Administrer FileVault med MDM (administration af mobile enheder)
Fuld FileVault-diskkryptering kan administreres i organisationer vha. en MDM-løsning (administration af mobile enheder ) eller af kommandolinjeværktøjet fdesetup i visse avancerede implementeringer og konfigurationer. Administration af FileVault vha. MDM kaldes for udskudt aktivering og kræver, at brugeren logger ud eller ind. MDM kan tilpasse muligheder som:
Hvor mange gange en bruger kan udskyde aktivering af FileVault
Om brugeren ud over at acceptere at logge ind også skal acceptere at logge ud
Om gendannelsesnøglen skal vises for brugeren
Hvilket certifikat der bruges til at kryptere gendannelsesnøglen asymmetrisk ved deponering til MDM-løsningen
Hvis brugerne skal kunne låse lageret op på APFS-enheder, skal de have et sikkert token, og på Mac-computere med Apple Silicon skal de desuden være enhedsejere. Du kan få flere oplysninger om sikre tokens og enhedsejerskab i Brug sikkert token, Bootstrap Token og enhedsejerskab i implementeringer. Oplysninger om hvordan og hvornår brugere tildeles et sikkert token i bestemte arbejdsgange finder du nedenfor.
Gennemtving FileVault i Indstillingsassistent
Ved brug af ForceEnableInSetupAssistant-nøglen kan det kræves, at Mac-computere slår FileVault til under Indstillingsassistent. Dette sikrer, at den interne lagringsplads i administrerede Mac-computere altid krypteres før brug. Organisationer kan beslutte, om FileVault-gendannelsesnøglen skal vises til brugeren, eller om den personlige gendannelsesnøgle skal deponeres. Sørg for, at await_device_configured er indstillet fr at bruge denne funktion.
Bemærk: I ældre versioner end macOS 14.4 kræver denne funktion, at brugerkontoen, som oprettes interaktivt i Indstillingsassistent, har rollen Administrator.
Når en bruger indstiller en Mac på egen hånd
Når en bruger indstiller en Mac på egen hånd, udfører it-afdelingen ingen klargøringsopgaver på selve enheden. Alle politikker og konfigurationer leveres via en MDM-løsning eller via administrationsværktøjer til konfiguration. Indstillingsassistent bruges til at oprette den første lokale konto, og brugeren tildeles et sikkert token. Hvis MDM-løsningen understøtter Bootstrap Token-funktionen og oplyser det til Mac-computeren under tilmelding til MDM, bliver et Bootstrap Token genereret af Mac-computeren og deponeret i MDM-løsningen.
Hvis Mac-computeren er tilmeldt en MDM-løsning, er den første konto muligvis ikke en lokal administratorkonto, men derimod en lokal standardbrugerkonto. Hvis brugeren nedgraderes til standardbruger i MDM, tildeles brugeren automatisk et sikkert token. Hvis brugeren nedgraderes, genereres der i macOS 10.15.4 og nyere versioner automatisk et Bootstrap Token, og det deponeres i MDM-løsningen, hvis den understøtter funktionen.
Hvis oprettelsen af en lokal brugerkonto i Indstillingsassistent springes over vha. MDM, og der i stedet bruges en bibliotekstjeneste med mobile konti, tildeles den mobile kontos bruger et sikkert token, når brugeren logger ind. Hvis brugeren har en mobil konto i macOS 10.15.4 og nyere versioner, og sikkert token er slået til for brugeren, genereres der automatisk et Bootstrap Token, anden gang brugeren logger ind, og det deponeres i MDM-løsningen, hvis den understøtter funktionen.
I ovenstående situationer tildeles den første og primære bruger et sikkert token, og FileVault kan derfor slås til for brugeren ved hjælp af udskudt aktivering. Udskudt aktivering giver organisationen mulighed for at slå FileVault til, men udskyde aktiveringen, indtil en bruger logger ind på eller ud af Mac. Det er også muligt at tilpasse, om brugeren skal kunne springe aktivering af FileVault over (valgfrit et defineret antal gange). Slutresultatet er, at den primære bruger af Mac, uanset om det er en lokal bruger eller en mobil konto, kan låse lagringsenheden op, når den er krypteret med FileVault.
På Mac-computere, hvor et Bootstrap Token er blevet genereret og deponeret i en MDM-løsning, bruges Bootstrap Token til automatisk at tildele et sikkert token, hvis en anden bruger på et senere tidspunkt logger ind på Mac. Dette betyder, at kontoen også er aktiveret for FileVault og kan låse FileVault-enheden op. Brug fdesetup remove -user til at fjerne en brugers mulighed for at låse lagringsenheden op.
Når en Mac klargøres af en organisation
Når en Mac klargøres af en organisation, inden den udleveres til en bruger, indstilles den af it-afdelingen. Den lokale administratorkonto, der blev oprettet i Indstillingsassistent eller klargjort ved hjælp af MDM, bruges til at klargøre eller indstille Mac og tildeles det første sikre token, når brugeren logger ind. Hvis MDM-løsningen understøtter Bootstrap Token-funktionen, genereres der også et Bootstrap Token, og det deponeres i MDM-løsningen.
Hvis der ikke er et Bootstrap Token på en Mac-computer, som er tilmeldt en bibliotekstjeneste og konfigureret til at oprette mobile konti, bliver brugere af bibliotekstjenesten bedt om en eksisterende sikkert token-administrators brugernavn og adgangskode, første gang de logger ind, for at få tildelt et sikkert token til deres konto. Brugeroplysningerne til en lokal administrator med sikkert token slået til skal indtastes. Hvis et sikkert token ikke er påkrævet, kan brugeren klikke på Tilsidesæt. I macOS 10.13.5 og nyere versioner er det muligt helt at udelade dialogen om sikkert token, hvis FileVault ikke skal bruges til de mobile konti. Hvis du vil udelade dialogen om sikkert token, skal du anvende en konfigurationsprofil med specielle indstillinger fra MDM-løsningen med følgende nøgler og værdier:
Indstilling | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | True | ||||||||||
Hvis MDM-løsningen understøtter Bootstrap Token-funktionen, og der blev genereret et Bootstrap Token af Mac, som blev deponeret i MDM-løsningen, vil brugere med mobile konti ikke se dialogen. De tildeles i stedet automatisk et sikkert token, når de logger ind.
Hvis det er nødvendigt med flere lokale brugere på Mac i stedet for brugerkonti fra en bibliotekstjeneste, tildeles disse lokale brugere automatisk et sikkert token, når de oprettes i Brugere & grupper (i Systemindstillinger i macOS 13 eller en nyere version eller Systemindstillinger i macOS 12.0.1 eller tidligere versioner) af en administrator med sikkert token slået til. Kommandolinjeværktøjet sysadminctl kan bruges til at oprette lokale brugere fra kommandolinjen og eventuelt slå sikkert token til for dem. Selvom en bruger ikke tildeles et sikkert token på oprettelsestidspunktet, tildeles en lokal bruger, der logger ind på en Mac med macOS 11 og nyere versioner, et sikkert token, hvis et Bootstrap Token er tilgængeligt fra MDM-løsningen.
I disse situationer kan følgende brugere låse den enhed, der er krypteret med FileVault, op:
Den oprindelige lokale administrator, der blev brugt til klargøring
Brugere af en bibliotekstjeneste, der fik tildelt et sikkert token, da de loggede ind – enten interaktivt via dialogen eller automatisk med Bootstrap Token
Alle nye lokale brugere
Brug fdesetup remove -user til at fjerne en brugers mulighed for at låse lagringsenheden op.
Når ovenstående fremgangsmåder bruges, håndteres det sikre token af macOS uden behov for særlig konfiguration eller afvikling af instrukser. Det sikre token er blot et led i implementeringen og skal ikke administreres eller håndteres aktivt.
Kommandolinjeværktøjet fdesetup
MDM-konfigurationer eller kommandolinjeværktøjet fdesetup kan bruges til at konfigurere FileVault. I macOS 10.15 og nyere versioner kan fdesetup bruges til at slå FileVault til ved at indtaste brugernavn og adgangskode. Denne mulighed udfases og vil ikke kunne bruges i en senere version. Kommandoen virker fortsat, men er udfaset i macOS 11 og macOS 12.0.1. Overvej at bruge udskudt aktivering ved hjælp af MDM i stedet. Du kan få flere oplysninger om kommandolinjeværktøjet fdesetup ved at starte appen Terminal og skrive man fdesetup eller fdesetup help.
Gendannelsesnøgler fra organisationen kontra personlige gendannelsesnøgler
FileVault på både CoreStorage og APFS-enheder understøtter brugen af gendannelsesnøgle fra organisationen (IRK – Institutional Recovery Key – tidligere kaldet FileVault Master-identitet) til at låse enheden op. Selvom en IRK er nyttig til kommandolinjehandlinger som at låse en enhed op eller deaktivere FileVault fuldstændigt, er anvendeligheden for organisationer begrænset, særligt i nyere versioner af macOS. Og på en Mac med Apple Silicon udgør IRK’er ingen særlig værdi, primært af to årsager: For det første kan IRK’er ikke bruges til at få adgang til gendannelsessystemet, og for det andet understøttes funktionen Computer som ekstern harddisk ikke længere, og derfor kan enheden ikke låses op ved at forbinde den til en anden Mac-computer. Af disse og andre årsager anbefales det ikke længere at bruge en IRK til administration af FileVault på Mac-computere i organisationer. I stedet bør man bruge en PRK (personlig gendannelsesnøgle). En PRK har følgende fordele:
En meget robust mekanisme til gendannelse og operativsystemadgang
Unik kryptering af hver enhed
Deponering til MDM
Nem nøglerotation efter brug
En PRK kan bruges enten i macOS-gendannelse eller til at starte en krypteret Mac-computer direkte i macOS (kræver macOS 12.0.1 og nyere versioner for en Mac med Apple Silicon). I macOS-gendannelse kan PRK’en bruges, hvis Gendannelsesassistent beder om det. Den kan også bruges sammen med Glemt alle adgangskoder til at få adgang til gendannelsesmiljøet, hvorved enheden også låses op. Når den bruges sammen med Glemt alle adgangskoder, behøver en brugers adgangskode ikke at blive nulstillet. Det er nok at klikke på knappen Afslut for at starte direkte i macOS-gendannelse. Hvis du vil starte macOS direkte på Intel-baserede Mac-computere, skal du klikke på spørgsmålstegnet ud for feltet til adgangskode og derefter vælge muligheden for at “nulstille den med din gendannelsesnøgle”. Indtast PRK’en, og tryk på Retur eller klik på pilen. Tryk på Annuller i dialogen til ændring af adgangskode, når macOS er startet. På en Mac med Apple Silicon og macOS 12.0.1 eller en nyere version skal du trykke på Alternativ-Skift-Retur for at få vist feltet til indtastning af PRK’en og trykke på Retur (eller klikke på pilen). Derefter starter macOS.
Der er kun en PRK pr. krypteret enhed, og under aktivering af FileVault fra MDM er det muligt at skjule den for brugeren. Når den er konfigureret til deponering til MDM, leverer MDM en offentlig nøgle til Mac-computeren i form af et certifikat, som bruges til at kryptere PRK’en asymmetrisk i et CMS Envelope-format. Den krypterede PRM returneres til MDM i forespørgslen om sikkerhedsoplysninger, som dernæst kan dekrypteres, så den kan ses af en organisation. Da krypteringen er asymmetrisk, er MDM måske ikke selv i stand til at dekryptere PRK’en. Derfor kan det blive nødvendigt at involvere en administrator. Men mange MDM-leverandører giver mulighed for at administrere disse nøgler, så det er muligt at se dem direkte i deres produkter. MDM kan også rotere PRK’er, hvilket ofte er påkrævet for at opretholde en stærk sikkerhedsstilling, f.eks. efter brug af en PRK til at låse en enhed op.
En PRK kan bruges på Mac-computere uden Apple Silicon til at låse en enhed op med funktionen Computer som ekstern harddisk:
1. Forbind Mac-computeren som ekstern harddisk til en anden Mac-computer med den samme eller en nyere version af macOS.
2. Åbn Terminal, og udfør følgende kommando. Kig efter navnet på enheden (normalt “Macintosh HD”). Der bør stå “Aktiveringspunkt: Passiv” og “FileVault”: Ja (Låst).” Noter enheds-id’et for APFS-disken, som har formatet disk3s2, men sandsynligvis med andre tal, f.eks. disk4s5.
diskutil apfs list3. Brug følgende kommando, og søg efter brugeren af den personlige gendannelsesnøgle. Noter det UUID, der vises:
diskutil apfs listUsers /dev/<diskXsN>4. Udfør denne kommando:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Indsæt eller indtast PRK’en, når du bliver bedt om en adgangskode, og tryk på Retur. Enheden aktiveres i Finder.