Intune'de çekirdek ve sistem uzantılarını yapılandırmak ve kullanmak için macOS cihaz ayarları
Önemli
Bu şablon Ağustos 2024 hizmet sürümünde (2408) kullanım dışı bırakılmıştır. Mevcut ilkeler çalışmaya devam ediyor. Ancak, bu şablonu kullanarak yeni ilkeler oluşturamazsınız.
Bunun yerine, Sistem Uzantısı yükünü yapılandıran yeni ilkeler oluşturmak için ayarlar kataloğunu kullanın. Ayarlar kataloğu hakkında daha fazla bilgi edinmek için macOS ayarlar kataloğuna gidin.
Not
- Intune, bu makalede listelenen ayarlardan daha fazla ayarı destekleyemeyebilir. Tüm ayarlar belgelenmez ve belgelenmez. Yapılandırabileceğiniz ayarları görmek için bir cihaz yapılandırma ilkesi oluşturun ve Ayarlar Kataloğu'nu seçin. Daha fazla bilgi için Ayarlar kataloğuna gidin.
- macOS çekirdek uzantıları sistem uzantılarıyla değiştiriliyor. Daha fazla bilgi için Destek İpucu: Intune'de macOS Catalina 10.15 için çekirdek uzantıları yerine sistem uzantılarını kullanma bölümüne gidin.
Bu makalede, macOS cihazlarda denetleyebileceğiniz farklı çekirdek ve sistem uzantısı ayarları açıklanmaktadır. Mobil cihaz yönetimi (MDM) çözümünüzün bir parçası olarak, cihazlarınıza uzantı eklemek ve yönetmek için bu ayarları kullanın.
Bu özellik şu platformlarda geçerlidir:
- macOS
Intune'deki uzantılar ve önkoşullar hakkında daha fazla bilgi edinmek için macOS uzantıları ekleme bölümüne gidin.
Bu ayarlar Intune bir cihaz yapılandırma profiline eklenir ve ardından macOS cihazlarınıza atanır veya dağıtılır.
Başlamadan önce
- MacOS uzantıları cihaz yapılandırma profili oluşturun.
- Bu ayarlar farklı kayıt türleri için geçerlidir. Farklı kayıt türleri hakkında daha fazla bilgi için macOS kaydı'na gidin.
Çekirdek uzantıları
Bu özellik şu platformlarda geçerlidir:
- macOS 10.13.2 ve daha yenisi
Bilmeniz gerekenler
Çekirdek uzantıları, Apple silicon üzerinde çalışan macOS cihazları olan M1 yongalı macOS cihazlarda çalışmaz. Bu davranış bilinen bir sorundur ve ETA yoktur.
10.15 ve daha yeni sürümünü çalıştıran tüm macOS cihazları için sistem uzantıları kullanmanızı öneririz (bu makalede). Çekirdek uzantıları ayarlarını kullanıyorsanız, M1 yongalarına sahip macOS cihazlarını çekirdek uzantıları profilini almasını hariç tutabilirsiniz.
Ayarlar şunun için geçerlidir: Kullanıcı onaylı cihaz kaydı, Otomatik cihaz kaydı
Not
Ekip tanımlayıcıları ve çekirdek uzantıları eklemeniz gerekmez. Birini veya diğerini yapılandırabilirsiniz.
Kullanıcı Geçersiz Kılmalarına İzin Ver: Evet , kullanıcıların yapılandırma profiline dahil olmayan çekirdek uzantılarını onaylamasına olanak tanır. Yapılandırılmadı (varsayılan) olarak ayarlandığında Intune bu ayarı değiştirmez veya güncelleştirmez. Varsayılan olarak, işletim sistemi kullanıcıların yapılandırma profiline dahil olmayan uzantılara izin vermesini engelleyebilir. Yani yalnızca yapılandırma profiline dahil edilen uzantılara izin verilir.
Bu özellik hakkında daha fazla bilgi için kullanıcı onaylı çekirdek uzantısı yükleme (Apple'ın web sitesini açar) bölümüne gidin.
İzin Verilen Ekip Tanımlayıcıları: Bir veya birden çok ekip kimliğine izin vermek için bu ayarı kullanın. Girdiğiniz ekip kimlikleriyle imzalanan tüm çekirdek uzantılarına izin verilir ve güvenilir. Başka bir deyişle, belirli bir geliştirici veya iş ortağı olabilecek aynı ekip kimliğindeki tüm çekirdek uzantılarına izin vermek için bu seçeneği kullanın.
Yüklenip yüklenmek üzere geçerli ve imzalı çekirdek uzantılarının ekip tanımlayıcısını girin. Birden çok ekip tanımlayıcısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, girin
ABCDE12345.Bir ekip tanımlayıcısı ekledikten sonra, bu tanımlayıcı da silinebilir.
Ekip Kimliğinizi bulun (Apple'ın web sitesini açar) daha fazla bilgi içerir.
İpucu
Ekip Kimliği yerel KextPolicy veritabanında depolanır. Takım Kimliğini, aynı uygulamanın yüklü olduğu bir macOS cihazından komutunu kullanarak
sqlite3alabilirsiniz:macOS cihazında Terminal uygulamasını açın ve aşağıdaki betiği çalıştırın:
sudo /Volumes/Macintosh\ HD/usr/bin/sqlite3 /Volumes/Macintosh\ HD/var/db/SystemPolicyConfiguration/KextPolicy "SELECT * from kext_policy"- Örneğimizde birim adı Macintosh HD'dir. Betiği birim adınızla güncelleştirin.
- Kök erişiminiz olduğundan ve cihazda bir
SUDOkomut çalıştırabildiğinize emin olun.
Çıkışı gözden geçirin. İlk girdi, Takım Kimliği'dir. Örneğimizde Ekip Kimliği:
PXPZ95SK77PXPZ95SK77|com.paloaltonetworks.kext.pangpd|1|Palo Alto Networks|5
İzin Verilen Çekirdek Uzantıları: Belirli çekirdek uzantılarına izin vermek için bu ayarı kullanın. Yalnızca girdiğiniz çekirdek uzantılarına izin verilir veya güvenilirdir.
Yüklenemiyor çekirdek uzantısının paket tanımlayıcısını ve ekip tanımlayıcısını girin. İmzalanmamış eski çekirdek uzantıları için boş bir ekip tanımlayıcısı kullanın. Birden çok çekirdek uzantısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, Paket Kimliği ve
ABCDE12345Ekip tanımlayıcısı için girincom.contoso.appname.macos.İpucu
Bir macOS cihazında çekirdek uzantısının (Kext) Paket Kimliğini almak için şunları yapabilirsiniz:
Terminal uygulamasında komutunu çalıştırın
kextstat | grep -v com.appleve çıkışı not edin. İstediğiniz yazılımı veya Kext'i yükleyin. Yeniden çalıştırınkextstat | grep -v com.appleve değişiklikleri arayın.Terminal uygulamasında,
kextstatişletim sistemindeki tüm çekirdek uzantılarını listeler.Cihazda, Kext için Bilgi Özellik Listesi dosyasını (Info.plist) açın. Paket kimliği gösterilir. Her Kext'in içinde depolanan bir Info.plist dosyası vardır.
Sistem uzantıları
Bu özellik şu platformlarda geçerlidir:
- macOS 10.15 ve üstü
Ayarlar şunun için geçerlidir: Kullanıcı onaylı cihaz kaydı, Otomatik cihaz kaydı
Not
İzin verilen sistem uzantıları ve İzin verilen ekip tanımlayıcıları için aynı Ekip Kimliğinin eklenmesi hataya neden olabilir ve profil başarısız olabilir. Aynı Takım Tanımlayıcısını her iki ayara da eklemeyin.
Kullanıcı Geçersiz Kılmalarını Engelle: Evet , kullanıcıların izin verilenler listesinde olmayan sistem uzantılarını onaylamasını engeller. Yapılandırılmadı (varsayılan) olarak ayarlandığında Intune bu ayarı değiştirmez veya güncelleştirmez. Varsayılan olarak, işletim sistemi kullanıcıların yapılandırma profiline dahil olmayan bilinmeyen uzantıları onaylamasına izin verebilir. Başka bir deyişle, yapılandırma profiline dahil olmayan uzantılara izin verilir.
İzin verilen ekip tanımlayıcıları: Bir veya birden çok ekip kimliğine izin vermek için bu ayarı kullanın. Girdiğiniz ekip kimlikleriyle imzalanan tüm sistem uzantılarına her zaman izin verilir ve güvenilirdir. Başka bir deyişle, belirli bir geliştirici veya iş ortağı olabilecek aynı ekip kimliğindeki tüm sistem uzantılarına izin vermek için bu seçeneği kullanın.
Yüklenip yüklenmek üzere geçerli ve imzalı sistem uzantılarının Ekip tanımlayıcısını girin. Birden çok ekip tanımlayıcısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, girin
ABCDE12345.Bir ekip tanımlayıcısı ekledikten sonra, bu tanımlayıcı da silinebilir.
Ekip Kimliğinizi bulun (Apple'ın web sitesini açar) daha fazla bilgi içerir.
İpucu
Ayrıca, uygulamanın yüklü olduğu bir mac'ten Ekip Kimliğini de alabilirsiniz
Terminal uygulamasında şunu çalıştırın:
systemextensionsctl listve çıkışı not edin:
Örneğin,
UBF8T346G9 com.microsoft.wdav.netext (101.04.48/101.04.48) Microsoft Defender for Endpoint Network Extensionİlk girdi, ihtiyacınız olan Takım Kimliğidir.
UBF8T346G9örneğimizdeİzin verilen sistem uzantıları: Belirli sistem uzantılarına her zaman izin vermek için bu ayarı kullanın. Yalnızca girdiğiniz sistem uzantılarına izin verilir veya güvenilir.
Yüklenemiyor bir sistem uzantısının Paket tanımlayıcısını ve Ekip tanımlayıcısını girin. İmzalanmamış eski sistem uzantıları için boş bir ekip tanımlayıcısı kullanın. Birden çok sistem uzantısı ekleyebilirsiniz. Takım tanımlayıcısı alfasayısal (harfler ve sayılar) olmalı ve 10 karakter içermelidir. Örneğin, Paket Kimliği ve
ABCDE12345Ekip tanımlayıcısı için girincom.contoso.appname.macos.İzin verilen sistem uzantısı türleri: Ekip Kimliğini ve bu Ekip Kimliğine izin vermek için sistem uzantısı türlerini girin:
Takım tanımlayıcısı: Belirli uzantı türlerine izin vermek istediğiniz başka bir sistem uzantısının Ekip Kimliğini girin. Veya İzin verilen sistem uzantılarına eklediğiniz bir Ekip Kimliği girin.
İzin verilen sistem uzantısı türleri: Her Takım Kimliği için izin verilen sistem uzantısı türlerini seçin. Seçenekleriniz:
- Tümünü seç
- Sürücü uzantıları
- Ağ uzantıları
- Uç nokta güvenlik uzantıları
Bu uzantı türleri hakkında daha fazla bilgi için Sistem Uzantıları'na gidin (Apple'ın web sitesini açar).
İzin verilen sistem uzantıları listesinden bir ekip kimliği ekleyebilir ve belirli bir uzantı türüne izin vekleyebilirsiniz. Uzantı izin verilmeyen bir türse uzantı çalışmayabilir.
Ekip Kimliği'nin tüm uzantı türlerine izin vermek için Takım Kimliğini İzin verilen sistem uzantıları listesine ekleyin. Ekip Kimliğini İzin verilen sistem uzantısı türleri listesine eklemeyin. Başka bir deyişle, bir ekip kimliği İzin verilen sistem uzantıları listesindeyse ve İzin verilen sistem uzantısıtürleri listesinde değilse, bu ekip kimliği için tüm uzantı türlerine izin verilir.