カーネル拡張ホワイトリスト

カーネル拡張機能は、開発者が macOS カーネルに動的にコードを読み込む機能を提供します。これにより、内部カーネル・インターフェースにアクセスできるため、複雑なアプリケーションが正常に機能します。

About this task

カーネル拡張について詳細は、「カーネル拡張の概要」を参照してください。

特定のアプリケーションに関連付けられているカーネル拡張機能が macOS MDM を介してホワイトリストに登録されている場合、これらのアプリケーションはユーザーの介入や承認なしにシームレスにインストールできます。

特定のアプリケーションのカーネル拡張ホワイトリスト用の macOS MDM ポリシーを作成できます。カーネル拡張を使用して特定のアプリケーションをインストールする前に、作成したカーネル拡張ホワイトリスト・ポリシーを適用する必要があります。

カーネル拡張ホワイトリスト・ポリシーを作成するには、次の手順に従います。

MDM アプリケーションを開きます。
「ポリシーの作成」をクリックします。
ポリシー・タイプのリストから「カーネル拡張ホワイトリスト」を選択します。以下のページが表示されます。
「一般設定」に以下の詳細を入力します。
- ポリシー名: カーネル拡張ホワイトリスト・ポリシーの名前を入力します。
- 説明: ポリシーの説明を入力します。
- オペレーティング・システム: これは macOS にのみ適用されるので、変更できません。
- サイトへのポリシーの割り当て: ドロップダウン・メニューからサイトを選択し、ポリシーを選択したサイトに割り当てます。マスター以外のオペレーターの場合は、アクセスできるサイトのみドロップダウン・メニューに表示されます。
「カーネル拡張ホワイトリストを定義」の「チーム ID」と「バンドル ID」を入力します。
- チーム ID: チーム ID は、特定の開発チームに固有です。これは、KEXT 証明書識別子に署名するための開発者またはベンダーの開発者 ID である英数字の文字列です。
- バンドル ID: バンドル ID は、特定のベンダーのアプリケーションを一意に識別する英数字の文字列です。特定のチーム ID に対して、複数のバンドル ID をコンマで区切って指定できます。
sqlite3 を使用してチーム ID とバンドル ID を識別するには、次の手順を実行します。
1. サポートされている macOS バージョンを実行しているマシンにターゲット製品をインストールします。
2. フラグが設定されている拡張機能のインストールをユーザーが手動で承認できるようにします。
3. チーム ID とバンドル ID を取得するには、次のコマンドを使用して SQLite データベースを確認します。
```
sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy
SELECT * FROM kext_policy;
```
  このコマンドは、すべての製品にわたってマシン上で有効なすべてのカーネル拡張を表示します。ホワイトリストへの登録に関係するものを見つけ、ホワイトリストに登録するすべてのものを対象とするポリシーを作成する必要があります。
  出力は次のようになります: EQHXZ8M8AV|com.google.dfsfuse.filesystems.dfsfuse|1|Google, Inc.|8"
  ここで、EQHXZ8M8AV はチーム ID で com.google.dfsfuse.filesystems.dfsfuse はバンドル ID です。
Note:
- 特定のベンダーのアプリケーションのカーネル拡張をホワイトリストに登録するには、チーム ID とバンドル ID の両方を指定する必要があります。
- リストの最後のエントリーのみが実際に使用されるので、同じチーム ID を持つ複数のエントリーを追加しないでください。同じチーム ID を使用してホワイトリストに登録する複数のアプリケーションがある場合は、すべてのバンドル ID をコンマで区切って 1 つのエントリーに追加します。例:
```
Bundle IDs: BundleID1,BundleID2,BundleID3
```
カーネル拡張の追加: 1 つのポリシー内で異なるベンダーの複数の製品をホワイトリストに登録する場合は、「拡張の追加」をクリックして、チーム ID とバンドル ID を同じポリシーに追加します。
「保存」をクリックします。カーネル拡張ホワイトリストの作成が完了しました。