使用MDM配置安全終端Mac聯結器和軌道裝置的許可權：全磁碟訪問、系統擴展

簡介

本檔案說明管理員部署Mac聯結器1.14和更新版本的近期變更和步驟。

MDM配置檔案

強烈建議使用授予所需審批的MDM配置檔案來部署Mac聯結器。安裝、升級或移除Mac聯結器之前，必須安裝MDM設定檔，以確保可以辨識所需的許可權。如果不能使用MDM，請參閱本文檔後面的「已知問題」部分。

建議

Mac聯結器1.14版引入了一些需要注意的更改：

• 全磁碟存取核准
• 系統延期核准

需要Mac聯結器1.14或更高版本，才能確保macOS 11及更高版本上的終端保護。舊版Mac聯結器無法在這些版本的macOS上運作。

Mac聯結器1.16版引入了對Intel硬體上Cisco Orbal的支援。Orbal可以與Advantage或Premier Tier一起在策略中啟用，並且會在啟用後自動安裝，並安裝在支援的作業系統版本和支援的硬體上。Mac聯結器1.20版引入了對Apple Silicon硬體上的Cisco Orbal的支援，計畫與Orbital Node 1.21一起發佈。 請參閱本文檔的Cisco Orbital部分以瞭解如何授予軌道裝置所需的額外全磁碟訪問許可權。

最低作業系統需求

Cisco Secure Endpoint Mac聯結器1.14.0支援macOS版本：

• macOS 11，帶macOS系統擴展。
• macOS 10.15.5及更高版本，帶macOS系統擴展。
• macOS 10.15.0到macOS 10.15.4，帶macOS核心擴展。
• macOS 10.14，帶macOS核心擴展。

Cisco Secure Endpoint Mac聯結器1.14.1支援macOS版本：

• macOS 11，帶macOS系統擴展。
• 帶有macOS核心擴展的macOS 10.15。
• macOS 10.14，帶macOS核心擴展。

Intel硬體上的Cisco Orbal支援是在Secure Endpoint Mac聯結器1.16.0版中引入的。 Cisco Orbic on Apple silicon hardware支援在Secure Endpoint Mac聯結器1.20.0版中引入。

有關當前Mac聯結器的相容性，請參閱作業系統相容性表。

重要變更

Mac聯結器1.14在三個方面引入了重要變更：

1. 核准聯結器使用的macOS延伸功能
2. 全磁碟存取
3. 新建目錄結構

MacOS 12引入了MDM選項，允許刪除聯結器的macOS擴展，而無需提示使用者密碼。

Mac Connector macOS Extensions的批准

Mac聯結器使用System Extensions或legacy Kernel Extensions來監視系統活動（根據macOS版本的需要）。在macOS 11上，System Extensions將替換macOS 11及更高版本中不支援的舊版核心擴展。所有版本的macOS都需要使用者批准，才能運行任何型別的擴展。未經批准，某些聯結器功能（如隨插即用檔案掃描和網路訪問監控器）不可用。

Mac聯結器1.14引入了兩個新的macOS系統擴展：

1. 用於監控系統事件的終端安全擴展，名為Secure Endpoint File Monitor （以前稱為AMP安全擴展）
2. 名為Cisco Secure Endpoint Filter（前身為AMP網路擴展）的網路內容過濾器擴展可監控網路訪問

兩個舊版核心擴展ampfileop.kext和ampnetworkflow.kext包含在內，以便向後相容不支援新macOS系統擴展的較早macOS版本。

MacOS 11**及更高版本所需的批准：

• 核准要載入的安全端點檔案監視器
• 批准載入思科安全終端過濾器
• 允許Cisco Secure Endpoint Filter過濾網路內容

** Mac聯結器1.14.0版在macOS 10.15上也需要這些核准。 對於Mac聯結器1.14.1或更高版本，MacOS 10.15不再需要這些批准。

MacOS 10.14和MacOS 10.15所需的批准：

• 核准要載入的聯結器核心延伸

這些批准可在終端的macOS安全和隱私首選項中或透過移動裝置管理(MDM)配置檔案授予。

在終端上批准Mac Connector macOS擴展

可以從macOS安全和隱私首選項窗格中手動批准系統和核心擴展。

使用MDM批准Mac聯結器MacOS擴展

注意：macOS擴展不能透過MDM進行追溯批准。如果在安裝聯結器之前未部署MDM配置檔案，則不會批准該配置檔案，並且需要以下兩種形式中的一種進行其他干預：

1. 在已回溯部署管理設定檔的終端上，手動核准MacOS擴充功能。
2. 將Mac聯結器升級到比當前部署的聯結器更新的版本。已追溯部署管理配置檔案的終端在升級後辨識管理配置檔案，並在升級完成後獲得批准。

可以使用具有以下有效負載和屬性的管理配置檔案來批准安全終端擴展：

有效載荷	屬性	價值
系統擴充	允許的系統延伸	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension
	AllowedSystemExtensionType	EndpointSecurityExtension、NetworkExtension
	AllowedTeamId	DE8Y96K9QP
系統策略核心擴展	AllowedKernelExtension	com.cisco.amp.fileop、com.cisco.amp.nke
	AllowedTeamId	TDNYQP7VRK
WebContentFilter	自動篩選已啟用	false
	FilterDataProviderBundleId	com.cisco.endpoint.svc.networkextension
	FilterDataProviderDesignatedRequirement	anchor apple generic和識別符號「com.cisco.endpoint.svc.networkextension」和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	篩選等級	防火牆
	過濾器瀏覽器	false
	過濾器資料包	false
	FilterSockets	真
	外掛程式套件組合ID	com.cisco.endpoint.svc
	使用者定義名稱	思科安全終端過濾器（如果聯結器版本早於1.18.0，則為AMP網路擴展）

使用MDM刪除Mac聯結器MacOS擴展

MacOS 12及更高版本允許使用RemovableSystemExtensions屬性將MacOS擴展標籤為可刪除，如下所述。
注意：如果允許macOS Extension removable許可權，則任何具有root許可權的使用者或進程都可以刪除副檔名，而無需提示輸入使用者密碼。因此，只有當管理員要自動解除安裝聯結器時，才必須使用RemovableSystemExtensions屬性。
注意：無法透過MDM追溯刪除MacOS擴展。如果在解除安裝聯結器之前未部署MDM設定檔，則不會授予macOS延伸模組移除核准，使用者必須在解除安裝聯結器期間手動在端點上輸入密碼，以移除macOS延伸模組。

安裝具有RemovableSystemExtensions屬性加入SystemExtensions負載的管理設定檔時，可以移除安全端點延伸作為聯結器解除安裝的一部分。RemovableSystemExtensions屬性必須包含兩個Secure Endpoint擴展的捆綁識別符號：

有效載荷	屬性	價值
系統擴充	RemovableSystemExtension	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension

使用MDM阻止系統擴展停用

MacOS 15和更高版本允許macOS擴展：

• 無法使用NonRemovableSystemExtensions屬性移除。
• 無法在具有NonRemovableFromUISystemExtensions屬性的系統設定中停用

注意：不可拆卸的金鑰必須僅應用於macOS Sequoia 15裝置。從舊版macOS更新到macOS Sequoia 15時，將不會應用此管理設定。
注意：NonRemovableSystemExtensions機碼無法與RemovableSystemExtensions機碼一起使用；設定檔安裝將會失敗。

注意：NonRemovableFromUISystemExtensions鍵可以與RemovableSystemExtensions鍵一起使用。

不可移除的屬性必須包含兩個安全終結點擴展的捆綁識別符號：

有效載荷	屬性	價值
系統擴充	NonRemovableFromUISystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension
	NonRemovableSystemExtensions	com.cisco.endpoint.svc.securityextension， com.cisco.endpoint.svc.networkextension

全磁碟存取

MacOS 10.14和更高版本需要經過批准，應用程式才能訪問包含個人使用者資料的檔案系統的某些部分（例如，聯絡人、照片、日曆和其他應用程式）。某些聯結器功能（如隨插即用檔案掃描）無法在未經批准的情況下掃描這些檔案的威脅。

以前的Mac聯結器版本要求使用者授予對ampdaemon程式的完全磁碟訪問許可權。Mac聯結器1.14需要以下裝置的全磁碟訪問：

• 面向終端的AMP服務
• 「AMP安全擴展」 

Mac聯結器1.16.0和更新版本需要額外的全磁碟存取：

• 在策略中啟用了「Cisco Orbal」後，可提供優勢和高級訪問

Mac聯結器1.18和更新版本需要具備全磁碟存取功能，以便：

• 「安全終端服務」
• 「安全終端系統監控」
• Orbal在政策中啟用時，會出現「Cisco Orbal」(提供優勢和高級層級)

ampdaemon程式不再需要使用Mac聯結器1.14版和更新版本進行全磁碟訪問。

可以在終端的macOS安全和隱私首選項中或透過流動裝置管理(MDM)配置檔案授予全磁碟訪問批准。

在終端批准對早於1.18.0的聯結器版本進行全磁碟訪問

您可以從「MacOS安全與隱私權偏好設定」窗格手動核准「全磁碟存取」。

批准終端的Cisco Orbal全磁碟訪問

您可以從「MacOS安全與隱私權偏好設定」窗格手動核准「全磁碟存取」。

在終端上批准對Cisco Secure Endpoint connector 1.18.0及更高版本的全磁碟訪問

您可以從「MacOS安全與隱私權偏好設定」窗格手動核准「全磁碟存取」。

使用MDM批准聯結器的全磁碟訪問

注意：macOS擴展不能透過MDM進行追溯批准。如果在安裝聯結器之前未部署MDM配置檔案，則不會批准該配置檔案，並且需要以下兩種形式中的一種進行其他干預：

1. 在已回溯部署管理設定檔的終端上，手動核准MacOS擴充功能。
2. 將Mac聯結器升級到比當前部署的聯結器更新的版本。在升級後追溯部署了管理配置檔案的終端會辨識管理配置檔案，並在升級完成後獲得批准。

具有包含兩個條目的SystemPolicyAllFiles 屬性的管理配置檔案隱私首選項策略控制負載可以批准全磁碟訪問，一個用於安全終端服務（適用於終端裝置的AMP服務用於聯結器版本早於1.18.0），另一個用於安全終端系統監控（適用於聯結器版本早於1.18.0的AMP安全擴展）：

說明	屬性	價值
安全終端服務（面向終端的AMP服務）	已允許	真
	CodeRequirement	錨點apple generic和識別符號「com.cisco.endpoint.svc」和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.svc
	識別符號型別	套件ID
安全終端系統監控（AMP安全擴展）	已允許	真
	CodeRequirement	anchor apple generic和識別符號「com.cisco.endpoint.svc.securityextension」和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.svc.securityextension
	識別符號型別	套件ID

如果您的部署包括安裝了聯結器版本1.12.7或更早版本的電腦，則仍需要此附加條目來向這些電腦授予ampdaemon的完全磁碟訪問許可權：

說明	屬性	價值
ampdaemon	已允許	真
	CodeRequirement	識別符號ampdaemon和anchor apple generic和certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = TDNYQP7VRK
	識別碼	/opt/cisco/amp/ampdaemon
	識別符號型別	路徑

透過MDM批准對Cisco Orbal進行全磁碟訪問

如果您的部署包括使用Cisco Secure Endpoint Mac聯結器1.16.0版或更高版本的電腦，則在macOS 10.15版或更高版本的電腦上，並且策略中啟用了Orbal，則仍然需要此附加條目來授予這些電腦對Orbal的完全磁碟訪問許可權：

說明	屬性	價值
Cisco Orbital	已允許	真
	CodeRequirement	錨點apple generic和識別符號「com.cisco.endpoint.orbal.app」和(certificate leaf[field.1.2.840.113635.100.6.1.9] /*存在*/或certificate 1[field.1.2.840.113635.100.6.2.6] /*存在*/和certificate leaf[field.1.2.840.113635.100.6.1.13] /*存在*/和certificate leaf[subject.OU] = DE8Y96K9QP)
	識別碼	com.cisco.endpoint.orbal.app
	識別符號型別	套件ID

MDM配置配置檔案示例

此示例MDM配置配置檔案可用作參考。

• 批准安全終端Mac聯結器的系統擴展。
• 授予安全終端Mac聯結器和軌道裝置的全磁碟訪問許可權。
• 在解除安裝聯結器時，允許無訊息解除安裝System Extensions。
  注意：如果允許RemovableSystemExtensions許可權，則具有root許可權的任何使用者或進程都可以刪除System Extension，而無需提示輸入使用者密碼。因此，只有當管理員要自動解除安裝聯結器時，才必須使用RemovableSystemExtensions屬性。

http://www.apple.com/DTDs/PropertyList-1.0.dtd"> PayloadContent AllowUserOverrides AllowedSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName System Extensions PayloadEnabled PayloadIdentifier 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.system-extension-policy PayloadUUID 92624553-06C3-4BE0-9000-91D8A260CC65 PayloadVersion 1 RemovableSystemExtensions DE8Y96K9QP com.cisco.endpoint.svc.securityextension com.cisco.endpoint.svc.networkextension PayloadDescription PayloadDisplayName Privacy Preferences Policy Control PayloadEnabled PayloadIdentifier 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.TCC.configuration-profile-policy PayloadUUID 290AAF9E-D9F1-4470-B802-2468AC836142 PayloadVersion 1 Services SystemPolicyAllFiles Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.svc" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.svc IdentifierType bundleID StaticCode 0 Allowed 1 CodeRequirement identifier ampdaemon and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = TDNYQP7VRK Identifier /opt/cisco/amp/ampdaemon IdentifierType path StaticCode 0 Allowed 1 CodeRequirement anchor apple generic and identifier "com.cisco.endpoint.orbital.app" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) Identifier com.cisco.endpoint.orbital.app IdentifierType bundleID StaticCode 0 FilterDataProviderBundleIdentifier com.cisco.endpoint.svc.networkextension FilterDataProviderDesignatedRequirement anchor apple generic and identifier "com.cisco.endpoint.svc.networkextension" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = DE8Y96K9QP) FilterGrade firewall FilterPackets FilterSockets FilterType Plugin PayloadDisplayName Web Content Filter Payload PayloadIdentifier F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.webcontent-filter PayloadUUID F630E2F3-F917-47F5-93E9-343C4C787C28 PayloadVersion 1 PluginBundleID com.cisco.endpoint.svc UserDefinedName AMP Network Extension VendorConfig PayloadDescription PayloadDisplayName Cisco Secure Endpoint Settings [DEMO] PayloadEnabled PayloadIdentifier 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadOrganization Cisco Systems, Inc. PayloadRemovalDisallowed PayloadScope System PayloadType Configuration PayloadUUID 36DAAE4E-5BA2-497B-8381-D58FCB62FA1B PayloadVersion 1

MacOS 10.15或更早版本的MDM配置示例

• 核准核心延伸並授予聯結器完整磁碟存取權。
  
  • 注意：M1和更新的Apple產品無法使用包含此配置的配置檔案

AllowNonAdminUserApprovals AllowUserOverrides AllowedKernelExtensions TDNYQP7VRK com.cisco.amp.nke com.cisco.amp.fileop PayloadDescription PayloadDisplayName Approved Kernel Extensions PayloadEnabled PayloadIdentifier A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadOrganization Cisco Systems, Inc. PayloadType com.apple.syspolicy.kernel-extension-policy PayloadUUID A872B6D5-D67C-41FE-BE64-3DD674C43C4F PayloadVersion 1

新建目錄結構

版本1.14.0到1.16.2

Mac connector 1.14對目錄結構進行了兩項更改：

1. Applications目錄已從Cisco AMP 重新命名為Cisco AMP for Endpoints。
2. 命令列實用程式ampcli已從/opt/cisco/amp 移至/Applications/Cisco AMP for Endpoints/AMP for Endpoints Connector.app/Contents/MacOS。目錄/opt/cisco/amp 包含指向ampcli程式的新位置的符號連結。

Mac聯結器版本1.14.0到1.16.2的完整目錄結構如下：

├── Applications
│   └── Cisco AMP for Endpoints
│       └── AMP for Endpoints Connector.app
│       │   └── Contents
│       │       └──MacOS
│       │
│       └── AMP for Endpoints Service.app
│       │   └── Contents
│       │       └──MacOS
│       │           └── ampcli
│       │           └── ampdaemon
│       │           └── amscansvc
│       │           └── ampcreport 
│       │           └── ampupdater 
│       │           └── SupportTool
│       │
│       └── Support Tool.app
├── Library
│   ├── Application Support
│   │   └── Cisco
│   │       └── AMP for Endpoints Connector
│   │           └── SupportTool
│   └── Logs
│       └── Cisco
├── Users
│   └── *
│       └── Library
│           └── Logs
│               └── Cisco
└── opt
    └── cisco
        └── amp
            └── ampcli

版本1.18.0及更高版本

Mac connector 1.18引入了對應用程式目錄結構的更改：

1. Applications目錄已從面向終端的Cisco AMP 重新命名為Cisco Secure Endpoint。

Mac聯結器版本1.18.0和更新版本的完整目錄結構如下：

├── Applications
|   └── Cisco Secure Endpoint
|       └──Secure Endpoint Connector.app
|       |    └── Contents
|       |        └── MacOS
|       |
|       └── Secure Endpoint Service.app
|       |   └── Contents
|       |       └── MacOS
|       |           └── ampcli
|       |           └── ampdaemon
|       |           └── ampscansvc
|       |           └── ampcreport
|       |           └── ampupdater
|       |           └── SupportTool
|       |
|       └── Support Tool.app

MacOS 11.0和Mac Connector 1.14.1的已知問題。

• 如果電腦上安裝了四個或更多網路內容過濾器，則故障10「載入核心模組或系統擴展需要重新啟動」的指導可能不正確。 有關詳細資訊，請參閱Cisco安全終端Mac聯結器故障一文。

MacOS 10.15/11.0和Mac Connector 1.14.0的已知問題。

• Mac聯結器引發的一些故障可能會意外引發。有關詳細資訊，請參閱Cisco安全終端Mac聯結器故障一文。
  • 升級後可能會引發故障13、網路內容過濾器系統擴展過多。重新啟動電腦可解決此情況中的故障。
  • 故障15（系統擴展需要全磁碟訪問），在重新啟動後可能由於macOS 11.0.0中的錯誤而引發。 此問題已在macOS 11.0.1中修復。 在「MacOS系統首選項」的「安全和隱私」窗格中重新授予全磁碟訪問許可權，即可解決此故障。
    
    
• 在安裝期間，當macOS要求許可權以執行Mac聯結器系統延伸時，「保全性和隱私性」窗格可以顯示「預留位置開發人員」作為應用程式名稱。 這是由MacOS 10.15中的Bug引起的。 選中「佔位符開發人員」旁邊的框，允許Mac聯結器保護電腦。
  
  
  • systemextensionsctl listcommand可用於確定哪些系統擴展需要審批。具有狀態的系統擴展 [已啟用等待使用者]在此輸出中，在前面顯示的macOS首選項頁中顯示為「Placeholder Developer」。如果偏好設定頁面中顯示兩個以上的「預留位置開發人員」專案，請解除安裝所有使用系統擴充功能（包括Mac聯結器）的軟體，讓系統擴充功能不需要核准，然後再重新安裝Mac聯結器。
    Mac聯結器系統副檔名辨識如下：
    
    • 網路擴展顯示為com.cisco.endpoint.svc.networkextension。
    • 顯示的終端安全擴展具有 com.cisco.endpoint.svc.securityextension。 
      
      
• 在安裝期間，允許內容過濾器監控網路流量的提示可以顯示「(null)」作為應用程式名稱。 這是由macOS 10.15中的bug引起的。 使用者需要選擇「允許」以確保電腦受到保護。
  
• 如果由於選擇「不允許」而取消提示，則從「代理」圖示的下拉選單中選擇「允許網路過濾器」  以再次開啟提示。
  
  
• 啟用後，安全終端網路擴展過濾器將列在網路首選項頁面上。
  
  
• 在macOS 11上，當執行從Mac聯結器1.12升級到Mac聯結器1.14時，當聯結器從核心擴展轉換為新的系統擴展時，可能會暫時引發故障4（系統擴展載入失敗）。

解除安裝系統擴充程式期間的已知問題

• 在MacOS 12之前，或未使用MDM時，當執行Mac聯結器的解除安裝時，系統會提示使用者輸入兩次密碼，以便可以解除安裝系統擴展。這是macOS的一個限制，透過增加本文檔中介紹的RemovableSystemExtensions MDM配置檔案金鑰，在macOS 12中進行了一些改進。

Intune部署安裝指令碼

• 此處託管了一個指令碼，用於幫助在Microsoft維護的macOS上安裝安全終結點聯結器：

https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Apps/Cisco%20AMP

重新命名的Mac聯結器（版本1.18.0及更高版本）

註：聯結器版本1.18.0之前的現有MDM配置無需干預即可升級到聯結器版本1.18.0及更高版本。有關詳細資訊，請參閱安全終端Mac重新標籤。

修訂記錄

2020年12月1日

• Mac聯結器1.14.1在macOS 10.15上不再使用系統擴展。
• 有關終端檢查哪些「預留位置開發人員」系統擴展需要透過Mac聯結器1.14.0審批的附加指南。

2020年11月9日

• 已更正全磁碟訪問代碼要求MDM負載中的捆綁包ID。

2020年11月3日

• 1.14.0 Mac聯結器的發佈日期為2020年11月。
• 1.14.0 Mac聯結器使用MacOS 10.15.5及更高版本的系統擴展。以前是10.15.6。
• 已增加已知問題部分。
• 更新的目錄結構大綱。

2021年6月3日

• 增加了向Cisco Orbal授予全磁碟訪問許可權的方向。

2021年10月13日

• 已新增移除Mac Connector macOS Extensions with MDM一節。
• 已新增「解除安裝系統擴充功能」段落的已知問題。

2022年2月25日

• 重新命名