Administrer FileVault med MDM
Organisasjoner kan administrere FileVault-diskkryptering ved hjelp av en MDM-løsning. For enkelte avanserte utrullinger og konfigurasjoner kan de også bruke fdesetup-kommandolinjeverktøyet. Når FileVault administreres med MDM, kalles det utsatt aktivering, og det krever at brukeren logger av eller logger på. MDM kan tilpasse valg som:
hvor mange ganger en bruker kan utsette aktivering av FileVault
om brukerne skal bli spurt når de logger av i tillegg til når de logger seg på
om gjenopprettingsnøkkelen skal vises for brukeren
hvilket sertifikat som brukes til å asymmetrisk kryptere gjenopprettingsnøkkelen for deponering i MDM-løsningen
Hvis brukere skal kunne låse opp lagring på APFS-volumer, må de ha et sikkert kjennetegn. På Mac med Apple-chip må de også være volumeier. Hvis du vil ha mer informasjon om sikre kjennetegn og volumeierskap, kan du se Bruk sikkert kjennetegn, Bootstrap-kjennetegn og volumeierskap i utrullinger. Under finner du informasjon om hvordan og når brukere får et sikkert kjennetegn i konkrete arbeidsflyter.
Krev FileVault i Oppsettassistent
ForceEnableInSetupAssistant-nøkkelen kan brukes til å kreve at Macer slår på FileVault under oppsettassistenten. Dette sørger for at intern lagring i administrerte Macer alltid krypteres før de brukes. Organisasjoner kan velge om FileVault-gjenopprettingsnøkkelen skal vises til brukeren eller om den personlige gjenopprettingsnøkkelen skal deponeres. For å bruke denne funksjonen må await_device_configured være angitt.
Merk: Før macOS 14.4 krever denne funksjonen at brukerkontoen som opprettes interaktivt under oppsettassistenten, har rollen Administrator.
Når en bruker konfigurerer en Mac på egen hånd
Når en bruker konfigurerer en Mac på egen hånd, utfører ikke IT-avdelinger klargjøringsoppgaver på selve enheten. Alle regler og konfigurasjoner leveres ved hjelp av en MDM-løsning eller konfigurasjonsadministrasjonsverktøy. Oppsettassistent brukes til å opprette den første lokale kontoen, og brukeren tilordnes et sikkert kjennetegn. Hvis MDM-løsningen støtter Bootstrap-kjennetegn-funksjonen og informerer Macen om det under MDM-registrering, genereres et Bootstrap-kjennetegn av Macen og deponeres i MDM-løsningen.
Hvis Macen er registrert i en MDM-løsning, er det mulig den første kontoen ikke er en lokal administratorkonto, men en lokal standard brukerkonto. Hvis brukeren nedgraderes til en standardbruker ved hjelp av MDM, tilordnes brukeren automatisk et sikkert kjennetegn. Hvis brukeren nedgraderes i macOS 10.15.4 eller nyere genereres det automatisk et Bootstrap-kjennetegn som deponeres, hvis det er støtte for det, i MDM-løsningen.
Hvis oppretting av en lokal brukerkonto utelates helt i Oppsettassistent ved hjelp av MDM og en katalogtjeneste med mobile kontoer brukes i stedet, vil brukeren av den mobile kontoen tildelt et sikkert kjennetegn under pålogging. Når brukeren er aktivert for sikkert kjennetegn med en mobil konto i macOS 10.15.4 eller nyere, blir et Bootstrap-kjennetegn generert ved brukerens andre pålogging og deponert automatisk i MDM-løsningen hvis det støtter funksjonen.
I alle scenarioene over kan de aktiveres for FileVault ved hjelp av utsatt aktivering, fordi den første og primære brukeren tilordnes et sikkert kjennetegn. Utsatt aktivering gjør det mulig for organisasjonen å slå på FileVault, men å utsette aktiveringen til en bruker logger på eller av Macen. Det er også mulig å tilpasse om brukeren kan utelate å slå på FileVault (om ønskelig et definert antall ganger). Sluttresultatet er at Macens primære bruker – enten en lokal bruker av en hvilken som helst type eller en mobil konto – kan låse opp lagringsenheten når den er kryptert med FileVault.
På Macer der et Bootstrap-kjennetegn har blitt generert og deponert i en MDM-løsning, hvis en annen bruker logger på Mac-en på et senere tidspunkt, brukes Bootstrap-kjennetegn til å automatisk tilordne et sikkert kjennetegn. Dette betyr at kontoen også er aktivert for FileVault og vil kunne låse opp FileVault-volumet. Bruk fdesetup remove -user for å fjerne en brukers mulighet til å låse opp lagringsenheten.
Når en Mac klargjøres av en organisasjon
Når en Mac klargjøres av en organisasjon før den gis til en bruker, konfigurerer IT-avdelingen enheten. Den lokale administratorkontoen som enten opprettes i Oppsettassistent, eller ved klargjøring ved hjelp av MDM, brukes til å klargjøre eller konfigurere Macen, og tilordnes det første sikre kjennetegnet under pålogging. Hvis MDM-løsningen støtter Bootstrap-kjennetegn-funksjonen, genereres også et Bootstrap-kjennetegn som deponeres i MDM-løsningen.
Hvis Macen er knyttet til en katalogtjeneste og konfigurert til å opprette mobile kontoer og hvis det ikke finnes et Bootstrap-kjennetegn, bes katalogtjenestebrukere ved første pålogging om en eksisterende administrators – som har aktivert sikkert kjennetegn – brukernavn og passord for å tilordne deres konto et sikkert kjennetegn. Akkreditiver for en lokal administrator som har sikkert kjennetegn aktivert, skal oppgis. Hvis sikkert kjennetegn ikke kreves, kan brukeren klikke på Utelat. I macOS 10.13.5 eller nyere er det mulig å skjule dialogruten for sikkert kjennetegn helt hvis FileVault ikke skal brukes med de mobile kontoene. Hvis du vil skjule dialogruten for sikkert kjennetegn, bruker du en tilpasset innstillingskonfigurasjonsprofil fra MDM-løsningen med følgende nøkler og verdier:
Innstilling | Value | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Value | True | ||||||||||
Hvis MDM-løsningen støtter Bootstrap-kjennetegn-funksjonen og Macen genererte ett og deponerte det i MDM-løsningen, vil ikke brukere av mobile kontoer se denne dialogruten. I stedet tildeles de automatisk et sikkert kjennetegn under pålogging.
Hvis ytterligere lokale brukere kreves på Macen i stedet for brukerkontoer fra en katalogtjeneste, blir de lokale brukerne automatisk tildelt et sikkert kjennetegn når de opprettes i Brukere og grupper (i Systeminnstillinger i macOS 13 eller nyere eller i Systemvalg på macOS 12.0.1 eller eldre) av en administrator som har sikkert kjennetegn aktivert. Hvis det opprettes lokale brukere med kommandolinjen, kan sysadminctl-kommandolinjeverktøyet brukes, og det kan aktivere sikre kjennetegn for dem. Lokale brukere som logger på en Mac med macOS 11 eller nyere, og som ikke har fått tildelt et sikkert kjennetegn på opprettingstidspunktet, vil få tildelt et sikkert kjennetegn under pålogging hvis et Bootstrap-kjennetegn er tilgjengelig fra MDM-løsningen.
I disse scenariene kan følgende brukere låse opp det FileVault-krypterte volumet:
Den opprinnelige lokale administratoren som ble brukt for klargjøring
Eventuelle andre katalogtjenestebrukere som er tilordnet et sikkert kjennetegn under påloggingsprosessen enten interaktivt ved hjelp av dialogruten eller automatisk med Bootstrap-kjennetegn
Eventuelle nye lokale brukere
Bruk fdesetup remove -user for å fjerne en brukers mulighet til å låse opp lagringsenheten.
Når en av arbeidsflytene beskrevet over brukes, administreres sikre kjennetegn av macOS uten at annen konfigurasjon eller andre prosedyrer er nødvendig. Det blir en implementeringsdetalj og ikke noe som må aktivt administreres eller manipuleres.
fdesetup-kommandolinjeverktøyet
MDM-konfigurasjoner eller fdesetup-kommandolinjeverktøyet kan brukes til å konfigurere FileVault. I macOS 10.15 eller nyere er bruk av fdesetup til å slå på FileVault ved å oppgi brukernavn og passord utgått og vil ikke anerkjennes i senere utgivelser. Kommandoen fortsetter å fungere, men er utgått i macOS 11 og macOS 12.0.1. Vurder bruk av utsatt aktivering ved hjelp av MDM i stedet. Hvis du vil ha mer informasjon om fdesetup-kommandolinjeverktøyet, kan du starte Terminal-appen og skrive man fdesetup eller fdesetup help.
Gjenopprettingsnøkler for en institusjon kontra private brukere
FileVault på både CoreStorage- og APFS-volumer støtter bruk av en gjenopprettingsnøkkel for institusjoner (IRK, tidligere kalt FileVault-masteridentitet) for å låse opp volumet. IRK er nyttig ved bruk av kommandolinjen for å låse opp et volum eller deaktivere FileVault, men nytteverdien for organisasjoner er begrenset, spesielt i nyere versjoner av macOS. Det er to hovedgrunner til at IRK-er ikke har noen funksjonell verdi på Macer med Apple-chip: For det første kan ikke IRK-er brukes til å få tilgang til recoveryOS, og for det andre kan ikke volumet låses opp ved å koble det til en annen Mac, siden måldiskmodus ikke lenger støttes. Blant annet på grunn av dette anbefales det ikke lenger at institusjoner bruker IRK til administrasjon av FileVault på Macer. I stedet bør det brukes en personlig gjenopprettingsnøkkel (PRK). En PRK gir:
en ekstremt robust mekanisme for gjenoppretting og tilgang til operativsystemet
unik kryptering for hvert volum
deponering i MDM
enkel nøkkelrotasjon etter bruk
En PRK kan enten brukes i recoveryOS eller til å starte en kryptert Mac i macOS (krever macOS 12.0.1 eller nyere for Mac med Apple-chip). I recoveryOS kan PRK-en brukes hvis Gjenopprettingsassistent ber om det, eller med valget Glemt alle passordene for å få tilgang til gjenopprettingsmiljøet, som også låser opp volumet. Når valget Glemt alle passordene brukes, trenger ikke brukerens passord å tilbakestilles. Ved å klikke på Avslutt-knappen kan man starte i recoveryOS. Hvis du vil starte macOS direkte på en Intel-basert Mac, klikker du på spørsmålstegnet ved siden av passordfeltet og velger alternativet «…nullstille det med gjenopprettingsnøkkelen». Skriv inn PRK-en, og trykk deretter på returtasten eller klikk på pilen. Når macOS har startet, trykker du på Avbryt i dialogruten for å bytte passord. På en Mac med Apple-chip og macOS 12.0.1 eller nyere trykker du på Tilvalg-Skift-returtast for å få opp PRK-feltet, og deretter trykker du på returtasten (eller klikker på pilen).
Det finnes bare én PRK per krypterte volum, og når FileVault aktiveres fra MDM, kan den skjules for brukeren. Når det er konfigurert for deponering i MDM, gir MDM-en Macen en offentlig nøkkel i form av et sertifikat. Det brukes til å asymmetrisk kryptere PRK-en i CMS-konvoluttformat. Den krypterte PRK-en returneres til MDM-en i forespørselen om sikkerhetsinformasjon, som deretter kan dekrypteres, slik at en organisasjon kan se den. Siden krypteringen er asymmetrisk, kan det hende at MDM-en ikke kan dekryptere PRK-en (slik at det kreves flere handlinger fra administratoren). Men mange MDM-leverandører gjør det mulig å administrere disse nøklene, slik at de kan vises direkte i produktene deres. MDM kan også rotere PRK-er ved behov for å ivareta sikkerheten, for eksempel etter at en PRK har blitt brukt til å låse opp et volum.
En PRK kan brukes i måldiskmodus for å låse opp et volum på Macer uten Apple-chip:
1. Koble Macen som er i måldiskmodus, til en annen Mac som kjører samme versjon av macOS eller nyere.
2. Åpne Terminal, og kjør deretter følgende kommando. Se etter navnet på volumet (vanligvis «Macintosh HD»). Det skal stå: «Mount Point: Not Mounted» og «FileVault: Yes (Locked).» Noter deg disk-ID-en for APFS-volumet. Den ser slik ut: disk3s2, men har sannsynligvis andre tall – for eksempel disk4s5.
diskutil apfs list3. Kjør denne kommandoen, se etter personal recovery key user, og noter deg UUID-en som vises:
diskutil apfs listUsers /dev/<diskXsN>4. Kjør denne kommandoen:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Når du blir bedt om passphrase, limer du inn eller skriver PRK-en. Trykk deretter på returtasten. Volumet aktiveres i Finder.