在 Intune 中添加 macOS 系统和内核扩展

在 macOS 设备上,可以添加内核扩展和系统扩展。 内核扩展和系统扩展都允许用户安装扩展操作系统本机功能的应用扩展。 内核扩展在内核级别执行其代码。 系统扩展在严格控制的用户空间中运行。

注意

macOS 内核扩展正在替换为系统扩展。 有关详细信息,请转到支持提示:在 Intune 中使用系统扩展而不是 macOS Catalina 10.15 的内核扩展

若要添加始终允许在设备上加载的扩展,请使用 Microsoft Intune。 Intune 使用“配置文件”来创建和自定义这些设置,以满足组织的需要。 在策略中添加这些功能后,将策略推送或部署到组织中的 macOS 设备。

此功能适用于:

  • macOS

本文介绍系统扩展和内核扩展。 它还演示如何在 Intune 中使用内核扩展创建设备配置策略。

系统扩展

系统扩展在用户空间中运行,并且无法访问内核。 其目标是提高安全性,提供更多最终用户控制,并限制内核级别攻击。 这些扩展可以是:

  • 驱动程序扩展,包括驱动程序到 USB、网络接口卡 (NIC) 、串行控制器和人机接口设备 (HID)
  • 网络扩展,包括内容筛选器、DNS 代理和 VPN 客户端
  • 终结点安全扩展插件,包括终结点检测、终结点响应和防病毒

系统扩展包含在应用的捆绑包中,并从应用安装。 具体而言,编写系统扩展,然后将该扩展打包到应用捆绑包中。 有关详细信息,请转到 系统扩展 (打开 Apple 网站) 。

当具有系统扩展的应用准备就绪后,可以使用 Microsoft Intune 部署应用。 有关详细信息,请转到将应用添加到Microsoft Intune

内核扩展

注意

macOS 内核扩展正在替换为系统扩展。 有关详细信息,请转到支持提示:在 Intune 中使用系统扩展而不是 macOS Catalina 10.15 的内核扩展

内核扩展在内核级别添加功能。 这些功能访问常规程序无法访问的 OS 部分。 如果你的组织具有应用或设备功能中不可用的特定需求或要求,则可以使用它们。

例如,你有一个病毒扫描程序,该程序可扫描设备中的恶意内容。 可以将此病毒扫描程序的内核扩展添加为 Intune 中允许的内核扩展。 然后,将扩展分配给 macOS 设备。

借助此功能,管理员可以允许用户替代内核扩展、添加团队标识符,并在 Intune 中添加特定的内核扩展。

有关内核扩展的详细信息,请转到 内核扩展 (打开 Apple 网站) 。

重要

内核扩展不适用于具有 M1 芯片的 macOS 设备,这些设备是在 Apple silicon 上运行的 macOS 设备。 此行为是一个已知问题,没有 ETA。 你可以让他们工作,但不建议这样做。 有关详细信息,请转到 macOS 中的内核扩展 (打开 Apple 网站) 。

对于运行 10.15 及更新版本的任何 macOS 设备,我们建议使用本文) 中的 系统扩展 (。 如果使用内核扩展设置,请考虑将具有 M1 芯片的 macOS 设备排除在接收内核扩展配置文件之外。

先决条件

须知内容

  • 可以添加未签名的旧内核扩展和系统扩展。
  • 请务必输入扩展的正确团队标识符和捆绑 ID。 Intune不验证输入的值。 如果输入错误的信息,扩展将无法在设备上工作。 团队标识符长度正好为 10 个字母数字字符。

注意

Apple 发布了有关所有软件的签名和公证的信息。 在 macOS 10.14.5 及更新版本上,通过 Intune 部署的内核扩展不必满足 Apple 的公证策略。

有关此公证策略以及任何更新或更改的信息,请转到以下资源:

创建内核扩展策略

重要

此 macOS 扩展模板在 2024 年 8 月服务版本 (2408) 中已弃用。 现有策略将继续工作。 但是,不能使用此模板创建新策略。

请改用设置目录来创建配置系统扩展有效负载的新策略。 若要了解有关设置目录的详细信息,请转到 设置目录

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择 macOS
    • 配置文件类型:选择 “模板>扩展”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入策略的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的策略名称是 使用内核扩展的 macOS-AV 扫描
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. “配置设置”中,配置设置:

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记

    选择 下一步

  10. 在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  11. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

资源

请务必分配配置文件,并监视配置文件状态