definições de dispositivos macOS para configurar e utilizar extensões de kernel e de sistema no Intune
Importante
Este modelo foi preterido na versão de serviço de agosto de 2024 (2408). As políticas existentes continuam a funcionar. No entanto, não pode criar novas políticas com este modelo.
Em vez disso, utilize o catálogo de definições para criar novas políticas que configuram o payload da Extensão do Sistema. Para saber mais sobre o catálogo de definições, aceda ao catálogo de definições do macOS.
Observação
- Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.
- As extensões de kernel do macOS estão a ser substituídas por extensões de sistema. Para obter mais informações, aceda a Sugestão de Suporte: Utilizar extensões do sistema em vez de extensões de kernel para o macOS Catalina 10.15 no Intune.
Este artigo descreve as diferentes definições de kernel e extensão do sistema que pode controlar em dispositivos macOS. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para adicionar e gerir extensões nos seus dispositivos.
Esse recurso aplica-se a:
- macOS
Para saber mais sobre extensões no Intune e quaisquer pré-requisitos, aceda a adicionar extensões macOS.
Estas definições são adicionadas a um perfil de configuração de dispositivos no Intune e, em seguida, atribuídas ou implementadas nos seus dispositivos macOS.
Antes de começar
- Crie um perfil de configuração do dispositivo de extensões macOS.
- Estas definições aplicam-se a diferentes tipos de inscrição. Para obter mais informações sobre os diferentes tipos de inscrição, aceda à inscrição do macOS.
Extensões de kernel
Esse recurso aplica-se a:
- macOS 10.13.2 e mais recente
O que você precisa saber
As extensões de kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS em execução no Apple Silicon. Este comportamento é um problema conhecido, sem ETA.
Para quaisquer dispositivos macOS com a versão 10.15 e posterior, recomendamos a utilização de extensões de sistema (neste artigo). Se utilizar as definições de extensões de kernel, considere excluir os dispositivos macOS com chips M1 de receberem o perfil de extensões de kernel.
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição de dispositivos automatizada
Observação
Não tem de adicionar identificadores de equipa e extensões de kernel. Pode configurar uma ou outra.
Permitir Substituições de Utilizador: sim permite que os utilizadores aprovem extensões de kernel não incluídas no perfil de configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode impedir que os utilizadores permitam extensões não incluídas no perfil de configuração. Ou seja, só são permitidas extensões incluídas no perfil de configuração.
Para obter mais informações sobre esta funcionalidade, aceda ao carregamento de extensões de kernel aprovado pelo utilizador (abre o site da Apple).
Identificadores de Equipa Permitidos: utilize esta definição para permitir um ou muitos IDs de equipa. Todas as extensões de kernel assinadas com os IDs de equipa que introduzir são permitidas e fidedignas. Por outras palavras, utilize esta opção para permitir todas as extensões de kernel no mesmo ID de equipa, que pode ser um programador ou parceiro específico.
Introduza um identificador de equipa de extensões de kernel válidas e assinadas para carregar. Pode adicionar vários identificadores de equipa. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, digite
ABCDE12345
.Depois de adicionar um identificador de equipa, este também pode ser eliminado.
Localize o seu ID de Equipa (abre o site da Apple) e obtenha mais informações.
Dica
O ID da Equipa é armazenado na base de dados KextPolicy local. Pode obter o ID da Equipa com o
sqlite3
comando a partir de um dispositivo macOS que tenha a mesma aplicação instalada:No dispositivo macOS, abra a aplicação Terminal e execute o seguinte script:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"
- No nosso exemplo, o nome do volume é Macintosh HD. Atualize o script com o seu nome de volume.
- Certifique-se de que tem acesso de raiz e pode executar um
SUDO
comando no dispositivo.
Reveja o resultado. A primeira entrada é o ID da Equipa. No nosso exemplo, o ID da Equipa é
PXPZ95SK77
:PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
Extensões de Kernel permitidas: utilize esta definição para permitir extensões de kernel específicas. Apenas as extensões de kernel introduzidas são permitidas ou fidedignas.
Introduza o identificador do pacote e o identificador de equipa de uma extensão de kernel a carregar. Para extensões de kernel legadas não assinadas, utilize um identificador de equipa vazio. Pode adicionar várias extensões de kernel. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, introduza
com.contoso.appname.macos
para ID do Pacote eABCDE12345
para Identificador de equipa.Dica
Para obter o ID do Pacote de uma extensão de kernel (Kext) num dispositivo macOS, pode:
Na aplicação Terminal, execute
kextstat | grep -v com.apple
e anote o resultado. Instale o software ou o Kext pretendido. Executekextstat | grep -v com.apple
novamente e procure alterações.Na aplicação Terminal,
kextstat
lista todas as extensões de kernel no SO.No dispositivo, abra o ficheiro Lista de Propriedades de Informação (Info.plist) para um Kext. O ID do pacote é apresentado. Cada Kext tem um ficheiro Info.plist armazenado no interior.
Extensões de sistema
Esse recurso aplica-se a:
- macOS 10.15 e mais recente
As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição de dispositivos automatizada
Observação
Adicionar o mesmo ID de Equipa para Extensões de sistema permitidas e Identificadores de equipa permitidos pode resultar num erro e o perfil falhar. Não adicione o mesmo Identificador de Equipa exato a ambas as definições.
Bloquear Substituições de Utilizador: sim , impede que os utilizadores aprovem extensões de sistema que não estão na lista de permissões. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores aprovem extensões desconhecidas não incluídas no perfil de configuração. Ou seja, as extensões não incluídas no perfil de configuração são permitidas.
Identificadores de equipa permitidos: utilize esta definição para permitir um ou muitos IDs de equipa. Todas as extensões de sistema assinadas com os IDs de equipa que introduzir são sempre permitidas e fidedignas. Por outras palavras, utilize esta opção para permitir todas as extensões de sistema no mesmo ID de equipa, que pode ser um programador ou parceiro específico.
Introduza um identificador de Equipa de extensões de sistema válidas e assinadas para carregar. Pode adicionar vários identificadores de equipa. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, digite
ABCDE12345
.Depois de adicionar um identificador de equipa, este também pode ser eliminado.
Localize o seu ID de Equipa (abre o site da Apple) e obtenha mais informações.
Dica
Também pode obter o ID da Equipa a partir de um mac onde a aplicação está instalada
Na aplicação Terminal, execute:
systemextensionsctl list
e tenha em atenção o resultado:
Por exemplo,
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension
A primeira entrada é o ID de Equipa de que precisa.
UBF8T346G9
no nosso exemploExtensões de sistema permitidas: utilize esta definição para permitir sempre extensões de sistema específicas. Apenas as extensões de sistema introduzidas são permitidas ou fidedignas.
Introduza o Identificador do pacote e o Identificador de equipa de uma extensão do sistema a carregar. Para extensões de sistema legadas não assinadas, utilize um identificador de equipa vazio. Pode adicionar várias extensões de sistema. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, introduza
com.contoso.appname.macos
para ID do Pacote eABCDE12345
para Identificador de equipa.Tipos de extensão de sistema permitidos: introduza o ID de Equipa e os tipos de extensão do sistema para permitir esse ID de Equipa:
Identificador da equipa: introduza o ID da Equipa de outra extensão de sistema que pretende permitir tipos de extensão específicos. Em alternativa, introduza um ID de Equipa que tenha adicionado às Extensões de sistema permitidas.
Tipos de extensão de sistema permitidos: selecione os tipos de extensão do sistema a permitir para cada ID de Equipa. Suas opções:
- Selecionar tudo
- Extensões de controlador
- Extensões de rede
- Extensões de segurança de ponto final
Para obter mais informações sobre estes tipos de extensão, aceda a Extensões do Sistema (abre o site da Apple).
Pode adicionar um ID de equipa a partir da lista Extensões de sistema permitidas e permitir um tipo de extensão específico. Se a extensão for um tipo que não é permitido, a extensão poderá não ser executada.
Para permitir todos os tipos de extensão para um ID de Equipa, adicione o ID de Equipa à lista Extensões de sistema permitidas . Não adicione o ID de Equipa à lista Tipos de extensão de sistema permitidos . Por outras palavras, se um ID de equipa estiver na lista Extensões de sistema permitidas e não na lista Tipos de extensão de sistema permitidos , todos os tipos de extensão são permitidos para esse ID de equipa.