Urus FileVault dengan pengurusan peranti
Organisasi boleh mengurus penyulitan cakera penuh FileVault menggunakan perkhidmatan pengurusan peranti, atau untuk sesetengah pengerahan dan konfigurasi lanjutan, alat baris perintah fdesetup. Mengurus FileVault menggunakan perkhidmatan pengurusan peranti dirujuk sebagai pendayaan tertunda dan memerlukan peristiwa log keluar atau log masuk daripada pengguna. Perkhidmatan pengurusan peranti juga boleh menyesuaikan pilihan seperti:
Bilangan kali pengguna boleh menangguh pendayaan FileVault
Sama ada untuk menggesa pengguna semasa log keluar sebagai tambahan kepada menggesa mereka semasa log masuk
Sama ada untuk menunjukkan kunci pemulihan kepada pengguna
Sijil yang untuk digunakan bagi menyulitkan kunci pemulihan secara asimetri untuk mengeskrow ke perkhidmatan pengurusan peranti
Mendayakan pengguna untuk membuka kunci storan pada volum APFS memerlukan mereka untuk mempunyai token selamat dan pada Mac dengan Apple silicon, menjadi pemilik volum. Untuk mendapatkan maklumat lanjut tentang token selamat dan pemilikan volum, lihat Gunakan token selamat, token bootstrap dan pemilikan volum dalam pengerahan. Maklumat tentang cara dan masa pengguna diberikan token selamat dalam aliran kerja khusus diberikan di bawah.
Menguatkuasakan FileVault dalam Pembantu Persediaan
Menggunakan kunci ForceEnableInSetupAssistant, komputer Mac boleh diperlukan untuk mengaktifkan FileVault semasa Pembantu Persediaan. Ini memastikan yang storan dalaman dalam komputer Mac terurus sentiasa disulitkan sebelum digunakan. Organisasi boleh menentukan sama ada untuk menunjukkan kunci pemulihan FileVault kepada pengguna atau untuk eskrow kunci pemulihan peribadi. Untuk menggunakan ciri ini, pastikan bahawa await_device_configured disetkan.
Nota: Sebelum macOS 14.4, ciri ini memerlukan akaun pengguna yang dicipta secara interaktif semasa Pembantu Persediaan untuk mempunyai peranan Pentadbir.
Apabila pengguna menyediakan Mac mereka sendiri
Nota: Perkhidmatan pengurusan peranti perlu menyokong ciri khusus untuk token selamat dan token bootstrap berfungsi dengan Mac.
Apabila pengguna menyediakan Mac mereka sendiri, jabatan IT tidak melakukan sebarang tugasan memperuntukkan pada peranti sebenar. Anda memberikan semua dasar dan konfigurasi menggunakan perkhidmatan pengurusan peranti atau alat pengurusan konfigurasi. Pembantu Persediaan mencipta akaun setempat permulaan dan memberikan token selamat kepada pengguna serta Mac menjana token bootstrap dan mengeskrownya ke perkhidmatan pengurusan peranti.
Jika Mac didaftarkan dalam perkhidmatan pengurusan peranti, akaun permulaan mungkin bukan akaun pentadbir setempat, tetapi akaun pengguna standard setempat. Jika anda menurun taraf pengguna ke pengguna standard menggunakan perkhidmatan, ia memberikan token selamat kepada pengguna secara automatik. Pada Mac dengan macOS 10.15.4 atau lebih baharu, jika anda menurun taraf pengguna, macOS menjana token bootstrap dan mengeskrownya ke perkhidmatan pengurusan peranti secara automatik.
Jika anda melangkau penciptaan akaun pengguna setempat dalam Pembantu Persediaan menggunakan perkhidmatan pengurusan peranti dan sebaliknya menggunakan perkhidmatan direktori dengan akaun mudah alih, perkhidmatan memberikan pengguna akaun mudah alih token selamat semasa log masuk. Pada Mac dengan macOS 10.15.4 atau lebih baharu, selepas mendayakan pengguna dengan akaun mudah alih, macOS menjana token bootstrap secara automatik semasa log masuk kedua pengguna dan mengeskrownya ke perkhidmatan pengurusan peranti.
Jika perkhidmatan pengurusan peranti melangkau penciptaan akaun pengguna setempat dalam Pembantu Persediaan dan sebaliknya menggunakan perkhidmatan direktori dengan akaun mudah alih, perkhidmatan pengurusan peranti memberi pengguna token selamat apabila mereka log masuk. Pada Mac dengan macOS 10.15.4 atau lebih baharu, jika pengguna mudah alih mempunyai token selamat, macOS menjana token bootstrap dan mengeskrownya ke perkhidmatan pengurusan peranti secara automatik.
Dalam sebarang senario di atas, disebabkan macOS memberi pengguna pertama dan utama token selamat, pengguna boleh mendayakan FileVault menggunakan pendayaan tertunda yang membenarkan anda mengaktifkan FileVault tetapi menunda pendayaannya sehingga pengguna log masuk atau keluar daripada Mac. Anda juga boleh memilih sama ada pengguna boleh melangkau mengaktifkan FileVault (sebagai pilihan bilangan kali yang ditakrifkan). Ini membolehkan pengguna utama Mac—sama ada pengguna setempat sebarang jenis atau akaun mudah alih—untuk membuka kunci volum FileVault.
Pada Mac yang macOS menjana token bootstrap dan mengeskrownya ke perkhidmatan pengurusan peranti, jika pengguna lain log masuk ke Mac pada masa akan datang, macOS menggunakan token bootstrap itu untuk memberi token selamat kepada mereka secara automatik. Ini bermaksud akaun juga didayakan untuk FileVault dan boleh membuka kunci volum FileVault. Untuk mengeluarkan keupayaan pengguna untuk membuka kunci peranti storan, gunakan fdesetup remove -user.
Apabila organisasi memperuntukkan Mac
Apabila organisasi memperuntukkan Mac sebelum memberikannya kepada pengguna, jabatan IT menyediakan peranti. Anda menggunakan akaun pentadbiran setempat, yang anda cipta sama ada dalam Pembantu Persediaan atau dengan memperuntukkan satu dengan perkhidmatan pengurusan peranti, untuk memperuntukkan atau menyediakan Mac dan sistem pengendalian memberikannya token selamat pertama semasa log masuk. Jika perkhidmatan menyokong ciri token bootstrap, sistem pengendalian juga menjana token bootstrap dan mengeskrownya.
Jika Mac disertakan ke perkhidmatan direktori dan dikonfigurasikan untuk mencipta akaun mudah alih dan jika tiada token bootstrap, pengguna perkhidmatan direktori digesa pada log masuk pertama untuk nama pengguna dan kata laluan pentadbir token selamat sedia ada untuk memberikan akaun mereka token selamat. Mereka perlu memasukkan kelayakan pentadbir setempat yang didayakan token selamat. Jika token selamat tidak diperlukan, pengguna boleh mengklik Pintasan. Untuk Mac dengan macOS 10.13.5 atau lebih baharu, terdapat kemungkinan untuk mengekang dialog token selamat sepenuhnya jika anda tidak mahu menggunakan FileVault dengan akaun mudah alih. Untuk mengekang dialog token selamat, gunakan profil konfigurasi seting tersuai daripada perkhidmatan pengurusan peranti dengan kunci dan nilai berikut:
Seting | Nilai | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Kunci | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Nilai | Benar | ||||||||||
Jika perkhidmatan pengurusan peranti menyokong ciri token bootstrap dan Mac menjana satu serta mengeskrownya ke perkhidmatan, pengguna akaun mudah alih tidak melihat gesaan ini. Sebaliknya, macOS memberikannya token selamat semasa log masuk secara automatik.
Jika pengguna setempat tambahan diperlukan pada Mac berbanding akaun pengguna daripada perkhidmatan direktori, macOS memberi mereka token selamat secara automatik apabila pentdbir didayakan token selamat mencipta pengguna setempat tersebut dalam Pengguna & Kumpulan (dalam Seting Sistem pada macOS 13 atau lebih baharu, atau dalam Keutamaan Sistem pada macOS 12.0.1 atau lebih awal). Apabila mencipta pengguna setempat menggunakan baris perintah, pentadbir boleh menggunakan alat baris perintah sysadminctl dan boleh menyahdayakannya secara pilihan untuk token selamat. Pada Mac dengan macOS 11 atau lebih baharu, jika macOS tidak memberikan token selamat semasa penciptaan dan jika token bootstrap tersedia daripada perkhidmatan pengurusan peranti, ia memberikan token selamat kepada pengguna setempat apabila mereka log masuk.
Dalam senario ini, pengguna berikut boleh membuka kunci volum disulitkan FileVault:
Pentadbir setempat asal yang digunakan untuk peruntukan
Sebarang pengguna perkhidmatan direktori tambahan diberikan token selamat semasa proses log masuk sama ada secara interaktif menggunakan gesaan dialog, atau secara automatik dengan token bootstrap
Mana-mana pengguna setempat baharu
Untuk mengeluarkan keupayaan pengguna untuk membuka kunci peranti storan, gunakan fdesetup remove -user.
Apabila menggunakan satu daripada aliran kerja yang diterangkan di atas, token selamat diuruskan oleh macOS tanpa sebarang konfigurasi tambahan atau penskripan diperlukan; ia menjadi butiran perlaksanaan dan bukannya sesuatu yang perlu diuruskan atau dimanipulasikan secara aktif.
Alat baris perintah fdesetup
Anda boleh menggunakan konfigurasi pengurusan peranti atau alat baris perintah fdesetup untuk mengkonfigurasikan FileVault. Untuk Mac dengan macOS 10.15 atau lebih baharu, menggunakan fdesetup untuk mengaktifkan FileVault dengan menyediakan nama pengguna dan kata laluan ditamatkan dan tidak akan tersedia dalam keluaran akan datang. Perintah akan terus berfungsi tetapi kekal ditamatkan dalam macOS 11 dan macOS 12.0.1. Sebaliknya, pertimbangkan menggunakan pendayaan tertunda daripada perkhidmatan pengurusan peranti. Untuk mendapatkan maklumat lanjut tentang alat baris perintah fdesetup, lancarkan app Terminal dan masukkan fdesetup man atau bantuan fdesetup.
Kunci pemulihan institusi lwn peribadi
FileVault pada kedua-dua volum CoreStorage dan APFS menyokong menggunakan kunci pemulihan institusi (IRK, sebelum ini dikenali sebagai Identiti Induk FileVault) untuk membuka kunci volum. Walaupun IRK berguna untuk operasi baris perintah bagi membuka kunci volum atau menyahdayakan FileVault, kegunaannya untuk organisasi adalah terhad, terutama dalam versi terbaharu macOS. Pada Mac dengan Apple silicon, IRK tidak memberikan nilai fungsi atas dua sebab utama: Pertama, IRK tidak boleh digunakan untuk mengakses recoveryOS; dan kedua, kerana mod cakera sasaran tidak lagi disokong, volum tidak boleh dibuka kunci dengan menyambungkannya ke Mac lain. Atas sebab tersebut dan sebab-sebab lain, penggunaan IRK tidak lagi disyorkan untuk pengurusan institusi FileVault pada komputer Mac. Sebaliknya, kunci pemulihan peribadi (PRK) sepatutnya digunakan. PRK memberikan:
Pemulihan yang sangat teguh dan mekanisme akses sistem pengendalian yang sangat teguh
Penyulitan per volum unik
Eskrow ke perkhidmatan pengurusan peranti
Penggiliran kunci mudah selepas penggunaan
Untuk Mac dengan Apple silicon dengan macOS 12.0.1 atau lebih baharu, PRK boleh digunakan dalam recoveryOS atau untuk memulakan Mac disulitkan kepada macOS secara langsung. Dalam recoveryOS, PRK boleh digunakan jika digesa oleh Pembantu Pemulihan, atau dengan pilihan Terlupa Semua Kata Laluan, untuk mendapatkan semula akses ke persekitaran pemulihan yang kemudiannya juga membuka kunci volum. Apabila menggunakan pilihan Terlupa Semua Kata Laluan, mereset kata laluan untuk pengguna tidak diperlukan; butang keluar boleh diklik untuk memulakan terus ke dalam recoveryOS. Untuk memulakan macOS terus pada komputer Mac berasaskan Intel, klik tanda soalan bersebelahan medan kata laluan, kemudian pilih pilihan untuk “resetnya dengan menggunakan Kunci Pemulihan anda”. Masukkan PRK, kemudian tekan Return atau klik anak panah. Selepas permulaan macOS, tekan Batal pada dialog perubahan kata laluan.
Juga, untuk Mac dengan Apple silicon dengan macOS 12.0.1 atau lebih baharu, tekan Option-Shift-Return untuk mendedahkan medan entri untuk PRK, kemudian tekan Return (atau klik anak panah).
Hanya terdapat satu PRK untuk setiap volum disulitkan dan semasa pendayaan FileVault daripada perkhidmatan pengurusan peranti, ia anda boleh menyembunyikannya daripada pengguna secara pilihan. Apabila mengkonfigurasikannya untuk eskrow ke perkhidmatan pengurusan peranti, ia memberikan kunci awam dalam bentuk sijil kepada Mac, yang ia kemudian gunakan untuk menyulitkan PRK secara asimetri dalam format sampul CMS. PRK disulitkan dikembalikan ke perkhidmatan dalam pertanyaan maklumat keselamatan, yang kemudian boleh dinyahsulitkan oleh organisasi untuk paparan. Disebabkan penyulitan adalah asimetri, perkhidmatan sendiri mungkin tidak boleh menyahsulit PRK (yang mungkin memerlukan langkah tambahan oleh pentadbir). Walau bagaimanapun, kebanyakan pembangun perkhidmatan pengurusan peranti memberikan pilihan untuk mengurus kunci ini bagi membenarkan paparan terus dalam produk mereka. Perkhidmatan pengurusan peranti juga boleh memutarkan PRK sekerap yang diperlukan secara pilihan untuk membantu mengekalkan postur keselamatan yang kukuh—sebagai contoh, selepas menggunakan PRK untuk membuka kunci volum.
PRK boleh digunakan dalam mod cakera sasaran (TDM) pada komputer Mac tanpa Apple silicon untuk membuka kunci volum:
1. Sambung Mac dalam mod cakera sasaran ke Mac lain menggunakan versi macOS yang sama atau lebih baharu.
2. Buka Terminal, kemudian jalankan perintah berikut dan cari nama volum (biasanya “Macintosh HD”). Ia sepatutnya berkata “Titik Lekapan: Tidak Dilekap” dan “FileVault: Ya (Dikunci)”. Ingat ID Cakera Volum APFS untuk volum, yang kelihatan seperti disk3s2 tetapi dengan nombor berbeza—contohnya, disk4s5.
diskutil apfs list3. Jalankan perintah berikut, kemudian cari pengguna kunci pemulihan peribadi dan ingat UUID yang disenaraikan:
diskutil apfs listUsers /dev/<diskXsN>4. Jalankan perintah ini:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Pada gesaan frasa laluan, tampal atau masukkan PRK, kemudian tekan Return. Volum dilekapkan dalam Finder.