macOS の MDM 管理での System Extensions / KEXT / Content Filter のバージョン別対応
TL;DR
macOS を MDM で管理しており、 System Extensions や Kernel Extensions、 Content Filters を設定したいとき、下の表のように macOS のバージョンと CPU アーキテクチャに応じて適用するプロファイルを3つに分離する必要がある。
分離しない場合、適用時にエラーとなる組み合わせが存在する。
| No. | OS Version | Architecture | Kernel Extensions (KEXT) | System Extensions | Content filters |
|---|---|---|---|---|---|
| 1 | Mojave (10.14) | x86 | Yes | No | No |
| 2 | Catalina (10.15) / Big Sur (11.0) | x86 | Yes[1] | Yes | Yes |
| 3 | Big Sur (11.0) | Apple Silicon | No | Yes | Yes |
詳細
macOS を MDM で管理していてウィルススキャンソフトや EDR を導入する場合など、構成プロファイル (Configuration Profiles) を使用してセキュリティソフトのパーミッション(プライバシー設定)の許可を構成したい場合がある。
macOS Mojave (10.14) 以前では、セキュリティソフトは Kernel Extensions (KEXT) を使用してシステムのチェックを行っていたが、 Catalina (10.15) で System Extensions (と Content Filters) が導入された。
検証時、 Mojave (10.14) では KEXT 及び System Extensions の構成プロファイルを適用することができたが、 Content Filters の構成プロファイルはエラーとなった。[2]
また、 Apple Silicon (2021年現在 M1 チップしか存在しない。対応 OS も Big Sur (11.0) のみ)では KEXT はサポートされておらず、構成プロファイル中に KEXT サポートを組み込むと配布時にエラーとなる。
そのため、 2021年7月14日現在、セキュリティソフトが KEXT と System Extensions、 Content Filter に対応しているとすると、構成プロファイルを上述の表のように3つ用意しないといけないことになる。
Discussion