🪑

macOS の MDM 管理での System Extensions / KEXT / Content Filter のバージョン別対応

1 min read

TL;DR

macOS を MDM で管理しており、 System Extensions や Kernel Extensions、 Content Filters を設定したいとき、下の表のように macOS のバージョンと CPU アーキテクチャに応じて適用するプロファイルを3つに分離する必要がある。

分離しない場合、適用時にエラーとなる組み合わせが存在する。

No. OS Version Architecture Kernel Extensions (KEXT) System Extensions Content filters
1 Mojave (10.14) x86 Yes No No
2 Catalina (10.15) / Big Sur (11.0) x86 Yes[1] Yes Yes
3 Big Sur (11.0) Apple Silicon No Yes Yes

詳細

macOS を MDM で管理していてウィルススキャンソフトや EDR を導入する場合など、構成プロファイル (Configuration Profiles) を使用してセキュリティソフトのパーミッション(プライバシー設定)の許可を構成したい場合がある。

macOS Mojave (10.14) 以前では、セキュリティソフトは Kernel Extensions (KEXT) を使用してシステムのチェックを行っていたが、 Catalina (10.15) で System Extensions (と Content Filters) が導入された。

検証時、 Mojave (10.14) では KEXT 及び System Extensions の構成プロファイルを適用することができたが、 Content Filters の構成プロファイルはエラーとなった。[2]

また、 Apple Silicon (2021年現在 M1 チップしか存在しない。対応 OS も Big Sur (11.0) のみ)では KEXT はサポートされておらず、構成プロファイル中に KEXT サポートを組み込むと配布時にエラーとなる。

そのため、 2021年7月14日現在、セキュリティソフトが KEXT と System Extensions、 Content Filter に対応しているとすると、構成プロファイルを上述の表のように3つ用意しないといけないことになる。

脚注
  1. セキュリティソフトの仕様による。使用しない場合に存在してもエラーにならない。 ↩︎

  2. System Extensions も Mojave (10.14) にはない機能のため、環境によってエラーになる可能性もある。(検証時に見落としている可能性もある。) ↩︎