Hantera FileVault med MDM
Organisationer kan hantera full skivkryptering med FileVault med en MDM-lösning. För vissa avancerade driftsättningar och konfigurationer finns kommandoradsverktyget fdesetup. Det kallas fördröjd aktivering när FileVault hanteras i MDM och användaren måste logga ut eller in. MDM kan anpassa alternativ som:
Hur många gånger en användare kan skjuta upp aktiveringen av FileVault
Ifall användaren ska uppmanas att aktivera vid utloggning utöver vid inloggning
Ifall återställningsnyckeln ska visas för användaren
Vilket certifikat som ska användas till att asymmetriskt kryptera återställningsnyckeln för deponering i MDM-lösningen
Användare måste ha en säkerhetstoken för att kunna låsa upp lagringsutrymmet på APFS-volymer. På Mac-datorer med Apple Silicon måste de även vara volymägare. Mer information om säkerhetstoken och volymägarskap finns i Använda säkerhetstoken, bootstrap-token och volymägarskap i driftsättningar. Information om hur och när användare beviljas säkerhetstoken under specifika arbetsflöden finns nedan.
Genomdriva FileVault i inställningsassistenten
Om du använder nyckeln ForceEnableInSetupAssistant kan Mac-datorer bli tvingade att slå på FileVault när inställningsassistenten körs. Det säkerställer att den interna lagringen i hanterade Mac-datorer alltid är krypterad innan den används. Organisationer kan bestämma om återställningsnyckeln för FileVault ska visas för användaren eller om den personliga återställningsnyckeln ska deponeras. Se till att du har ställt in await_device_configured om du vill använda den här funktionen.
Obs! Före macOS 14.4 kräver den här funktionen att användarkontot som skapades interaktivt i inställningsassistenten har en administratörsroll.
När en användare ställer in en Mac på egen hand
När en användare ställer in en Mac själv utför inte IT-avdelningen tillhandahållandeåtgärder på den faktiska enheten. Alla policyer och konfigurationer tillhandahålls via en MDM-lösning eller konfigurationshanteringsverktyg. Inställningsassistenten används till att skapa det första lokala kontot och användaren beviljas en säkerhetstoken. Om MDM-lösningen har stöd för bootstrap-tokenfunktionen och meddelar datorn under MDM-registreringen blir en bootstrap-token genererad av datorn och deponeras i MDM-lösningen.
Om datorn är registrerad i en MDM-lösning kanske det inledande kontot inte är ett lokalt administratörskonto utan istället ett lokalt standardanvändarkonto. Om användaren nedgraderas till en standardanvändare via MDM blir användaren automatiskt beviljad en säkerhetstoken. Om användaren nedgraderas i macOS 10.15.4 eller senare genereras en bootstrap-token automatiskt och deponeras i MDM-lösningen om den stöder funktionen.
Om inget lokalt användarkonto skapas i inställningsassistenten via MDM, och en katalogtjänst med flyttbara konton används istället, tilldelas det flyttbara kontot en säkerhetstoken vid inloggning. När en användare med ett flyttbart konto har aktiverats för säkerhetstoken i macOS 10.15.4 eller senare genereras en bootstrap-token automatiskt vid användarens andra inloggning och deponeras i MDM-lösningen om den stöder funktionen.
Eftersom den första och primära användaren i samtliga fall ovan tilldelas en säkerhetstoken kan de aktiveras för FileVault med hjälp av fördröjd aktivering. Med fördröjd aktivering kan organisationen aktivera FileVault men skjuta upp det faktiska aktiverandet tills en användare loggar in på eller ut från datorn. Det går också att anpassa om användaren kan hoppa över aktiveringen av FileVault (vid behov ett definierat antal gånger). Slutresultatet är att den primära användaren av datorn – vare sig det är en lokal användare av någon typ eller ett flyttbart konto – kan låsa upp lagringsenheten när den är krypterad med FileVault.
Om en annan användare vid ett senare tillfälle loggar in på en Mac-dator där en bootstrap-token har genererats och deponerats i en MDM-lösning används denna bootstrap-token till att automatiskt tilldela en säkerhetstoken. Det innebär att kontot också aktiveras för FileVault och kan låsa upp FileVault-volymen. Om du vill ta bort möjligheten att låsa upp lagringsenheten för en användare använder du fdesetup remove -user.
När en Mac förbereds av en organisation
När en organisation tillhandahåller en Mac till en användare ställer IT-avdelningen in enheten. Det lokala administratörskontot, som antingen skapades i inställningsassistenten eller tillhandahålls via MDM, används till att tillhandahålla eller ställa in datorn. Det kontot beviljas en första säkerhetstoken vid inloggning. Om MDM-lösningen har stöd för bootstrap-tokenfunktionen genereras även en bootstrap-token och deponeras i MDM-lösningen.
Om datorn ansluts till en katalogtjänst och konfigureras till att skapa flyttbara konton, och det inte finns någon bootstrap-token, blir katalogtjänstanvändare ombedda att ange ett befintligt användarnamn och lösenord för en administratör för en säkerhetstoken vid första inloggningstillfället för att bevilja deras konto en säkerhetstoken. Inloggningsuppgifterna för en lokal administratör som för närvarande är aktiverad för säkerhetstoken ska anges. Om det inte krävs säkerhetstoken kan användaren klicka på Förbigå. I macOS 10.13.5 eller senare går det att förhindra att dialogrutan om säkerhetstoken visas ifall FileVault inte kommer att användas med flyttbara konton. Du gömmer dialogrutan om säkerhetstoken genom att använda en anpassad inställningskonfigurationsprofil från MDM-lösningen med följande nycklar och värden:
Inställning | Värde | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Värde | True | ||||||||||
Om MDM-lösningen har stöd för funktionen för Bootstrap-Token, och en har genererats av datorn och deponerats i MDM-lösningen, visas inte den här dialogrutan för användare med flyttbara konton. Istället tilldelas de automatiskt en säkerhetstoken vid inloggning.
Om ytterligare lokala användare krävs på datorn, istället för användarkonton från en katalogtjänst, tilldelas dessa lokala användare automatiskt en säkerhetstoken när de skapas i Användare och grupper (i Systeminställningar i macOS) av en befintlig administratör som är aktiverad för säkerhetstoken. Om du skapar lokala användare via kommandoradsverktyget kan du använda kommandoradsverktyget sysadminctl, och du kan välja att aktivera dem för säkerhetstoken. Även om en lokal användare inte har beviljats en säkerhetstoken när den skapades beviljas den en säkerhetstoken vid inloggning i macOS 11 eller senare på en Mac om en bootstrap-token är tillgänglig från MDM-lösningen.
I dessa fall kan följande användare låsa upp den FileVault-krypterade volymen:
den ursprungliga lokala administratören som använts för tillhandahållande
alla katalogtjänstanvändare som tilldelas säkerhetstoken under inloggningsprocessen antingen interaktivt via en dialogruta eller automatiskt med bootstrap-token
alla nya, lokala användare.
Om du vill ta bort möjligheten att låsa upp lagringsenheten för en användare använder du fdesetup remove -user.
Vid användning av någon av de arbetsflöden som beskrivs ovan hanteras säkerhetstoken av macOS utan att någon ytterligare konfigurering eller skriptskrivning behövs. Det blir istället en implementationsdetalj och inte något som aktivt behöver hanteras eller manipuleras.
Kommandoradsverktyget fdesetup
MDM-konfigurationer eller kommandoradsverktyget fdesetup kan användas till att konfigurera FileVault. I macOS 10.15 och senare är användningen av fdesetup till att aktivera FileVault genom att tillhandahålla användarnamn och lösenord föråldrad och kommer inte att kunna användas med senare versioner. Kommandot fungerar fortfarande men uppdateras inte i macOS 11 och macOS 12.0.1. Överväg att använda fördröjd aktivering med MDM istället. Mer information om kommandoradsverktyget fdesetup hittar du genom att öppna appen Terminal och skriva man fdesetup eller fdesetup help.
Organisationens eller personliga återställningsnycklar
I FileVault på både CoreStorage- och APFS-volymer går det att använda organisationens återställningsnyckel (som tidigare kallades en FileVault-masteridentitet) till att låsa upp volymen. Organisationens återställningsnyckel är praktisk när du ska låsa upp en volym eller avaktivera FileVault helt med kommandoradsverktyget, men dess användningsområde är begränsat för organisationer, särskilt i de senaste macOS-versionerna. På en Mac med Apple Silicon fyller organisationers återställningsnycklar ingen funktion av två huvudsakliga skäl: Organisationers återställningsnycklar kan inte användas till att komma åt recoveryOS och eftersom hårddiskläget inte längre stöds går det inte att låsa upp volymen genom att ansluta den till en annan Mac. Det är bland annat därför vi inte längre rekommenderar att organisationer använder dessa återställningsnycklar till att hantera FileVault på Mac-datorer. Istället bör en personlig återställningsnyckel användas. En personlig återställningsnyckel tillhandahåller:
en extremt robust mekanism för återställning och åtkomst till operativsystem
unik kryptering per volym
deponering i MDM
enkel nyckelrotering efter användning.
En personlig återställningsnyckel kan användas antingen i recoveryOS eller till att starta en krypterad Mac i macOS direkt (macOS 12.0.1 eller senare krävs på en Mac med Apple Silicon). I recoveryOS går det att använda den personliga återställningsnyckeln om återställningsassistenten ber om den. Den kan också användas med alternativet Glömt alla lösenord till att få åtkomst till återställningsmiljön som sedan även låser upp volymen. När du väljer alternativet Glömt alla lösenord behöver du inte skapa ett nytt lösenord för en användare. Det går att starta direkt i recoveryOS genom att klicka på avslutningsknappen. Om du vill starta direkt i macOS på Intel-baserade Mac-datorer klickar du på frågetecknet bredvid lösenordsfältet och väljer sedan alternativet ”skapa ett nytt med hjälp av din återställningsnyckel”. Ange den personliga återställningsnyckeln och tryck sedan på returtangenten eller klicka på pilen. När macOS har startar klickar du på Avbryt på dialogrutan för lösenordsändring. På en Mac med Apple Silicon och macOS 12.0.1 eller senare trycker du på alternativ-, skift- och returtangenterna så att fältet för att ange den personliga återställningsnyckeln visas. Tryck på returtangenten (eller klicka på pilen). Sedan startar macOS.
Det finns bara en personlig återställningsnyckel för varje krypterad volym. När FileVault aktiveras via MDM går det att gömma den för användaren. När deponering till MDM är inställt ger MDM en offentlig nyckel till datorn i form av ett certifikat. Sedan används certifikatet till att asymmetriskt kryptera den personliga återställningsnyckeln i ett CMS-kuvertformat. Den krypterade, personliga återställningsnyckeln returneras till MDM i förfrågan om säkerhetsinformation och kan sedan avkrypteras så att en organisation kan se den. Eftersom krypteringen är asymmetrisk kan MDM kanske inte avkryptera den personliga återställningsnyckeln på egen hand. Då behöver ytterligare steg utföras av en administratör. Däremot tillhandahåller många MDM-leverantörer alternativet att hantera de här nycklarna så att de kan visas direkt i deras produkter. MDM kan också rotera personliga återställningsnycklar så ofta som det behövs för att bevara stark säkerhet, till exempel efter att en personlig återställningsnyckel har använts till att låsa upp en volym.
Det går att låsa upp en volym med en personlig återställningsnyckel i hårddiskläget på Mac-datorer utan Apple Silicon:
1. Anslut datorn i hårddiskläge till en annan Mac med samma eller en nyare version av macOS.
2. Öppna appen Terminal. Kör sedan följande kommando och leta efter namnet på volymen (vanligtvis ”Macintosh HD”). Det bör stå ”Mount Point: Not Mounted” och ”FileVault: Yes (Locked)”. Anteckna APFS-volymens skiv-ID för volymen – det liknar disk3s2 men innehåller troligtvis andra siffror, exempelvis disk4s5.
diskutil apfs list3. Kör följande kommando. Leta sedan efter personal recovery key user och anteckna det UUID som visas:
diskutil apfs listUsers /dev/<diskXsN>4. Kör det här kommandot:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Klistra in eller ange den personliga återställningsnyckeln i dialogrutan för lösenordsfras och tryck sedan på returtangenten. Volymen länkas in i Finder.