針對 macOS High Sierra 中與核心延伸功能有關的變更做好準備

如果您是系統管理者,在將貴機構的作業系統升級至 macOS High Sierra 之前,請先運用此資訊,針對與核心延伸功能有關的變更做好準備。

為了提升 Mac 的安全性,隨著 macOS High Sierra 一起安裝或之後安裝的核心延伸功能,都必須經過使用者的同意才能載入,這稱之為「使用者核准載入核心延伸功能」。使用者無論是否有管理者權限,皆可核准核心延伸功能。

以下核心延伸功能不需要核准:

  • 升級至 macOS High Sierra 之前安裝的延伸功能
  • 取代先前已核准延伸功能的延伸功能
  • 藉由從「macOS 復原」啟動時使用 spctl 指令,無需使用者同意即允許載入的延伸功能
  • 允許透過核心延伸功能政策載入的延伸功能

從 macOS 10.13.4 開始,登記加入 MDM 不再停用「使用者核准載入核心延伸功能」,而先前因此允許載入的延伸功能,現在則需要核准。不過,您可以使用 MDM 指定可未經核准載入的核心延伸功能。這需要使用執行 macOS 10.13.2 或以上版本的 Mac,該 Mac 必須透過 DEP 登記加入 MDM,或者其 MDM 登記必須是「通過使用者核准」。

通過使用者核准的 MDM 登記

macOS High Sierra 10.13.2 引進了「通過使用者核准」的 MDM 登記概念。只有當您的 Mac 並非透過 DEP 完成 MDM 登記,且您想要在該 Mac 上管理某些涉及安全性的設定時,才需要使用這項登記方式。

如果裝置是透過 DEP 進行 MDM 登記,則您原本即可在該裝置上管理涉及安全性的設定,因此這些裝置不需採用「通過使用者核准」的登記方式。

您仍可以針對未使用「通過使用者核准」選項而登記加入 MDM 的裝置,管理未涉及安全性的設定。

登記
類型
可以管理
涉及安全性的設定?
可以管理
未涉及安全性的的設定?

透過 DEP 登記加入 MDM

通過使用者核准的 MDM

未通過使用者核准的 MDM

如何將 Mac 登記加入通過使用者核准的 MDM:

  • 如果 Mac 已登記加入 DEP,則當這部 Mac 登記加入 MDM 時,其現有登記時就等同於「通過使用者核准」的登記。
  • 如果 Mac 是在更新至 macOS High Sierra 10.13.4 之前即已登記加入未通過使用者核准的 MDM,則其登記會在安裝 macOS 10.13.4 時轉換成「通過使用者核准」。
  • 您也可以將登記描述檔下載或以電子郵件傳送給自己。按兩下描述檔,接著按照「系統偏好設定」中的提示登記加入 MDM。

使用自動化操作,或嘗試透過螢幕共享進行遠端裝置登記,將無法完成「通過使用者核准」的登記。

如果您的 Mac 在 macOS 10.13.4 中未經使用者同意登記加入 MDM,其登記不會是「通過使用者核准」。若要管理涉及安全性的設定,您可以核准您的登記:

  1. 選擇「蘋果」選單 >「系統偏好設定」,然後按一下「描述檔」。
  2. 選取附有 標記的登記描述檔。
  3. 按一下右側的「核准」按鈕,然後按照螢幕上的指示操作。

「使用者核准載入核心延伸功能」搭配 MDM

從 macOS 10.13.4 開始,所有裝置上均會啟用「使用者核准載入核心延伸功能」,包括登記加入 MDM 的裝置。請使用核心延伸功能政策承載資料來執行下列操作:

  • 指定哪些核心延伸功能可在未經使用者同意下載入。
  • 選擇性地防止使用者核准其他核心延伸功能。

「使用者核准載入核心延伸功能」不搭配 MDM

如果想要在 MDM 之外管理「使用者核准載入核心延伸功能」,請從「macOS 復原」啟動並使用 spctl 指令。若單獨執行該指令而不使用任何參數,即可進一步瞭解如何使用該指令。

如果您是使用 spctl 指令管理「使用者核准載入核心延伸功能」,一旦重置 NVRAM,Mac 將會回復成啟用「使用者核准載入核心延伸功能」的預設狀態。您可以在 Mac 上設定韌體密碼,以避免 NVRAM 在未經授權的情況下遭到變更。

發佈日期: