Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Så här använder du återställningsnycklar för institutioner med Intel-baserade Mac-datorer

Läs om hur du skapar en återställningsnyckel för institutioner (IRK) för att låsa upp Intel-baserade Mac-datorer som har krypterats med FileVault och återskapa data.

Den här artikeln omfattar den äldre metoden för att skapa en återställningsnyckel för institutioner (IRK) för att låsa upp Intel-baserade Mac-datorer som har krypterats med FileVault. Om din Mac-dator med Apple-chip eller en Intel-baserad Mac använder MDM kan du deponera återställningsnyckeln till en server istället för att använda en IRK.

Du kan använda en återställningsnyckel för att återfå åtkomst till data som har krypterats med FileVault för användare som inte kan komma åt data med sitt lösenord. På Intel-baserade Mac-datorer kan du använda en återställningsnyckel för institutioner för att låsa upp Mac-datorer som har krypterats med FileVault och använda hårddiskläge för att återskapa data.

Skapa en huvudnyckelring för FileVault

  1. Öppna Terminal-appen på din Mac och ange sedan det här kommandot:

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. När du uppmanas till det anger du huvudlösenordet för den nya nyckelringen, och anger det igen när du uppmanas till det. Terminal visar inte några tecken när du skriver ditt lösenord.

  3. Ett nyckelpar skapas och en fil med namnet FileVaultMaster.keychain sparas på ditt skrivbord. Kopiera filen till en säker plats, t.ex. en krypterad skivavbild på en extern enhet. Den här säkra kopian är en privat återställningsnyckel som kan låsa upp startskivan Den får inte spridas vidare.

I nästa avsnitt uppdaterar du FileVaultMaster.keychain file som fortfarande ligger på skrivbordet. Du kan sedan driftsätta den nyckelringen till Mac-datorer i din organisation.

Ta bort den privata nyckeln från huvudnyckelringen

När du har skapat huvudnyckelringen för FileVault måste du följa dessa steg för att förbereda en kopia av den till driftsättning:

  1. Dubbelklicka på filen FileVaultMaster.keychain på skrivbordet. Appen Nyckelhanterare öppnas.

  2. I sidofältet på Nyckelhanterare väljer du FileVaultMaster.

  3. Välj Arkiv > Lås upp nyckelringen FileVaultMaster på menyraden om den är låst och ange sedan huvudlösenordet som du skapade.

  4. Välj objektet som identifieras som privat nyckel bland objekten i kolumnen Typ:

    Keychain Access, showing the private FileVault Master Password Key selected
  5. Ta bort den privata nyckeln: Välj Redigera > Radera på menyraden, ange nyckelringens huvudlösenord och klicka sedan på Radera när du uppmanas att bekräfta.

  6. Avsluta Nyckelhanterare.

Eftersom huvudnyckelringen på skrivbordet inte längre innehåller den privata nyckeln är nyckelringen redo för driftsättning.

Driftsätt den uppdaterade huvudnyckelringen på varje Mac

När du har tagit bort den privata nyckeln från nyckelringen måste du följa dessa steg på alla Intel-baserade Mac-datorer som du vill låsa upp med den privata nyckeln.

  1. Lägg en kopia av den uppdaterade filen FileVaultMaster.keychain file i mappen /Bibliotek/Keychains/.

  2. Öppna appen Terminal och ange båda följande kommandon. Dessa kommandon säkerställer att filens behörighet är inställd på-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. Skriv det här kommandot i Terminal om FileVault redan är aktiverat:

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. Om FileVault är avstängt öppnar du inställningarna för Säkerhet och integritet och slår på FileVault. Nu ska ett meddelande visas om att en återställningsnyckel har ställts in av ditt företag, din skola eller din organisation. Klicka på Fortsätt.

    Security & Privacy preferences, showing the Recovery Key message

Processen är nu slutförd. Om en användare glömmer sitt kontolösenord för macOS och inte kan logga in på sin Mac kan du använda den privata nyckeln för att låsa upp användarens skiva.

Använda den privata nyckeln för att låsa upp en användares startskiva

  1. Starta den Mac-dator som du vill låsa upp medan du trycker på och håller ned T-tangenten.

  2. När du ser Thunderbolt-logotypen släpper du T-tangenten.

  3. Anslut Mac-datorn till en annan Mac (värddatorn) med en Thunderbolt 3-kabel (usb-C).

  4. När du uppmanas att ange ett lösenord för att låsa upp skivan klickar du på Avbryt.

  5. Anslut den externa enhet som innehåller den privata återställningsnyckeln till värddatorn.

  6. Om du har lagrat den privata återställningsnyckeln i en krypterad skivavbild dubbelklickar du på filen för att montera bilden och anger lösenordet när du uppmanas till det.

  7. Om du inte vet namnet på startvolymen (exempelvis Macintosh HD) på den skiva du vill låsa upp öppnar du Skivverktyg och letar upp volymnamnet i sidofältet. Du behöver veta detta i nästa steg.

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. Ange huvudlösenordet för att låsa upp startskivan. Om lösenordet accepteras monteras volymen på skrivbordet.

Publiceringsdatum: