カーネル拡張ホワイトリスト
カーネル拡張機能は、開発者が macOS カーネルに動的にコードを読み込む機能を提供します。これにより、内部カーネル・インターフェースにアクセスできるため、複雑なアプリケーションが正常に機能します。
このタスクについて
カーネル拡張について詳細は、「カーネル拡張の概要」を参照してください。
特定のアプリケーションに関連付けられているカーネル拡張機能が macOS MDM を介してホワイトリストに登録されている場合、これらのアプリケーションはユーザーの介入や承認なしにシームレスにインストールできます。
特定のアプリケーションのカーネル拡張ホワイトリスト用の macOS MDM ポリシーを作成できます。カーネル拡張を使用して特定のアプリケーションをインストールする前に、作成したカーネル拡張ホワイトリスト・ポリシーを適用する必要があります。
カーネル拡張ホワイトリスト・ポリシーを作成するには、次の手順に従います。
- MDM アプリケーションを開きます。
- 「ポリシーの作成」をクリックします。
- ポリシー・タイプのリストから「カーネル拡張ホワイトリスト 」を選択します。以下のページが表示されます。
- 「一般設定」に以下の詳細を入力します。
- ポリシー名カーネル拡張ホワイトリスト・ポリシーの名前を入力します。
- 説明: ポリシーの説明を入力します。
- オペレーティング・システム: これは macOS にのみ適用されるので、変更できません。
- サイトへのポリシーの割り当て: ドロップダウン・メニューからサイトを選択し、ポリシーを選択したサイトに割り当てます。マスター以外のオペレーターの場合は、アクセスできるサイトのみドロップダウン・メニューに表示されます。
- 「カーネル拡張ホワイトリストを定義」の「チーム ID」と「バンドル ID」を入力します。
- チーム ID: チーム ID は、特定の開発チームに固有です。これは、KEXT 証明書識別子に署名するための開発者またはベンダーの開発者 ID である英数字の文字列です。
- バンドル ID: バンドル ID は、特定のベンダーのアプリケーションを一意に識別する英数字の文字列です。特定のチーム ID に対して、複数のバンドル ID をコンマで区切って指定できます。
- サポートされている macOS バージョンを実行しているマシンにターゲット製品をインストールします。
- フラグが設定されている拡張機能のインストールをユーザーが手動で承認できるようにします。
- チーム ID とバンドル ID を取得するには、次のコマンドを使用して SQLite データベースを確認します。
sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy SELECT * FROM kext_policy;このコマンドは、すべての製品にわたってマシン上で有効なすべてのカーネル拡張を表示します。ホワイトリストへの登録に関係するものを見つけ、ホワイトリストに登録するすべてのものを対象とするポリシーを作成する必要があります。
出力は以下のようになります。
EQHXZ8M8AV|com.google.dfsfuse.filesystems.dfsfuse|1|Google, Inc.|8"ここで、
EQHXZ8M8AVはチーム ID でcom.google.dfsfuse.filesystems.dfsfuseはバンドル ID です。
注:- 特定のベンダーのアプリケーションのカーネル拡張をホワイトリストに登録するには、チーム ID とバンドル ID の両方を指定する必要があります。
- リストの最後のエントリーのみが実際に使用されるので、同じチーム ID を持つ複数のエントリーを追加しないでください。同じチーム ID を使用してホワイトリストに登録する複数のアプリケーションがある場合は、すべてのバンドル ID をコンマで区切って 1 つのエントリーに追加します。例:
Bundle IDs: BundleID1,BundleID2,BundleID3
- カーネル拡張の追加: 1 つのポリシー内で異なるベンダーの複数の製品をホワイトリストに登録する場合は、「拡張の追加」をクリックして、チーム ID とバンドル ID を同じポリシーに追加します。
- 「保存」をクリックします。カーネル拡張ホワイトリストの作成が完了しました。