Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements
Jeton sécurisé
Le format Apple File System (APFS) sous macOS 10.13 ou ultérieur modifie la génération des clés de chiffrement FileVault. Dans les précédentes versions de macOS sur les volumes CoreStorage, les clés utilisées pour l’opération de chiffrement FileVault étaient créées lorsqu’un utilisateur ou une organisation activait FileVault sur un Mac. Dans macOS sur les volumes APFS, les clés de chiffrement sont générées lors de la création d’un utilisateur, lors de la configuration du mot de passe du premier utilisateur ou durant la première ouverture de session par un utilisateur sur le Mac. Cette mise en œuvre des clés de chiffrement, le moment de leur création et leur type de stockage sont encadrés par une fonctionnalité connue sous le nom de jeton sécurisé. Un jeton sécurisé est en réalité une version ajustée d’une clé de chiffrement de clés (KEK) protégée par le mot de passe d’un utilisateur.
Lors du déploiement de FileVault sur un volume APFS, l’utilisateur peut continuer à :
utiliser les outils et opérations existants, tels qu’une clé de secours personnelle (PRK) qui peut être stockée à l’aide d’une solution de gestion d’appareils mobiles (MDM) pour l’autorité de séquestre ;
créer et utiliser une clé de secours institutionnelle (IRK) ;
reporter l’activation de FileVault jusqu’à l’ouverture ou à la fermeture d’une session par un utilisateur sur le Mac.
À partir de macOS 11 ou ultérieur, lors de la configuration du mot de passe initial pour le tout premier utilisateur sur le Mac, celui-ci se voit attribuer un jeton sécurisé. Dans certains cas, ce comportement peut ne pas être celui souhaité, étant donné qu’auparavant, l’attribution du premier jeton sécurisé nécessitait l’ouverture de la session du compte utilisateur. Pour empêcher cela de se produire, ajoutez ;DisabledTags;SecureToken
à l’attribut AuthenticationAuthority
de l’utilisateur créé par programmation avant de configurer le mot de passe de l’utilisateur, comme indiqué ci-dessous :
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Jeton d’amorçage
Sous macOS 10.15 ou ultérieur, le jeton d’amorçage peut également être utilisé à d’autres fins que la simple attribution de jetons sécurisés à des comptes utilisateur existants. Sur un Mac doté de la puce Apple, le jeton d’amorçage, s’il est disponible et géré à l’aide d’une solution MDM, peut être utilisé pour :
Supervision
Prise en charge par un fournisseur MDM
Imaginez que votre solution MDM prenne en charge les jetons d’amorçage. Sous macOS 10.15.4 ou ultérieur, lorsqu’un utilisateur est doté d’un jeton sécurisé ouvre une session pour la première fois, un jeton d’amorçage est généré et envoyé à l’autorité de séquestre de la solution MDM. Un jeton d’amorçage peut également être généré et envoyé à lʼautorité de séquestre de la solution MDM à l’aide de l’outil de ligne de commande profiles
, si besoin.
Sous macOS 11 ou ultérieur, le jeton d’amorçage peut également être utilisé à d’autres fins que la simple attribution de jetons sécurisés à des comptes utilisateur existants. Sur un Mac doté de la puce Apple, le jeton d’amorçage, s’il est disponible et géré à l’aide d’une solution MDM, peut être utilisé pour :
Autoriser l’installation de mises à jour de logiciels.
Autoriser silencieusement une commande MDM « Effacer lʼintégralité du contenu et des réglages » (macOS 12.0.1 ou ultérieur).
Créer de nouveaux utilisateurs lors de leur première connexion avec lʼauthentification unique de plateforme (macOS 13 ou ultérieur).
Propriété de volume
Les ordinateurs Mac dotés dʼune puce Apple introduisent le concept de propriété de volume. La propriété de volume est un contexte relatif à une organisation qui nʼest lié à aucune propriété légale ou chaîne de responsabilité du Mac. À lʼinverse, la propriété de volume peut être librement définie comme lʼutilisateur qui a été le premier à utiliser un Mac et à le configurer pour sa propre utilisation, ainsi que tout autre utilisateur. Seuls les propriétaires de volume peuvent effectuer des modifications concernant le règlement de sécurité au démarrage dʼune installation spécifique de macOS, autoriser lʼinstallation de mises à jour et de mises à niveau de logiciels macOS, lancer une opération « Effacer lʼintégralité du contenu et des réglages sur le Mac », et plus encore. Le règlement de sécurité au démarrage définit les restrictions concernant les versions de macOS qui peuvent démarrer, ainsi que la manière dont les extensions du noyau (kexts) tierces peuvent être chargées ou gérées, le cas échéant.
Le premier utilisateur à avoir revendiqué la propriété d’un Mac en le configurant pour sa propre utilisation se voit attribuer un jeton sécurisé sur un Mac doté dʼune puce Apple et devient le premier propriétaire du volume. Lorsquʼun jeton dʼamorçage est disponible et en service, il devient également propriétaire du volume et peut accorder le statut de propriétaire du volume à dʼautres comptes en leur accordant des jetons sécurisés. Étant donné que le premier utilisateur à qui l’on accorde un jeton sécurisé et le jeton d’amorçage deviennent tous deux des propriétaires de volume, ainsi que la capacité du jeton d’amorçage à accorder des jetons sécurisés à d’autres utilisateurs (et donc le statut de propriétaire de volume également), la propriété de volume ne devrait pas être quelque chose qui doit être activement géré ou manipulé dans une organisation. Les considérations précédentes pour la gestion et l’octroi de jetons sécurisés devraient généralement s’aligner sur le statut de propriété de volume également.
Il est possible dʼêtre propriétaire de volume sans être administrateur, mais certaines tâches nécessitent de vérifier la propriété des deux statuts. Par exemple, la modification des réglages de sécurité au démarrage nécessite à la fois le statut dʼadministrateur et de propriétaire du volume, tandis que lʼautorisation de mises à jour de logiciels est autorisée par les utilisateurs standard et ne requiert que la propriété.
Pour afficher la liste actuelle des propriétaires de volume sur un ordinateur Mac doté dʼune puce Apple, vous pouvez exécuter la commande suivante :
sudo diskutil apfs listUsers /
Les GUID répertoriés dans le résultat de la commande diskutil
de type « Utilisateur Open Directory local » correspondent aux attributs GeneratedUID
des fiches dʼutilisateur dans Open Directory. Pour trouver un utilisateur par GeneratedUID
, utilisez la commande suivante :
dscl . -search /Users GeneratedUID <GUID>
Vous pouvez également utiliser la commande suivante pour afficher les noms dʼutilisateur et les GUID ensemble :
sudo fdesetup list -extended
La propriété est assurée par un chiffrement protégé dans Secure Enclave. Pour en savoir plus, consultez :
Utilisation de l’outil de ligne de commande
Des outils de ligne de commande sont disponibles pour la gestion du jeton d’amorçage et du jeton sécurisé. Le jeton d’amorçage est généralement généré sur le Mac et envoyé à lʼautorité de séquestre de la solution MDM pendant le processus de configuration de macOS après que la solution MDM ait indiqué au Mac qu’elle prend en charge la fonctionnalité. Cependant, un jeton d’amorçage peut également être généré sur un Mac ayant déjà été déployé. Sous macOS 10.15.4 ou ultérieur, un jeton d’amorçage est généré et envoyé à lʼautorité de séquestre de la solution MDM lors de la première ouverture de session de n’importe quel utilisateur doté d’un jeton sécurisé si la solution MDM prend en charge la fonctionnalité. Ceci réduit la nécessité d’utiliser l’outil de ligne de commande profiles après la configuration de l’appareil pour générer et envoyer un jeton d’amorçage à lʼautorité de séquestre de la solution MDM.
L’outil de ligne de commande profiles
dispose d’un certain nombre d’options pour l’interaction avec le jeton d’amorçage :
sudo profiles install -type bootstraptoken
: Cette commande génère un nouveau jeton d’amorçage et lʼenvoie à lʼautorité de séquestre de la solution MDM. Cette commande nécessite des informations d’administrateur du jeton sécurisé existant pour générer initialement le jeton d’amorçage et la solution MDM doit prendre en charge la fonctionnalité.sudo profiles remove -type bootstraptoken
: Supprime le jeton d’amorçage existant sur le Mac et la solution MDM.sudo profiles status -type bootstraptoken
: Rapporte si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel du jeton d’amorçage sur le Mac.sudo profiles validate -type bootstraptoken
: Rapporte si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel du jeton d’amorçage sur le Mac.
Outil de ligne de commande sysadminctl
L’outil de ligne de commande sysadminctl
peut être utilisé dans le but précis de modifier l’état du jeton sécurisé de comptes utilisateur sur un Mac. Cette commande doit être utilisée avec prudence et uniquement en cas de nécessité. L’utilisation de la commande sysadminctl
afin de modifier l’état du jeton sécurisé d’un utilisateur nécessite toujours de fournir le nom d’utilisateur et le mot de passe d’un administrateur disposant d’un jeton sécurisé, que ce soit de façon interactive ou par l’intermédiaire des indicateurs appropriés dans la commande. La commande sysadminctl
et « Réglages Système » (macOS 13 ou ultérieur) ou « Préférences Système » (macOS 12.0.1 ou antérieur) empêchent la suppression du dernier utilisateur administrateur ou du dernier utilisateur doté d’un jeton sécurisé sur un Mac. Si le script pour la création d’utilisateurs locaux supplémentaires est rédigé avec sysadminctl
, pour que ces utilisateurs puissent recevoir un jeton sécurisé, les identifiants d’un administrateur existant disposant d’un jeton sécurisé doivent être fournis, soit à l’aide de l’option interactive, soit directement avec les indicateurs -adminUser
et -adminPassword
avec sysadminctl
. S’il ne se voit pas attribuer un jeton sécurisé au moment de la création, sous macOS 11 ou ultérieur, un utilisateur local qui ouvre une session sur un Mac reçoit un jeton sécurisé lors de l’ouverture de session si un jeton d’amorçage est mis à disposition par une solution MDM. Utilisez sysadminctl -h
pour obtenir des instructions d’utilisation supplémentaires.