Hantera FileVault med enhetshantering
Organisationer kan hantera full skivkryptering med FireVault med en enhetshanteringstjänst eller, för vissa avancerade driftsättningar och konfigurationer, kommandoradsverktyget fdesetup. Det kallas fördröjd aktivering när FileVault hanteras via en enhetshanteringstjänst och användaren måste logga ut eller in. En enhetshanteringstjänst kan även anpassa alternativ som:
Antalet gånger en användare kan skjuta upp aktiveringen av FileVault
Ifall användaren ska uppmanas att aktivera vid utloggning utöver vid inloggning
Ifall återställningsnyckeln ska visas för användaren
Vilket certifikat som ska användas till att asymmetriskt kryptera återställningsnyckeln för deponering till enhetshanteringstjänsten
Användare måste ha en säkerhetstoken för att kunna låsa upp lagringsutrymmet på APFS-volymer. På Mac-datorer med Apple Silicon måste de även vara volymägare. Mer information om säkerhetstoken och volymägarskap finns i Använda säkerhetstoken, bootstrap-token och volymägarskap i driftsättningar. Information om hur och när användare beviljas säkerhetstoken under specifika arbetsflöden finns nedan.
Genomdriva FileVault i inställningsassistenten
Om du använder nyckeln ForceEnableInSetupAssistant kan Mac-datorer bli tvingade att slå på FileVault när inställningsassistenten körs. Det säkerställer att den interna lagringen i hanterade Mac-datorer alltid är krypterad innan den används. Organisationer kan bestämma om återställningsnyckeln för FileVault ska visas för användaren eller om den personliga återställningsnyckeln ska deponeras. Se till att du har ställt in await_device_configured om du vill använda den här funktionen.
Obs! Före macOS 14.4 krävde den här funktionen att användarkontot som skapades interaktivt i inställningsassistenten hade en administratörsroll.
När en användare ställer in en Mac på egen hand
Obs! Enhetshanteringstjänsten måste ha stöd för specifika funktioner för att säkerhetstokens och bootstrap-tokens ska kunna fungera med en Mac.
När en användare ställer in en Mac själv utför inte IT-avdelningen tillhandahållandeåtgärder på den faktiska enheten. Du tillhandahåller alla policyer och konfigurationer via en enhetshanteringstjänst eller verktyg för konfigurationshantering. Inställningsassistenten skapar det första lokala kontot och beviljar användaren en säkerhetstoken. Datorn genererar sedan en bootstrap-token och deponerar den i enhetshanteringstjänsten.
Om datorn registreras i en enhetshanteringstjänst kanske det inledande kontot inte är ett lokalt administratörskonto utan istället ett lokalt standardanvändarkonto. Om du nedgraderar användaren till en standardanvändare via en tjänst tilldelas användaren automatiskt en säkerhetstoken. Om du nedgraderar användaren på en Mac med macOS 10.15.4 eller senare genererar macOS automatiskt en bootstrap-token och deponerar den i enhetshanteringstjänsten.
Om du hoppar över att skapa ett lokalt användarkonto i inställningsassistenten med hjälp av en enhetshanteringstjänst och istället använder en katalogtjänst med flyttbara konton beviljar tjänsten användaren av det flyttbara kontot en säkerhetstoken vid inloggning. På en Mac med macOS 10.15.4 eller senare genererar macOS automatiskt en bootstrap-token när användaren med ett flyttbart konto loggar in andra gången och deponerar den i enhetshanteringstjänsten när användaren har aktiverats.
Om en enhetshanteringstjänst hoppar över att skapa ett lokalt användarkonto i inställningsassistenten och istället använder en katalogtjänst med flyttbara konton beviljar enhetshanteringstjänsten användaren en säkerhetstoken vid inloggning. Om den flyttbara användaren har en säkerhetstoken genererar macOS automatiskt en bootstrap-token och deponerar den i enhetshanteringstjänsten på en Mac med macOS 10.15.4 eller senare.
Eftersom macOS tilldelar den första och primära användaren en säkerhetstoken kan användaren i samtliga fall ovan aktivera FileVault med hjälp av fördröjd aktivering. Med fördröjd aktivering kan du slå på FileVault men skjuta upp den faktiska aktiveringen tills en användare loggar in på eller ut från en Mac. Du kan även välja om användaren kan hoppa över att aktivera FileVault (vid behov ett definierat antal gånger). Det gör att den primära användaren på datorn – vare sig det är någon typ av lokal användare eller ett flyttbart konto – kan låsa upp FileVault-volymen.
Om en annan användare vid ett senare tillfälle loggar in på en Mac där macOS har genererat en bootstrap-token och deponerat den i en enhetshanteringstjänst används denna bootstrap-token till att automatiskt tilldela en säkerhetstoken. Det innebär att kontot också aktiveras för FileVault och kan låsa upp FileVault-volymen. Om du vill ta bort möjligheten att låsa upp lagringsenheten för en användare använder du fdesetup remove -user.
När en organisation tillhandahåller en Mac
När en organisation tillhandahåller en Mac innan den överlämnas till användaren blir enheten inställd av IT-avdelningen. Du använder det lokala administratörskontot, som du skapar antingen i inställningsassistenten eller tillhandahåller med en enhetshanteringstjänst, till att tillhandahålla eller ställa in datorn. Operativsystemet beviljar den första säkerhetstoken vid inloggning. Om tjänsten har stöd för funktionen för bootstrap-token genererar operativsystemet även en bootstrap-token och deponerar den.
Om datorn ansluts till en katalogtjänst och konfigureras till att skapa flyttbara konton, och det inte finns någon bootstrap-token, blir katalogtjänstanvändare ombedda att ange ett befintligt användarnamn och lösenord för en administratör för en säkerhetstoken vid första inloggningstillfället för att bevilja deras konto en säkerhetstoken. Den personen måste ange inloggningsuppgifter för en lokal administratör med en säkerhetstoken. Om det inte krävs en säkerhetstoken kan användaren klicka på Förbigå. För en Mac med macOS 10.13.5 eller senare går det att förhindra att dialogrutan om säkerhetstoken visas ifall du inte kommer att använda FileVault med flyttbara konton. Du gömmer dialogrutan om säkerhetstoken genom att använda en anpassad inställningskonfigurationsprofil från enhetshanteringstjänsten med följande nycklar och värden:
Inställning | Värde | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domain | com.apple.MCX | ||||||||||
Key | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Värde | Sant | ||||||||||
Om enhetshanteringstjänsten stöder bootstrap-tokenfunktionen och datorn genererar en och deponerar i tjänsten visas inte denna förfrågan för användare med flyttbara konton. Istället tilldelas de automatiskt en säkerhetstoken vid inloggning i macOS.
Om ytterligare lokala användare krävs på datorn, istället för användarkonton från en katalogtjänst, tilldelas de automatiskt en säkerhetstoken i macOS när en administratör som är aktiverad för säkerhetstoken skapar dessa lokala användare iAnvändare och grupper (i Systeminställningar i macOS). När du skapar lokala användare via kommandoradsverktyget kan administratören använda kommandoradsverktyget sysadminctl och du kan välja att aktivera dem för en säkerhetstoken. Om macOS på en Mac med macOS 11 eller senare inte beviljar en säkerhetstoken vid skapandet, och om en bootstrap-token är tillgänglig från enhetshanteringstjänsten, beviljas en säkerhetstoken till den lokala användaren vid inloggning.
I dessa fall kan följande användare låsa upp den FileVault-krypterade volymen:
den ursprungliga lokala administratören som använts för tillhandahållande
alla katalogtjänstanvändare som tilldelas säkerhetstoken under inloggningsprocessen antingen interaktivt via en dialogruta eller automatiskt med bootstrap-token
alla nya, lokala användare.
Om du vill ta bort möjligheten att låsa upp lagringsenheten för en användare använder du fdesetup remove -user.
Vid användning av någon av de arbetsflöden som beskrivs ovan hanteras säkerhetstoken av macOS utan att någon ytterligare konfigurering eller skriptskrivning behövs. Det blir istället en implementationsdetalj och inte något som aktivt behöver hanteras eller manipuleras.
Kommandoradsverktyget fdesetup
Du kan använda enhetshanteringskonfigurationer eller kommandoradsverktyget fdesetup till att konfigurera FileVault. För en Mac med macOS 10.15 eller senare är användningen av fdesetup till att aktivera FileVault genom att tillhandahålla användarnamn och lösenord föråldrad och kommer inte att vara tillgänglig i en kommande version. Kommandot fungerar fortfarande men uppdateras inte i macOS 11 och macOS 12.0.1. Överväg att istället använda fördröjd aktivering från en enhetshanteringstjänst. Mer information om kommandoradsverktyget fdesetup hittar du genom att öppna appen Terminal och skriva man fdesetup eller fdesetup help.
Organisationens eller personliga återställningsnycklar
I FileVault på både CoreStorage- och APFS-volymer går det att använda organisationens återställningsnyckel (som tidigare kallades en FileVault-masteridentitet) till att låsa upp volymen. Organisationens återställningsnyckel är praktisk när du ska låsa upp en volym eller avaktivera FileVault helt med kommandoradsverktyget, men dess användningsområde är begränsat för organisationer, särskilt i de senaste macOS-versionerna. På en Mac med Apple Silicon fyller organisationers återställningsnycklar ingen funktion av två huvudsakliga skäl: Organisationers återställningsnycklar kan inte användas till att komma åt recoveryOS och eftersom hårddiskläget inte längre stöds går det inte att låsa upp volymen genom att ansluta den till en annan Mac. Det är bland annat därför vi inte längre rekommenderar att organisationer använder dessa återställningsnycklar till att hantera FileVault på Mac-datorer. Istället bör en personlig återställningsnyckel användas. En personlig återställningsnyckel tillhandahåller:
en extremt robust mekanism för återställning och åtkomst till operativsystem
unik kryptering per volym
deponering i enhetshanteringstjänst
enkel nyckelrotering efter användning.
För en Mac med Apple Silicon med macOS 12.0.1 eller senare kan en PRK användas antingen i recoveryOS eller till att starta en krypterad Mac i macOS på direkten. I recoveryOS går det att använda den personliga återställningsnyckeln om återställningsassistenten ber om den. Den kan också användas med alternativet Glömt alla lösenord till att få åtkomst till återställningsmiljön som sedan även låser upp volymen. När du väljer alternativet Glömt alla lösenord behöver du inte skapa ett nytt lösenord för en användare. Det går att starta direkt i recoveryOS genom att klicka på avslutningsknappen. Om du vill starta direkt i macOS på Intel-baserade Mac-datorer klickar du på frågetecknet bredvid lösenordsfältet och väljer sedan alternativet ”skapa ett nytt med hjälp av din återställningsnyckel”. Ange den personliga återställningsnyckeln och tryck sedan på returtangenten eller klicka på pilen. När macOS har startar klickar du på Avbryt på dialogrutan för lösenordsändring.
På en Mac med Apple Silicon och macOS 12.0.1 eller senare trycker du på alternativ-, skift- och returtangenterna så att fältet för att ange den personliga återställningsnyckeln visas. Tryck på returtangenten (eller klicka på pilen).
Det finns bara en personlig återställningsnyckel (PRK) för varje krypterad volym. När FileVault aktiveras via en enhetshanteringstjänst går det att gömma den för användaren. När den konfigureras för deponering i en enhetshanteringstjänst tillhandahåller den en offentlig nyckel i form av ett certifikat till en Mac, vilket den sedan använder till att asymmetriskt kryptera den personliga återställningsnyckeln i ett CMS-kuvertformat. Den krypterade, personliga återställningsnyckeln returneras till tjänsten i en förfrågan om säkerhetsinformation och kan sedan avkrypteras av en organisation så att de kan se den. Eftersom krypteringen är asymmetrisk kan inte tjänsten själv avkryptera den personliga återställningsnyckeln (vilket kan kräva ytterligare åtgärder från en administratör). Många utvecklare av enhetshanteringstjänster erbjuder dock alternativ för att hantera dessa nycklar så att de kan visas direkt i deras produkter. Enhetshanteringstjänsten kan också rotera personliga återställningsnycklar så ofta som det behövs för att upprätthålla en stark säkerhet, till exempel efter att en personlig återställningsnyckel har använts till att låsa upp en volym.
Det går att låsa upp en volym med en personlig återställningsnyckel i hårddiskläget på Mac-datorer utan Apple Silicon:
1. Anslut datorn i hårddiskläge till en annan Mac med samma eller en nyare version av macOS.
2. Öppna appen Terminal. Kör sedan följande kommando och leta efter namnet på volymen (vanligtvis ”Macintosh HD”). Det bör stå ”Mount Point: Not Mounted” och ”FileVault: Yes (Locked)”. Anteckna APFS-volymens skiv-ID för volymen – det liknar disk3s2 men innehåller troligtvis andra siffror, exempelvis disk4s5.
diskutil apfs list3. Kör följande kommando. Leta sedan efter personal recovery key user och anteckna det UUID som visas:
diskutil apfs listUsers /dev/<diskXsN>4. Kör det här kommandot:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Klistra in eller ange den personliga återställningsnyckeln i dialogrutan för lösenordsfras och tryck sedan på returtangenten. Volymen länkas in i Finder.