在 macOS 中管理文件保险箱
在 macOS 中,组织可以使用 SecureToken 或 Bootstrap Token 管理文件保险箱。
使用安全令牌
macOS 10.13 或更高版本中的 Apple 文件系统 (APFS) 更改了文件保险箱加密密钥的生成方式。在 CoreStorage 宗卷上的 macOS 旧版本中,文件保险箱加密过程中使用的密钥是在用户或组织在 Mac 上启用文件保险箱时创建的。在 APFS 宗卷上的 macOS 中,该类密钥在用户创建过程中、设定首位用户的密码或 Mac 用户首次登录过程中创建。加密密钥的此实施方式、生成时间和储存方式都是称为安全令牌这一功能的一部分。特别地,安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的封装版本。
在 APFS 上部署文件保险箱时,用户可以继续:
使用现有工具和进程,如使用移动设备管理 (MDM) 解决方案储存以进行托管的个人恢复密钥 (PRK)
创建和使用机构恢复密钥 (IRK)
推迟文件保险箱的启用,直到用户登录或退出登录 Mac
在 macOS 11 中,为 Mac 上的首位用户设定初始密码就会授予该用户安全令牌。在部分流程中,这可能并不是预期的行为,因为在此之前授予第一个安全令牌已要求登录用户帐户。为了防止此类行为发生,在设定用户的密码前,请将;DisabledTags;SecureToken
添加到以编程方式创建的用户的 AuthenticationAuthority
属性,如下:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
使用 Bootstrap Token
macOS 10.15 引入了 Bootstrap Token 这项新功能,可帮助将安全令牌授予移动帐户和设备注册时创建的管理员帐户(“被管理的管理员”,可选项)。在 macOS 11 中,Bootstrap Token 能够将安全令牌授予给登录 Mac 电脑的任何用户,包括本地用户帐户。使用 macOS 10.15 或更高版本中的 Bootstrap Token 功能需要:
使用“Apple 校园教务管理”或“Apple 商务管理”在 MDM 中注册 Mac,从而让 Mac 受监督
MDM 供应商支持
在 macOS 10.15.4 或更高版本中,启用了安全令牌的任何用户在首次登录时会生成 Bootstrap Token 并托管到 MDM,前提是 MDM 解决方案支持该功能。在需要时,还可以使用 profiles
命令行工具来生成 Bootstrap Token 并托管到 MDM。
在 macOS 11 中,Bootstrap Token 除了可用于向用户帐户授予安全令牌外,还可用于其他方面。在搭载 Apple 芯片的 Mac 上,通过 MDM 进行管理时,Bootstrap Token(如果可用)可用于授权安装内核扩展和软件更新。