通过移动设备管理来管理文件保险箱
文件保险箱全磁盘加密可使用移动设备管理 (MDM) 解决方案在组织中进行管理,或使用 fdesetup 命令行工具管理某些高级部署和配置。使用 MDM 管理文件保险箱被称为推迟启用功能,需要来自用户的退出登录或登录事件。MDM 可自定义选项,例如:
用户可推迟启用文件保险箱的次数
除了在登录时提示用户外,是否在退出登录时也提示用户
是否向用户显示恢复密钥
使用哪种证书来对用于托管到 MDM 解决方案的恢复密钥进行非对称加密
允许用户解锁 APFS 宗卷上的储存空间需要用户拥有安全令牌,在搭载 Apple 芯片的 Mac 上则需要用户为宗卷所有者。有关安全令牌和宗卷所有权的更多信息,请参阅在部署中使用安全令牌、Bootstrap 令牌和宗卷所有权。以下提供了在特定工作流程中用户如何以及何时被授予安全令牌的相关信息。
在“设置助理”中执行文件保险箱
通过 ForceEnableInSetupAssistant 键,在“设置助理”运行期间可要求 Mac 电脑打开文件保险箱。这可确保被管理 Mac 电脑中的内部储存在使用之前始终处于加密状态。组织可以决定是否向用户显示文件保险箱恢复密钥或托管个人恢复密钥。若要使用此功能,请确保已设定 await_device_configured。
【注】在 macOS 14.4 之前,此功能需要在“设置助理”运行期间通过交互创建的用户账户拥有管理员职务。
Mac 由用户自行设置
用户自行设置 Mac 时,IT 部门不会对实际设备执行任何预置任务。所有策略和配置都使用 MDM 解决方案或配置管理工具提供。“设置助理”用于创建初始本地账户,用户会被授予安全令牌。如果 MDM 解决方案支持 Bootstrap 令牌功能,且在 MDM 注册期间告知 Mac,Mac 会生成 Bootstrap 令牌并托管到 MDM 解决方案。
如果在 MDM 解决方案中注册了 Mac,初始账户可能不是本地管理员账户,而是本地普通用户账户。如果使用 MDM 将用户降级为普通用户,会自动授予其安全令牌。如果用户被降级,macOS 10.15.4 或更高版本中会自动生成 Bootstrap 令牌并托管到 MDM 解决方案,前提是其支持该功能。
如果使用 MDM 完全跳过了“设置助理”中的本地用户账户创建,而改为使用带有移动账户的目录服务,则登录期间会向移动账户用户授予安全令牌。若使用移动账户,为用户启用安全令牌后,在 macOS 10.15.4 或更高版本中,用户的第二次登录期间会自动生成 Bootstrap 令牌并托管到 MDM 解决方案(如果支持该功能)。
在以上任一情形中,由于首个用户(即主要用户)被授予了安全令牌,可以使用推迟启用功能针对文件保险箱启用该用户。推迟启用允许组织启用文件保险箱,但将启用推迟到用户登录或退出登录 Mac 时。还可自定义用户是否可以跳过启用文件保险箱(可选择定义的次数)。最终结果是 Mac 主要用户(无论是任何类型的本地用户还是远程账户)能够解锁由文件保险箱加密的储存设备。
在 Bootstrap 令牌生成并托管到 MDM 解决方案的 Mac 电脑上,如果另有用户在未来某个日期和时间登录 Mac,系统将使用 Bootstrap 令牌自动授予安全令牌。这意味着账户也已针对文件保险箱启用,可以解锁文件保险箱宗卷。若要移除用户解锁储存设备的能力,请使用 fdesetup remove -user。
Mac 由组织预置
当 Mac 是由组织预置之后再交给用户时,IT 部门会对设备进行设置。在“设置助理”中创建或使用 MDM 预置的本地管理账户,用于预置或设置 Mac,且登录期间会被授予第一个安全令牌。如果 MDM 解决方案支持 Bootstrap 令牌功能,还会生成 Bootstrap 令牌并托管到 MDM 解决方案。
如果 Mac 加入了目录服务并配置为创建移动账户,并且没有 Bootstrap 令牌,目录服务用户在首次登录时会收到提示,要求提供现有安全令牌管理员用户名和密码,以为其账户授予安全令牌。用户需要输入当前已启用安全令牌的本地管理员的凭证。如果不需要安全令牌,用户可点按“绕过”。在 macOS 10.13.5 或更高版本上,如果文件保险箱并非配合移动账户使用,你可以完全禁止安全令牌对话框。若要禁止安全令牌对话框,请应用来自 MDM 解决方案的自定义设置配置描述文件,其中包括以下键和值:
设置 | 值 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
域 | com.apple.MCX | ||||||||||
键 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True | ||||||||||
如果 MDM 解决方案支持 Bootstrap 令牌功能,且 Mac 生成了 Bootstrap 令牌并托管到 MDM 解决方案,移动账户用户不会看到此提示。登录期间会自动向其授予安全令牌。
如果 Mac 上需要其他本地用户而不是来自目录服务的用户账户,当前已启用安全令牌的管理员在“用户与群组”(位于 macOS 13 或更高版本中的“系统设置”,或者 macOS 12.0.1 或更低版本中的“系统偏好设置”)中创建这些本地用户时会自动对其授予安全令牌。如果通过命令行创建本地用户,可使用 sysadminctl 命令行工具,还可选择为用户启用安全令牌。在 macOS 11 或更高版本中,即使创建时未被授予安全令牌,只要可从 MDM 解决方案获取 Bootstrap 令牌,登录 Mac 的本地用户也会在登录期间被授予安全令牌。
在这些情形中,以下用户可以解锁由文件保险箱加密的宗卷:
用于预置的原始本地管理员
登录期间被授予安全令牌的任何其他目录服务用户,无论是使用对话框提示通过交互方式授予或是通过 Bootstrap 令牌自动授予
任何新本地用户
若要移除用户解锁储存设备的能力,请使用 fdesetup remove -user。
使用上述其中一个工作流程时,安全令牌由 macOS 管理,无需任何额外配置或脚本编写;它会变成一个实施细节,不需要进行主动管理或操作。
fdesetup 命令行工具
MDM 配置或 fdesetup 命令行工具可用于配置文件保险箱。在 macOS 10.15 或更高版本中,使用 fdesetup 通过提供用户名和密码来启用文件保险箱的方式已弃用,后续版本中不会识别。命令仍可正常工作,但在 macOS 11 和 macOS 12.0.1 中仍被弃用。请考虑使用通过 MDM 的推迟启用功能。有关 fdesetup 命令行工具的更多信息,请启动“终端” App 并输入 man fdesetup 或 fdesetup help。
机构恢复密钥与个人恢复密钥
CoreStorage 和 APFS 宗卷上的文件保险箱支持使用机构恢复密钥(IRK,曾称为文件保险箱主身份)来解锁宗卷。尽管 IRK 对于命令行操作解锁宗卷或完全停用文件保险箱十分有用,其效用对组织来说是有限的,尤其在最近的 macOS 版本中。在搭载 Apple 芯片的 Mac 上,IRK 不提供功能性值,这主要出于两个原因:首先,IRK 无法用于访问 recoveryOS;其次,由于不再支持目标磁盘模式,宗卷无法通过连接到另一台 Mac 进行解锁。由于以上各种原因,不再建议机构使用 IRK 来管理 Mac 电脑上的文件保险箱,而应当改为使用个人恢复密钥 (PRK)。PRK 提供:
特别强大的恢复和操作系统访问机制
按宗卷进行唯一加密
托管到 MDM
使用后轻松轮换密钥
PRK 可在 recoveryOS 中使用,也可用于将加密的 Mac 直接启动进入 macOS(搭载 Apple 芯片的 Mac 要求运行 macOS 12.0.1 或更高版本)。在 recoveryOS 中,PRK 可在“恢复助理”提示时或使用“忘记所有密码”选项时用于访问恢复环境,此操作也会解锁宗卷。使用“忘记所有密码”选项时,不要求为用户重设密码;可点按退出按钮直接启动进入 recoveryOS。若要在基于 Intel 的 Mac 电脑上直接启动 macOS,请点按密码栏旁边的问号,然后选取“使用你的‘恢复密钥’来重设”选项。输入 PRK,然后按下 Return 键或点按箭头。macOS 启动后,按下密码更改对话框上的“取消”。在搭载 Apple 芯片且使用 macOS 12.0.1 或更高版本的 Mac 上,按下 Option-Shift-Return 来显示 PRK 的输入栏,按下 Return 键或点按箭头,然后 macOS 会启动。
每个加密宗卷只有一个 PRK,并且从 MDM 启用文件保险箱期间,可选择将其对用户隐藏。配置为托管到 MDM 时,MDM 会以证书形式向 Mac 提供公共密钥,该公共密钥之后会被用于以 CMS 封装格式对 PRK 进行非对称加密。加密的 PRK 在安全性信息查询中会归还到 MDM,然后可以被解密以供组织查看。由于加密是非对称的,MDM 自身可能无法解密 PRK(因此需要管理员执行额外步骤)。但是,许多 MDM 供应商提供了管理这些密钥时允许直接在产品中进行查看的选项。MDM 还可以经常轮换 PRK 以帮助维持强安全性的状态,例如在使用 PRK 解锁宗卷后。
在未搭载 Apple 芯片的 Mac 电脑上,PRK 可用于在目标磁盘模式中解锁宗卷:
1.将处于目标磁盘模式下的 Mac 连接到另一台使用相同或更高 macOS 版本的 Mac。
2.打开“终端”,然后运行以下命令并查找宗卷名称(通常为“Macintosh HD”)。应显示“Mount Point:Not Mounted”和“FileVault:Yes (Locked)”。记下宗卷的 APFS 宗卷磁盘 ID,类似于 disk3s2,但可能数字不同,如 disk4s5。
diskutil apfs list3.运行以下命令,然后查找个人恢复密钥用户并记下列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>4.运行此命令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5.在密码短语提示中,粘贴或输入 PRK,然后按下 Return 键。宗卷会在“访达”中装载。