Använda säkerhetstoken, bootstrap-token och volymägarskap i driftsättningar
Säkerhetstoken
APFS (Apple File System) på en Mac med macOS 10.13 eller senare förändrar hur krypteringsnycklar för FileVault genereras. I tidigare versioner av macOS på CoreStorage-volymer skapades de nycklar som används i FileVault-krypteringsprocessen när en användare eller organisation aktiverade FileVault på en Mac. För Mac-datorer med APFS-volymer genereras krypteringsnycklarna antingen genom att användaren skapar dem, när den första användarens lösenord ställs in eller när en användare loggar in första gången på datorn. Den här implementeringen av krypteringsnycklarna, när de genereras och hur de lagras är en del av funktionen som kallas säkerhetstoken. En säkerhetstoken är helt enkelt en paketerad version av en nyckelkrypteringsnyckel (KEK) som skyddas av en användares lösenord.
Vid driftsättning av FileVault på APFS kan användaren fortsätta att:
använda befintliga verktyg och processer, exempelvis en personlig återställningsnyckel (PRK) som du kan lagra hos en enhetshanteringstjänst för deponering
skapa och använda en institutionell återställningsnyckel
skjuta upp aktivering av FileVault tills en användare loggar in eller ut ur datorn.
För en Mac med macOS 11 eller senare beviljas den allra första användaren på datorn en säkerhetstoken när den ställer in ett lösenord första gången. I vissa arbetsflöden är det här inte ett önskat beteende eftersom det tidigare krävdes att användarkontot skulle logga in för att en första säkerhetstoken skulle beviljas. Om du vill förhindra detta lägger du till ;DisabledTags;SecureToken i användarens programmatiskt genererade AuthenticationAuthority-attribut innan användarens lösenord ställs in enligt beskrivningen nedan:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap-token
För en Mac med macOS 10.15 eller senare kan du använda bootstrap-token till mer än att bara bevilja säkerhetstoken till befintliga användarkonton. På en Mac med Apple Silicon kan du, om den är tillgänglig och hanteras via en enhetshanteringstjänst, använda bootstrap-token för:
Övervakning
Utvecklarstöd för enhetshanteringstjänster
För en Mac med macOS 10.15.4 eller senare genererar macOS en bootstrap-token och deponerar den i en enhetshanteringstjänst vid första inloggningen av en användare som är aktiverad för säkerhetstoken. Du kan också generera en bootstrap-token och deponera den i en tjänst med hjälp av kommandoradsverktyget profiles om det behövs.
För en Mac med macOS 11 eller senare kan du använda bootstrap-token till mer än att bara bevilja säkerhetstoken till befintliga användarkonton. På en Mac med Apple Silicon kan du, om den är tillgänglig och hanteras via en enhetshanteringstjänst, använda bootstrap-token till att:
Hantera installationen av programuppdateringar.
Auktorisera enhetshanteringskommandot Radera allt innehåll och alla inställningar i bakgrunden (macOS 12.0.1 eller senare).
Skapa nya användare första gången de loggar in med Platform SSO (macOS 13 eller senare).
Volymägarskap
På Mac-datorer med Apple Silicon introducerades begreppet volymägarskap. Volymägarskap när det gäller en organisation är inte kopplat till det faktiska juridiska ägarskapet eller innehavet av en Mac. Istället kan volymägarskap snarare definieras som den användare som först använde en dator och ställde in den för egen användning samt eventuella ytterligare användare. Du måste vara en volymägare för att bland annat ändra startsäkerhetspolicyn för en särskild installation av macOS, auktorisera installationen av macOS-programuppdateringar och -uppgraderingar och köra kommandot Radera allt innehåll och alla inställningar på datorn med mera. I startsäkerhetspolicyn anges begränsningarna för vilka versioner av macOS som kan startas samt om kärntillägg från tredje part kan läsas in eller hanteras och hur det görs i så fall.
Den användare som först använde en dator och ställde in den för egen användning får en säkerhetstoken på en Mac med Apple Silicon och blir den första volymägaren. När det finns en bootstrap-token och den används blir den också en volymägare. Den ger sedan volymägarskapsstatus till ytterligare konton när den beviljar dem säkerhetstoken. Eftersom både den första användaren som får en säkerhetstoken och bootstrap-token blir volymägare, och för att bootstrap-token kan bevilja säkerhetstoken till fler användare (och därför också volymägarskapsstatus) behöver inte volymägarskap vara något som aktivt hanteras eller ändras i en organisation. De överväganden som nämnts tidigare när det gäller hantering och beviljande av säkerhetstoken gäller över lag även för volymägarskapsstatus.
Det går att vara en volymägare utan att vara en administratör, men för vissa åtgärder måste du vara både och. Om du t.ex. vill ändra startsäkerhetsinställningar måste du vara både en administratör och en volymägare, men du behöver bara vara standardanvändare och ägare om du vill auktorisera programuppdateringar.
Kör följande kommando om du vill visa den aktuella listan över volymägarna på en Mac med Apple Silicon:
sudo diskutil apfs listUsers /De GUID:er som visas i diskutil-kommandots utmatning för typen Local Open Directory User kommer från GeneratedUID-attributen i användarposter i Open Directory. Använd följande kommando om du vill hitta en användare med GeneratedUID:
dscl . -search /Users GeneratedUID <GUID>Du kan också använda följande kommando till att se både användarnamn och GUID:er:
sudo fdesetup list -extendedÄgarskap säkras av kryptografi som skyddas i Secure Enclave. Mer information finns i:
Användning av kommandoradsverktyg
Kommandoradsverktyg är tillgängliga för hantering av bootstrap-token och säkerhetstoken. Vanligtvis genererar macOS bootstrap-token och deponerar den i enhetshanteringstjänsten under macOS-installationsprocessen efter att tjänsten har meddelat datorn att den stöder funktionen. Du kan dock även generera en bootstrap-token på en driftsatt Mac. För en Mac med macOS 10.15.4 eller senare genererar macOS en bootstrap-token och deponerar den i tjänsten vid den första inloggningen av en användare som är aktiverad för säkerhetstoken (om tjänsten stöder funktionen). Det här minskar behovet av att använda kommandoradsverktyget profiles efter enhetsinställning för att generera och deponera en bootstrap-token i tjänsten.
Kommandoradsverktyget profiles har ett antal alternativ för att interagera med bootstrap-token:
sudo profiles install -type bootstraptoken: Det här kommandot genererar en ny bootstrap-token och deponerar den i enhetshanteringstjänsten. Det här kommandot kräver befintlig administratörsinformation för säkerhetstoken, så att en bootstrap-token kan genereras, och tjänsten måste ha stöd för funktionen.sudo profiles remove -type bootstraptoken: Tar bort befintlig bootstrap-token på datorn och från enhetshanteringstjänsten.sudo profiles status -type bootstraptoken: Rapporterar tillbaka om enhetshanteringstjänsten har stöd för funktionen för bootstrap-token samt aktuell status för bootstrap-token på datorn.sudo profiles validate -type bootstraptoken: Rapporterar tillbaka om enhetshanteringstjänsten har stöd för funktionen för bootstrap-token samt aktuell status för bootstrap-token på datorn.
Kommandoradsverktyget sysadminctl
Kommandoradsverktyget sysadminctl kan användas till att specifikt ändra säkerhetstokenstatus för användarkonton på datorn. Det här ska göras med försiktighet och endast när det är nödvändigt. Ändring av säkerhetstokenstatus för en användare med sysadminctl kräver alltid användarnamn och lösenord för en befintlig administratör som är aktiverad för säkerhetstoken, antingen interaktivt eller via lämpliga flaggor på kommandot. Både sysadminctl och Systeminställningar förhindrar radering av den sista administratören eller säkerhetstokenaktiverade användaren på en Mac. Om sysadminctl används till att skapa ytterligare lokala användare genom skript måste användarnamn och lösenord för en befintlig säkerhetstokenaktiverad administratör anges för att aktivera de användarna för säkerhetstoken. Inloggningsuppgifterna kan anges interaktivt eller direkt med flaggorna -adminUser och -adminPassword med sysadminctl.
Om macOS inte beviljar en säkerhetstoken vid skapandet, och om en bootstrap-token är tillgänglig från enhetshanteringstjänsten, beviljas en säkerhetstoken till den lokala användaren när den loggar in på en Mac med macOS 11 eller senare. Använd sysadminctl -h för ytterligare information om användning.