Urus FileVault dengan pengurusan peranti mudah alih
Penyulitan cakera penuh FileVault boleh diurus dalam organisasi menggunakan penyelesaian pengurusan peranti mudah alih (MDM), atau untuk sesetengah pengerahan dan konfigurasi lanjutan, alat baris perintah fdesetup. Mengurus FileVault menggunakan MDM dirujuk sebagai pendayaan tertunda dan memerlukan peristiwa log keluar atau log masuk daripada pengguna. MDM boleh menyesuaikan pilihan seperti:
Bilangan kali pengguna boleh menangguh pendayaan FileVault
Sama ada untuk menggesa pengguna semasa log keluar sebagai tambahan kepada menggesa mereka semasa log masuk
Sama ada untuk menunjukkan kunci pemulihan kepada pengguna
Sijil yang akan digunakan untuk menyulitkan kunci pemulihan secara asimetri untuk eskrow ke penyelesaian MDM
Mendayakan pengguna untuk membuka kunci storan pada volum APFS memerlukan mereka untuk mempunyai token selamat dan pada Mac dengan Apple silicon, menjadi pemilik volum. Untuk mendapatkan maklumat lanjut tentang token selamat dan pemilikan volum, lihat Gunakan token selamat, token bootstrap dan pemilikan volum dalam pengerahan. Maklumat tentang cara dan masa pengguna diberikan token selamat dalam aliran kerja khusus diberikan di bawah.
Menguatkuasakan FileVault dalam Pembantu Persediaan
Menggunakan kunci ForceEnableInSetupAssistant, komputer Mac boleh diperlukan untuk mengaktifkan FileVault semasa Pembantu Persediaan. Ini memastikan yang storan dalaman dalam komputer Mac terurus sentiasa disulitkan sebelum digunakan. Organisasi boleh menentukan sama ada untuk menunjukkan kunci pemulihan FileVault kepada pengguna atau untuk eskrow kunci pemulihan peribadi. Untuk menggunakan ciri ini, pastikan bahawa await_device_configured disetkan.
Nota: Sebelum macOS 14.4, ciri ini memerlukan akaun pengguna yang dicipta secara interaktif semasa Pembantu Persediaan untuk mempunyai peranan Pentadbir.
Apabila pengguna menyediakan Mac mereka sendiri
Apabila pengguna menyediakan Mac mereka sendiri, jabatan IT tidak melakukan sebarang tugasan memperuntukkan pada peranti sebenar. Semua dasar dan konfigurasi diberikan menggunakan penyelesaian MDM atau alat pengurusan konfigurasi. Pembantu Persediaan digunakan untuk mencipta akaun setempat permulaan dan pengguna diberikan token selamat. Jika penyelesaian MDM menyokong ciri token bootstrap dan memberitahu Mac semasa pendaftaran MDM, token bootstrap dijanakan oleh Mac dan dieskrow ke penyelesaian MDM.
Jika Mac didaftarkan dalam penyelesaian MDM, akaun permulaan mungkin bukan akaun pentadbir setempat, tetapi akaun pengguna standard setempat. Jika pengguna diturun taraf ke pengguna standard menggunakan MDM, pengguna diberikan token selamat secara automatik. Jika pengguna diturun taraf, dalam macOS 10.15.4 atau lebih baharu, token bootstrap dijana dan dieskrow secara automatik ke penyelesaian MDM jika ia menyokong ciri.
Jika penciptaan akaun pengguna setempat dalam Pembantu Persediaan macOS dilangkau sepenuhnya menggunakan MDM dan perkhidmatan direktori dengan akaun mudah alih digunakan, pengguna akaun mudah alih diberikan token selamat semasa log masuk. Dengan akaun mudah alih, selepas pengguna didayakan token selamat, dalam macOS 10.15.4 atau lebih baharu, token bootstrap dijana secara automatik semasa log masuk kedua pengguna dan dieskrow ke penyelesaian MDM jika ia menyokong ciri.
Dalam sebarang senario di atas, kerana pengguna pertama dan utama diberikan token selamat, mereka boleh didayakan untuk FileVault menggunakan pendayaan tertunda. Pendayaan tertunda membenarkan organisasi untuk mengaktifkan FileVault, tetapi tunda pendayaan sehingga pengguna log masuk pada atau keluar daripada Mac. Ia juga mungkin untuk menyesuaikan sama ada pengguna boleh melangkau mengaktifkan FileVault (sebagai pilihan bilangan kali yang ditakrifkan). Hasil akhir ialah pengguna utama Mac—sama ada pengguna setempat sebarang jenis atau akaun mudah alih—berupaya untuk membuka kunci peranti storan apabila disulitkan dengan FileVault.
Pada komputer Mac yang token bootstrap dijanakan dan dieskrow ke penyelesaian MDM, jika pengguna lain mengelog masuk ke Mac pada tarikh dan masa akan datang, token bootstrap digunakan untuk memberikan token selamat secara automatik. Ini bermaksud akaun juga didayakan untuk FileVault dan boleh membuka kunci volum FileVault. Untuk mengeluarkan keupayaan pengguna untuk membuka kunci peranti storan, gunakan fdesetup remove -user.
Apabila Mac diperuntukkan oleh organisasi
Apabila Mac diperuntukkan oleh organisasi sebelum diberikan kepada pengguna, jabatan IT menyediakan peranti. Akaun pentadbiran setempat, yang dicipta sama ada dalam Pembantu Persediaan atau diperuntukkan menggunakan MDM, digunakan untuk memperuntukkan atau menyediakan Mac dan diberikan token selamat pertama semasa log masuk. Jika penyelesaian MDM menyokong ciri token bootstrap, token bootstrap juga dijanakan dan dieskrow ke penyelesaian MDM.
Jika Mac disertakan ke perkhidmatan direktori dan dikonfigurasikan untuk mencipta akaun mudah alih dan jika tiada token bootstrap, pengguna perkhidmatan direktori digesa pada log masuk pertama untuk nama pengguna dan kata laluan pentadbir token selamat sedia ada untuk memberikan akaun mereka token selamat. Kelayakan pentadbir setempat didayakan token yang selamat ketika ini sepatutnya dimasukkan. Jika token selamat tidak diperlukan, pengguna boleh klik Pintasan. Dalam macOS 10.13.5 atau lebih baharu, adalah mungkin untuk mengekang dialog token selamat sepenuhnya jika FileVault tidak akan digunakan dengan akaun mudah alih. Untuk mengekang dialog token selamat, gunakan profil konfigurasi seting tersuai daripada penyelesaian MDM dengan kunci dan nilai berikut:
Seting | Nilai | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Kunci | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Nilai | Benar | ||||||||||
Jika penyelesaian MDM menyokong ciri Token Bootstrap dan satu ciri dijanakan oleh Mac dan dieskrow ke penyelesaian MDM, pengguna akaun mudah alih tidak akan melihat gesaan ini. Sebaliknya, mereka diberikan token selamat semasa log masuk secara automatik.
Jika pengguna setempat tambahan diperlukan pada Mac berbanding akaun pengguna daripada perkhidmatan direktori, pengguna setempat ini diberikan token selamat secara automatik apabila ia dicipta dalam Pengguna & Kumpulan (dalam Seting Sistem pada macOS 13 atau lebih baharu, atau dalam Keutamaan Sistem pada macOS 12.0.1 atau lebih awal) oleh pentadbir didayakan token selamat semasa. Jika mencipta pengguna setempat menggunakan baris perintah, alat baris perintah sysadminctl boleh digunakan dan boleh didayakan secara pilihan untuk token selamat. Walaupun jika tidak diberikan token selamat semasa penciptaan, dalam macOS 11 atau lebih baharu, pengguna setempat yang mengelog masuk ke Mac diberikan token selamat semasa log masuk jika token bootstrap tersedia daripada penyelesaian MDM.
Dalam senario ini, pengguna berikut boleh membuka kunci volum disulitkan FileVault:
Pentadbir setempat asal yang digunakan untuk peruntukan
Sebarang pengguna perkhidmatan direktori tambahan diberikan token selamat semasa proses log masuk sama ada secara interaktif menggunakan gesaan dialog, atau secara automatik dengan token bootstrap
Mana-mana pengguna setempat baharu
Untuk mengeluarkan keupayaan pengguna untuk membuka kunci peranti storan, gunakan fdesetup remove -user.
Apabila menggunakan satu daripada aliran kerja yang diterangkan di atas, token selamat diuruskan oleh macOS tanpa sebarang konfigurasi tambahan atau penskripan diperlukan; ia menjadi butiran perlaksanaan dan bukannya sesuatu yang perlu diuruskan atau dimanipulasikan secara aktif.
Alat baris perintah fdesetup
Konfigurasi MDM atau alat baris perintah fdesetup boleh digunakan untuk mengkonfigurasikan FileVault. Dalam macOS 10.15 atau lebih baharu, menggunakan fdesetup untuk mengaktifkan FileVault dengan menyediakan nama pengguna dan kata laluan ditamatkan dan tidak akan dikenal pasti dalam keluaran akan datang. Perintah akan terus berfungsi tetapi kekal ditamatkan dalam macOS 11 dan macOS 12.0.1. Sebaliknya, pertimbangkan menggunakan pendayaan tertunda menggunakan MDM. Untuk mendapatkan maklumat lanjut tentang alat baris perintah fdesetup, lancarkan app Terminal dan masukkan fdesetup man atau bantuan fdesetup.
Kunci pemulihan institusi lwn peribadi
FileVault pada kedua-dua volum CoreStorage dan APFS menyokong menggunakan kunci pemulihan institusi (IRK, sebelum ini dikenali sebagai Identiti Induk FileVault) untuk membuka kunci volum. Walaupun IRK berguna untuk operasi baris perintah bagi membuka kunci volum atau menyahdayakan FileVault, kegunaannya untuk organisasi adalah terhad, terutama dalam versi terbaharu macOS. Pada Mac dengan Apple silicon, IRK tidak memberikan nilai fungsi atas dua sebab utama: Pertama, IRK tidak boleh digunakan untuk mengakses recoveryOS; dan kedua, kerana mod cakera sasaran tidak lagi disokong, volum tidak boleh dibuka kunci dengan menyambungkannya ke Mac lain. Atas sebab tersebut dan sebab-sebab lain, penggunaan IRK tidak lagi disyorkan untuk pengurusan institusi FileVault pada komputer Mac. Sebaliknya, kunci pemulihan peribadi (PRK) sepatutnya digunakan. PRK memberikan:
Pemulihan yang sangat teguh dan mekanisme akses sistem pengendalian yang sangat teguh
Penyulitan per volum unik
Eskrow ke MDM
Penggiliran kunci mudah selepas penggunaan
PRK boleh digunakan sama ada dalam recoveryOS atau untuk memulakan Mac disulitkan pada macOS secara terus (memerlukan macOS 12.0.1 atau lebih baharu untuk Mac dengan Apple silicon). Dalam recoveryOS, PRK boleh digunakan jika digesa oleh Pembantu Pemulihan, atau dengan pilihan Terlupa Semua Kata Laluan, untuk mendapatkan semula akses ke persekitaran pemulihan yang kemudiannya juga membuka kunci volum. Apabila menggunakan pilihan Terlupa Semua Kata Laluan, mereset kata laluan untuk pengguna tidak diperlukan; butang keluar boleh diklik untuk memulakan terus ke dalam recoveryOS. Untuk memulakan macOS terus pada komputer Mac berasaskan Intel, klik tanda soalan bersebelahan medan kata laluan, kemudian pilih pilihan untuk “resetnya dengan menggunakan Kunci Pemulihan anda”. Masukkan PRK, kemudian tekan Return atau klik anak panah. Selepas permulaan macOS, tekan Batal pada dialog perubahan kata laluan. Pada Mac dengan Apple silicon yang menggunakan macOS 12.0.1 atau lebih baharu, tekan Option-Shift-Return untuk mendedahkan medan entri untuk PRK, kemudian tekan Return (atau klik anak panah). macOS bermula.
Hanya terdapat satu PRK untuk setiap volum disulitkan dan semasa pendayaan FileVault daripada MDM, ia boleh disembunyikan daripada pengguna secara pilihan. Apabila dikonfigurasikan untuk dieskrow pada MDM, MDM memberikan kunci awam pada Mac dalam bentuk sijil, yang kemudiannya digunakan untuk menyulitkan PRK secara asimetri dalam format sampul CMS. PRK disulitkan dikembalikan ke MDM dalam pertanyaan maklumat keselamatan, yang kemudian boleh dinyahsulitkan untuk paparan oleh organisasi. Disebabkan penyulitan adalah asimetri, MDM sendiri mungkin tidak boleh menyahsulit PRK (oleh itu mungkin memerlukan langkah tambahan oleh pentadbir). Walau bagaimanapun, kebanyakan vendor MDM memberikan pilihan untuk mengurus kunci ini bagi membenarkan paparan terus dalam produk mereka. MDM juga boleh memutarkan PRK sekerap yang diperlukan secara pilihan untuk membantu mengekalkan postur keselamatan yang kukuh—sebagai contoh, selepas PRK digunakan untuk membuka kunci volum.
PRK boleh digunakan dalam mod cakera sasaran (TDM) pada komputer Mac tanpa Apple silicon untuk membuka kunci volum:
1. Sambung Mac dalam mod cakera sasaran ke Mac lain menggunakan versi macOS yang sama atau lebih baharu.
2. Buka Terminal, kemudian jalankan perintah berikut dan cari nama volum (biasanya “Macintosh HD”). Ia sepatutnya berkata “Titik Lekapan: Tidak Dilekap” dan “FileVault: Ya (Dikunci)”. Ingat ID Cakera Volum APFS untuk volum, yang kelihatan seperti disk3s2 tetapi dengan nombor berbeza—contohnya, disk4s5.
diskutil apfs list3. Jalankan perintah berikut, kemudian cari pengguna kunci pemulihan peribadi dan ingat UUID yang disenaraikan:
diskutil apfs listUsers /dev/<diskXsN>4. Jalankan perintah ini:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Pada gesaan frasa laluan, tampal atau masukkan PRK, kemudian tekan Return. Volum dilekapkan dalam Finder.