Administrer FileVault med enhetsadministrering
Organisasjoner kan administrere FileVault-diskkryptering ved hjelp av en tjeneste for enhetsadministrering. For enkelte avanserte utrullinger og konfigurasjoner kan de også bruke fdesetup-kommandolinjeverktøyet. Når FileVault administreres ved hjelp av en tjeneste for enhetsadministrering, kalles det utsatt aktivering, og det krever at brukeren logger av eller logger på. En tjeneste for enhetsadministrering kan også tilpasse valg som:
hvor mange ganger en bruker kan utsette aktivering av FileVault
om brukerne skal bli spurt når de logger av i tillegg til når de logger seg på
om gjenopprettingsnøkkelen skal vises for brukeren
hvilket sertifikat som brukes til å asymmetrisk kryptere gjenopprettingsnøkkelen for deponering i tjenesten for enhetsadministrering
Hvis brukere skal kunne låse opp lagring på APFS-volumer, må de ha et sikkert kjennetegn. På Mac med Apple-chip må de også være volumeier. Hvis du vil ha mer informasjon om sikre kjennetegn og volumeierskap, kan du se Bruk sikkert kjennetegn, Bootstrap-kjennetegn og volumeierskap i utrullinger. Under finner du informasjon om hvordan og når brukere får et sikkert kjennetegn i konkrete arbeidsflyter.
Krev FileVault i Oppsettassistent
ForceEnableInSetupAssistant-nøkkelen kan brukes til å kreve at Macer slår på FileVault under oppsettassistenten. Dette sørger for at intern lagring i administrerte Macer alltid krypteres før de brukes. Organisasjoner kan velge om FileVault-gjenopprettingsnøkkelen skal vises til brukeren eller om den personlige gjenopprettingsnøkkelen skal deponeres. For å bruke denne funksjonen må await_device_configured være angitt.
Merk: Før macOS 14.4 krevde denne funksjonen at brukerkontoen som ble opprettet interaktivt under oppsettassistenten, hadde rollen Administrator.
Når en bruker konfigurerer en Mac på egen hånd
Merk: Tjenesten for enhetsadministrering må støtte bestemte funksjoner for sikre kjennetegn og Bootstrap-kjennetegn for å kunne brukes med en Mac.
Når en bruker konfigurerer en Mac på egen hånd, utfører ikke IT-avdelinger klargjøringsoppgaver på selve enheten. Du leverer alle regler og konfigurasjoner ved hjelp av en tjeneste for enhetsadministrering eller konfigurasjonsadministrasjonsverktøy. Oppsettassistent oppretter den første lokale kontoen og tilordner brukeren et sikkert kjennetegn. Macen genererer et Bootstrap-kjennetegn og deponerer det i tjenesten for enhetsadministrering.
Hvis Macen registreres i en tjeneste for enhetsadministrering, er det mulig at den første kontoen ikke er en lokal administratorkonto, men en lokal standard brukerkonto. Hvis du nedgraderer brukeren til en standardbruker ved hjelp av en tjeneste, tilordner den automatisk et sikkert kjennetegn til brukeren. Hvis du nedgraderer brukeren på en Mac med macOS 10.15.4 eller nyere, vil macOS automatisk generere et Bootstrap-kjennetegn og deponere det i tjenesten for enhetsadministrering.
Hvis du utelater oppretting av lokal brukerkonto i Oppsettassistent ved hjelp av en tjeneste for enhetsadministrering, og det brukes en katalogtjeneste med mobile kontoer i stedet, vil tjenesten tilordne et sikkert kjennetegn til brukeren av den mobile kontoen under pålogging. Når brukeren har blitt aktivert med en mobil konto på en Mac med macOS 10.15.4 eller nyere, vil macOS automatisk generere et Bootstrap-kjennetegn under brukerens andre pålogging og deponere det i tjenesten for enhetsadministrering.
Hvis en tjeneste for enhetsadministrering utelater å opprette en lokal brukerkonto i Oppsettassistent og bruker en katalogtjeneste med mobile kontoer i stedet, vil tjenesten for enhetsadministrering tilordne et sikkert kjennetegn til brukeren under pålogging. Hvis den mobile brukeren har et sikkert kjennetegn på en Mac med macOS 10.15.4 eller nyere, vil macOS automatisk generere et Bootstrap-kjennetegn og deponere det i tjenesten for enhetsadministrering.
Siden macOS tilordner et sikkert kjennetegn til den første og primære brukeren i scenarioene over, kan brukeren aktivere FileVault ved hjelp av utsatt aktivering, slik at du kan slå på FileVault, men utsette å aktivere funksjonen til en bruker logger på eller logger av en Mac. Du kan også velge om brukeren kan utelate å slå på FileVault (om ønskelig et definert antall ganger). Dette gjør at Macens primære bruker kan låse opp FileVault-volumet, uavhengig av om brukeren er en lokal bruker av en hvilken som helst type eller en mobil konto.
Hvis en annen bruker logger på en Mac der macOS genererer et Bootstrap-kjennetegn og deponerer det i en tjeneste for enhetsadministrering, vil macOS bruke Bootstrap-kjennetegnet til å automatisk tilordne et sikkert kjennetegn. Dette betyr at kontoen også er aktivert for FileVault og vil kunne låse opp FileVault-volumet. Bruk fdesetup remove -user for å fjerne en brukers mulighet til å låse opp lagringsenheten.
Når en organisasjon klargjør en Mac
Når en organisasjon klargjør en Mac før den gis til brukeren, konfigurerer IT-avdelingen enheten. Du bruker den lokale administratorkontoen, som du oppretter enten i Oppsettassistent eller ved klargjøring med en tjeneste for enhetsadministrering, til å klargjøre eller konfigurere Macen, og operativsystemet tilordner det første sikre kjennetegnet under pålogging. Hvis tjenesten støtter Bootstrap-kjennetegn-funksjonen, vil operativsystemet også generere et Bootstrap-kjennetegn som deponeres i den.
Hvis Macen er knyttet til en katalogtjeneste og konfigurert til å opprette mobile kontoer og hvis det ikke finnes et Bootstrap-kjennetegn, bes katalogtjenestebrukere ved første pålogging om en eksisterende administrators – som har aktivert sikkert kjennetegn – brukernavn og passord for å tilordne deres konto et sikkert kjennetegn. Vedkommende må oppgi akkreditiver for en lokal administrator med sikkert kjennetegn. Hvis det ikke kreves et sikkert kjennetegn, kan brukeren klikke på Utelat. For Macer med macOS 10.13.5 eller nyere er det mulig å skjule dialogruten for sikkert kjennetegn helt hvis du ikke skal bruke FileVault med de mobile kontoene. Hvis du vil skjule dialogruten for sikkert kjennetegn, bruker du en tilpasset innstillingskonfigurasjonsprofil fra tjenesten for enhetsadministrering med følgende nøkler og verdier:
Innstilling | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | True | ||||||||||
Hvis tjenesten for enhetsadministrering støtter Bootstrap-kjennetegn-funksjonen og Macen genererte ett og deponerte det i tjenesten, vil ikke brukere av mobile kontoer se denne dialogruten. I stedet tildeler macOS automatisk et sikkert kjennetegn under pålogging.
Hvis det kreves ytterligere lokale brukere på Macen i stedet for brukerkontoer fra en katalogtjeneste, vil macOS automatisk tilordne dem et sikkert kjennetegn når en administrator som har sikkert kjennetegn aktivert, oppretter de lokale brukerne i Brukere og grupper (i Systeminnstillinger i macOS 13 eller nyere eller i Systemvalg i macOS 12.0.1 eller eldre). Når lokale brukere opprettes ved hjelp av kommandolinjen, kan administratoren bruke sysadminctl-kommandolinjeverktøyet, og administratoren kan også eventuelt aktivere dem for et sikkert kjennetegn. Hvis macOS ikke tilordner et sikkert kjennetegn ved opprettelse på en Mac med macOS 11 eller nyere, og hvis et Bootstrap-kjennetegn er tilgjengelig fra tjenesten for enhetsadministrering, tilordnes den lokale brukeren et sikkert kjennetegn ved pålogging.
I disse scenariene kan følgende brukere låse opp det FileVault-krypterte volumet:
Den opprinnelige lokale administratoren som ble brukt for klargjøring
Eventuelle andre katalogtjenestebrukere som er tilordnet et sikkert kjennetegn under påloggingsprosessen enten interaktivt ved hjelp av dialogruten eller automatisk med Bootstrap-kjennetegn
Eventuelle nye lokale brukere
Bruk fdesetup remove -user for å fjerne en brukers mulighet til å låse opp lagringsenheten.
Når en av arbeidsflytene beskrevet over brukes, administreres sikre kjennetegn av macOS uten at annen konfigurasjon eller andre prosedyrer er nødvendig. Det blir en implementeringsdetalj og ikke noe som må aktivt administreres eller manipuleres.
fdesetup-kommandolinjeverktøyet
Du kan bruke konfigurasjoner for enhetsadministrering eller fdesetup-kommandolinjeverktøyet til å konfigurere FileVault. For Macer med macOS 10.15 eller nyere er bruk av fdesetup for å slå på FileVault ved å oppgi brukernavn og passord utgått og vil ikke være tilgjengelig i senere utgivelser. Kommandoen fortsetter å fungere, men er utgått i macOS 11 og macOS 12.0.1. Vurder å bruke utsatt aktivering fra en tjeneste for enhetsadministrering i stedet. Hvis du vil ha mer informasjon om fdesetup-kommandolinjeverktøyet, kan du starte Terminal-appen og skrive man fdesetup eller fdesetup help.
Gjenopprettingsnøkler for en institusjon kontra private brukere
FileVault på både CoreStorage- og APFS-volumer støtter bruk av en gjenopprettingsnøkkel for institusjoner (IRK, tidligere kalt FileVault-masteridentitet) for å låse opp volumet. IRK er nyttig ved bruk av kommandolinjen for å låse opp et volum eller deaktivere FileVault, men nytteverdien for organisasjoner er begrenset, spesielt i nyere versjoner av macOS. Det er to hovedgrunner til at IRK-er ikke har noen funksjonell verdi på Macer med Apple-chip: For det første kan ikke IRK-er brukes til å få tilgang til recoveryOS, og for det andre kan ikke volumet låses opp ved å koble det til en annen Mac, siden måldiskmodus ikke lenger støttes. Blant annet på grunn av dette anbefales det ikke lenger at institusjoner bruker IRK til administrasjon av FileVault på Macer. I stedet bør det brukes en personlig gjenopprettingsnøkkel (PRK). En PRK gir:
en ekstremt robust mekanisme for gjenoppretting og tilgang til operativsystemet
unik kryptering for hvert volum
deponering til tjeneste for enhetsadministrering
enkel nøkkelrotasjon etter bruk
For Macer med Apple-chip og macOS 12.0.1 eller nyere kan en PRK brukes enten i recoveryOS eller for å starte en kryptert Mac direkte til macOS. I recoveryOS kan PRK-en brukes hvis Gjenopprettingsassistent ber om det, eller med valget Glemt alle passordene for å få tilgang til gjenopprettingsmiljøet, som også låser opp volumet. Når valget Glemt alle passordene brukes, trenger ikke brukerens passord å tilbakestilles. Ved å klikke på Avslutt-knappen kan man starte i recoveryOS. Hvis du vil starte macOS direkte på en Intel-basert Mac, klikker du på spørsmålstegnet ved siden av passordfeltet og velger alternativet «…nullstille det med gjenopprettingsnøkkelen». Skriv inn PRK-en, og trykk deretter på returtasten eller klikk på pilen. Når macOS har startet, trykker du på Avbryt i dialogruten for å bytte passord.
På Macer med Apple-chip og macOS 12.0.1 eller nyere trykker du også på Tilvalg-Skift-returtast for å vise PRK-feltet, og deretter trykker du på returtasten (eller klikker på pilen).
Det finnes bare én PRK per krypterte volum, og når FileVault aktiveres fra en tjeneste for enhetsadministrering, kan du velge å skjule den for brukeren. Når den konfigureres for deponering i en tjeneste for enhetsadministrering, gir den en offentlig nøkkel i form av et sertifikat til en Mac. Det brukes til å asymmetrisk kryptere PRK-en i et CMS-konvoluttformat. Den krypterte PRK-en returneres til tjenesten i forespørselen om sikkerhetsinformasjon, som en organisasjon deretter kan dekryptere for å se. Siden krypteringen er asymmetrisk, kan det hende at tjenesten ikke kan dekryptere PRK-en (som kan kreve flere handlinger fra en administrator). Men mange utviklere av tjenester for enhetsadministrering gjør det mulig å administrere disse nøklene, slik at de kan vises direkte i produktene deres. Tjenesten for enhetsadministrering kan også rotere PRK-er ved behov for å ivareta sikkerheten, for eksempel etter at en PRK brukes til å låse opp et volum.
En PRK kan brukes i måldiskmodus for å låse opp et volum på Macer uten Apple-chip:
1. Koble Macen som er i måldiskmodus, til en annen Mac som kjører samme versjon av macOS eller nyere.
2. Åpne Terminal, og kjør deretter følgende kommando. Se etter navnet på volumet (vanligvis «Macintosh HD»). Det skal stå: «Mount Point: Not Mounted» og «FileVault: Yes (Locked).» Noter deg disk-ID-en for APFS-volumet. Den ser slik ut: disk3s2, men har sannsynligvis andre tall – for eksempel disk4s5.
diskutil apfs list3. Kjør denne kommandoen, se etter personal recovery key user, og noter deg UUID-en som vises:
diskutil apfs listUsers /dev/<diskXsN>4. Kjør denne kommandoen:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Når du blir bedt om passphrase, limer du inn eller skriver PRK-en. Trykk deretter på returtasten. Volumet aktiveres i Finder.