إدارة خزنة الملفات باستخدام إدارة جهاز الجوال
يمكن إدارة تشفير قرص خزنة الملفات الكامل في المؤسسات باستخدام حل إدارة جهاز الجوال (MDM)، أو بالنسبة لبعض عمليات النشر والتكوينات المتقدمة، أداة سطر الأوامر fdesetup
. يُشار إلى إدارة خزنة الملفات باستخدام MDM باسم التمكين المُؤجَّل، ويتطلب حدث تسجيل خروج أو تسجيل دخول من المستخدم. يمكن لحل MDM تخصيص خيارات مثل:
عدد المرات التي يمكن للمستخدم خلالها تأجيل تمكين خزنة الملفات
ما إذا كانت ستتم مطالبة المستخدم عند تسجيل الخروج بالإضافة إلى مطالبته عند تسجيل الدخول
ما إذا كان سيتم إظهار مفتاح الاسترداد للمستخدم
الشهادة المستخدمة لتشفير مفتاح الاسترداد بشكل غير متماثل لإيداعه في الضمان لدى حل MDM
يتطلب تمكين المستخدم من فتح قفل وحدة التخزين على وحدات تخزين APFS أن يكون لديه رمز آمن، وعلى Mac مزود برقاقات Apple، أن يكون مالك وحدة التخزين. لمزيد من المعلومات حول الرموز الآمنة وملكية وحدة التخزين، انظر استخدام الرمز الآمن ورمز bootstrap وملكية وحدة التخزين في عمليات النشر. نوفر فيما يلي معلومات حول كيفية وتوقيت منح المستخدمين رمزًا آمنًا في عمليات سير عمل محددة.
فرض خزنة الملفات في مساعد الإعداد
باستخدام المفتاح ForceEnableInSetupAssistant
، قد يُطلب من أجهزة كمبيوتر Mac تشغيل خزنة الملفات أثناء مساعد الإعداد. وهذا يضمن أن وحدة التخزين الداخلية في أجهزة كمبيوتر Mac المُدارة تكون مشفرة دائمًا قبل استخدامها. يمكن للمؤسسات أن تقرر ما إذا كانت تريد إظهار مفتاح استرداد خزنة الملفات للمستخدم أو إيداع مفتاح الاسترداد الشخصي. لاستخدام هذه الميزة، تأكد من تعيين await_device_configured
ملاحظة: قبل macOS 14.4، كانت هذه الميزة تتطلب أن يتمتع حساب المستخدم الذي تم إنشاؤه بشكل تفاعلي أثناء مساعد الإعداد بدور المسؤول.
عندما يقوم المستخدم بإعداد Mac بنفسه
عندما يقوم المستخدم بإعداد Mac بنفسه، فإن أقسام تقنية المعلومات لا تنفذ أي مهام لتوفير البيانات في الجهاز الفعلي. ويتم توفير جميع السياسات والتكوينات باستخدام أحد حلول إدارة جهاز الجوال (MDM) أو أدوات إدارة التكوينات. يُستخدم مساعد الإعداد لإنشاء الحساب المحلي الأولي، ويُمنح المستخدم رمزًا آمنًا. إذا كان حل MDM يدعم ميزة رمز bootstrap ويُبلِغ Mac أثناء التسجيل في MDM، يتم إنشاء رمز bootstrap بواسطة Mac ويُودع في الضمان لدى حل MDM.
وإذا كان Mac مسجلاً في أحد حلول MDM، فقد لا يكون الحساب الأولي حساب مسؤول محلي، بل حساب مستخدم قياسي محلي. إذا تم تخفيض رتبة المستخدم إلى مستخدم قياسي باستخدام MDM، يُمنح المستخدم رمزًا آمنًا تلقائيًا. في macOS 10.15.4 أو أحدث، إذا تم تخفيض دور المستخدم، يتم إنشاء رمز bootstrap تلقائيًا وإيداعه في حل MDM عند تسجيل الدخول إذا كان يدعم الميزة.
إذا تم تخطي إنشاء حساب مستخدم محلي في مساعد الإعداد كليًا باستخدام MDM وتم استخدام خدمة دليل مع حسابات الجوّال بدلاً من ذلك، يُمنح مستخدم حساب الجوال رمزًا آمنًا أثناء تسجيل الدخول. باستخدام حساب محمول، بعد تمكين الرمز الآمن للمستخدم، في macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap تلقائيًا أثناء تسجيل الدخول الثاني للمستخدم وإيداعه في الضمان لدى حل MDM إذا كان يدعم الميزة.
في أي من السيناريوهات المذكورة أعلاه، نظرًا لأنه يتم منح رمز آمن للمستخدم الأول والمستخدم الأساسي، يمكن تمكين خزنة الملفات لهما باستخدام التمكين المؤجّل. ويسمح التمكين المؤجل للمؤسسة بتشغيل خزنة الملفات، ولكنه يؤجل تمكينه حتى يقوم مستخدم ما بتسجيل الدخول إلى Mac أو تسجيل الخروج منه. من الممكن أيضًا تخصيص ما إذا كان بإمكان المستخدم تخطي تشغيل خزنة الملفات (لعدد محدد من المرات، اختياريًا). وتكون النتيجة النهائية أن المستخدم الأساسي للـ Mac—سواء كان مستخدمًا محليًا من أي نوع أو حسابًا جوّالاً—يكون بإمكانه فتح قفل جهاز التخزين عند تشفيره باستخدام خزنة الملفات.
على أجهزة كمبيوتر Mac التي تم عليها إنشاء رمز Bootstrap وإيداعه في الضمان لدى حل MDM، إذا قام مستخدم آخر بتسجيل الدخول إلى Mac في تاريخ ووقت مستقبليين، يُستخدم رمز Bootstrap لمنح رمز آمن تلقائيًا. وهذا يعني تمكين الحساب أيضًا لاستخدام خزنة الملفات وقدرته على فتح قفل وحدة تخزين خزنة الملفات. لإزالة قدرة المستخدم على فتح قفل جهاز التخزين، استخدم fdesetup remove -user
.
عندما يتم توفير Mac من قِبل المؤسسة
عند توفير Mac من قِبل مؤسسة قبل منحه لأحد المستخدمين، يقوم قسم تقنية المعلومات بإعداد الجهاز. يُستخدم الحساب الإداري المحلي الذي تم إنشاؤه إما في مساعد الإعداد أو الذي تم الحصول عليه باستخدام MDM، لتوفير أو إعداد Mac، ويُمنح أول رمز آمن أثناء تسجيل الدخول. إذا كان حل MDM يدعم ميزة رمز Bootstrap، يتم أيضًا إنشاء رمز Bootstrap وإيداعه في حل MDM.
إذا تم ربط Mac بخدمة دليل وتم تكوينه لإنشاء حسابات جوّال ولم يكن هناك رمز Bootstrap، يُطلب من مستخدم خدمة الدليل عند تسجيل الدخول لأول مرة اسم المستخدم وكلمة السر لمسؤول رمز أمان موجود من أجل منح حسابه رمزًا آمنًا. يجب إدخال بيانات اعتماد المسؤول المحلي الذي تم تمكين ميزة الرمز الآمن له حاليًا. وإذا لم يكن الرمز الآمن مطلوبًا، يمكن للمستخدم النقر على تجاوز. في macOS 10.13.5 أو أحدث، من الممكن منع مربع حوار الرمز الآمن تمامًا إذا لم يكن من المقرر استخدام خزنة الملفات مع حسابات الجوّال. لمنع مربع حوار الرمز الآمن، طبِّق أحد ملفات تعريف تكوين الإعدادات المخصصة من حل MDM باستخدام المفاتيح والقيم التالية:
الإعداد | القيمة | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
النطاق | com.apple.MCX | ||||||||||
المفتاح | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
القيمة | صواب |
إذا كان حل MDM يدعم ميزة رمز Bootstrap المميز وتم إنشاء رمز بواسطة Mac وإيداعه في حل MDM، فلن يرى مستخدمو حساب الجوّال هذه المطالبة. بدلاً من ذلك، يتم منحهم رمزًا آمنًا تلقائيًا أثناء تسجيل الدخول.
إذا كانت هناك حاجة إلى مستخدمين محليين إضافيين على Mac بدلاً من حسابات المستخدمين من خدمة دليل، يتم منح هؤلاء المستخدمين المحليين رمزًا مميزًا آمنًا تلقائيًا عند إنشائهم في "المستخدمون والمجموعات" (في إعدادات النظام في macOS 13 أو أحدث، أو في تفضيلات النظام في macOS 12.0.1 أو أقدم) بواسطة مسؤول حالي تم تمكين الرمز المميز الآمن له. إذا لزم إنشاء المستخدمين المحليين باستخدام سطر الأوامر، يمكن استخدام أداة سطر الأوامر sysadminctl
، ويمكن اختياريًا تمكين الرمز الآمن لهم. حتى إذا لم يتم منحه رمزًا مميزًا آمنًا في وقت الإنشاء، في macOS 11 أو أحدث، يتم منح المستخدم المحلي الذي يسجل الدخول إلى Mac رمزًا مميزًا آمنًا أثناء تسجيل الدخول في حالة توفر رمز bootstrap من حل MDM.
في هذه السيناريوهات، يمكن للمستخدمين التاليين فتح قفل وحدة التخزين المشفرة باستخدام خزنة الملفات:
المسؤول المحلي الأصلي المُستخدَم لتوفير البيانات
أي مستخدم إضافي لخدمة الدليل يُمنح رمزًا مميزًا آمنًا أثناء عملية تسجيل الدخول، إما بشكل تفاعلي باستخدام مطالبة مربع الحوار أو تلقائيًا باستخدام رمز Bootstrap المميز
أي مستخدم محلي جديد
لإزالة قدرة المستخدم على فتح قفل جهاز التخزين، استخدم fdesetup remove -user
.
عند استخدام إحدى عمليات سير العمل الموضحة أعلاه، تتم إدارة الرمز الآمن بواسطة macOS دون الحاجة إلى أي تكوين إضافي أو برمجة نصية؛ تصبح تفصيلة في عملية تنفيذ وليست شيئًا يحتاج إلى إدارته أو معالجته بشكل نشط.
fdesetup command-line tool
يمكن استخدام تكوينات MDM أو أداة سطر الأوامر fdesetup
لتكوين خزنة الملفات. في macOS 10.15 أو أحدث، لم يعد مدعومًا استخدام fdesetup
لتشغيل خزنة الملفات من خلال توفير اسم المستخدم وكلمة السر ولن يتم التعرف عليهما في أي إصدار مستقبلي. يستمر الأمر في العمل ولكنه يظل مهملاً في macOS 11 و macOS 12.0.1. جرّب استخدام التمكين المؤجل باستخدام MDM بدلاً من ذلك. لمزيد من المعلومات حول أداة سطر الأوامر fdesetup
، شغّل تطبيق الوحدة الطرفية ثم أدخل man fdesetup
أو fdesetup help
.
مفاتيح الاسترداد المؤسسية مقابل الشخصية
يدعم خزنة الملفات على كل من وحدات تخزين CoreStorage و APFS استخدام مفتاح استرداد مؤسسي (IRK، المعروف سابقًا باسم هوية خزنة الملفات Master) لفتح قفل وحدة التخزين. على الرغم من أن IRK مفيد لعمليات سطر الأوامر لفتح قفل وحدة تخزين أو تعطيل خزنة الملفات تمامًا، إلا أن فائدته للمؤسسات محدودة، خاصة في الإصدارات الحديثة من macOS. وعلى Mac مزود برقاقات Apple، لا توفر مفاتيح IRK أي قيمة وظيفية لسببين رئيسيين: أولاً، لا يمكن استخدام مفاتيح IRK للوصول إلى recoveryOS، وثانيًا، نظرًا لأن نمط القرص المستهدف لم يعد مدعومًا، لا يمكن فتح قفل وحدة التخزين عن طريق توصيلها بكمبيوتر Mac آخر. لهذه الأسباب وغيرها، لم يعد يوصى باستخدام IRK للإدارة المؤسسية لخزنة الملفات على أجهزة كمبيوتر Mac. بدلاً من ذلك، يجب استخدام مفتاح استرداد شخصي (PRK). يوفر مفتاح PRK ما يلي:
آلية فعالة للغاية للاسترداد والوصول إلى نظام التشغيل
تشفير فريد لكل وحدة تخزين
إيداع في الضمان لدى MDM
سهولة تدوير المفتاح بعد الاستخدام
يمكن استخدام PRK إما في recoveryOS أو لبدء تشغيل Mac مشفر في macOS مباشرة (يتطلب macOS 12.0.1 أو أحدث لأجهزة كمبيوتر Mac المزودة برقاقات Apple). في recoveryOS، يمكن استخدام PRK إذا طلب مساعد الاسترداد ذلك، أو مع خيار "نسيت كل كلمات السر"، لاكتساب الوصول إلى بيئة الاسترداد، التي بدورها تفتح قفل وحدة التخزين أيضًا. عند استخدام خيار "نسيت كل كلمات السر"، لا يلزم إعادة تعيين كلمة سر المستخدم؛ يمكن النقر على زر الإنهاء للبدء مباشرة في recoveryOS. لبدء تشغيل macOS مباشرة على أجهزة كمبيوتر Mac المستندة إلى Intel، انقر على علامة الاستفهام بجوار حقل كلمة السر، ثم اختر الخيار بغية "إعادة التعيين باستخدام مفتاح الاسترداد". أدخل PRK، ثم اضغط على مفتاح الرجوع أو انقر على السهم. بعد بدء تشغيل macOS، اضغط على إلغاء في مربع حوار تغيير كلمة السر. على Mac مزود برقاقات Apple مثبت عليه macOS 12.0.1 أو أحدث، اضغط على option-shift-⮑ لإظهار حقل إدخال PRK، ثم اضغط على ⮑ (أو انقر على السهم).
لا يوجد سوى مفتاح PRK واحد لكل وحدة تخزين مشفرة، وأثناء تمكين خزنة الملفات من MDM، يمكن إخفاؤه اختياريًا عن المستخدم. عند تكوينه للإيداع في الضمان لدى MDM، يوفر MDM مفتاحًا عامًا إلى Mac في شكل شهادة يتم استخدامها بعد ذلك لتشفير PRK بشكل غير متماثل في تنسيق مغلف CMS. يتم إرجاع مفتاح PRK المشفّر إلى MDM في استعلام معلومات الأمن، ويمكن بعد ذلك فك تشفيره لعرضه بواسطة المؤسسة. نظرًا لأن التشفير غير متماثل، فقد لا يتمكن حل MDM بحد ذاته من فك تشفير مفتاح PRK (وهذا قد يتطلب خطوات إضافية من قِبل المسؤول). ومع ذلك، يوفر العديد من بائعي MDM خيار إدارة هذه المفاتيح للسماح بعرضها مباشرةً في منتجاتهم. يمكن أن يقوم MDM أيضًا بتدوير مفاتيح PRK بشكل اختياري بقدر ما هو مطلوب للمساعدة في الحفاظ على وضع أمني قوي—على سبيل المثال، بعد استخدام PRK لفتح قفل وحدة التخزين.
يمكن استخدام PRK في نمط القرص المستهدف على أجهزة كمبيوتر Mac غير مزودة برقاقات Apple لفتح قفل وحدة التخزين:
1. وصّل Mac الموجود في نمط القرص المستهدف بكمبيوتر Mac آخر مثبت عليه الإصدار نفسه أو إصدار أحدث من macOS.
2. افتح تطبيق الوحدة الطرفية، ثم شغّل الأمر التالي وابحث عن اسم وحدة التخزين (عادةً ما يكون "Macintosh HD"). يجب أن تظهر البيانات على النحو التالي، "نقطة التحميل: لم يتم التحميل" و"خزنة الملفات: نعم (مقفل)." دوِّن معرف قرص وحدة تخزين APFS الخاص بوحدة التخزين، والذي سيبدو مثل disk3s2 لكن بأرقام مختلفة على الأرجح، مثل disk4s5.
diskutil apfs list
3. شغّل الأمر التالي، ثم ابحث عن مستخدم مفتاح الاسترداد الشخصي ودوِّن معرف UUID المدرج:
diskutil apfs listUsers /dev/<diskXsN>
4. شغّل هذا الأمر:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>
5. في مطالبة عبارة الدخول، الصق PRK أو أدخله، ثم اضغط على ⮑. يتم تحميل وحدة التخزين في فايندر.