การจัดการ FileVault ใน macOS
ใน macOS องค์กรสามารถจัดการ FileVault ได้โดยใช้ SecureToken หรือโทเค็นการเริ่มต้นระบบ
การใช้โทเค็นที่ปลอดภัย
Apple File System (APFS) ใน macOS 10.13 ขึ้นไปเปลี่ยนวิธีสร้างกุญแจการเข้ารหัส FileVault ใน macOS เวอร์ชั่นก่อนหน้าบนดิสก์โวลุ่ม CoreStorage กุญแจที่ใช้อยู่ในกระบวนการการเข้ารหัส FileVault ถูกสร้างเมื่อผู้ใช้หรือองค์กรเปิดใช้ FileVault บน Mac ใน macOS บนดิสก์โวลุ่ม APFS กุญแจจะถูกสร้างในระหว่างการสร้างผู้ใช้ การตั้งรหัสผ่านแรกของผู้ใช้ หรือในระหว่างที่ผู้ใช้ของ Mac เข้าสู่ระบบเป็นครั้งแรก สำหรับการปรับใช้กุญแจการเข้ารหัสนี้ กรณีที่จะมีการสร้างกุญแจและวิธีการจัดเก็บกุญแจนี้เป็นส่วนหนึ่งของคุณสมบัติที่เรียกว่าโทเค็นที่ปลอดภัย โทเค็นที่ปลอดภัยเป็นเวอร์ชั่นที่ถูกห่อของกุญแจสำหรับการเข้ารหัสกุญแจ (KEK) โดยเฉพาะซึ่งได้รับการปกป้องด้วยรหัสผ่านของผู้ใช้
เมื่อมีการปรับใช้ FileVault บน APFS ผู้ใช้สามารถทำสิ่งต่างๆ เหล่านี้ต่อไปได้:
ใช้เครื่องมือและกระบวนการที่มีอยู่ เช่น กุญแจการกู้คืนส่วนบุคคล (PRK) ที่สามารถจัดเก็บด้วยโซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) สำหรับการฝากได้
สร้างและใช้รหัสการกู้คืนขององค์กร (IRK)
เลื่อนการเปิดใช้งาน FileVault จนกว่าผู้ใช้จะเข้าสู่ระบบหรือออกจากระบบ Mac
ใน macOS 11 การตั้งรหัสผ่านเริ่มต้นสำหรับผู้ใช้ที่ใช้งาน Mac เป็นครั้งแรกส่งผลให้ผู้ใช้ได้รับโทเค็นที่ปลอดภัย ในบางเวิร์คโฟลว์ที่อาจเป็นลักษณะการทำงานที่ไม่พึงประสงค์ การมอบโทเค็นที่ปลอดภัยรายการแรกจะกำหนดให้ผู้ใช้เข้าสู่ระบบ เช่นเดียวกับก่อนหน้านี้ ในการป้องกันไม่ให้สิ่งนี้เกิดขึ้น ให้เพิ่ม ;DisabledTags;SecureToken
ไปยังคุณลักษณะ AuthenticationAuthority
ของผู้ใช้ที่สร้างขึ้นด้วยโปรแกรม ก่อนที่จะตั้งรหัสผ่านของผู้ใช้ ดังที่แสดงอยู่ด้านล่าง:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
การใช้โทเค็นการเริ่มต้นระบบ
macOS 10.15 เปิดตัวคุณสมบัติใหม่ซึ่งเป็นโทเค็นการเริ่มต้นระบบ เพื่อช่วยในการมอบโทเค็นที่ปลอดภัยให้กับทั้งบัญชีอุปกรณ์เคลื่อนที่และบัญชีผู้ดูแลระบบที่สร้างด้วยการลงทะเบียนอุปกรณ์ (“ผู้ดูแลระบบที่มีการจัดการ”) สำหรับ macOS 11 โทเค็นการเริ่มต้นระบบสามารถมอบโทเค็นที่ปลอดภัยให้กับผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์ Mac ซึ่งรวมถึงบัญชีผู้ใช้ภายในเครื่องด้วย การใช้คุณสมบัติโทเค็นการเริ่มต้นระบบใหม่ของ macOS 10.15 ขึ้นไป ต้องใช้:
การลงทะเบียน Mac ใน MDM โดยใช้ Apple School Manager หรือ Apple Business Manager ซึ่งทำให้ Mac ได้รับการกำกับดูแล
การรองรับผู้จำหน่าย MDM
สำหรับ macOS 10.15.4 ขึ้นไป โทเค็นการเริ่มต้นระบบจะถูกสร้างและฝากไว้กับ MDM ในการเข้าสู่ระบบครั้งแรกโดยผู้ใช้ที่เปิดใช้งานโทเค็นความปลอดภัย หากโซลูชั่น MDM รองรับคุณสมบัตินี้ โทเค็นการเริ่มต้นระบบยังสามารถสร้างและฝากไปยัง MDM โดยใช้เครื่องมือบรรทัดคำสั่ง profiles
ได้เช่นกัน หากจำเป็น
สำหรับ macOS 11 โทเค็นการเริ่มต้นระบบยังสามารถใช้ได้มากกว่าเพียงเพื่อมอบโทเค็นที่ปลอดภัยให้กับบัญชีผู้ใช้ บน Mac ที่มี Apple Silicon จะสามารถใช้โทเค็นการเริ่มต้นระบบ (หากมี) เพื่ออนุญาตการติดตั้งทั้งส่วนขยายเคอร์เนลและรายการอัปเดตซอฟต์แวร์ได้เมื่อจัดการโดยใช้ MDM