Compartilhar via


definições de dispositivos macOS para configurar e utilizar extensões de kernel e de sistema no Intune

Importante

Este modelo foi preterido na versão de serviço de agosto de 2024 (2408). As políticas existentes continuam a funcionar. No entanto, não pode criar novas políticas com este modelo.

Em vez disso, utilize o catálogo de definições para criar novas políticas que configuram o payload da Extensão do Sistema. Para saber mais sobre o catálogo de definições, aceda ao catálogo de definições do macOS.

Observação

Este artigo descreve as diferentes definições de kernel e extensão do sistema que pode controlar em dispositivos macOS. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para adicionar e gerir extensões nos seus dispositivos.

Esse recurso aplica-se a:

  • macOS

Para saber mais sobre extensões no Intune e quaisquer pré-requisitos, aceda a adicionar extensões macOS.

Estas definições são adicionadas a um perfil de configuração de dispositivos no Intune e, em seguida, atribuídas ou implementadas nos seus dispositivos macOS.

Antes de começar

Extensões de kernel

Esse recurso aplica-se a:

  • macOS 10.13.2 e mais recente

O que você precisa saber

  • As extensões de kernel não funcionam em dispositivos macOS com o chip M1, que são dispositivos macOS em execução no Apple Silicon. Este comportamento é um problema conhecido, sem ETA.

  • Para quaisquer dispositivos macOS com a versão 10.15 e posterior, recomendamos a utilização de extensões de sistema (neste artigo). Se utilizar as definições de extensões de kernel, considere excluir os dispositivos macOS com chips M1 de receberem o perfil de extensões de kernel.

As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição de dispositivos automatizada

Observação

Não tem de adicionar identificadores de equipa e extensões de kernel. Pode configurar uma ou outra.

  • Permitir Substituições de Utilizador: sim permite que os utilizadores aprovem extensões de kernel não incluídas no perfil de configuração. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode impedir que os utilizadores permitam extensões não incluídas no perfil de configuração. Ou seja, só são permitidas extensões incluídas no perfil de configuração.

    Para obter mais informações sobre esta funcionalidade, aceda ao carregamento de extensões de kernel aprovado pelo utilizador (abre o site da Apple).

  • Identificadores de Equipa Permitidos: utilize esta definição para permitir um ou muitos IDs de equipa. Todas as extensões de kernel assinadas com os IDs de equipa que introduzir são permitidas e fidedignas. Por outras palavras, utilize esta opção para permitir todas as extensões de kernel no mesmo ID de equipa, que pode ser um programador ou parceiro específico.

    Introduza um identificador de equipa de extensões de kernel válidas e assinadas para carregar. Pode adicionar vários identificadores de equipa. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, digite ABCDE12345.

    Depois de adicionar um identificador de equipa, este também pode ser eliminado.

    Localize o seu ID de Equipa (abre o site da Apple) e obtenha mais informações.

    Dica

    O ID da Equipa é armazenado na base de dados KextPolicy local. Pode obter o ID da Equipa com o sqlite3 comando a partir de um dispositivo macOS que tenha a mesma aplicação instalada:

    1. No dispositivo macOS, abra a aplicação Terminal e execute o seguinte script:

      sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"

      • No nosso exemplo, o nome do volume é Macintosh HD. Atualize o script com o seu nome de volume.
      • Certifique-se de que tem acesso de raiz e pode executar um SUDO comando no dispositivo.
    2. Reveja o resultado. A primeira entrada é o ID da Equipa. No nosso exemplo, o ID da Equipa é PXPZ95SK77:

      PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5

  • Extensões de Kernel permitidas: utilize esta definição para permitir extensões de kernel específicas. Apenas as extensões de kernel introduzidas são permitidas ou fidedignas.

    Introduza o identificador do pacote e o identificador de equipa de uma extensão de kernel a carregar. Para extensões de kernel legadas não assinadas, utilize um identificador de equipa vazio. Pode adicionar várias extensões de kernel. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, introduza com.contoso.appname.macos para ID do Pacote e ABCDE12345 para Identificador de equipa.

    Dica

    Para obter o ID do Pacote de uma extensão de kernel (Kext) num dispositivo macOS, pode:

    1. Na aplicação Terminal, execute kextstat | grep -v com.applee anote o resultado. Instale o software ou o Kext pretendido. Execute kextstat | grep -v com.apple novamente e procure alterações.

      Na aplicação Terminal, kextstat lista todas as extensões de kernel no SO.

    2. No dispositivo, abra o ficheiro Lista de Propriedades de Informação (Info.plist) para um Kext. O ID do pacote é apresentado. Cada Kext tem um ficheiro Info.plist armazenado no interior.

Extensões de sistema

Esse recurso aplica-se a:

  • macOS 10.15 e mais recente

As definições aplicam-se a: Inscrição de dispositivos aprovada pelo utilizador, Inscrição de dispositivos automatizada

Observação

Adicionar o mesmo ID de Equipa para Extensões de sistema permitidas e Identificadores de equipa permitidos pode resultar num erro e o perfil falhar. Não adicione o mesmo Identificador de Equipa exato a ambas as definições.

  • Bloquear Substituições de Utilizador: sim , impede que os utilizadores aprovem extensões de sistema que não estão na lista de permissões. Quando definido como Não configurado (padrão), o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os utilizadores aprovem extensões desconhecidas não incluídas no perfil de configuração. Ou seja, as extensões não incluídas no perfil de configuração são permitidas.

  • Identificadores de equipa permitidos: utilize esta definição para permitir um ou muitos IDs de equipa. Todas as extensões de sistema assinadas com os IDs de equipa que introduzir são sempre permitidas e fidedignas. Por outras palavras, utilize esta opção para permitir todas as extensões de sistema no mesmo ID de equipa, que pode ser um programador ou parceiro específico.

    Introduza um identificador de Equipa de extensões de sistema válidas e assinadas para carregar. Pode adicionar vários identificadores de equipa. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, digite ABCDE12345.

    Depois de adicionar um identificador de equipa, este também pode ser eliminado.

    Localize o seu ID de Equipa (abre o site da Apple) e obtenha mais informações.

    Dica

    Também pode obter o ID da Equipa a partir de um mac onde a aplicação está instalada

    Na aplicação Terminal, execute:

    systemextensionsctl list

    e tenha em atenção o resultado:

    Por exemplo, UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extension

    A primeira entrada é o ID de Equipa de que precisa. UBF8T346G9 no nosso exemplo

  • Extensões de sistema permitidas: utilize esta definição para permitir sempre extensões de sistema específicas. Apenas as extensões de sistema introduzidas são permitidas ou fidedignas.

    Introduza o Identificador do pacote e o Identificador de equipa de uma extensão do sistema a carregar. Para extensões de sistema legadas não assinadas, utilize um identificador de equipa vazio. Pode adicionar várias extensões de sistema. O identificador da equipa tem de ser alfanumérico (letras e números) e ter 10 carateres. Por exemplo, introduza com.contoso.appname.macos para ID do Pacote e ABCDE12345 para Identificador de equipa.

  • Tipos de extensão de sistema permitidos: introduza o ID de Equipa e os tipos de extensão do sistema para permitir esse ID de Equipa:

    • Identificador da equipa: introduza o ID da Equipa de outra extensão de sistema que pretende permitir tipos de extensão específicos. Em alternativa, introduza um ID de Equipa que tenha adicionado às Extensões de sistema permitidas.

    • Tipos de extensão de sistema permitidos: selecione os tipos de extensão do sistema a permitir para cada ID de Equipa. Suas opções:

      • Selecionar tudo
      • Extensões de controlador
      • Extensões de rede
      • Extensões de segurança de ponto final

      Para obter mais informações sobre estes tipos de extensão, aceda a Extensões do Sistema (abre o site da Apple).

      Pode adicionar um ID de equipa a partir da lista Extensões de sistema permitidas e permitir um tipo de extensão específico. Se a extensão for um tipo que não é permitido, a extensão poderá não ser executada.

      Para permitir todos os tipos de extensão para um ID de Equipa, adicione o ID de Equipa à lista Extensões de sistema permitidas . Não adicione o ID de Equipa à lista Tipos de extensão de sistema permitidos . Por outras palavras, se um ID de equipa estiver na lista Extensões de sistema permitidas e não na lista Tipos de extensão de sistema permitidos , todos os tipos de extensão são permitidos para esse ID de equipa.

Atribuir o perfil e monitorar seu status.