إدارة خزنة الملفات في macOS
في macOS، يمكن للمؤسسات إدارة خزنة الملفات باستخدام SecureToken أو رمز Bootstrap.
استخدام الرمز الآمن
يغير نظام ملفات Apple (APFS) في macOS 10.13 أو أحدث كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عند قيام المستخدم أو المؤسسة بتشغيل خزنة الملفات على Mac. في macOS على وحدات تخزين APFS، يتم إنشاء المفاتيح إما أثناء إنشاء المستخدم، أو تعيين كلمة سر المستخدم الأول، أو أثناء تسجيل الدخول الأول بواسطة مستخدم الـ Mac. يعد هذا التطبيق لمفاتيح التشفير، عند إنشائها، وكيفية تخزينها جزءًا من ميزة تُعرف باسم الرمز الآمن. وعلى وجه التحديد، فإن الرمز الآمن هو إصدار مغلف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يمكن للمستخدم متابعة التالي:
استخدام الأدوات والعمليات الموجودة، مثل مفتاح الاسترداد الشخصي (PRK) الذي يمكن تخزينه باستخدام حل إدارة جهاز الجوال (MDM) للضمان
تأجيل تمكين خزنة الملفات حتى يقوم المستخدم بتسجيل الدخول إلى Mac أو الخروج منه
إنشاء مفتاح استرداد مؤسسي (IRK) واستخدامه
في macOS 11، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على الـ Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض عمليات سير العمل، قد لا يكون هذا هو السلوك المطلوب، كما في السابق، فمنح أول رمز آمن يتطلب من حساب المستخدم تسجيل الدخول. لمنع حدوث ذلك، أضف ;DisabledTags;SecureToken إلى سمة المستخدم التي تم إنشاؤها برمجيًا AuthenticationAuthority قبل تعيين كلمة سر المستخدم كما هو موضح أدناه:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"استخدام رمز Bootstrap
قدَّم macOS 10.15 ميزة جديدة—رمز Bootstrap—للمساعدة على منح رمز آمن لكل من حسابات الجوال وحساب المسؤول الذي أنشأه تسجيل الجهاز الاختياري ("المسؤول المُدار"). على الـ macOS 11، يمكن لرمز Bootstrap منح رمز آمن لأي مستخدم يقوم بتسجيل الدخول إلى كمبيوتر Mac، بما في ذلك حسابات المستخدمين المحليين. يتطلب استخدام ميزة رمز Bootstrap في macOS 10.15 أو أحدث ما يلي:
تسجيل الـ Mac في MDM باستخدام Apple School Manager أو Apple Business Manager، مما يجعل الـ Mac خاضعًا للإشراف
دعم مورد MDM
على الـ macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap وإيداعه في الضمان لدى MDM مع تسجيل الدخول الأول من قِبل أي مستخدم تم تمكين الرمز الآمن لديه–إذا كان حل MDM يدعم تلك الميزة. يمكن أيضًا إنشاء رمز Bootstrap وإيداعه في الضمان لدى حل MDM باستخدام أداة سطر الأوامر profiles، إذا لزم الأمر.
على الـ macOS 11 يمكن كذلك استخدام رمز Bootstrap لأكثر من مجرد منح رمز آمن لحسابات المستخدمين. على الـ Mac المزود برقاقات Apple، يمكن استخدام رمز Bootstrap، إذا كان متوفرًا، للسماح بتثبيت كل من ملحقات Kernel وتحديثات البرامج عند إدارتهما باستخدام MDM.
مفاتيح الاسترداد المؤسسية مقابل مفاتيح الاسترداد الشخصية
تدعم خزنة الملفات على كل من وحدات التخزين CoreStorage و APFS استخدام مفتاح استرداد مؤسسي (IRK، يُعرف سابقًا باسم الهوية الرئيسية لخزنة الملفات) لفتح قفل وحدة التخزين. بالرغم من أن مفتاح الاسترداد المؤسسي (IRK) مفيد لعمليات سطر الأوامر لفتح قفل وحدة تخزين أو إيقاف خزنة الملفات كليًا، فإن فائدته بالنسبة إلى المؤسسات محدودة، خصوصًا عند استخدام الإصدارات الحديثة من macOS. وعلى Mac مزود برقاقات Apple، لا توفر مفاتيح IRK قيمة وظيفية، وذلك لسببين رئيسيين: أولًا، لا يمكن استخدام مفاتيح IRK للوصول إلى recoveryOS، وثانيًا، لأن نمط القرص المستهدف لم يعد مدعومًا، لا يمكن فتح قفل وحدة التخزين عن طريق توصيلها بـ Mac آخر. لهذين السببين وأكثر، لم يعد يوصى باستخدام IRK للإدارة المؤسسية لخزنة الملفات على أجهزة كمبيوتر Mac. بدلًا من ذلك، ينبغي استخدام مفتاح استرداد شخصي (PRK).