在「Apple 商務」中建立「檔案保險箱」設定

「檔案保險箱」是一種內建的加密功能，可保護所有待用資料，你也可以強制使用「檔案保險箱」來保護 Mac 上的資訊。

「檔案保險箱」會加密 Mac 上的資料，因此如果沒有使用者密碼，未經授權的使用者就無法存取任何資訊。如果使用者忘了自己的密碼或無法取得，而你需要取用 Mac，你可以使用稱為復原密鑰的特殊密鑰來取代使用者密碼。你需要上傳一份憑證（其作用是加密針對每部 Mac 所儲存的復原密鑰），才能將「檔案保險箱」設定套用至 Mac 電腦。加密的復原密鑰存放在「Apple 商務」中具備「機構管理員」職務的任何使用者並由其存取。

開啟 Mac 的「檔案保險箱」後，就會在啟動程序期間要求提供使用者憑證。「檔案保險箱」加上 Mac 電腦的硬體安全性有助於達成下列四大目標：

要求使用者的解密密碼
保護作業系統，防止直接對從 Mac 移除的儲存媒體進行暴力密碼破解攻擊
提供迅速且安全的方法來抹除內容（透過刪除必要密碼編譯資料的方法）
讓使用者能夠變更其密碼（並且進而使用密碼編譯密鑰來保護其檔案），而不需要重新加密整個磁碟區

「Apple 商務」使用非對稱加密來協助確保「檔案保險箱」復原密鑰的隱私，並使用你產生的加密憑證來加密每部裝置的復原密鑰。產生憑證後，你需要將其上傳至「Apple 商務」。

加密憑證及其專用密鑰是一個相符的配對。產生新加密憑證時，只有使用此憑證產生的專用密鑰才能用來解密它所加密的復原密鑰。如果你的團隊中有其他「機構管理員」職務的使用者需要存取「Apple 商務」中所儲存的復原密鑰，請嘗試使用密碼管理工具來安全地儲存和共享解密所需的專用密鑰。如果你產生新的配對並上傳其加密憑證，則先前的憑證會停止用來加密新的復原密鑰。不過，仍然需要先前的專用密鑰，才能解密使用其相符憑證加密的復原密鑰。

【注意】如果你選擇建立自己的加密憑證，而不使用下方作業來建立憑證，檔案須為 PEM 加密憑證，且具有至少 2048 位元的 RSA 公用密鑰。

建立加密憑證

名稱中產生的 ID 會相符，並有助於區分彼此相符的專用密鑰與憑證。

【注意】你可以建立多個加密憑證。

在 Mac 上，打開「終端機」App ，貼上下列文字，然後按下 Return 鍵。
(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)
這些命令會在你的「文件」檔案夾中產生兩個檔案。請打開該檔案夾，並確認它現在包含：
- 加密憑證：在名為 FileVaultKeyEncryptionCert_[id].pem 的檔案中
- RSA 專用密鑰：在名為 FileVaultKeyEncryptionPrivateKey_[id].pem 的檔案中
【重要事項】請將各個 RSA 專用密鑰妥善保存。如果遺失專用密鑰檔案，你將無法解密以憑證加密的復原密鑰，因此若使用者遺失密碼，你將無法使用這些復原密鑰來解鎖相應的裝置。

上傳加密憑證

在「Apple 商務」中，以具備「機構管理員」職務的使用者身分登入。
在瀏覽器中，依序選擇「裝置」>「管理服務」。
選取「內建的裝置管理」，接著選取「上傳檔案」，然後選取上面建立的 FileVaultKeyEncryptionCert_[id].pem 檔案，再選取「上傳」。
選取「儲存」。
如果你在上傳第一個加密憑證「之前」，就先透過預設集將「檔案保險箱」設定指派給使用者或裝置，該設定現在將套用於所有已指派的使用者和裝置。

取代加密憑證

【重要事項】加密憑證只會加密在憑證上傳「之後」才儲存於「Apple 商務」中的復原密鑰。之前加密的復原密鑰不會以新的加密憑證重新加密。

在「Apple 商務」中，以具備「機構管理員」職務的使用者身分登入。
在瀏覽器中，依序選擇「裝置」>「管理服務」。
選取「內建的裝置管理」標籤，接著選取「取代憑證」，然後選取你要使用的新加密憑證檔案，再選取「上傳」。
選取「儲存」。

下載單一裝置的「檔案保險箱」復原密鑰

為了達到最高安全性，「Apple 商務」並無法看到「檔案保險箱」復原密鑰。若要檢視復原密鑰，你需要先下載加密的復原密鑰。

若要透過「Apple 商務」下載使用「檔案保險箱」加密的單一裝置的復原密鑰：

在「Apple 商務」中，以具備「機構管理員」職務的使用者身分登入。
在瀏覽器中，依序選擇「裝置」>「庫存」。
如有需要，請在搜尋欄位中搜尋該裝置。請參閱〈如何搜尋〉。
選取裝置，接著捲動至「檔案保險箱」區段，然後選取「下載密鑰」。
名為 FileVaultRecoveryKeysEncrypted.csv 的逗號分隔值（.csv）檔案會隨即下載至你的電腦。該檔案包含你的加密密鑰，以及對應的裝置和加密憑證。
【注意】如果裝置在指派至「Apple 商務」的「檔案保險箱」之前，已經使用「檔案保險箱」加密，則在復原密鑰輪換之前，都無法在裝置的頁面中看到復原密鑰。

輪換並顯示復原密鑰

在「Apple 商務」中，以具備「機構管理員」職務的使用者身分登入。
在 Mac 上，打開「終端機」App ，然後貼上下列內容：
sudo /usr/bin/fdesetup changerecovery -personal
系統提示時，請輸入本機登入管理員的密碼，以執行命令（不會顯示密碼）。
當系統再次提示時，請再次輸入本機登入管理員的使用者名稱和密碼。
程序完成後，「Apple 商務」中會有 Mac 的新復原密鑰。

下載所有裝置的「檔案保險箱」復原密鑰

若要透過「Apple 商務」下載使用「檔案保險箱」加密的所有裝置的復原密鑰：

在「Apple 商務」中，以具備「機構管理員」職務的使用者身分登入。
在瀏覽器中，依序選擇「裝置」>「管理服務」。
選取「內建的裝置管理」，然後選取「下載復原密鑰」。
名為 FileVaultRecoveryKeysEncrypted.csv 的逗號分隔值（.csv）檔案會隨即下載至你的電腦。該檔案包含所有的加密密鑰，以及對應的裝置和加密憑證。

檢視「檔案保險箱」復原密鑰

你可以從所下載的逗號分隔值（.csv）檔案解密「檔案保險箱」的復原密鑰以便檢視。

打開 FileVaultRecoveryKeysEncrypted.csv。
找出含有你需要復原密鑰的裝置序號的那一列。拷貝該列的第二個儲存格，它位於名為「Encrypted Recovery Key」（加密的復原密鑰）直欄中。該儲存格需有類似隨機文字的內容。
打開「TextEdit」，然後建立新的純文字檔案。
如果 TextEdit 預設為 RTF 檔案，你可能需要按 Shift-Command-T。貼入上方拷貝的儲存格，並將檔案儲存在包含你專用密鑰的檔案夾，該密鑰會與你的加密憑證配對。
在 Mac 上，啟動「終端機」App ，前往包含新文字檔案和專用密鑰的檔案夾，然後貼上下列命令。將 YourTextFile 和 YourPrivateKey 替換為各自的檔案名稱，然後按 Return。
base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txt
解密的復原密鑰會寫入名為 FileVaultRecoveryKey.txt 的檔案，位於與專用密鑰相同的檔案夾中。

也請參閱在「Apple 商務」中編輯設定 Apple 平台部署：「檔案保險箱」簡介 Apple 平台部署：在部署中使用安全權杖、Bootstrap 權杖和磁碟區擁有權 Apple 平台部署：透過行動裝置管理來管理「檔案保險箱」

有幫助？

Apple 商務使用手冊