Mengelola FileVault di macOS
Di macOS, organisasi dapat mengelola FileVault menggunakan SecureToken atau Token Bootstrap.
Menggunakan Token Aman
Apple File System (APFS) di macOS 10.13 atau lebih baru mengubah bagaimana kunci enkripsi FileVault dibuat. Di versi macOS sebelumnya di volume CoreStorage, kunci yang digunakan di proses enkripsi FileVault dibuat saat pengguna atau organisasi menyalakan FileVault di Mac. Pada macOS di volume APFS, kunci dibuat selama pembuatan pengguna, pengaturan kata sandi pengguna pertama, atau selama proses masuk pertama oleh pengguna Mac. Penerapan kunci enkripsi ini, saat mereka dibuat, dan bagaimana mereka disimpan adalah bagian dari fitur yang disebut Token Aman. Secara spesifik, token aman adalah versi kunci enkripsi kunci (KEK) yang dibungkus dan dilindungi oleh kata sandi pengguna.
Saat menyebarkan FileVault di APFS, pengguna dapat terus:
Menggunakan alat dan proses yang ada, seperti kunci pemulihan pribadi (PRK) yang dapat disimpan dengan solusi mobile device management (MDM) untuk eskrow
Menangguhkan pengaktifan FileVault hingga pengguna masuk atau keluar dari Mac
Membuat dan menggunakan kunci pemulihan institusional (IRK)
Di macOS 11, mengatur kata sandi awal untuk pengguna paling pertama di Mac akan membuat pengguna tersebut memiliki token aman. Dalam beberapa alur kerja, hal ini mungkin tidak diharapkan, karena sebelumnya, memberikan token aman pertama akan mengharuskan akun pengguna untuk masuk. Untuk mencegah hal ini terjadi, tambahkan ;DisabledTags;SecureToken ke atribut AuthenticationAuthority pengguna yang dibuat dengan program sebelum mengatur kata sandi pengguna, seperti yang ditampilkan di bawah:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Menggunakan Token Bootstrap
macOS 10.15 memperkenalkan fitur baru—Token Bootstrap—untuk membantu pemberian token aman ke akun bergerak dan akun administrator yang dibuat pendaftaran perangkat opsional (“administrator terkelola”). Di macOS 11, token bootstrap dapat memberikan token aman ke pengguna mana pun yang masuk ke komputer Mac, termasuk akun pengguna lokal. Penggunaan fitur Token Bootstrap dari macOS 10.15 atau lebih baru memerlukan:
Pendaftaran Mac di MDM menggunakan Apple School Manager atau Apple Business Manager, yang membuat Mac diawasi
Dukungan vendor MDM
Di macOS 10.15.4 atau lebih baru, token bootstrap dibuat dan dieskrow ke MDM pada masuk pertama kali oleh pengguna mana pun dengan Token Aman yang diaktifkan jika solusi MDM mendukung fitur tersebut. Token bootstrap juga dapat dibuat dan dieskrow ke MDM menggunakan alat baris perintah profiles, jika perlu.
Di macOS 11, token bootstrap juga dapat digunakan untuk lebih dari sekadar memberikan token aman ke akun pengguna. Di Mac dengan Apple silicon, token bootstrap, jika tersedia, dapat digunakan untuk mengesahkan penginstalan ekstensi kernel dan pembaruan perangkat lunak saat dikelola menggunakan MDM.
Kunci pemulihan institusi versus pribadi
FileVault di volume CoreStorage dan APFS mendukung penggunaan kunci pemulihan institusi (IRK, sebelumnya disebut sebagai identitas Master FileVault) untuk membuka volume. Meskipun IRK bermanfaat bagi operasi baris perintah untuk membuka volume atau mematikan FileVault sekaligus, utilitasnya untuk organisasi terbatas, khususnya dalam versi macOS terbaru. Dan di Mac dengan Apple silicon, IRK tidak menyediakan nilai fungsional karena dua alasan utama: Pertama, IRK tidak dapat digunakan untuk mengakses recoveryOS, dan kedua, karena mode disk target tidak lagi didukung, volume tidak dapat dibuka dengan menyambungkannya ke Mac lain. Karena alasan tersebut dan lainnya, penggunaan IRK tidak lagi dianjurkan untuk manajemen FileVault institusional di komputer Mac. Sebagai gantinya, kunci pemulihan pribadi (PRK) harus digunakan.