배포에 Secure Token, Bootstrap Token 및 볼륨 소유권 사용하기
Secure Token
macOS 10.13 이상에서는 APFS(Apple 파일 시스템)가 FileVault 암호화 키 생성 방식을 변경합니다. CoreStorage 볼륨의 이전 버전의 macOS에서 FileVault 암호화 프로세스에 사용되는 키는 사용자나 조직이 Mac의 FileVault를 켠 경우에 생성되었습니다. APFS 볼륨의 macOS에서는 사용자를 생성하거나, 사용자 암호를 처음으로 설정하거나, Mac 사용자가 처음으로 로그인하는 과정에서 암호화 키가 생성됩니다. 암호화 키가 생성되었을 때 이를 구현하는 것과 이를 저장하는 방식은 모두 Secure Token으로 알려진 기능의 일부입니다. 명확하게 말하면 Secure Token은 사용자 암호로 보호되는 Key Encryption Key(KEK)의 래핑된 버전입니다.
APFS를 FileVault로 배포할 때 사용자는 다음과 같은 동작을 계속할 수 있습니다.
MDM(모바일 기기 관리) 솔루션에 저장해 에스크로가 가능한 PRK(개인 복구 키) 등 기존 도구와 프로세스 사용
IRK(기관 복구 키) 생성 및 사용하기
사용자가 Mac에 로그인하거나 Mac에서 로그아웃할 때까지 FileVault 활성화 지연하기
macOS 11 이상에서 Mac 최초 사용자의 최초 암호를 설정하면 해당 사용자에게는 Secure Token이 부여됩니다. 일부 작업흐름의 경우 최상의 방법은 아니지만 이전과 같이 첫 번째 Secure Token을 부여하면 해당 사용자 계정으로 로그인해야할 수 있습니다. 이를 방지하려면 아래와 같이 사용자 암호를 설정하기 전에 프로그램에서 생성된 사용자의 AuthenticationAuthority 속성에 ;DisabledTags;SecureToken을 추가하십시오.
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap Token
macOS 10.15 이상에서 Bootstrap Token은 기존 사용자 계정에 Secure Token을 부여하는 일 외에도 사용될 수 있습니다. Apple Silicon이 탑재된 Mac 컴퓨터에서 Bootstrap Token이 사용 가능한 경우와 MDM을 사용하여 관리하는 경우 다음 용도로 사용할 수 있습니다.
감독
MDM 공급업체 지원
MDM 솔루션이 Bootstrap Token을 지원한다고 가정합시다. macOS 10.15.4 이상에서 Secure Token이 활성화된 사용자가 처음 로그인하면 Bootstrap Token이 생성되고 MDM으로 에스크로됩니다. 또한 필요한 경우 profiles 명령어 라인 도구를 사용하여 Bootstrap Token을 생성하고 MDM으로 에스크로할 수도 있습니다.
macOS 11 이상에서 Bootstrap Token은 기존 사용자 계정에 Secure Token을 부여하는 일 외에도 사용될 수 있습니다. Apple Silicon이 탑재된 Mac 컴퓨터에서 Bootstrap Token이 사용 가능한 경우와 MDM을 사용하여 관리하는 경우 다음 용도로 사용할 수 있습니다.
소프트웨어 업데이트 설치 인증하기
‘모든 콘텐츠 및 설정 지우기’ MDM 명령 자동으로 인증하기(macOS 12.0.1 이상).
플랫폼 SSO로 처음 로그인할 때 새로운 사용자 생성하기(macOS 13 이상).
볼륨 소유권
Apple Silicon이 탑재된 Mac 컴퓨터에는 볼륨 소유권의 개념이 적용됩니다. 조직적 맥락에서 볼륨 소유권은 Mac의 실제 법적 소유권 또는 관리 연속성(CoC)과 관련이 없습니다. 대신 볼륨 소유권은 추가 사용자와 함께 자신이 사용할 Mac을 구성하여 처음 등록한 사용자로 어느 정도 정의할 수 있습니다. 사용자가 볼륨 소유자인 경우에만 특정 macOS 설치에 대한 시동 보안 정책을 변경하고, macOS 소프트웨어 업데이트 및 업그레이드 설치를 승인하고, Mac에서 모든 콘텐츠 및 설정 지우기를 시작하는 등의 작업을 수행할 수 있습니다. 시동 보안 정책은 부팅할 수 있는 macOS 버전과 타사 커널 확장 프로그램을 로드하거나 관리하는 방법, 이를 로드했거나 관리했는지 여부에 대한 제한 사항을 정의합니다.
자신이 사용할 Mac을 구성하여 처음으로 등록한 사용자는 Apple Silicon이 탑재된 Mac에서 Secure Token을 부여받고 첫 번째 볼륨 소유자가 됩니다. Bootstrap Token을 사용할 수 있고 사용 중인 경우에도 볼륨 소유자가 되고, 그런 다음 추가 계정에 Secure Token을 제공할 때 추가 계정에도 볼륨 소유권 상태를 부여합니다. Secure Token을 부여받은 첫 번째 사용자와 Bootstrap Token은 모두 볼륨 소유자가 되며, 추가 사용자에게 Secure Token을 부여할 수 있는 Bootstrap Token의 기능(따라서 볼륨 소유권 상태도 포함)도 되므로 볼륨 소유권은 조직에서 적극적으로 관리하거나 조작할 필요가 없습니다. Secure Token 관리 및 부여에 대한 이전 고려 사항은 일반적으로 볼륨 소유권 상태와도 맞아야 합니다.
볼륨 소유자이면서 관리자는 아닐 수 있지만 특정 작업에서는 둘 모두의 소유권을 확인해야 합니다. 예를 들어, 시동 보안 설정을 수정하려면 관리자와 볼륨 소유자가 되어야 하는 반면, 소프트웨어 업데이트 인증은 표준 사용자가 허용할 수 있으며 소유권만 필요합니다.
Apple Silicon이 탑재된 Mac 컴퓨터에서 현재 볼륨 소유자 목록을 보려면 다음 명령을 실행하면 됩니다.
sudo diskutil apfs listUsers /‘로컬 Open Directory 사용자’ 유형의 diskutil 명령 출력에 나열된 GUID는 Open Directory에 있는 사용자 기록의 GeneratedUID 속성에 다시 매핑됩니다. GeneratedUID로 사용자를 찾으려면 다음 명령을 사용하십시오.
dscl . -search /Users GeneratedUID <GUID>다음 명령을 사용하여 사용자 이름과 GUID를 함께 볼 수도 있습니다.
sudo fdesetup list -extended소유권은 Secure Enclave에서 보호되는 암호화로 지원됩니다. 자세한 정보는 다음을 참조하십시오.
명령어 라인 도구 사용
명령어 라인 도구를 통해 Bootstrap Token 및 Secure Token을 관리할 수 있습니다. 일반적으로 Mac은 MDM 솔루션에서 Bootstrap Token을 지원하는지 확인한 후, Bootstrap Token이 macOS 설정 절차 동안 Mac에서 생성되며 MDM 솔루션으로 에스크로됩니다. 하지만 Bootstrap Token은 이미 배포된 Mac에도 생성될 수 있습니다. macOS 10.15.4 이상에서 MDM 솔루션이 기능을 지원하는 경우 Secure Token이 활성화된 사용자가 처음 로그인할 때 Bootstrap Token이 생성되고 MDM으로 에스크로됩니다. 이를 통해 기기 설정 후에 Bootstrap Token을 생성하고 MDM 솔루션으로 에스크로할 때 프로필 명령어 라인 도구를 사용해야 하는 필요를 줄일 수 있습니다.
프로필 명령어 라인 도구는 Bootstrap Token과 상호작용하는 데 사용할 수 있는 다양한 옵션을 다음과 같이 제공합니다.
sudo profiles install -type bootstraptoken: 이 명령을 사용하면 새로운 Bootstrap Token을 생성하고 MDM 솔루션으로 에스크로합니다. 이 커맨드는 기존의 Secure Token 관리자 정보가 있어야 Bootstrap Token을 처음 생성할 수 있고 MDM 솔루션에서 해당 기능을 지원해야 합니다.sudo profiles remove -type bootstraptoken: Mac 및 MDM 솔루션에 저장된 기존의 Bootstrap Token을 제거합니다.sudo profiles status -type bootstraptoken: MDM 솔루션이 Bootstrap Token 기능을 지원하는지와 Mac에 저장된 Bootstrap Token의 현재 상태를 보고합니다.sudo profiles validate -type bootstraptoken: MDM 솔루션이 Bootstrap Token 기능을 지원하는지와 Mac에 저장된 Bootstrap Token의 현재 상태를 보고합니다.
sysadminctl 명령어 라인 도구
sysadminctl 명령어 라인 도구는 Mac 컴퓨터에 등록된 사용자 계정의 Secure Token 상태를 수정하는 데 사용됩니다. 해당 작업은 주의를 기울여 필요한 경우에만 수행해야 합니다. 사용자의 Secure Token 상태를 sysadminctl을 사용하여 변경하려면 Secure Token이 활성화된 기존 관리자의 사용자 이름 및 암호가 상호 작용 또는 해당 명령의 플래그에 항상 필요합니다. sysadminctl 및 시스템 설정(macOS 13 이상) 또는 시스템 환경설정(macOS 12.0.1 또는 이전 버전)에서는 마지막으로 남아있는 관리자 또는 Mac에 등록된 Secure Token이 활성화된 사용자를 삭제하지 못하도록 합니다. 해당 사용자가 Secure Token을 활성화하도록 로컬 사용자 추가 생성이 sysadminctl을 사용하여 스크립트된 경우, 현재 Secure Token이 활성화된 관리자의 자격 증명이 상호 작용 옵션으로, 또는 sysadminctl의 -adminUser 및 -adminPassword플래그로 직접 제공되어야 합니다. 로컬 사용자 생성 시 Secure Token이 부여되지 않더라도 macOS 11이상에서는 MDM 솔루션에서 Bootstrap Token이 지원되는 경우, Mac 컴퓨터에 로그인하는 로컬 사용자에게 로그인 시 Secure Token이 부여됩니다. 추가 사용 지침을 보려면 sysadminctl -h 명령어를 사용하십시오.