Mengelola FileVault di macOS
Di macOS, organisasi dapat mengelola FileVault menggunakan SecureToken atau Token Bootstrap.
Menggunakan Token Aman
Apple File System (APFS) di macOS 10.13 atau lebih baru mengubah bagaimana kunci enkripsi FileVault dibuat. Di versi macOS sebelumnya di volume CoreStorage, kunci yang digunakan di proses enkripsi FileVault dibuat saat pengguna atau organisasi menyalakan FileVault di Mac. Pada macOS di volume APFS, kunci dibuat selama pembuatan pengguna, pengaturan kata sandi pengguna pertama, atau selama proses masuk pertama oleh pengguna Mac. Penerapan kunci enkripsi ini, saat mereka dibuat, dan bagaimana mereka disimpan adalah bagian dari fitur yang disebut Token Aman. Secara spesifik, token aman adalah versi kunci enkripsi kunci (KEK) yang dibungkus dan dilindungi oleh kata sandi pengguna.
Saat menyebarkan FileVault di APFS, pengguna dapat terus:
Menggunakan alat dan proses yang ada, seperti kunci pemulihan pribadi (PRK) yang dapat disimpan dengan solusi mobile device management (MDM) untuk eskrow
Membuat dan menggunakan kunci pemulihan institusional (IRK)
Menangguhkan pengaktifan FileVault hingga pengguna masuk atau keluar dari Mac
Di macOS 11, mengatur kata sandi awal untuk pengguna paling pertama di Mac akan membuat pengguna tersebut memiliki token aman. Dalam beberapa alur kerja, hal ini mungkin tidak diharapkan, karena sebelumnya, memberikan token aman pertama akan mengharuskan akun pengguna untuk masuk. Untuk mencegah hal ini terjadi, tambahkan ;DisabledTags;SecureToken
ke atribut AuthenticationAuthority
pengguna yang dibuat dengan program sebelum mengatur kata sandi pengguna, seperti yang ditampilkan di bawah:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Menggunakan Token Bootstrap
macOS 10.15 memperkenalkan fitur baru—Token Bootstrap—untuk membantu pemberian token aman ke akun bergerak dan akun administrator yang dibuat pendaftaran perangkat opsional (“administrator terkelola”). Di macOS 11, token bootstrap dapat memberikan token aman ke pengguna mana pun yang masuk ke komputer Mac, termasuk akun pengguna lokal. Penggunaan fitur Token Bootstrap dari macOS 10.15 atau lebih baru memerlukan:
Pendaftaran Mac di MDM menggunakan Apple School Manager atau Apple Business Manager, yang membuat Mac diawasi
Dukungan vendor MDM
Di macOS 10.15.4 atau lebih baru, token bootstrap dibuat dan dieskrow ke MDM pada masuk pertama kali oleh pengguna mana pun dengan Token Aman yang diaktifkan jika solusi MDM mendukung fitur tersebut. Token bootstrap juga dapat dibuat dan dieskrow ke MDM menggunakan alat baris perintah profiles
, jika perlu.
Di macOS 11, token bootstrap juga dapat digunakan untuk lebih dari sekadar memberikan token aman ke akun pengguna. Di Mac dengan Apple silicon, token bootstrap, jika tersedia, dapat digunakan untuk mengesahkan penginstalan ekstensi kernel dan pembaruan perangkat lunak saat dikelola menggunakan MDM.