透過裝置管理來管理「檔案保險箱」
機構可以使用裝置管理服務管理「檔案保險箱」全磁碟加密,或者針對部份較進階的部署和配置,可以使用 fdesetup 命令列工具管理。 使用裝置管理服務管理「檔案保險箱」會被稱為延遲啟用,並要求用户的登出或登入事件。 裝置管理服務可自訂選項的例子:
用户可延遲「檔案保險箱」啟用的次數
是否會在用户登出時提示用户(除了在登入時提示外)
是否向用户顯示還原密鑰
用於非對稱式加密託管裝置管理服務的還原密鑰之證書
如要讓用户可以解鎖 APFS 卷宗上的儲存空間,他們需要有保安代碼,而在配備 Apple 晶片的 Mac 上時,用户需為卷宗擁有者。 如需更多關於保安代碼和卷宗擁有權的資料,請參閲:在部署中使用保安代碼、Bootstrap 代碼和卷宗擁有權。 以下提供關於在特定工作流程中用户如何及何時會獲授予保安代碼的資料。
在「設定輔助程式」中強制執行「檔案保險箱」
使用 ForceEnableInSetupAssistant 密鑰,可以要求 Mac 電腦在「設定輔助程式」期間開啟「檔案保險箱」。 這可確保在受管理的 Mac 電腦中的內置儲存空間在使用前總是被加密。 機構可以決定要向用户顯示「檔案保險箱」還原密鑰,還是託管個人還原密鑰。 如要使用此功能,請確定已設定 await_device_configured。
備註:在 macOS 14.4 之前此功能要求在「設定輔助程式」期間以互動方式建立的用户帳户必須擁有「管理員」職務。
當用户自行設定 Mac 時
備註:裝置管理服務需支援指定功能才能配合 Mac 使用保安代碼和 Bootstrap 代碼。
當用户自行設定 Mac 時,IT 部門不會在實體裝置上執行任何建置工作。 你會使用裝置管理服務和設定管理工具提供所有規則和設定。 「設定輔助程式」會建立初始本機帳户並向該用户授予保安代碼,然後 Mac 會產生 Bootstrap 代碼,並會將該代碼交給裝置管理服務託管。
如此 Mac 註冊裝置管理服務,初始帳户不一定為本機管理員帳户,而是本機標準用户帳户。 如你將用户降級至使用服務的標準用户,服務會自動向用户授予保安代碼。 在使用 macOS 10.15.4 或較新版本的 Mac 上,如你將用户降級,macOS 會自動產生 Bootstrap 代碼,並會將該代碼交給裝置管理服務託管。
如在「設定輔助程式」中使用裝置管理服務略過製作本機用户帳户,並改為配合流動帳户使用目錄服務,該服務會在流動帳户用户登入時向用户授予保安代碼。 在使用 macOS 10.15.4 或較新版本的 Mac 上,在啟用擁有流動帳户的用户後,在用户第二次登入時,macOS 會自動產生 Bootstrap 代碼,並會將該代碼交給裝置管理服務託管。
如裝置管理服務略過在「設定輔助程式」中製作本機用户帳户,並改為配合流動帳户使用目錄服務,裝置管理服務會在用户登入時向用户授予保安代碼。 在使用 macOS 10.15.4 或較新版本的 Mac 上,如果流動用户擁有保安代碼,macOS 會自動產生 Bootstrap 代碼,並會將該代碼交給裝置管理服務託管。
在上述任何情況中,因為 macOS 向首個及主要用户授予保安代碼,該用户可使用延遲啟用來啟用「檔案保險箱」,這可讓你開啟「檔案保險箱」,但會將「檔案保險箱」的啟用延後至用户登入或登出 Mac。 你也可以選擇用户是否可以跳過開啟「檔案保險箱」(可選擇的定義次數)。 這可讓最終 Mac 的主要帳户可以解鎖「檔案保險箱」卷宗,無論是任何類型的本機用户或流動帳户。
在 macOS 產生 Bootstrap 代碼並將代碼交由裝置管理服務託管的 Mac 上,如其他用户在未來登入該 Mac,macOS 會使用 Bootstrap 代碼自動向用户授予保安代碼。 這代表帳户亦會啟用「檔案保險箱」,且可以解鎖「檔案保險箱」卷宗。 如要移除用户解鎖儲存空間裝置的能力,請使用 fdesetup remove -user。
當機構建置 Mac 時
當機構在將 Mac 提供給用户前建置 Mac 時,IT 部門會設定該裝置。 你使用在「設定輔助程式」中建立或使用裝置管理服務建置的本機管理員帳户,來建置或設定 Mac,作業系統會在登入時授予第一個保安代碼。 如服務支援 Bootstrap 代碼功能,作業系統亦會產生 Bootstrap 代碼,並會交由服務託管。
如 Mac 已加入目錄服務並被設定來建立流動帳户,而且 Mac 上沒有 Bootstrap 代碼,系統會在目錄服務用户第一次登入時,提示現有保安代碼管理員的用户名稱和密碼,以向他們的帳户授予保安代碼。 他們需要輸入已啟用保安代碼之本機管理員憑證。 如不需要保安代碼,用户可以按一下「略過」。 在使用 macOS 10.13.5 或較新版本的 Mac 中,如你不打算配合流動帳户使用「檔案保險箱」,可以完全停止保安代碼對話。 如要隱藏保安代碼對話,請使用以下鍵和值從裝置管理服務套用自訂設定設定描述檔:
設定 | 值 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
網域 | com.apple.MCX | ||||||||||
鍵 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True | ||||||||||
如裝置管理服務支援 Bootstrap 代碼功能,而 Mac 產生一個代碼並將代碼交由服務託管,流動帳户用户不會看見此提示。 反之 macOS 會在用户登入時自動向用户授予保安代碼。
如要在 Mac 上要求加入額外的本機用户,而非目錄服務的用户帳户,當已啟用保安代碼的管理員於「用户與群組」(在 macOS 13 或較新版本中的「系統設定」,或者 macOS 12.0.1 或較早版本的「系統偏好設定」中)製作本機用户時,macOS 會自動向這些用户授予保安代碼。 如需使用命令列製作本機用户,管理員可使用 sysadminctl 命令列工具,並可選擇為他們啟用保安代碼。 在使用 macOS 11 或較新版本的 Mac 上,如果 macOS 在製作時未授予保安代碼,且 Bootstrap 代碼可從裝置管理服務取得,系統會在本機用户登入時向其授予保安代碼。
在這些情況下,以下用户可以解鎖使用已被「檔案保險箱」加密的卷宗:
用於建置的原始本機管理員
任何於登入程序中獲取保安代碼的附加目錄服務用户,無論是登入過程中使用對話提示互動獲取,或使用 Bootstrap 代碼自動獲取
任何新本機用户
如要移除用户解鎖儲存空間裝置的能力,請使用 fdesetup remove -user。
當使用上述其中一個工作流程時,保安代碼會由 macOS 管理,無需額外設定或編碼,其會成為實作詳細資料,而非需積極管理或堆疊的項目。
fdesetup 命令列工具
你可以使用裝置管理設定或 fdesetup 命令列工具設定「檔案保險箱」。 在使用 macOS 10.15 或較新版本的 Mac 中,使用 fdesetup 來透過提供用户名稱和密碼開啟「檔案保險箱」的方式已被淘汰,且在將來的作業系統均無法使用。 指令會繼續運作,但仍會在 macOS 11 和 macOS 12.0.1 後開始不適用。 考慮以使用來自裝置管理服務的延遲啟用取代。 如需更多關於 fdesetup 命令列的資料,請啟動「終端機」App,並輸入 man fdesetup 或 fdesetup help 以取得更多資料。
機構與個人還原密鑰
在 CoreStorage 和 APFS 卷宗上的「檔案保險箱」支援使用機構還原密鑰(IRK,以前稱為「檔案保險箱主控」身份)來解鎖卷宗。 雖然 IRK 對同時解鎖卷宗或停用「檔案保險箱」的操作命令列操作十分有用,其對機構的效益有限,特別是在近期的 macOS 版本。 此外,在配備 Apple 晶片的 Mac 上 IRK 因為兩個主要原因而無法提供功能值: 第一是因為它們無法被用於取用 RecoveryOS,第二是因為系統已不再支援目標磁碟模式,故無法透過將卷宗連接到其他 Mac 來將其解鎖。 基於上述及其他的原因,已不再建議將 IRK 用於在 Mac 電腦上的「檔案保險箱」機構管理。 應使用個人還原密鑰(PRK)取代。 PRK 提供:
非常建全的還原和作業系統取用機制
每個卷宗獨有的加密
交由裝置管理服務託管
在使用後輕鬆進行密鑰轉換
針對配備 Apple 晶片並使用 macOS 12.0.1 或較新版本的 Mac,PRK 可用於 recoveryOS 或直接將加密的 Mac 啟動至 macOS。 在 RecoveryOS 中,如收到「還原輔助程式」的提示就可以使用 PRK,或如有「忘記所有密碼」選項,則可取用還原環境(其也會在之後解鎖卷宗)的取用權限。 使用「忘記所有密碼」選項時,無需重設用户密碼;可以按一下離開按鈕來直接啟動 RecoveryOS。 如要在以 Intel 為基礎的 Mac 電腦上直接啟動 macOS,請按一下密碼欄位旁的問號,然後選擇選項來「使用『還原密鑰』重設」。 輸入 PRK,然後按下 Return 鍵或按一下箭嘴。 在 macOS 啟動後,按下更改對話框中的「取消」。
此外,在使用 macOS 12.0.1 或較新版本的配備 Apple 晶片的 Mac 上,按下 Option+Shift+Return 來顯示 PRK 的輸入欄位,然後按下 Return 鍵(或按一下箭嘴)。
每個加密的卷宗只會有一個 PRK,且在從裝置管理服務啟用「檔案保險箱」期間,你可選擇向用户隱藏 PRK。 設定 PRK 以交由裝置管理服務託管時,其會向 Mac 提供一個證書形式的公用密鑰,該公用密鑰之後會用於對 PRK 進行 CMS 信封格式的非對稱式加密。 已加密的 PRK 會傳回保安資料查詢中的服務,機構之後會將其解密以作檢視。 因為加密為非對稱,所以服務本身可能無法解密 PRK(可能會要求管理員進行額外步驟)。 不過,許多裝置管理服務開發者會提供管理這些密鑰的選項,以允許開發者在其產品中直接檢視。 裝置管理服務也可以選擇按要求經常更換 PRK,以協助保持高強度的保安姿態(例如在使用 PRK 解鎖磁卷宗後)。
在未有配備 Apple 晶片的 Mac 電腦上,PRK 可用於在目標磁碟模式中解鎖卷宗:
1. 將處於目標磁碟模式中的 Mac 連接到另一部使用相同或較新版本 macOS 的 Mac。
2. 開啟「終端機」,然後執行以下指令並尋找卷宗名稱(通常為「Macintosh HD」)。 它應該會寫着「裝載點: 未裝載」和「檔案保險箱: 是(已鎖定)」。 記下該卷宗的「APFS 卷宗磁碟識別碼」,其看起來像 disk3s2 但不同數字,例如 disk4s5。
diskutil apfs list3. 執行以下指令,然後尋找個人還原密鑰用户並記下列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>4. 執行此指令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 在提示的密語中,貼上或輸入 PRK,然後按下 Return 鍵。 卷宗會裝載在 Finder 中。