在 macOS 中管理檔案保險箱
在 macOS 中,組織可以使用 SecureToken 或 Bootstrap Token 來管理「檔案保險箱」。
使用 Secure Token
macOS 10.13 或以上版本中的「Apple 檔案系統」(APFS)更改了產生「檔案保險箱」加密密鑰的方式。在舊版 macOS 的 CoreStorage 卷宗上,「檔案保險箱」加密程序中使用的密鑰,是在使用者或組織於 Mac 上開啟「檔案保險箱」時所製作。在 APFS 卷宗上的 macOS 中,密鑰則是在建立使用者期間、設定第一位使用者的密碼或 Mac 使用者的首次登入期間產生的。這種加密密鑰實行方式、產生時間,以及儲存方式皆屬 Secure Token 功能的一部分。具體來說,Secure Token 是封裝版本的密鑰加密密鑰(KEK),受使用者的密碼保護。
在 APFS 上部署「檔案保險箱」時,使用者可繼續:
使用現有工具和程序,例如個人復原密鑰(PRK),其可由行動裝置管理(MDM)解決方案儲存以進行託管
延遲啟用「檔案保險箱」,直到使用者登入或登出 Mac
建立和使用機構復原密鑰(IRK)
在 macOS 11 中,為 Mac 上的第一位使用者設定初始密碼會讓該使用者取得 Secure Token。在某些工作流程中,這可能不是你期望的行為,就像以前一樣,授予第一個 Secure Token 將需要登入使用者帳號。為了避免此情況發生,請在設定使用者的密碼前,先將 ;DisabledTags;SecureToken 加入程式所建立的使用者 AuthenticationAuthority 屬性中,如下所示:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"使用 Bootstrap 代號
macOS 10.15 引入了 Bootstrap 代號的新功能,以協助將安全代號授予行動帳號和透過註冊建立的選擇性裝置管理者帳號(「受管理的管理者」)。在 macOS 11 中,Bootstrap 代號可以向登入到 Mac 電腦的任何使用者(包括本機使用者帳號)授予安全代號。使用 macOS 10.15 或較新版本的 Bootstrap Token 功能有以下要求:
使用「Apple 校務管理」或「Apple 商務管理」在 MDM 中註冊 Mac,這樣會讓 Mac 受監管
MDM 廠商支援
如果 MDM 解決方案支援此功能,在 macOS 10.15.4 或以上版本中,任何已啟用安全代號的使用者初次登入時,系統會產生 Bootstrap 代號並交由 MDM 託管。如有需要,也可使用 profiles 命令列工具來產生 Bootstrap Token 並交由 MDM 託管。
在 macOS 11 中,Bootstrap 代號還可以用於將安全代號授予使用者帳號。在配備 Apple 晶片的 Mac 上,如果使用 MDM 進行管理,則 Bootstrap 代號(如果可用)可用來授權安裝核心延伸功能和軟體更新項目。
機構與個人復原密鑰
CoreStorage 和 APFS 卷宗上的「檔案保險箱」都支援使用機構復原密鑰(IRK,舊稱「檔案保險箱」主身分)來解鎖卷宗。雖然 IRK 對於使用命令列作業來解鎖卷宗或關閉「檔案保險箱」而言很有用,但其工具程式對組織而言卻很有限,尤其是最近的 macOS 版本。而在配備 Apple 晶片的 Mac 上,IRK 沒有提供任何功能價值,主要有兩個原因:其一是 IRK 無法用來取用 recoveryOS,其次則是因為已停止支援目標磁碟模式,無法藉由連接到另一部 Mac 來解鎖卷宗。基於上述和其他原因,我們已不再建議使用 IRK 來在 Mac 電腦上管理機構的「檔案保險箱」。請改為使用個人復原密鑰(PRK)。