透過流動裝置管理來管理「檔案保險箱」
「檔案保險箱」全磁碟加密可以在機構中使用流動裝置管理(MDM)解決方案管理,或者針對部份較進階的部署和配置,可以使用 fdesetup 命令列工具管理。 使用 MDM 管理「檔案保險箱」會被稱為延遲啟用,並要求用户的登出或登入事件。 MDM 可自訂選項的例子:
用户可延遲「檔案保險箱」啟用的次數
是否會在用户登出時提示用户(除了在登入時提示外)
是否向用户顯示還原密鑰
用於非對稱式加密託管 MDM 解決方案的還原密鑰之證書
如要讓用户可以解鎖 APFS 卷宗上的儲存空間,他們需要有保安代碼,而在配備 Apple 晶片的 Mac 上時,用户需為卷宗擁有者。 如需更多關於保安代碼和卷宗擁有權的資料,請參閲:在部署中使用保安代碼、Bootstrap 代碼和卷宗擁有權。 以下提供關於在特定工作流程中用户如何及何時會獲授予保安代碼的資料。
在「設定輔助程式」中強制執行「檔案保險箱」
使用 ForceEnableInSetupAssistant 密鑰,可以要求 Mac 電腦在「設定輔助程式」期間開啟「檔案保險箱」。 這可確保在受管理的 Mac 電腦中的內置儲存空間在使用前總是被加密。 機構可以決定要向用户顯示「檔案保險箱」還原密鑰,還是託管個人還原密鑰。 如要使用此功能,請確定已設定 await_device_configured。
附註:在 macOS 14.4 之前此功能要求在「設定輔助程式」期間以互動方式建立的用户帳户必須擁有「管理員」職務。
當用户自行設定 Mac 時
當用户自行設定 Mac 時,IT 部門不會在實體裝置上執行任何建置工作。 所有原則和設定都使用 MDM 解決方案或設定管理工具提供。 「設定輔助程式」用於製作初始本機帳户,且該用户會被授予保安代碼。 如 MDM 解決方案支援 Bootstrap 代碼功能,並在 MDM 註冊過程中告知 Mac,Mac 會產生 Bootstrap 代碼且該代碼會由 MDM 解決方案託管。
如此 Mac 已註冊 MDM 解決方案,初始帳户不一定為本機管理員帳户,而是本機標準用户帳户。 如用户降級至使用 MDM 的標準用户,用户會自動獲授保安代碼。 在 macOS 10.15.4 或較新版本,如用户降版會自動產生 Bootstrap 代碼並供 MDM 解決方案託管(如支援該功能)。
如在「設定輔助程式」中使用 MDM 全部略過製作本機用户帳户,且以流動帳户的目錄服務取代,該流動帳户用户在登入時會獲授予保安代碼。 配搭流動帳户,在用户啟用保安代碼後,在 macOS 10.15.4 或較新版本中當用户第二次登入時會自動產生 Bootstrap 代碼並供 MDM 解決方案託管(如支援該功能)。
在上述任何情況中,因為首個及主要用户獲授保安代碼,其可使用延遲啟用來啟用「檔案保險箱」。 延後啟用可讓機構開啟「檔案保險箱」,但會將安裝延後至用户登入或登出 Mac。 也可以自動用户是否可以跳過開啟「檔案保險箱」(可選擇的定義次數)。 當磁碟以「檔案保險箱」加密,最終 Mac 的主要帳户可以解鎖儲存空間裝置,無論是任何類型的本機用户或流動帳户。
在已產生 Bootstrap 代碼且代碼由 MDM 解決方案託管的 Mac 電腦上,如其他用户在未來日期或時間登入,該 Bootstrap 代碼會用於自動授予保安代碼。 這代表帳户亦會啟用「檔案保險箱」,且可以解鎖「檔案保險箱」卷宗。 如要移除用户解鎖儲存空間裝置的能力,請使用 fdesetup remove -user。
當 Mac 是機構所建置時
當將 Mac 提供給用户前由機構建置,IT 部門會設定該裝置。 在「設定輔助程式」中製作或使用 MDM 建置的本機管理員帳户,會用於建置或設定 Mac,並在登入時被授予第一個保安代碼。 如 MDM 解決方案支援 Bootstrap 代碼功能,亦會產生 Bootstrap 代碼,且該代碼會由 MDM 解決方案託管。
如 Mac 已加入目錄服務並被設定來建立流動帳户,而且 Mac 上沒有 Bootstrap 代碼,系統會在目錄服務用户第一次登入時,提示現有保安代碼管理員的用户名稱和密碼,以向他們的帳户授予保安代碼。 應輸入現用已啟用保安代碼之本機管理員的憑證。 如不需要保安代碼,用户可以按一下「略過」。 在 macOS 10.13.5 或較新版本,如「檔案保險箱」不會配合流動帳户使用,可能可以完全停止保安代碼對話。 如要隱藏保安代碼對話,請使用以下鍵和值從 MDM 解決方案套用自訂設定設定描述檔:
設定 | 值 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
網域 | com.apple.MCX | ||||||||||
鍵 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True | ||||||||||
如 MDM 解決方案支援「Bootstrap 代碼」功能,而 Mac 產生一個 Bootstrap 代碼,且該代碼由 MDM 解決方案託管,流動帳户用户不會看見此提示。 反之他們會自動在登入時獲授保安代碼。
如要在 Mac 上要求加入額外的本機用户,而非目錄服務的用户帳户,當目前已啟用保安代碼的管理員於「用户與群組」(在 macOS 13 或較新版本中的「系統設定」,或者 macOS 12.0.1 或較早版本的「系統偏好設定」中)製作本機用户時,這些本機用户會自動獲授保安代碼。 如需使用命令列製作本機用户,可使用 sysadminctl 命令列工具,並可選擇為他們啟用保安代碼。 即使在製作時未授予保安代碼,在 macOS 11 或較新版本,如可從 MDM 解決方案使用 Bootstrap 代碼,在本機用户登入到 Mac 會獲授予保安代碼。
在這些情況下,以下用户可以解鎖使用已被「檔案保險箱」加密的卷宗:
用於建置的原始本機管理員
任何於登入程序中獲取保安代碼的附加目錄服務用户,無論是登入過程中使用對話提示互動獲取,或使用 Bootstrap 代碼自動獲取
任何新本機用户
如要移除用户解鎖儲存空間裝置的能力,請使用 fdesetup remove -user。
當使用上述其中一個工作流程時,保安代碼會由 macOS 管理,無需額外設定或編碼,其會成為實作詳細資料,而非需積極管理或堆疊的項目。
fdesetup 命令列工具
MDM 設定或 fdesetup 命令列工具可用於設定「檔案保險箱」。 在 macOS 10.15 或較新版本,使用 fdesetup 來透過提供用户名稱和密碼開啟「檔案保險箱」的方式已被淘汰,且在將來的作業系統均不會獲承認。 指令會繼續運作,但仍會在 macOS 11 和 macOS 12.0.1 後開始不適用。 考慮以使用 MDM 的延遲啟用取代。 如需更多關於 fdesetup 命令列的資料,請啟動「終端機」App,並輸入 man fdesetup 或 fdesetup help 以取得更多資料。
機構與個人還原密鑰
在 CoreStorage 和 APFS 卷宗上的「檔案保險箱」支援使用機構還原密鑰(IRK,以前稱為「檔案保險箱主控」身份)來解鎖卷宗。 雖然 IRK 對同時解鎖卷宗或停用「檔案保險箱」的操作命令列操作十分有用,其對機構的效益有限,特別是在近期的 macOS 版本。 此外,在配備 Apple 晶片的 Mac 上 IRK 因為兩個主要原因而無法提供功能值: 第一是因為它們無法被用於取用 RecoveryOS,第二是因為系統已不再支援目標磁碟模式,故無法透過將卷宗連接到其他 Mac 來將其解鎖。 基於上述及其他的原因,已不再建議將 IRK 用於在 Mac 電腦上的「檔案保險箱」機構管理。 應使用個人還原密鑰(PRK)取代。 PRK 提供:
非常建全的還原和作業系統取用機制
每個卷宗獨有的加密
交由 MDM 託管
在使用後輕鬆進行密鑰轉換
PRK 可用於 RecoveryOS 中,或用於將加密的 Mac 直接啟動到 macOS(配備 Apple 晶片的 Mac 需要 macOS 12.0.1 或較新版本)。 在 RecoveryOS 中,如收到「還原輔助程式」的提示就可以使用 PRK,或如有「忘記所有密碼」選項,則可取用還原環境(其也會在之後解鎖卷宗)的取用權限。 使用「忘記所有密碼」選項時,無需重設用户密碼;可以按一下離開按鈕來直接啟動 RecoveryOS。 如要在以 Intel 為基礎的 Mac 電腦上直接啟動 macOS,請按一下密碼欄位旁的問號,然後選擇選項來「使用『還原密鑰』重設」。 輸入 PRK,然後按下 Return 鍵或按一下箭嘴。 在 macOS 啟動後,按下更改對話框中的「取消」。 在使用 macOS 12.0.1 或較新版本的配備 Apple 晶片的 Mac 上,按下 Option+Shift+Return 來顯示 PRK 的輸入欄位,按下 Return 鍵(或按一下箭嘴),macOS 就會啟動。
每個加密的卷宗只會有一個 PRK,且在從 MDM 啟用「檔案保險箱」期間,可選擇向用户隱藏 PRK。 設定交由 MDM 託管時,MDM 會向 Mac 提供一個證書形式的公用密鑰,該公用密鑰之後會用於對 PRK 進行 CMS 信封格式的非對稱式加密。 已加密的 PRK 會傳回保安資料查詢中的 MDM,其之後會被解密以供機構檢視。 因為加密為非對稱,所以 MDM 本身可能無法解密 PRK(會要求管理員進行額外步驟)。 不過,許多 MDM 供應商會提供管理這些密鑰的選項,以允許供應商在其產品中直接檢視。 MDM 也可以選擇按要求經常更換 PRK,以協助保持高強度的保安姿態(例如在 PRK 用於解鎖磁卷宗後)。
在未有配備 Apple 晶片的 Mac 電腦上,PRK 可用於在目標磁碟模式中解鎖卷宗:
1. 將處於目標磁碟模式中的 Mac 連接到另一部使用相同或較新版本 macOS 的 Mac。
2. 開啟「終端機」,然後執行以下指令並尋找卷宗名稱(通常為「Macintosh HD」)。 它應該會寫着「裝載點: 未裝載」和「檔案保險箱: 是(已鎖定)」。 記下該卷宗的「APFS 卷宗磁碟識別碼」,其看起來像 disk3s2 但不同數字,例如 disk4s5。
diskutil apfs list3. 執行以下指令,然後尋找個人還原密鑰用户並記下列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>4. 執行此指令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 在提示的密語中,貼上或輸入 PRK,然後按下 Return 鍵。 卷宗會裝載在 Finder 中。