मोबाइल डिवाइस प्रबंधन की मदद से FileVault को प्रबंधित करें
FileVault फ़ुल डिस्क एंक्रिप्शन को मोबाइल डिवाइस मैनेजमेंट (MDM) समाधान का उपयोग करते हुए संगठनों में प्रबंधित किया जा सकता है या फिर कुछ एडवांस डिप्लॉयमेंट और कॉन्फ़िगरेशन के लिए fdesetup कमांड-लाइन टूल का उपयोग किया जा सकता है। MDM का उपयोग करके FileVault को प्रबंधित करने को विलंबित एनैबलमेंट के रूप में देखा जाता है और इसके लिए यूज़र की ओर से लॉग आउट या लॉग इन इवेंट ज़रूरी होता है। MDM ऐसे विकल्पों को कस्टमाइज़ कर सकता है :
यूज़र कितनी बार FileVault की सक्षमता को स्थगित कर सकता है
यूज़र को लॉगइन के समय संकेत देने के अतिरिक्त उन्हें लॉगआउट के समय संकेत दिया जाए
यूज़र को रिकवरी की दिखाई जाए
MDM समाधान के एस्क्रो के लिए किस सर्टिफ़िकेट का उपयोग रिकवरी की को असममितीय रूप से एंक्रिप्ट करने के लिए किया जाता है
ऐसा यूज़र होना जो APFS वॉल्यूम पर स्टोरेज को अनलॉक करने में सक्षम हो उसे ऐसे यूज़र की आवश्यकता होती है जिसके पास सुरक्षित टोकन होता है और Apple silicon वाले Mac पर वॉल्यूम ओनर की आवश्यकता होती है। सुरक्षित टोकन और वॉल्यूम ओनरशिप पर अधिक जानकारी के लिए, सुरक्षित टोकन, बूटस्ट्रैप टोकन और डिप्लॉयमेंट में वॉल्यूम ओनरशिप का उपयोग करना देखें। विशिष्ट वर्कफ़्लो में यूज़र को कैसे और कब सुरक्षित टोकन प्रदान किया जाता है, इसकी जानकारी नीचे प्रदान की गई है।
सेटअप सहायक में FileVault लागू करना
ForceEnableInSetupAssistant “की” का उपयोग करके, Mac कंप्यूटर को सेटअप सहायक के दौरान FileVault चालू करने की आवश्यकता हो सकती है। यह सुनिश्चित करता है कि प्रबंधित Mac कंप्यूटरों में आंतरिक स्टोरेज को उपयोग करने से पहले हमेशा एन्क्रिप्ट किया जाता है। संगठन यह तय कर सकते हैं कि उपयोगकर्ता को FileVault रिकवरी “की” दिखानी है या व्यक्तिगत रिकवरी “की” एस्क्रो करनी है। इस फ़ीचर का उपयोग करने के लिए, पक्का करें कि await_device_configured सेट है।
नोट : macOS 14.4 से पहले, इस फ़ीचर के लिए, सेटअप सहायक के दौरान इंटरैक्टिव रूप से बनाए गए यूज़र खाते में ऐडमिनिस्ट्रेटर की भूमिका होनी चाहिए।
जब यूज़र Mac का सेटअप ख़ुद करता है
यदि यूज़र ख़ुद ही Mac को सेटअप कर लेता है, तो IT विभाग वास्तविक डिवाइस पर कोई प्रोविज़निंग कार्य नहीं करते। सभी नीतियाँ और कॉन्फ़िगरेशन MDM समाधान या कॉन्फ़िगरेशन प्रबंधन टूल का उपयोग करके प्रदान किए जाते हैं। आरंभिक स्थानीय ऐडमिनिस्ट्रेटर खाता बनाने के लिए सेटअप सहायक का उपयोग किया जाता है और यूज़र को सुरक्षित टोकन प्रदान किया जाता है। यदि MDM समाधान bootstrap टोकन का समर्थन करता है और MDM नामांकन के दौरान Mac को सूचित करता है, तो bootstrap टोकन Mac द्वारा बनाया जाता है और MDM समाधान को लिखित रूप में भेज दिया जाता है।
यदि Mac को किसी MDM समाधान में नामांकित किया जाता है, तो आरंभिक खाता स्थानीय ऐडमिनिस्ट्रेटर खाता नहीं हो सकता, लेकिन इसके बजाए वह स्थानीय मानक यूज़र खाता हो सकता है। यदि यूज़र को MDM का उपयोग करके मानक यूज़र पर डाउनग्रेड किया जाता है, तो यूज़र को सुरक्षित टोकन ऑटोमैटिकली प्रदान किया जाता है। यदि यूज़र को डाउनग्रेड किया जाता है, तो यदि बूटस्ट्रैप टोकन फ़ीचर का समर्थन करता है, macOS 10.15.4 या बाद के संस्करण में उसे ऑटोमैटिकली बनाया जाता है और उसे MDM समाधान को इस्क्रो किया जाता है।
यदि सेटअप सहायक में MDM का उपयोग करके स्थानीय यूज़र खाता बनाने की प्रक्रिया को पूरी तरह स्किप किया जाता है और इसके बजाए मोबाइल खाते की डाइरेक्टरी सेवा का उपयोग किया जाता है, तो लॉगइन करने के लिए मोबाइल खाता यूज़र को सुरक्षित टोकन प्रदान किया जाता है। यूज़र को मोबाइल खाते के साथ सुरक्षित टोकन से सक्षम करने के बाद macOS 10.15.4 या बाद के संस्करण में यदि बूटस्ट्रैप टोकन फ़ीचर का समर्थन करता है, तो उसे यूज़र के दूसरे लॉगइन के दौरान ऑटोमैटिकली बनाया जाता है और उसे MDM समाधान को एस्क्रो किया जाता है।
ऊपर दिए गए किसी भी परिदृश्य में चूँकि पहले और प्राथमिक यूज़र को सुरक्षित टोकन प्रदान किया जाता है, इसलिए उन्हें विलंबित सक्षमता का उपयोग करके FileVault के लिए सक्षम किया जा सकता है। विलंबित की गई सक्षम प्रक्रिया संगठन को FileVault चालू करने की अनुमति देता है, लेकिन यह इसके सक्षम होने को तब तक विलंबित रखता है जब तक यूज़र Mac में लॉगिन होता है या बाहर निकल जाता है। यदि यूज़र FileVault को चालू करना स्किप करता है, यो यह कस्टमाइज़ करना भी संभव है (वैकल्पिक रूप से निर्धारित संख्या में)। अंतिम परिणाम यह होता है कि Mac का प्राथमिक यूज़र FileVault से एंक्रिप्टेड होने पर स्टोरेज डिवाइस को अनलॉक करने में सक्षम हो, फिर चाहे वह किसी भी प्रकार का स्थानीय यूज़र हो या मोबाइल खाता।
ऐसे Mac कंप्यूटर पर जहाँ बूटस्ट्रैप टोकन बनाया जाता है और MDM समाधान को एस्क्रो किया जाता है, यदि दूसरा यूज़र भावी तिथि और समय पर Mac में लॉग इन करता है, तो बूटस्ट्रैप टोकन का उपयोग एक सुरक्षित टोकन प्रदान करने के लिए ऑटोमैटिकली किया जाता है। इसका मतलब यह है कि खाता FileVault के लिए भी सक्षम है और FileVault वॉल्यूम को अनलॉक करने में सक्षम है। स्टोरेजे डिवाइस को अनलॉक करने के लिए यूज़र की क्षमता को हटाना है, तो fdesetup हटाएँ -user का उपयोग करें।
जब Mac का प्रावधान किसी संगठन द्वारा किया जाता है
यूज़र को दिए जाने से पहले यदि Mac का किसी संगठन द्वारा प्रावधान किया जाता है, तो IT विभाग डिवाइस का सेटअप करता है। सेटअप सहायक में बनाए गए या MDM की मदद से प्रोविज़न किए गए स्थानीय ऐडमिनिस्ट्रेटिव खाते का उपयोग Mac का प्रोविज़न करने या उसे सेटअप करने के लिए किया जाता है और उसे लॉगइन के लिए पहला सुरक्षित टोकन प्रदान किया जाता है। यदि MDM समाधान बूटस्ट्रैप टोकन फ़ीचर का समर्थन करता है, तो एक बूटस्ट्रैप टोकन भी बन जाता है और उसे MDM समाधान को एस्क्रो किया जाता है।
यदि Mac को मोबाइल खाता बनाने के लिए डाइरेक्टरी सेवा से जोड़ा जाता है और कॉन्फ़िगर किया जाता है और यदि कोई बूटस्ट्रैप टोकन नहीं है, तो डाइरेक्टरी सेवा के यूज़र को पहले लॉगइन पर मौजूदा सुरक्षित टोकन ऐडमिनिस्ट्रेटर के यूज़रनेम और पासवर्ड का उपयोग करने के लिए संकेत दिया जाता है, ताकि उनके खाते को एक सुरक्षित टोकन प्रदान किया जा सके। वर्तमान में सुरक्षित टोकन से सक्षम किए गए स्थानीय ऐडमिनिस्ट्रेटिव के क्रेडेंशियल दर्ज किए जाने चाहिए। यदि सुरक्षित टोकन की आवश्यकता नहीं है, तो यूज़र बायपास पर क्लिक कर सकता है। macOS 10.13.5 या बाद के संस्करण में यदि FileVault का उपयोग मोबाइल खातों के साथ नहीं किया जाने वाला है, तो सुरक्षित टोकन डायलॉग को पूरी तरह दबाया जा सकता है। सुरक्षित टोकन डायलॉग को दबाने के लिए MDM समाधान के ज़रिए निम्नलिखित कीज़ और मानों से कस्टम सेटिंग्ज़ कॉन्फ़िगरेशन प्रोफ़ाइल लागू करें :
सेट किया जा रहा है | मान | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
डोमेन | com.apple.MCX | ||||||||||
“की” | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
मान | सही | ||||||||||
यदि MDM समाधान Bootstrap टोकन फ़ीचर का समर्थन करता है और एक फ़ीचर Mac द्वारा बनाया जाता है और MDM समाधान को एस्क्रो किया है, तो मोबाइल यूज़र खाते के यूज़र यह संकेत नहीं देख पाते हैं। इसके बजाए, उन्हें लॉगइन के दौरान सुरक्षित टोकन ऑटोमैटिकली प्रदान किया जाता है।
यदि Mac पर डायरेक्टरी सेवा के यूज़र खातों के बजाय अतिरिक्त स्थानीय यूज़र की आवश्यकता है, तो उन स्थानीय यूज़र को यूज़र और समूह (macOS 13 या बाद के संस्करण में सिस्टम सेटिंग्ज़ में या macOS 12.0.1 या इसके पहले के संस्करण में सिस्टम प्राथमिकता में) में सुरक्षित टोकन बनाए जाने पर वर्तमान में सुरक्षित टोकन से सक्षम ऐडमिनिस्ट्रेटर द्वारा सुरक्षित टोकन ऑटोमैटिकली दिए जाते हैं। यदि कमांड लाइन का उपयोग करके स्थानीय यूज़र बनाए जा रहे हैं, तो sysadminctl कमांड-लाइन टूल का उपयोग किया जा सकता है और उन्हें सुरक्षित टोकन के लिए वैकल्पिक रूप से सक्षम किया जा सकता है। यदि बनाने के समय भी सुरक्षित टोकन प्रदान नहीं किया जाता है, तो MDM समाधान में बूटस्ट्रैप टोकन उपलब्ध होने पर macOS 11 या बाद के संस्करणों में Mac में लॉगइन करने वाले स्थानीय यूज़र को लॉगइन के लिए सुरक्षित टोकन प्रदान किया जाता है।
इन परिदृश्यों में, निम्नलिखित यूज़र FileVault-एंक्रिप्टेड वॉल्यूम को अनलॉक कर सकते हैं :
प्रबंधन के लिए मूल स्थानीय ऐडमिनिस्ट्रेटिव का उपयोग किया गया है
जिस किसी अतिरिक्त डाइरेक्टरी सेवा यूज़र को लॉगइन प्रोसेस के दौरान सुरक्षित टोकन प्रदान किया गया है वह डायलॉग संकेत का उपयोग या तो इंटरऐक्टिव रूप से कर रहा है या बूटस्ट्रैप टोकन के साथ ऑटोमैटिकली कर रहा है
कोई भी नया स्थानीय यूज़र
स्टोरेजे डिवाइस को अनलॉक करने के लिए यूज़र की क्षमता को हटाना है, तो fdesetup हटाएँ -user का उपयोग करें।
यदि ऊपर वर्णित वर्कफ़्लो में से किसी एक का उपयोग करते समय सुरक्षित टोकन का प्रबंधन macOS द्वारा बिना किसी अतिरिक्त कॉन्फ़िगरेशन या आवश्यक स्क्रिप्ट के किया जाता है; तो यह कार्यान्वयन का विवरण बन जाता है, न कि वह जिसे सक्रिय रूप से प्रबंधित करना या उपयोग में लाना आवश्यक है।
fdesetup कमांड-लाइन टूल
FileVault को कॉन्फ़िगर करने के लिए, MDM कॉन्फ़िगरेशन या fdesetup कमांड-लाइन टूल का उपयोग किया जा सकता है। macOS 10.15 या बाद के संस्करण में, यूज़रनेम और पासवर्ड प्रदान करके FileVault को चालू करने के लिए fdesetup का उपयोग करना डेप्रिकेट किया गया है और भविष्य की किसी रिलीज़ में इसकी पहचान नहीं होगी। कमांड फ़ंक्शन जारी रखता है, लेकिन macOS 11 और macOS 12.0.1 में डेप्रिकेट बना रहता है। MDM के बजाए विलंबित एनैबलमेंट का उपयोग करने पर विचार करें। fdesetup कमांड-लाइन टूल के बारे में अधिक जानकारी के लिए, टर्मिनल ऐप लॉन्च करें और man fdesetup या fdesetup सहायता दर्ज करें।
संस्थागत बनाम व्यक्तिगत रिकवरी कीज़
CoreStorage और APFS वॉल्यूम दोनों पर FileVault वॉल्यूम को अनलॉक करने के लिए संस्थागत “रिकवरी की” (IRK, जिसे पहले “FileVault Master identity” के रूप में भी जाना जाता था) का उपयोग करके समर्थन करता है। हालाँकि IRK एक साथ किसी वॉल्यूम को अनलॉक करने या FileVault अक्षम करने के लिए कमांड-लाइन ऑपरेशन के लिए उपयोगी है, संगठनों के लिए इसकी यूटिलिटी सीमित है, विशेष रूप से macOS के हालिया संस्करणों में। और Apple silicon वाले Mac पर IRK दो मुख्य कारणों के लिए कोई फ़ंक्शनल मान प्रदान नहीं करते : पहली बात, IRK का उपयोग recoveryOS; को ऐक्सेस करने के लिए नहीं किया जा सकता, और दूसरी बात, चूँकि टार्गेट डिस्क मोड अब समर्थित नहीं है, इसलिए वॉ़ल्यूम को दूसरे Mac से कनेक्ट करके उसे अनलॉक नहीं किया जा सकता। इन और अन्य कई कारणों से, Mac कंप्यूटर पर FileVault के संस्थागत प्रबंधन के लिए अब IRK का इस्तेमाल करने की सलाह नहीं दी जाती है। इसके बजाय, व्यक्तिगत रिकवरी की (PRK) का उपयोग किया जाना चाहिए। PRK प्रदान :
कोई अत्यधिक रोबस्ट रीकवरी और ऑपरेटिंग सिस्टम ऐक्सेस प्रणाली
प्रति वॉल्यूम विशिष्ट एंक्रिप्शन
MDM को एस्क्रो करें
इस्तेमाल के बाद आसान की रोटेशन
किसी PRK का उपयोग recoveryOS में किया जा सकता है या किसी एंक्रिप्ट किए गए Mac से macOS को सीधे स्टार्टअप किया जा सकता है (Apple silicon वाले Mac के लिए macOS 12.0.1 या बाद के संस्करण आवश्यक हैं।) recoveryOS में, यदि रिकवरी सहायक द्वारा संकेत दिया जाता है या सभी पासवर्ड भूल जाएँ विकल्प की मदद से PRK का उपयोग किया जा सकता है, ताकि रिकवरी वातावरण का ऐक्सेस प्राप्त किया जाए जो बाद में वॉल्यूम को भी अनलॉक करता है। सभी पासवर्ड भूल गए विकल्प का उपयोग करने के दौरान, यूज़र के लिए पासवर्ड को रीसेट करना ज़रूरी नहीं है; recoveryOS से सीधे बाहर निकलने के लिए “स्टार्टअप” बटन पर क्लिक किया जा सकता है। macOS को सीधे Intel-आधारित Mac कंप्यूटर पर स्टार्टअप करने के लिए, पासवर्ड फ़ील्ड के आगे प्रश्न चिह्न पर क्लिक करें और “अपनी रिकवरी की का उपयोग करके रीसेट करें” का विकल्प चुनें। PRK दर्ज करें, फिर रिटर्न दबाएँ या तीर पर क्लिक करें। macOS के आरंभ होने के बाद पासवर्ड परिवर्तन डायलॉग पर “रद्द करें” दबाएँ। macOS 12.0.1 या बाद के संस्करण का उपयोग करने वाले Apple silicon वाले Mac पर PRK का एंट्री फ़ील्ड बताने के लिए ऑप्शन+शिफ़्ट+रिटर्न दबाएँ, फिर रिटर्न दबाएँ (या तीर पर क्लिक करें)। फिर macOS शुरू हो जाता है।
प्रति एंक्रिप्टेड वॉल्यूम केवल एक PRK होता है और MDM से FileVault एनैबलमेंट के दौरान इसे यूज़र से वैकल्पिक रूप से छिपाया जा सकता है। जब एस्क्रो को MDM में कॉन्फ़िगर किया जाता है, तो MDM सर्टिफ़िकेट के रूप में Mac को एक “पब्लिक की” प्रदान करता है, जिसका इस्तेमाल बाद में CMS एनवेलप फ़ॉर्मैट में PRK को विषम रूप से एंक्रिप्ट करने के लिए किया जाता है। एंक्रिप्ट किए गए PRK को सुरक्षा जानकारी क्वेरी में MDM को वापस किया जाता है जिसे बाद में संगठन द्वारा देखे जाने के लिए डिक्रिप्ट किया जाता है। चूँकि एंक्रिप्शन असममितीय है, इसलिए हो सकता है कि MDM ख़ुद PRK को डीक्रिप्ट करने में सक्षम न हो (और इसलिए ऐडमिनिस्ट्रेटर के अतिरिक्त चरणों की आवश्यकता होगी)। हालाँकि, कई MDM वेंडर इन कीज़ को प्रबंधित करने के लिए विकल्प प्रदान करते हैं ताकि उन्हें सीधे उनके उत्पादों को देखने की अनुमति मिले। MDM भी वैकल्पिक रूप से PRK को तब तक रोटेट कर सकता है जब तक इसकी ज़रूरत होती है, ताकि एक मज़बूत सुरक्षा अवस्था बनाए रखने में मदद मिले। उदाहरण के लिए, वॉल्यूम को अनलॉक करने के लिए PRK का उपयोग करने के बाद।
वॉल्यूम को अनलॉक करने के लिए बिना Apple silicon वाले Mac कंप्यूटर पर टार्गेट डिस्क मोड में PRK का उपयोग किया जा सकता है :
1. Mac को टारगेट डिस्क मोड में अन्य Mac से कनेक्ट करें जो macOS के उसी संस्करण या नवीनतम संस्करण का उपयोग कर रहा है।
2. टर्मिनल खोलें, फिर नीचे दिया गया कमांड रन करें और वॉल्यूम का नाम खोजें (सामान्यत: “Macintosh HD”)। इसे “माउंट पॉइंट कहना होगा : माउंट नहीं” और “FileVault: हाँ (लॉक किया गया).” वॉल्यूम के लिए APFS वॉल्यूम डिस्क ID को नोट करें, जो disk3s2 की तरह दिखता है, लेकिन संभावना है कि उसकी संख्याएँ अलग-अलग हों—उदाहरण के लिए, disk4s5।
diskutil apfs list3. नीचे दिए गए कमांड चलाएँ, फिर व्यक्तिगत रिकवरी की यूज़र की तलाश करें और सूचीबद्ध UUID को याद रखें :
diskutil apfs listUsers /dev/<diskXsN>4. यह कमांड रन करें :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. पासफ़्रेज़ संकेत पर, PRK को पेस्ट करें और दर्ज करें, फिर वापस जाएँ को दबाएँ। वॉल्यूम Finder में माउंट किया जाता है।