Administrer FileVault med enhedsadministration
Organisationer kan administrere fuld FileVault-diskkryptering vha. en tjeneste til enhedsadministration eller, til visse avancerede implementeringer og konfigurationer, med kommandolinjeværktøjet fdesetup . Administration af FileVault vha. en tjeneste til enhedsadministration kaldes udskudt aktivering og kræver, at brugeren logger ud eller ind. En tjeneste til enhedsadministration kan også tilpasse forskellige indstillinger, f.eks.:
Det antal gange, en bruger kan udskyde aktivering af FileVault
Om brugeren ud over at acceptere at logge ind også skal acceptere at logge ud
Om gendannelsesnøglen skal vises for brugeren
Hvilket certifikat der skal bruges til asymmetrisk kryptering af gendannelsesnøglen til deponering i tjenesten til enhedsadministration
Hvis brugerne skal kunne låse lageret op på APFS-enheder, skal de have et sikkert token, og på Mac-computere med Apple Silicon skal de desuden være enhedsejere. Du kan få flere oplysninger om sikre tokens og enhedsejerskab i Brug sikkert token, Bootstrap Token og enhedsejerskab i implementeringer. Oplysninger om hvordan og hvornår brugere tildeles et sikkert token i bestemte arbejdsgange finder du nedenfor.
Gennemtving FileVault i Indstillingsassistent
Ved brug af ForceEnableInSetupAssistant-nøglen kan det kræves, at Mac-computere slår FileVault til under Indstillingsassistent. Dette sikrer, at den interne lagringsplads i administrerede Mac-computere altid krypteres før brug. Organisationer kan beslutte, om FileVault-gendannelsesnøglen skal vises til brugeren, eller om den personlige gendannelsesnøgle skal deponeres. Sørg for, at await_device_configured er indstillet fr at bruge denne funktion.
Bemærk: I ældre versioner end macOS 14.4 krævede denne funktion, at brugerkontoen, som oprettes interaktivt i Indstillingsassistent, har rollen Administrator.
Når en bruger indstiller en Mac på egen hånd
Bemærk: Tjenesten til enhedsadministration skal understøtte bestemte funktioner for at få sikre tokens og Bootstrap Tokens til at fungere på en Mac.
Når en bruger indstiller en Mac på egen hånd, udfører it-afdelingen ingen klargøringsopgaver på selve enheden. Du leverer alle politikker og konfigurationer via en tjeneste til enhedsadministration eller via administrationsværktøjer til konfiguration. Indstillingsassistent opretter den første lokale konto og tildeler brugeren et sikkert token, og Mac-computeren genererer et Bootstrap Token og deponerer det i tjenesten til enhedsadministration.
Hvis Mac-computeren tilmeldes en tjeneste til enhedsadministration, er den første konto muligvis ikke en lokal administratorkonto, men derimod en lokal standardbrugerkonto. Hvis du nedgraderer brugeren til standardbruger vha. en tjeneste, tildeler den automatisk brugeren et sikkert token. Hvis du nedgraderer brugeren på en Mac med macOS 10.15.4 eller en nyere version, genererer macOS automatisk et Bootstrap Token og deponerer det i tjenesten til enhedsadministration.
Hvis du vælger, at oprettelse af en lokal brugerkonto i Indstillingsassistent vha. en tjeneste til enhedsadministration skal springes over, og i stedet bruger en bibliotekstjeneste med mobile konti, sørger tjenesten for at tildele brugeren af den mobile konto et sikkert token, når brugeren logger ind. Når brugeren med en mobil konto er aktiveret på en Mac med macOS 10.15.4 eller en nyere version, vil macOS automatisk generere et Bootstrap Token og deponere det i tjenesten til enhedsadministration, når brugeren logger ind for anden gang.
Hvis en tjeneste til enhedsadministration springer oprettelse af en lokal brugerkonto over i Indstillingsassistent og bruger en bibliotekstjeneste med mobile konti i stedet for, sørger tjenesten til enhedsadministration for at tildele brugeren et sikkert token, når vedkommende logger ind. På en Mac med macOS 10.15.4 eller en nyere version, hvor brugeren af en mobil konto har et sikkert token, genererer macOS automatisk et Bootstrap Token og deponerer det i tjenesten til enhedsadministration.
I ovenstående situationer tildeler macOS den første og primære bruger et sikkert token, og derfor kan brugeren aktivere FileVault ved hjælp af udskudt aktivering. Det giver dig mulighed for at slå FileVault til, men udskyde aktiveringen af den, indtil en bruger logger ind på eller ud af Mac. Du kan også vælge, om brugeren skal kunne springe aktivering af FileVault over (evt. et defineret antal gange). Dermed har den primære bruger af Mac-computeren, uanset om det er en lokal bruger af en hvilken som helst type eller en mobil konto, mulighed for at låse FileVault-enheden op.
Hvis en anden bruger logger ind på en Mac på et senere tidspunkt, hvor macOS har genereret et Bootstrap Token og deponeret det i en tjeneste til enhedsadministration, bruger macOS dette Bootstrap Token til automatisk at tildele den anden bruger et sikkert token. Dette betyder, at kontoen også er aktiveret for FileVault og kan låse FileVault-enheden op. Brug fdesetup remove -user til at fjerne en brugers mulighed for at låse lagringsenheden op.
Når en organisation klargør en Mac
Når en organisation klargør en Mac, inden den udleveres til brugeren, er det it-afdelingen, der indstiller enheden. Du bruger den lokale administratorkonto – som du opretter i Indstillingsassistent eller ved at klargøre en med en tjeneste til enhedsadministration – til at klargøre eller indstille Mac-computeren, og operativsystemet tildeler den det første sikre token, når brugeren logger ind. Hvis tjenesten understøtter Bootstrap Token-funktionen, vil operativsystemet også generere et Bootstrap Token og deponere det.
Hvis der ikke findes et Bootstrap Token på en Mac-computer, som er tilmeldt en bibliotekstjeneste og konfigureret til at oprette mobile konti, bliver brugere af bibliotekstjenesten bedt om at angive en eksisterende sikkert token-administrators brugernavn og adgangskode, første gang de logger ind, for at få tildelt et sikkert token til deres konto. Brugerne skal skrive godkendelsesoplysningerne for en lokal administrator med sikkert token slået til. Hvis et sikkert token ikke er påkrævet, kan brugerne klikke på Tilsidesæt. På en Mac med macOS 10.13.5 eller en nyere version er det muligt helt at skjule dialogen om sikkert token, hvis du ikke skal bruge FileVault til de mobile konti. Hvis du vil udelade dialogen om sikkert token, skal du anvende en konfigurationsprofil med specielle indstillinger fra tjenesten til enhedsadministration med følgende nøgler og værdier:
Indstilling | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | True | ||||||||||
Hvis tjenesten til enhedsadministration understøtter Bootstrap Token-funktionen, og Mac-computeren genererer et Bootstrap Token og deponerer det i tjenesten, vil brugere af mobile konti ikke se dialogen. I stedet tildeler macOS dem automatisk et sikkert token, når de logger ind.
Hvis det er nødvendigt at have flere lokale brugere på Mac-computeren i stedet for brugerkonti fra en bibliotekstjeneste, tildeler macOS dem automatisk et sikkert token, når en administrator med sikkert token slået til opretter disse lokale brugere i Brugere & grupper (i Systemindstillinger (System Settings) i macOS 13 eller nyere versioner eller i Systemindstillinger (System Preferences) i macOS 12.0.1 eller tidligere versioner). Når der oprettes lokale brugere fra kommandolinjen, kan administratoren bruge kommandolinjeværktøjet sysadminctl og eventuelt også slå sikkert token til for dem. Hvis macOS ikke tildeler et sikkert token ved oprettelsen, og hvis et Bootstrap Token er tilgængeligt fra tjenesten til enhedsadministration, tildeler macOS lokale brugere et sikkert token, når de logger ind på en Mac med macOS 11 eller en nyere version.
I disse situationer kan følgende brugere låse den enhed, der er krypteret med FileVault, op:
Den oprindelige lokale administrator, der blev brugt til klargøring
Brugere af en bibliotekstjeneste, der fik tildelt et sikkert token, da de loggede ind – enten interaktivt via dialogen eller automatisk med Bootstrap Token
Alle nye lokale brugere
Brug fdesetup remove -user til at fjerne en brugers mulighed for at låse lagringsenheden op.
Når ovenstående fremgangsmåder bruges, håndteres det sikre token af macOS uden behov for særlig konfiguration eller afvikling af instrukser. Det sikre token er blot et led i implementeringen og skal ikke administreres eller håndteres aktivt.
Kommandolinjeværktøjet fdesetup
Du kan bruge konfigurationer til enhedsadministration eller kommandolinjeværktøjet fdesetup til at konfigurere FileVault. På en Mac med macOS 10.15 eller en nyere version udfases muligheden for at slå FileVault til med fdesetup ved at angive brugernavn og adgangskode, og den vil ikke være tilgængelig i en senere version. Kommandoen virker fortsat, men er udfaset i macOS 11 og macOS 12.0.1. Overvej at bruge udskudt aktivering ved hjælp af en tjeneste til enhedsadministration i stedet. Du kan få flere oplysninger om kommandolinjeværktøjet fdesetup ved at starte appen Terminal og skrive man fdesetup eller fdesetup help.
Gendannelsesnøgler fra organisationen kontra personlige gendannelsesnøgler
FileVault på både CoreStorage og APFS-enheder understøtter brugen af gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key – tidligere kaldet FileVault Master-identitet) til at låse enheden op. Selvom en IRK er nyttig til kommandolinjehandlinger som at låse en enhed op eller deaktivere FileVault fuldstændigt, er anvendeligheden for organisationer begrænset, særligt i nyere versioner af macOS. Og på en Mac med Apple Silicon udgør IRK’er ingen særlig værdi, primært af to årsager: For det første kan IRK’er ikke bruges til at få adgang til gendannelsessystemet, og for det andet understøttes funktionen Computer som ekstern harddisk ikke længere, og derfor kan enheden ikke låses op ved at forbinde den til en anden Mac-computer. Af disse og andre årsager anbefales det ikke længere at bruge en IRK til administration af FileVault på Mac-computere i organisationer. I stedet bør man bruge en PRK (personlig gendannelsesnøgle). En PRK har følgende fordele:
En meget robust mekanisme til gendannelse og operativsystemadgang
Unik kryptering af hver enhed
Deponering i tjenesten til enhedsadministration
Nem nøglerotation efter brug
På en Mac med Apple silicon og macOS 12.0.1 eller en nyere version kan en PRK bruges enten i macOS-gendannelse eller til at starte en krypteret Mac direkte i macOS. I macOS-gendannelse kan PRK’en bruges, hvis Gendannelsesassistent beder om det. Den kan også bruges sammen med Glemt alle adgangskoder til at få adgang til gendannelsesmiljøet, hvorved enheden også låses op. Når den bruges sammen med Glemt alle adgangskoder, behøver en brugers adgangskode ikke at blive nulstillet. Det er nok at klikke på knappen Afslut for at starte direkte i macOS-gendannelse. Hvis du vil starte macOS direkte på Intel-baserede Mac-computere, skal du klikke på spørgsmålstegnet ud for feltet til adgangskode og derefter vælge muligheden for at “nulstille den med din gendannelsesnøgle”. Indtast PRK’en, og tryk på Retur eller klik på pilen. Tryk på Annuller i dialogen til ændring af adgangskode, når macOS er startet.
På en Mac med Apple Silicon og macOS 12.0.1 eller en nyere version skal du trykke på Alternativ-Skift-Retur for at få vist feltet til indtastning af PRK’en og trykke på Retur (eller klikke på pilen).
Der er kun en PRK pr. krypteret enhed, og under aktivering af FileVault fra en tjeneste til enhedsadministration kan du vælge at skjule den for brugeren. Når den konfigureres til deponering i en tjeneste til enhedsadministration, leverer den en offentlig nøgle i form af et certifikat til en Mac, som den derefter bruger til at kryptere PRK’en asymmetrisk i et CMS Envelope-format. Den krypterede PRK returnerer til tjenesten i forespørgslen om sikkerhedsoplysninger, som en organisation derefter kan dekryptere, så den kan ses. Da krypteringen er asymmetrisk, er tjenesten måske ikke selv i stand til at dekryptere PRK’en. Derfor skal en administrator muligvis udføre yderligere trin. Mange udviklere af tjenester til enhedsadministration giver dog mulighed for at administrere disse nøgler, så det er muligt at se dem direkte i deres produkter. Tjenesten til enhedsadministration kan også rotere PRK’er så ofte, det er påkrævet, for at opretholde en stærk sikkerhedsstilling, f.eks. efter brug af en PRK til at låse en enhed op.
En PRK kan bruges på Mac-computere uden Apple Silicon til at låse en enhed op med funktionen Computer som ekstern harddisk:
1. Forbind Mac-computeren som ekstern harddisk til en anden Mac-computer med den samme eller en nyere version af macOS.
2. Åbn Terminal, og udfør følgende kommando. Kig efter navnet på enheden (normalt “Macintosh HD”). Der bør stå “Aktiveringspunkt: Passiv” og “FileVault”: Ja (Låst).” Noter enheds-id’et for APFS-disken, som har formatet disk3s2, men sandsynligvis med andre tal, f.eks. disk4s5.
diskutil apfs list3. Brug følgende kommando, og søg efter brugeren af den personlige gendannelsesnøgle. Noter det UUID, der vises:
diskutil apfs listUsers /dev/<diskXsN>4. Udfør denne kommando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Indsæt eller indtast PRK’en, når du bliver bedt om en adgangskode, og tryk på Retur. Enheden aktiveres i Finder.