डिवाइस प्रबंधन की मदद से FileVault प्रबंधित करें
संगठन डिवाइस प्रबंधन सेवा या कुछ एडवांस डिप्लॉयमेंट और कॉन्फ़िगरेशन के लिए, fdesetup कमांड-लाइन टूल का उपयोग करके FireVault पूर्ण-डिस्क एंक्रिप्शन का प्रबंधन कर सकते हैं। डिवाइस प्रबंधन सेवा का उपयोग करके FileVault को प्रबंधित करने को विलंबित एनैबलमेंट के रूप में देखा जाता है और इसके लिए यूज़र की ओर से लॉग आउट या लॉगइन इवेंट ज़रूरी होता है। डिवाइस प्रबंधन सेवा विकल्पों को कस्टमाइज़ कर सकती है। जैसे :
यूज़र कितनी बार FileVault की सक्षमता को स्थगित कर सकता है
यूज़र को लॉगइन के समय संकेत देने के अतिरिक्त उन्हें लॉगआउट के समय संकेत दिया जाए
यूज़र को रिकवरी की दिखाई जाए
डिवाइस प्रबंधन सेवा के एस्क्रो के लिए कौन से सर्टिफ़िकेट का उपयोग “रिकवरी-की” को असममितीय रूप से एंक्रिप्ट करने के लिए किया जाता है
ऐसा यूज़र होना जो APFS वॉल्यूम पर स्टोरेज को अनलॉक करने में सक्षम हो उसे ऐसे यूज़र की आवश्यकता होती है जिसके पास सुरक्षित टोकन होता है और Apple silicon वाले Mac पर वॉल्यूम ओनर की आवश्यकता होती है। सुरक्षित टोकन और वॉल्यूम ओनरशिप पर अधिक जानकारी के लिए, सुरक्षित टोकन, बूटस्ट्रैप टोकन और डिप्लॉयमेंट में वॉल्यूम ओनरशिप का उपयोग करना देखें। विशिष्ट वर्कफ़्लो में यूज़र को कैसे और कब सुरक्षित टोकन प्रदान किया जाता है, इसकी जानकारी नीचे प्रदान की गई है।
सेटअप सहायक में FileVault लागू करना
ForceEnableInSetupAssistant “की” का उपयोग करके, Mac कंप्यूटर को सेटअप सहायक के दौरान FileVault चालू करने की आवश्यकता हो सकती है। यह सुनिश्चित करता है कि प्रबंधित Mac कंप्यूटरों में आंतरिक स्टोरेज को उपयोग करने से पहले हमेशा एन्क्रिप्ट किया जाता है। संगठन यह तय कर सकते हैं कि उपयोगकर्ता को FileVault रिकवरी “की” दिखानी है या व्यक्तिगत रिकवरी “की” एस्क्रो करनी है। इस फ़ीचर का उपयोग करने के लिए, पक्का करें कि await_device_configured सेट है।
नोट : macOS 14.4 से पहले, इस फ़ीचर के लिए सेटअप सहायक के दौरान इंटरऐक्टिव रूप से बनाए गए यूज़र खाते में ऐडमिनिस्ट्रेटर की भूमिका होना आवश्यक है।
जब यूज़र Mac का सेटअप ख़ुद करता है
नोट : Mac के साथ काम करने के लिए डिवाइस प्रबंधन सेवा को सुरक्षित टोकन और बूटस्ट्रैप टोकन के लिए विशिष्ट फ़ीचर का समर्थन करना ज़रूरी होता है।
यदि यूज़र ख़ुद ही Mac को सेटअप कर लेता है, तो IT विभाग वास्तविक डिवाइस पर कोई प्रोविज़निंग कार्य नहीं करते। आप डिवाइस प्रबंधन सेवा या कॉन्फ़िगरेशन प्रबंधन टूल का उपयोग करके सभी नीतियाँ और कॉन्फ़िगरेशन प्रदान करते हैं। सेटअप सहायक आरंभिक स्थानीय खाता बनाता है और यूज़र को एक सुरक्षित टोकन प्रदान करता है और Mac एक बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है।
यदि Mac को डिवाइस प्रबंधन सेवा में नामांकित किया जाता है, तो आरंभिक खाता स्थानीय ऐडमिनिस्ट्रेटर खाता नहीं हो सकता, लेकिन इसके बजाए वह स्थानीय मानक यूज़र खाता हो सकता है। अगर आप किसी सेवा का उपयोग करके यूज़र को मानक यूज़र में डाउनग्रेड करते हैं, तो वह यूज़र को एक सुरक्षित टोकन ऑटोमैटिकली प्रदान करता है। macOS 10.15.4 या बाद के संस्करण वाले Mac के लिए, जब कोई सुरक्षित टोकन से सक्षम यूज़र पहली बार लॉगइन करता है, तो macOS एक बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है।
अगर आप डिवाइस प्रबंधन सेवा का उपयोग करके सेटअप सहायक में स्थानीय यूज़र खाता बनाना स्किप करते हैं और इसके बजाए मोबाइल खातों के साथ डाइरेक्टरी सेवा का उपयोग करते हैं, तो सेवा लॉगइन के दौरान मोबाइल खाता यूज़र को सुरक्षित टोकन प्रदान करती है। macOS 10.15.4 या बाद के संस्करण वाले Mac पर, यूज़र को मोबाइल खाते के साथ सक्षम करने के बाद, macOS यूज़र के दूसरे लॉगइन के दौरान ऑटोमैटिकली बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है।
अगर कोई डिवाइस प्रबंधन सेवा सेटअप सहायक में स्थानीय यूज़र खाता बनाने की प्रक्रिया को स्किप करती है और इसके बजाय मोबाइल खातों की डाइरेक्टरी सेवा का उपयोग करती है, तो डिवाइस प्रबंधन सेवा यूज़र को लॉगइन करते समय एक सुरक्षित टोकन प्रदान करती है। macOS 10.15.4 या बाद के संस्करण वाले Mac के लिए, अगर मोबाइल यूज़र के पास सुरक्षित टोकन होता है, तो macOS एक बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है।
ऊपर दिए गए किसी भी परिदृश्य में, चूँकि macOS पहले और प्राथमिक यूज़र को एक सुरक्षित टोकन प्रदान करता है, यूज़र विलंबित सक्षमता का उपयोग करके FileVault को सक्षम कर सकता है। इससे आपको FileVault को चालू करने की अनुमति मिलती है, लेकिन इसे तब तक सक्षम करने से विलंबित रखा जाता है जब तक कि यूज़र Mac में लॉगइन या लॉग आउट नहीं कर लेता। आप यह भी चुन सकते हैं कि यूज़र FileVault को चालू करना स्किप कर सकता है या नहीं (वैकल्पिक रूप से निर्धारित संख्या में)। यह Mac के प्राथमिक यूज़र को, फिर चाहे वह किसी भी प्रकार का स्थानीय यूज़र हो या कोई मोबाइल खाता हो, FileVault वॉल्यूम को अनलॉक करने की अनुमति देता है।
ऐसे Mac पर जहाँ macOS एक बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है, अगर भविष्य में कोई अन्य यूज़र Mac में लॉगइन करता है, तो macOS बूटस्ट्रैप टोकन का उपयोग करके उन्हें ऑटोमैटिकली एक सुरक्षित टोकन प्रदान करता है। इसका मतलब यह है कि खाता FileVault के लिए भी सक्षम है और FileVault वॉल्यूम को अनलॉक करने में सक्षम है। स्टोरेज डिवाइस को अनलॉक करने के लिए यूज़र की क्षमता को हटाना है, तो fdesetup हटाएँ -user का उपयोग करें।
जब कोई संगठन किसी Mac का प्रावधान करता है
जब कोई संगठन यूज़र को देने से पहले Mac का प्रावधान करता है, तो IT विभाग डिवाइस का सेटअप करता है। आप Mac को प्रोविज़न करने या सेटअप करने के लिए स्थानीय ऐडमिनिस्ट्रेटिव खाता इस्तेमाल करते हैं जिसे आप सेटअप सहायक में बनाते हैं या डिवाइस प्रबंधन सेवा के साथ प्रोविज़न करते हैं और ऑपरेटिंग सिस्टम लॉगइन के दौरान उसे पहला सुरक्षित टोकन प्रदान करता है। अगर सेवा बूटस्ट्रैप टोकन फ़ीचर का समर्थन करती है, तो ऑपरेटिंग सिस्टम बूटस्ट्रैप टोकन भी जनरेट करता है और उसे एस्क्रो करता है।
यदि Mac को मोबाइल खाता बनाने के लिए डाइरेक्टरी सेवा से जोड़ा जाता है और कॉन्फ़िगर किया जाता है और यदि कोई बूटस्ट्रैप टोकन नहीं है, तो डाइरेक्टरी सेवा के यूज़र को पहले लॉगइन पर मौजूदा सुरक्षित टोकन ऐडमिनिस्ट्रेटर के यूज़रनेम और पासवर्ड का उपयोग करने के लिए संकेत दिया जाता है, ताकि उनके खाते को एक सुरक्षित टोकन प्रदान किया जा सके। उन्हें सुरक्षित टोकन-सक्षम स्थानीय ऐडमिनिस्ट्रेटर की क्रेडेंशियल दर्ज करना आवश्यक है। यदि सुरक्षित टोकन की आवश्यकता नहीं है, तो यूज़र बायपास पर क्लिक कर सकता है। macOS 10.13.5 या बाद के संस्करण वाले Mac के लिए यदि FileVault का उपयोग मोबाइल खातों के साथ नहीं करने वाले हैं, तो सुरक्षित टोकन डायलॉग को पूरी तरह छिपाया जा सकता है। सुरक्षित टोकन डायलॉग को दबाने के लिए डिवाइस प्रबंधन सेवा के ज़रिए निम्नलिखित कीज़ और मानों से कस्टम सेटिंग्ज़ कॉन्फ़िगरेशन प्रोफ़ाइल लागू करें :
सेट किया जा रहा है | मान | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
डोमेन | com.apple.MCX | ||||||||||
“की” | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
मान | सही | ||||||||||
अगर डिवाइस प्रबंधन सेवा बूटस्ट्रैप टोकन फ़ीचर का समर्थन करती है और Mac एक टोकन जनरेट करता है और उसे सेवा में एस्क्रो करता है, तो मोबाइल खाते के यूज़र को यह संकेत दिखाई नहीं देता है। इसके बजाए, macOS लॉगइन के दौरान उन्हें सुरक्षित टोकन ऑटोमैटिकली प्रदान करता है।
अगर Mac पर डायरेक्टरी सेवा के यूज़र खातों के बजाय अतिरिक्त स्थानीय यूज़र की आवश्यकता होती है, तो macOS उन्हें तब एक सुरक्षित टोकन ऑटोमैटिकली प्रदान करता है जब एक सुरक्षित टोकन-सक्षम ऐडमिनिस्ट्रेटर यूज़र उन स्थानीय यूज़र को “यूज़र और समूह” में बनाता है (macOS 13 या बाद के संस्करण में सिस्टम सेटिंग्ज़ में या macOS 12.0.1 या इसके पहले के संस्करण में सिस्टम प्राथमिकता में)। जब कमांड लाइन का उपयोग करके स्थानीय यूज़र बनाए जाते हैं, तो ऐडमिनिस्ट्रेटर sysadminctl कमांड-लाइन टूल का उपयोग कर सकता है और उन्हें सुरक्षित टोकन के लिए वैकल्पिक रूप से सक्षम कर सकता है। macOS 11 या बाद के संस्करण वाले Mac पर, यदि macOS निर्माण के दौरान सुरक्षित टोकन प्रदान नहीं करता है और यदि डिवाइस प्रबंधन सेवा की ओर से बूटस्ट्रैप टोकन उपलब्ध है, तो यह स्थानीय यूज़र को लॉगइन करने पर सुरक्षित टोकन प्रदान करता है।
इन परिदृश्यों में, निम्नलिखित यूज़र FileVault-एंक्रिप्टेड वॉल्यूम को अनलॉक कर सकते हैं :
प्रबंधन के लिए मूल स्थानीय ऐडमिनिस्ट्रेटिव का उपयोग किया गया है
जिस किसी अतिरिक्त डाइरेक्टरी सेवा यूज़र को लॉगइन प्रोसेस के दौरान सुरक्षित टोकन प्रदान किया गया है वह डायलॉग संकेत का उपयोग या तो इंटरऐक्टिव रूप से कर रहा है या बूटस्ट्रैप टोकन के साथ ऑटोमैटिकली कर रहा है
कोई भी नया स्थानीय यूज़र
स्टोरेज डिवाइस को अनलॉक करने के लिए यूज़र की क्षमता को हटाना है, तो fdesetup हटाएँ -user का उपयोग करें।
यदि ऊपर वर्णित वर्कफ़्लो में से किसी एक का उपयोग करते समय सुरक्षित टोकन का प्रबंधन macOS द्वारा बिना किसी अतिरिक्त कॉन्फ़िगरेशन या आवश्यक स्क्रिप्ट के किया जाता है; तो यह कार्यान्वयन का विवरण बन जाता है, न कि वह जिसे सक्रिय रूप से प्रबंधित करना या उपयोग में लाना आवश्यक है।
fdesetup कमांड-लाइन टूल
FileVault को कॉन्फ़िगर करने के लिए, आप डिवाइस प्रबंधन सेवा कॉन्फ़िगरेशन या fdesetup कमांड-लाइन टूल का उपयोग कर सकते हैं। macOS 10.15 या बाद के संस्करण वाले Mac के लिए यूज़रनेम और पासवर्ड प्रदान करके FileVault को चालू करने के लिए fdesetup का उपयोग करना डेप्रिकेट किया गया है और भविष्य की किसी रिलीज़ में यह उपलब्ध नहीं होगा। कमांड फ़ंक्शन जारी रखता है, लेकिन macOS 11 और macOS 12.0.1 में डेप्रिकेट बना रहता है। इसके बजाय डिवाइस प्रबंधन सेवा से विलंबित एनैबलमेंट का उपयोग करने पर विचार करें। fdesetup कमांड-लाइन टूल के बारे में अधिक जानकारी के लिए, टर्मिनल ऐप लॉन्च करें और man fdesetup या fdesetup सहायता दर्ज करें।
संस्थागत बनाम व्यक्तिगत रिकवरी कीज़
CoreStorage और APFS वॉल्यूम दोनों पर FileVault वॉल्यूम को अनलॉक करने के लिए संस्थागत “रिकवरी की” (IRK, जिसे पहले “FileVault Master identity” के रूप में भी जाना जाता था) का उपयोग करके समर्थन करता है। हालाँकि IRK एक साथ किसी वॉल्यूम को अनलॉक करने या FileVault अक्षम करने के लिए कमांड-लाइन ऑपरेशन के लिए उपयोगी है, संगठनों के लिए इसकी यूटिलिटी सीमित है, विशेष रूप से macOS के हालिया संस्करणों में। और Apple silicon वाले Mac पर IRK दो मुख्य कारणों के लिए कोई फ़ंक्शनल मान प्रदान नहीं करते : पहली बात, IRK का उपयोग recoveryOS; को ऐक्सेस करने के लिए नहीं किया जा सकता, और दूसरी बात, चूँकि टार्गेट डिस्क मोड अब समर्थित नहीं है, इसलिए वॉ़ल्यूम को दूसरे Mac से कनेक्ट करके उसे अनलॉक नहीं किया जा सकता। इन और अन्य कई कारणों से, Mac कंप्यूटर पर FileVault के संस्थागत प्रबंधन के लिए अब IRK का इस्तेमाल करने की सलाह नहीं दी जाती है। इसके बजाय, व्यक्तिगत रिकवरी की (PRK) का उपयोग किया जाना चाहिए। PRK प्रदान :
कोई अत्यधिक रोबस्ट रीकवरी और ऑपरेटिंग सिस्टम ऐक्सेस प्रणाली
प्रति वॉल्यूम विशिष्ट एंक्रिप्शन
डिवाइस प्रबंधन सेवा को एस्क्रो करें
इस्तेमाल के बाद आसान की रोटेशन
macOS 12.0.1 या बाद के संस्करण के साथ Apple silicon वाले Mac के लिए PRK का इस्तेमाल recoveryOS में या फिर एंक्रिप्टेड Mac को सीधे macOS में शुरू करने के लिए इस्तेमाल किया जा सकता है। recoveryOS में, यदि रिकवरी सहायक द्वारा संकेत दिया जाता है या सभी पासवर्ड भूल जाएँ विकल्प की मदद से PRK का उपयोग किया जा सकता है, ताकि रिकवरी वातावरण का ऐक्सेस प्राप्त किया जाए जो बाद में वॉल्यूम को भी अनलॉक करता है। सभी पासवर्ड भूल गए विकल्प का उपयोग करने के दौरान, यूज़र के लिए पासवर्ड को रीसेट करना ज़रूरी नहीं है; recoveryOS से सीधे बाहर निकलने के लिए “स्टार्टअप” बटन पर क्लिक किया जा सकता है। macOS को सीधे Intel-आधारित Mac कंप्यूटर पर स्टार्टअप करने के लिए, पासवर्ड फ़ील्ड के आगे प्रश्न चिह्न पर क्लिक करें और “अपनी रिकवरी की का उपयोग करके रीसेट करें” का विकल्प चुनें। PRK दर्ज करें, फिर रिटर्न दबाएँ या तीर पर क्लिक करें। macOS के आरंभ होने के बाद पासवर्ड परिवर्तन डायलॉग पर “रद्द करें” दबाएँ।
साथ ही macOS 12.0.1 या बाद के संस्करण के साथ Apple silicon वाले Mac के लिए PRK का एंट्री फ़ील्ड बताने के लिए ऑप्शन-शिफ़्ट-रिटर्न दबाएँ, फिर रिटर्न दबाएँ (या तीर पर क्लिक करें)।
प्रति एंक्रिप्टेड वॉल्यूम केवल एक PRK होता है और डिवाइस प्रबंधन सेवा से FileVault एनैबलमेंट के दौरान आप इसे यूज़र से वैकल्पिक रूप से छिपा सकते हैं। जब एस्क्रो को डिवाइस प्रबंधन सेवा में कॉन्फ़िगर किया जा रहा होता है, तो यह सर्टिफ़िकेट के रूप में Mac को एक “पब्लिक-की” प्रदान करती है, फिर इसका इस्तेमाल बाद में CMS एनवेलप फ़ॉर्मैट में PRK को असममितीय रूप से एंक्रिप्ट करने के लिए किया जाता है। एंक्रिप्ट PRK सुरक्षा सूचना क्वेरी में सेवा में वापस लौटता है, जिसे देखने के लिए संगठन डीक्रिप्ट कर सकता है। चूँकि एंक्रिप्शन असममितीय है, इसलिए हो सकता है कि सेवा ख़ुद PRK को डीक्रिप्ट करने में सक्षम न हो (इस कारण हो सकता है कि ऐडमिनिस्ट्रेटर के अतिरिक्त चरणों की आवश्यकता होगी)। हालाँकि, कई डिवाइस प्रबंधन सेवा डेवलपर इन कीज़ को प्रबंधित करने के लिए विकल्प प्रदान करते हैं ताकि उन्हें सीधे उनके उत्पाद देखने की अनुमति मिले। डिवाइस प्रबंधन सेवा भी वैकल्पिक रूप से PRK को तब तक रोटेट कर सकती है जब तक इसकी ज़रूरत होती है ताकि एक मज़बूत सुरक्षा अवस्था बनाए रखने में मदद मिले। उदाहरण के लिए, किसी वॉल्यूम को अनलॉक करने के लिए PRK का उपयोग करने के बाद।
वॉल्यूम को अनलॉक करने के लिए बिना Apple silicon वाले Mac कंप्यूटर पर टार्गेट डिस्क मोड में PRK का उपयोग किया जा सकता है :
1. Mac को टारगेट डिस्क मोड में अन्य Mac से कनेक्ट करें जो macOS के उसी संस्करण या नवीनतम संस्करण का उपयोग कर रहा है।
2. टर्मिनल खोलें, फिर नीचे दिया गया कमांड रन करें और वॉल्यूम का नाम खोजें (सामान्यत: “Macintosh HD”)। इसे “माउंट पॉइंट कहना होगा : माउंट नहीं” और “FileVault: हाँ (लॉक किया गया).” वॉल्यूम के लिए APFS वॉल्यूम डिस्क ID को नोट करें, जो disk3s2 की तरह दिखता है, लेकिन संभावना है कि उसकी संख्याएँ अलग-अलग हों—उदाहरण के लिए, disk4s5।
diskutil apfs list3. नीचे दिए गए कमांड चलाएँ, फिर व्यक्तिगत रिकवरी की यूज़र की तलाश करें और सूचीबद्ध UUID को याद रखें :
diskutil apfs listUsers /dev/<diskXsN>4. यह कमांड रन करें :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. पासफ़्रेज़ संकेत पर, PRK को पेस्ट करें और दर्ज करें, फिर वापस जाएँ को दबाएँ। वॉल्यूम Finder में माउंट किया जाता है।