Använda säkerhetstoken, bootstrap-token och volymägarskap i driftsättningar
Säkerhetstoken
APFS (Apple File System) i macOS 10.13 eller senare förändrar hur krypteringsnycklar för FileVault genereras. I tidigare versioner av macOS på CoreStorage-volymer skapades de nycklar som används i FileVault-krypteringsprocessen när en användare eller organisation aktiverade FileVault på en Mac. I macOS på APFS-volymer genereras krypteringsnycklarna antingen genom att användaren skapar dem, när den första användarens lösenord ställs in eller när en användare loggar in första gången på datorn. Den här implementeringen av krypteringsnycklarna, när de genereras och hur de lagras är en del av funktionen som kallas Secure Token. En säkerhetstoken är helt enkelt en paketerad version av en nyckelkrypteringsnyckel (KEK) som skyddas av en användares lösenord.
Vid driftsättning av FileVault på APFS kan användaren fortsätta att:
använda befintliga verktyg och processer, exempelvis en personlig återställningsnyckel som kan lagras i en MDM-lösning för deponering
skapa och använda en institutionell återställningsnyckel
skjuta upp aktivering av FileVault tills en användare loggar in eller ut ur datorn.
I macOS 11 beviljas den allra första användaren av en dator en säkerhetstoken när han eller hon ställer in ett lösenord första gången. I vissa arbetsflöden är det här inte ett önskat beteende eftersom det tidigare krävdes att användarkontot skulle logga in för att en första säkerhetstoken skulle beviljas. Om du vill förhindra detta lägger du till ;DisabledTags;SecureToken
i användarens programmatiskt genererade AuthenticationAuthority
-attribut innan användarens lösenord ställs in enligt beskrivningen nedan:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Bootstrap-token
I macOS 10.15 eller senare kan bootstrap-token även användas till mer än att bara bevilja säkerhetstoken till befintliga användarkonton. På Mac-datorer med Apple Silicon kan bootstrap-token, om de är tillgängliga och hanteras via MDM, användas för:
Övervakning
MDM-utvecklarstöd
Anta att MDM-lösningen stöder bootstrap-token. I macOS 10.15.4 eller senare genereras en bootstrap-token och deponeras i MDM vid första inloggningen av en användare som är aktiverad för säkerhetstoken. En bootstrap-token kan också vid behov genereras och deponeras i MDM med hjälp av kommandoradsverktyget profiles
.
I macOS 11 eller senare kan bootstrap-token även användas till mer än att bara bevilja säkerhetstoken till befintliga användarkonton. På Mac-datorer med Apple Silicon kan bootstrap-token, om de är tillgängliga och hanteras via MDM, användas till att:
Hantera installationen av programuppdateringar.
Tyst auktorisera MDM-kommandot Erase All Content and Settings (macOS 12.0.1 eller senare).
Skapa nya användare första gången de loggar in med Platform SSO (macOS 13 eller senare).
Volymägarskap
På Mac-datorer med Apple Silicon introducerades begreppet volymägarskap. Volymägarskap när det gäller en organisation är inte kopplat till det faktiska juridiska ägarskapet eller innehavet av en Mac. Istället kan volymägarskap snarare definieras som den användare som först använde en dator och ställde in den för egen användning samt eventuella ytterligare användare. Du måste vara en volymägare för att bland annat ändra startsäkerhetspolicyn för en särskild installation av macOS, auktorisera installationen av macOS-programuppdateringar och -uppgraderingar och köra kommandot Radera allt innehåll och alla inställningar på datorn med mera. I startsäkerhetspolicyn anges begränsningarna för vilka versioner av macOS som kan startas samt om kärntillägg från tredje part kan läsas in eller hanteras och hur det görs i så fall.
Den användare som först använde en dator och ställde in den för egen användning får en säkerhetstoken på en Mac med Apple Silicon och blir den första volymägaren. När det finns en bootstrap-token och den används blir den också en volymägare. Den ger sedan volymägarskapsstatus till ytterligare konton när den beviljar dem säkerhetstoken. Eftersom både den första användaren som får en säkerhetstoken och bootstrap-token blir volymägare, och för att bootstrap-token kan bevilja säkerhetstoken till fler användare (och därför också volymägarskapsstatus) behöver inte volymägarskap vara något som aktivt hanteras eller ändras i en organisation. De överväganden som nämnts tidigare när det gäller hantering och beviljande av säkerhetstoken gäller över lag även för volymägarskapsstatus.
Det går att vara en volymägare utan att vara en administratör, men för vissa åtgärder måste du vara både och. Om du t.ex. vill ändra startsäkerhetsinställningar måste du vara både en administratör och en volymägare, men du behöver bara vara standardanvändare och ägare om du vill auktorisera programuppdateringar.
Kör följande kommando om du vill visa den aktuella listan över volymägarna på en Mac med Apple Silicon:
sudo diskutil apfs listUsers /
De GUID:er som visas i diskutil
-kommandots utmatning för typen Local Open Directory User kommer från GeneratedUID
-attributen i användarposter i Open Directory. Använd följande kommando om du vill hitta en användare med GeneratedUID
:
dscl . -search /Users GeneratedUID <GUID>
Du kan också använda följande kommando till att se både användarnamn och GUID:er:
sudo fdesetup list -extended
Ägarskap säkras av kryptografi som skyddas i Secure Enclave. Mer information finns i:
Användning av kommandoradsverktyg
Kommandoradsverktyg är tillgängliga för hantering av bootstrap-token och säkerhetstoken. Bootstrap-token genereras vanligtvis på datorn och deponeras i MDM-lösningen under macOS-installationsprocessen efter att MDM-lösningen har meddelat datorn att den stöder funktionen. En bootstrap-token kan dock även genereras på en Mac som redan har driftsatts. I macOS 10.15.4 eller senare genereras en bootstrap-token och deponeras i MDM vid första inloggningen av en användare som är aktiverad för säkerhetstoken om MDM-lösningen stöder den funktionen. Det här minskar behovet av att använda kommandoradsverktyget profiles efter enhetsinställning för att generera och deponera en bootstrap-token i MDM-lösningen.
Kommandoradsverktyget profiles
har ett antal alternativ för att interagera med bootstrap-token:
sudo profiles install -type bootstraptoken
: Det här kommandot genererar en ny bootstrap-token och deponerar den i MDM-lösningen. Det här kommandot kräver befintlig administratörsinformation för säkerhetstoken, så att en bootstrap-token kan genereras, och MDM-lösningen måste ha stöd för funktionen.sudo profiles remove -type bootstraptoken
: Tar bort en befintlig bootstrap-token på datorn och i MDM-lösningen.sudo profiles status -type bootstraptoken
: Rapporterar tillbaka om MDM-lösningen har stöd för funktionen för bootstrap-token samt aktuell status för bootstrap-token på datorn.sudo profiles validate -type bootstraptoken
: Rapporterar tillbaka om MDM-lösningen har stöd för funktionen för bootstrap-token samt aktuell status för bootstrap-token på datorn.
Kommandoradsverktyget sysadminctl
Kommandoradsverktyget sysadminctl
kan användas till att specifikt ändra säkerhetstokenstatus för användarkonton på datorn. Det här ska göras med försiktighet och endast när det är nödvändigt. Ändring av säkerhetstokenstatus för en användare med sysadminctl
kräver alltid användarnamn och lösenord för en befintlig administratör som är aktiverad för säkerhetstoken, antingen interaktivt eller via lämpliga flaggor på kommandot. Både sysadminctl
och Systeminställningar förhindrar radering av den sista administratören eller säkerhetstokenaktiverade användaren på en Mac. Om sysadminctl
används till att skapa ytterligare lokala användare genom skript måste användarnamn och lösenord för en befintlig säkerhetstokenaktiverad administratör anges för att aktivera de användarna för säkerhetstoken. Inloggningsuppgifterna kan anges interaktivt eller direkt med flaggorna -adminUser
och -adminPassword
med sysadminctl
. Om en lokal användare inte har beviljats en säkerhetstoken när den skapades beviljas den en säkerhetstoken vid inloggning i macOS 11 eller senare på en Mac om en bootstrap-token är tillgänglig från MDM-lösningen. Använd sysadminctl -h
för ytterligare information om användning.