إدارة خزنة الملفات باستخدام إدارة الأجهزة
يمكن للمؤسسات إدارة تشفير قرص FireVault الكامل باستخدام خدمة إدارة الأجهزة، أو بالنسبة لبعض عمليات النشر والتكوينات المتقدمة، أداة سطر الأوامر fdesetup. يُشار إلى إدارة خزنة الملفات باستخدام خدمة إدارة الأجهزة باسم التمكين المُؤجَّل، ويتطلب حدث تسجيل خروج أو تسجيل دخول من المستخدم. يمكن أيضًا لخدمة إدارة الأجهزة تخصيص الخيارات مثل:
عدد المرات التي يمكن للمستخدم خلالها تأجيل تمكين خزنة الملفات
ما إذا كانت ستتم مطالبة المستخدم عند تسجيل الخروج بالإضافة إلى مطالبته عند تسجيل الدخول
ما إذا كان سيتم إظهار مفتاح الاسترداد للمستخدم
الشهادة التي يجب استخدامها لتشفير مفتاح الاسترداد بشكل غير متماثل لإيداعه في الضمان لدى خدمة إدارة الأجهزة
يتطلب تمكين المستخدم من فتح قفل وحدة التخزين على وحدات تخزين APFS أن يكون لديه رمز آمن، وعلى Mac مزود برقاقات Apple، أن يكون مالك وحدة التخزين. لمزيد من المعلومات حول الرموز الآمنة وملكية وحدة التخزين، انظر استخدام الرمز الآمن ورمز bootstrap وملكية وحدة التخزين في عمليات النشر. نوفر فيما يلي معلومات حول كيفية وتوقيت منح المستخدمين رمزًا آمنًا في عمليات سير عمل محددة.
فرض خزنة الملفات في مساعد الإعداد
باستخدام المفتاح ForceEnableInSetupAssistant، قد يُطلب من أجهزة كمبيوتر Mac تشغيل خزنة الملفات أثناء مساعد الإعداد. وهذا يضمن أن وحدة التخزين الداخلية في أجهزة كمبيوتر Mac المُدارة تكون مشفرة دائمًا قبل استخدامها. يمكن للمؤسسات أن تقرر ما إذا كانت تريد إظهار مفتاح استرداد خزنة الملفات للمستخدم أو إيداع مفتاح الاسترداد الشخصي. لاستخدام هذه الميزة، تأكد من تعيين await_device_configured
ملاحظة: قبل macOS 14.4، كانت هذه الميزة تتطلب أن يتمتع حساب المستخدم الذي تم إنشاؤه بشكل تفاعلي أثناء مساعد الإعداد بدور المسؤول.
عندما يقوم المستخدم بإعداد Mac بنفسه
ملاحظة: يجب أن تدعم خدمة إدارة الأجهزة ميزات محددة لكي تعمل الرموز الآمنة ورموز bootstrap مع Mac.
عندما يقوم المستخدم بإعداد Mac بنفسه، فإن أقسام تقنية المعلومات لا تنفذ أي مهام لتوفير البيانات في الجهاز الفعلي. وتقوم بتوفير كل السياسات والتكوينات باستخدام إحدى خدمات إدارة الأجهزة أو أدوات إدارة التكوينات. يقوم مساعد الإعداد بإنشاء الحساب المحلي الأولي ويمنح المستخدم رمزًا آمنًا، ويُنشئ Mac رمز bootstrap ويقوم بإيداعه في خدمة إدارة الأجهزة.
وإذا كان Mac مسجلًا في إحدى خدمات إدارة الأجهزة، فقد لا يكون الحساب الأولي حساب مسؤول محلي، بل حساب مستخدم قياسي محلي. إذا قمت بتخفيض رتبة المستخدم إلى مستخدم قياسي باستخدام خدمة، يتم منح المستخدم رمزًا آمنًا تلقائيًا. على Mac مثبَّت عليه macOS 10.15.4 أو أحدث، إذا قمت بتخفيض رتبة المستخدم، ينشئ macOS تلقائيًا رمز bootstrap ويقوم بإيداعه في خدمة إدارة الأجهزة.
إذا قمت بتخطي إنشاء حساب مستخدم محلي في مساعد الإعداد باستخدام خدمة إدارة الأجهزة واستخدمت خدمة دليل مع حسابات الجوال بدلًا من ذلك، تمنح الخدمة مستخدم حساب الجوال رمزًا آمنًا أثناء تسجيل الدخول. على Mac مثبَّت عليه macOS 10.15.4 أو أحدث، بعد تمكين المستخدم بحساب جوال، يقوم macOS تلقائيًا بإنشاء رمز bootstrap أثناء تسجيل الدخول الثاني للمستخدم ويقوم بإيداعه في خدمة إدارة الأجهزة.
إذا تم تخطي إنشاء حساب مستخدم محلي في مساعد الإعداد بواسطة خدمة إدارة الأجهزة واستخدمت خدمة دليل مع حسابات الجوّال بدلًا من ذلك، فإن خدمة إدارة الأجهزة تمنح للمستخدم رمزًا آمنًا عند تسجيل الدخول. على Mac مثبَّت عليه macOS 10.15.4 أو أحدث، إذا كان لدى المستخدم الجوال رمزًا آمنًا، ينشئ macOS تلقائيًا رمز bootstrap ويقوم بإيداعه في خدمة إدارة الأجهزة.
في أي من السيناريوهات المذكورة أعلاه، نظرًا إلى أن macOS يمنح المستخدم الأول والمستخدم الأساسي رمزًا آمنًا، يمكن للمستخدم تمكين خزنة الملفات باستخدام التمكين المؤجّل، ما يسمح لك بتشغيل خزنة الملفات لكن تأجيل تمكينه حتى يقوم مستخدم ما بتسجيل الدخول إلى Mac أو تسجيل الخروج منه. يمكنك أيضًا تخصيص ما إذا كان بإمكان المستخدم تخطي تشغيل خزنة الملفات (لعدد محدد من المرات، اختياريًا). ويسمح ذلك للمستخدم الأساسي للـ Mac—سواء كان مستخدمًا محليًا من أي نوع أو حسابًا جوّالًا—بفتح قفل وحدة تخزين خزنة الملفات.
على Mac ينشئ عليه macOS رمز bootstrap ويقوم بإيداعه في الضمان لدى خدمة إدارة الأجهزة، إذا قام مستخدم آخر بتسجيل الدخول إلى Mac في المستقبل، يستخدم macOS رمز bootstrap لمنحه رمزًا آمنًا تلقائيًا. وهذا يعني تمكين الحساب أيضًا لاستخدام خزنة الملفات وقدرته على فتح قفل وحدة تخزين خزنة الملفات. لإزالة قدرة المستخدم على فتح قفل جهاز التخزين، استخدم fdesetup remove -user.
عند توفير Mac من قِبل المؤسسة
عند توفير Mac من قِبل المؤسسة قبل منحه للمستخدم، يقوم قسم تقنية المعلومات بإعداد الجهاز. يمكنك استخدام الحساب الإداري المحلي، الذي تنشئه إما في مساعد الإعداد أو عن طريق الحصول عليه باستخدام خدمة إدارة الأجهزة، لتوفير أو إعداد Mac، ويمنحه نظام التشغيل أول رمز آمن أثناء تسجيل الدخول. إذا كانت الخدمة تدعم ميزة رمز bootstrap، فإن نظام التشغيل ينشئ أيضًا رمز bootstrap ويقوم بإيداعه.
إذا تم ربط Mac بخدمة دليل وتم تكوينه لإنشاء حسابات للأجهزة المحمولة ولم يكن هناك رمز bootstrap، يُطلب من مستخدم خدمة الدليل عند تسجيل الدخول لأول مرة اسم المستخدم وكلمة السر لمسؤول رمز أمان موجود من أجل منح حسابه رمزًا آمنًا. يجب إدخال بيانات اعتماد المسؤول المحلي الذي تم تمكين ميزة الرمز الآمن له حاليًا. وإذا لم يكن الرمز الآمن مطلوبًا، يمكن للمستخدم النقر على تجاوز. بالنسبة إلى Mac مثبت عليه macOS 10.13.5 أو أحدث، من الممكن منع مربع حوار الرمز الآمن تمامًا إذا لم يكن من المقرر استخدام خزنة الملفات مع حسابات الأجهزة المحمولة. لمنع مربع حوار الرمز الآمن، طبِّق أحد ملفات تعريف تكوين الإعدادات المخصصة من خدمة إدارة الأجهزة باستخدام المفاتيح والقيم التالية:
الإعداد | القيمة | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
النطاق | com.apple.MCX | ||||||||||
المفتاح | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
القيمة | صواب | ||||||||||
إذا كانت خدمة إدارة الأجهزة تدعم ميزة رمز bootstrap المميز وتم إنشاء رمز بواسطة Mac وإيداعه في الخدمة، فلن يرى مستخدمو حساب الجوّال هذه المطالبة. بدلًا من ذلك، يمنحهم macOS رمزًا آمنًا تلقائيًا أثناء تسجيل الدخول.
إذا كانت هناك حاجة إلى مستخدمين محليين إضافيين على Mac بدلًا من حسابات المستخدمين من خدمة دليل، يمنحهم macOS رمزًا مميزًا آمنًا تلقائيًا عند إنشائهم بواسطة مسؤول تم تمكين الرمز المميز الآمن له في "المستخدمون والمجموعات" (في إعدادات النظام في macOS 13 أو أحدث، أو في تفضيلات النظام في macOS 12.0.1 أو أقدم). عند إنشاء المستخدمين المحليين باستخدام سطر الأوامر، يمكن للمسؤول استخدام أداة سطر الأوامر sysadminctl، ويمكن اختياريًا تمكين رمز آمن لهم. على Mac مثبت عليه macOS 11 أو أحدث، إذا لم يقم macOS بمنح رمز آمن عند الإنشاء، وإذا كان رمز bootstrap متوفرًا من خدمة إدارة الأجهزة، فإنه يمنح رمزًا آمنًا للمستخدم المحلي عند تسجيل الدخول.
في هذه السيناريوهات، يمكن للمستخدمين التاليين فتح قفل وحدة التخزين المشفرة باستخدام خزنة الملفات:
المسؤول المحلي الأصلي المُستخدَم لتوفير البيانات
أي مستخدم إضافي لخدمة الدليل يُمنح رمزًا مميزًا آمنًا أثناء عملية تسجيل الدخول، إما بشكل تفاعلي باستخدام مطالبة مربع الحوار أو تلقائيًا باستخدام رمز Bootstrap المميز
أي مستخدم محلي جديد
لإزالة قدرة المستخدم على فتح قفل جهاز التخزين، استخدم fdesetup remove -user.
عند استخدام إحدى عمليات سير العمل الموضحة أعلاه، تتم إدارة الرمز الآمن بواسطة macOS دون الحاجة إلى أي تكوين إضافي أو برمجة نصية؛ تصبح تفصيلة في عملية تنفيذ وليست شيئًا يحتاج إلى إدارته أو معالجته بشكل نشط.
fdesetup command-line tool
يمكنك استخدام تكوينات إدارة الأجهزة أو أداة سطر الأوامر fdesetup لتكوين خزنة الملفات. بالنسبة إلى Mac مثبت عليه macOS 10.15 أو أحدث، لم يعد مدعومًا استخدام fdesetup لتشغيل خزنة الملفات من خلال توفير اسم المستخدم وكلمة السر ولن يكون متاحًا في أي إصدار مستقبلي. يستمر الأمر في العمل، ولكنه يظل مهملًا في macOS 11 و macOS 12.0.1. جرّب استخدام التمكين المؤجل باستخدام خدمة إدارة الأجهزة بدلًا من ذلك. لمزيد من المعلومات حول أداة سطر الأوامر fdesetup، شغّل تطبيق الوحدة الطرفية ثم أدخل man fdesetup أو fdesetup help.
مفاتيح الاسترداد المؤسسية مقابل الشخصية
يدعم خزنة الملفات على كل من وحدات تخزين CoreStorage و APFS استخدام مفتاح استرداد مؤسسي (IRK، المعروف سابقًا باسم هوية خزنة الملفات Master) لفتح قفل وحدة التخزين. على الرغم من أن IRK مفيد لعمليات سطر الأوامر لفتح قفل وحدة تخزين أو تعطيل خزنة الملفات تمامًا، إلا أن فائدته للمؤسسات محدودة، خاصة في الإصدارات الحديثة من macOS. وعلى Mac مزود برقاقات Apple، لا توفر مفاتيح IRK أي قيمة وظيفية لسببين رئيسيين: أولاً، لا يمكن استخدام مفاتيح IRK للوصول إلى recoveryOS، وثانيًا، نظرًا لأن نمط القرص المستهدف لم يعد مدعومًا، لا يمكن فتح قفل وحدة التخزين عن طريق توصيلها بكمبيوتر Mac آخر. لهذه الأسباب وغيرها، لم يعد يوصى باستخدام IRK للإدارة المؤسسية لخزنة الملفات على أجهزة كمبيوتر Mac. بدلاً من ذلك، يجب استخدام مفتاح استرداد شخصي (PRK). يوفر مفتاح PRK ما يلي:
آلية فعالة للغاية للاسترداد والوصول إلى نظام التشغيل
تشفير فريد لكل وحدة تخزين
إيداع في الضمان لدى خدمة إدارة الأجهزة
سهولة تدوير المفتاح بعد الاستخدام
بالنسبة إلى Mac مزود برقاقات Apple مثبت عليه macOS 12.0.1 أو أحدث، يمكن استخدام PRK إما في recoveryOS أو لبدء تشغيل Mac مشفر إلى macOS مباشرةً. في recoveryOS، يمكن استخدام PRK إذا طلب مساعد الاسترداد ذلك، أو مع خيار "نسيت كل كلمات السر"، لاكتساب الوصول إلى بيئة الاسترداد، التي بدورها تفتح قفل وحدة التخزين أيضًا. عند استخدام خيار "نسيت كل كلمات السر"، لا يلزم إعادة تعيين كلمة سر المستخدم؛ يمكن النقر على زر الإنهاء للبدء مباشرة في recoveryOS. لبدء تشغيل macOS مباشرة على أجهزة كمبيوتر Mac المستندة إلى Intel، انقر على علامة الاستفهام بجوار حقل كلمة السر، ثم اختر الخيار بغية "إعادة التعيين باستخدام مفتاح الاسترداد". أدخل PRK، ثم اضغط على مفتاح الرجوع أو انقر على السهم. بعد بدء تشغيل macOS، اضغط على إلغاء في مربع حوار تغيير كلمة السر.
أيضا، بالنسبة إلى Mac مزود برقاقات Apple مثبت عليه macOS 12.0.1 أو أحدث، اضغط على option-⌥-⇧-⮑ لإظهار حقل إدخال PRK، ثم اضغط على ⮑ (أو انقر على السهم).
لا يوجد سوى مفتاح PRK واحد لكل وحدة تخزين مشفرة، وأثناء تمكين خزنة الملفات من خدمة إدارة الأجهزة، يمكنك إخفاؤه اختياريًا عن المستخدم. عند تكوينه للإيداع في الضمان لدى خدمة إدارة الأجهزة، توفر مفتاحًا عامًا إلى Mac في شكل شهادة يتم استخدامها بعد ذلك لتشفير PRK بشكل غير متماثل في تنسيق مغلف CMS. يتم إرجاع مفتاح PRK المشفّر إلى الخدمة في استعلام معلومات الأمن، حيث يمكن بعد ذلك للمؤسسة فك تشفيره لعرضه. نظرًا إلى أن التشفير غير متماثل، فقد لا تتمكن الخدمة بحد ذاتها من فك تشفير مفتاح PRK (وهذا قد يتطلب خطوات إضافية من قِبل المسؤول). ومع ذلك، يوفر العديد من مطوري خدمة إدارة الأجهزة خيار إدارة هذه المفاتيح للسماح بعرضها مباشرةً في منتجاتهم. يمكن أن تقوم خدمة إدارة الأجهزة أيضًا بتدوير مفاتيح PRK بشكل اختياري بقدر ما هو مطلوب للمساعدة في الحفاظ على وضع أمني قوي—على سبيل المثال، بعد استخدام PRK لفتح قفل وحدة التخزين.
يمكن استخدام PRK في نمط القرص المستهدف على أجهزة كمبيوتر Mac غير مزودة برقاقات Apple لفتح قفل وحدة التخزين:
1. وصّل Mac الموجود في نمط القرص المستهدف بكمبيوتر Mac آخر مثبت عليه الإصدار نفسه أو إصدار أحدث من macOS.
2. افتح تطبيق الوحدة الطرفية، ثم شغّل الأمر التالي وابحث عن اسم وحدة التخزين (عادةً ما يكون "Macintosh HD"). يجب أن تظهر البيانات على النحو التالي، "نقطة التحميل: لم يتم التحميل" و"خزنة الملفات: نعم (مقفل)." دوِّن معرف قرص وحدة تخزين APFS الخاص بوحدة التخزين، والذي سيبدو مثل disk3s2 لكن بأرقام مختلفة على الأرجح، مثل disk4s5.
diskutil apfs list3. شغّل الأمر التالي، ثم ابحث عن مستخدم مفتاح الاسترداد الشخصي ودوِّن معرف UUID المدرج:
diskutil apfs listUsers /dev/<diskXsN>4. شغّل هذا الأمر:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. في مطالبة عبارة الدخول، الصق PRK أو أدخله، ثم اضغط على ⮑. يتم تحميل وحدة التخزين في فايندر.