理者如何管理在 macOS Big Sur 中安裝舊式系統或核心延伸功能（Kext）的相關事宜。

關於 macOS 中的系統延伸功能

在 macOS Catalina 10.15 和以上版本中，系統延伸功能允許軟體（例如網路延伸功能和端點安全性解決方案）在沒有核心層級存取權限的情況下延伸 macOS 的功能。請參閱相關文章以了解如何在使用者空間安裝及管理中的系統延伸功能（而非核心）。

舊式系統延伸功能也稱為核心延伸功能或 Kext，可在系統的高權限模式下執行。自 macOS High Sierra 10.13 起，核心延伸功能必須經過管理者帳號或「行動裝置管理」（MDM）描述檔核准才能載入。

不論是在配備 Intel 處理器或是配備 Apple 晶片的 Mac 電腦上，macOS Big Sur 11.0 和以上版本都允許管理舊式系統延伸功能。

如何管理舊式系統延伸功能

若核心延伸功能使用先前已停用且不受支援的 KPI，依預設將不再載入。您可以使用 MDM 來修改預設規則，使其不會定期顯示對話框，並允許載入核心延伸功能。 在配備 Apple 晶片的 Mac 電腦上，您必須先更改安全性規則。

若您要在 macOS Big Sur 中安裝全新或更新後的核心延伸功能，可以採取下列任一種方法：

• 指示使用者按照「安全性與隱私權」偏好設定中的提示來允許使用延伸功能，然後重新啟動 Mac。您可以使用「核心延伸功能規則」MDM 承載資料中的 AllowNonAdminUserApprovals 鍵值，以同意讓非管理者的使用者來允許使用延伸功能。

• 傳送 RestartDevice MDM 指令，並將 RebuildKernelCachekey 設為 True。

只要已核准的核心延伸功能組有所變更，無論是經過初次核准還是版本更新，都必須重新啟動。

配備 Apple 晶片的 Mac 電腦的其他需求

為能在配備 Apple 晶片的 Mac 電腦上安裝核心延伸功能，您必須依下列任一種方式更改安全性規則：

• 如果您使用「自動裝置註冊」來將裝置註冊到 MDM，可以自動授權遠端管理核心延伸功能，以及更改安全性規則。*

• 如果您使用「裝置註冊」來將裝置註冊到 MDM，本機管理者可以在「macOS 復原」中手動更改安全性規則，並授權遠端管理核心延伸功能和軟體更新。此外，MDM 管理者可建議本機管理者設定 MDMOptions 中的 PromptUserToAllowBootstrapTokenForAuthentication，或在 MDM 描述檔中設定同一鍵值，以進行此變更。*

• 如果您有非 MDM 的裝置，或使用「使用者註冊」來將裝置註冊到 MDM，本機管理者可以在「macOS 復原」中手動更改安全性規則，並授權使用者管理核心延伸功能和軟體更新。