إدارة خزنة الملفات في macOS
في macOS، يمكن للمؤسسات إدارة خزنة الملفات باستخدام SecureToken أو رمز Bootstrap.
استخدام الرمز الآمن
يغير نظام ملفات Apple (APFS) في macOS 10.13 أو أحدث كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عند قيام المستخدم أو المؤسسة بتشغيل خزنة الملفات على Mac. في macOS على وحدات تخزين APFS، يتم إنشاء المفاتيح إما أثناء إنشاء المستخدم، أو تعيين كلمة سر المستخدم الأول، أو أثناء تسجيل الدخول الأول بواسطة مستخدم الـ Mac. يعد هذا التطبيق لمفاتيح التشفير، عند إنشائها، وكيفية تخزينها جزءًا من ميزة تُعرف باسم الرمز الآمن. وعلى وجه التحديد، فإن الرمز الآمن هو إصدار مغلف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يمكن للمستخدم متابعة التالي:
استخدام الأدوات والعمليات الموجودة، مثل مفتاح الاسترداد الشخصي (PRK) الذي يمكن تخزينه باستخدام حل إدارة جهاز الجوال (MDM) للضمان
إنشاء مفتاح استرداد مؤسسي (IRK) واستخدامه
تأجيل تمكين خزنة الملفات حتى يقوم المستخدم بتسجيل الدخول إلى Mac أو الخروج منه
في macOS 11، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على الـ Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض عمليات سير العمل، قد لا يكون هذا هو السلوك المطلوب، كما في السابق، فمنح أول رمز آمن يتطلب من حساب المستخدم تسجيل الدخول. لمنع حدوث ذلك، أضف ;DisabledTags;SecureToken إلى سمة المستخدم التي تم إنشاؤها برمجيًا AuthenticationAuthority قبل تعيين كلمة سر المستخدم كما هو موضح أدناه:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"استخدام رمز Bootstrap
قدَّم macOS 10.15 ميزة جديدة—رمز Bootstrap—للمساعدة على منح رمز آمن لكل من حسابات الجوال وحساب المسؤول الذي أنشأه تسجيل الجهاز الاختياري ("المسؤول المُدار"). على الـ macOS 11، يمكن لرمز Bootstrap منح رمز آمن لأي مستخدم يقوم بتسجيل الدخول إلى كمبيوتر Mac، بما في ذلك حسابات المستخدمين المحليين. يتطلب استخدام ميزة رمز Bootstrap في macOS 10.15 أو أحدث ما يلي:
تسجيل الـ Mac في MDM باستخدام Apple School Manager أو Apple Business Manager، مما يجعل الـ Mac خاضعًا للإشراف
دعم مورد MDM
على الـ macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap وإيداعه في الضمان لدى MDM مع تسجيل الدخول الأول من قِبل أي مستخدم تم تمكين الرمز الآمن لديه–إذا كان حل MDM يدعم تلك الميزة. يمكن أيضًا إنشاء رمز Bootstrap وإيداعه في الضمان لدى حل MDM باستخدام أداة سطر الأوامر profiles، إذا لزم الأمر.
على الـ macOS 11 يمكن كذلك استخدام رمز Bootstrap لأكثر من مجرد منح رمز آمن لحسابات المستخدمين. على الـ Mac المزود برقاقات Apple، يمكن استخدام رمز Bootstrap، إذا كان متوفرًا، للسماح بتثبيت كل من ملحقات Kernel وتحديثات البرامج عند إدارتهما باستخدام MDM.