使用裝置管理管理檔案保險箱
機構可以使用裝置管理服務或,針對部分進階部署和配置的 fdesetup 命令列工具管理「檔案保險箱」完整磁碟加密。使用裝置管理服務管理「檔案保險箱」稱為延遲啟用,需要使用者登出或登入事件。裝置管理服務也可以自訂選項,例如:
使用者可延遲啟用「檔案保險箱」的次數
除了在登入時提示使用者以外,是否要在登出時提示使用者
是否要對使用者顯示復原密鑰
要使用哪個憑證來透過非對稱方式加密復原密鑰,藉此託管到裝置管理服務
讓使用者能夠解鎖 APFS 卷宗上的存儲需要使用者擁有安全代號,並且在配備 Apple 晶片的 Mac 上成為卷宗擁有者。如需更多安全代號和卷宗擁有者權限的相關資訊,請參閱:在部署中使用安全代號、Bootstrap 代號和卷宗擁有者權限。下面提供了有關如何以及何時在特定工作流程中授予使用者安全代號的資訊。
在「設定輔助程式」中強制執行「檔案保險箱」
使用 ForceEnableInSetupAssistant 金鑰,可要求 Mac 電腦在「設定輔助程式」執行期間開啟「檔案保險箱」。這可確保受管理 Mac 電腦的內置儲存裝置在使用前一律會經過加密處理。機構可以決定是要向使用者顯示「檔案保險箱」復原密鑰,還是要託管個人復原密鑰。若要使用此功能,請確定 await_device_configured 已設定。
【注意】在 macOS 14.4 之前,此功能需要使用者帳號在「設定輔助程式」期間以互動方式建立才能具有「管理員」的職務。
當使用者自行設定 Mac 時
【注意】裝置管理服務需要支援安全代號和 Bootstrap 代號的特定功能來搭配 Mac 作業。
當使用者自行設定 Mac 時,IT 部門不會在實際裝置上執行任何佈建作業。你會使用裝置管理服務或配置管理工具提供所有規則和配置。「設定輔助程式」會建立初始本機帳號並授予使用者安全代號,而 Mac 會產生 Bootstrap 代號並將其交由裝置管理服務託管。
如果 Mac 在裝置管理服務中註冊,則初始帳號可能不是本機管理員帳號,而是本機標準使用者帳號。若你使用服務將使用者降級為標準使用者,服務會自動授予使用者安全代號。在安裝 macOS 10.15.4 或以上版本的 Mac 上,若你將使用者降級,macOS 會自動產生 Bootstrap 代號並將其交由裝置管理服務託管。
如果你使用裝置管理服務略過「設定輔助程式」中的本機使用者帳號建立程序,且改用含有行動帳號的目錄服務,則服務會在登入期間授予行動帳號使用者安全代號。在安裝 macOS 10.15.4 或以上版本的 Mac 上,啟用使用行動帳號的使用者後,macOS 會在使用者第二次登入期間自動產生 Bootstrap 代號,並將交由裝置管理服務託管。
若裝置管理服務在「設定輔助程式」中略過建立本機使用者帳號並改用包含行動帳號的目錄服務,裝置管理服務會在使用者登入時授予對方安全代號。在安裝 macOS 10.15.4 或以上版本的 Mac 上,若行動使用者有安全代號,macOS 會自動產生 Bootstrap 代號並將其交由裝置管理服務託管。
在上述任何情況下,由於 macOS 會授予第一個和主要使用者安全代號,因此使育者可以使用延遲啟用來啟用「檔案保險箱」,延遲啟用可讓你開啟「檔案保險箱」但延遲啟用直到使用者登入或登出 Mac。你也可以選擇使用者是否可以略過開啟「檔案保險箱」(在定義的次數內可選擇略過)。這可讓 Mac 的主要使用者(無論是任何類型的本機使用者或行動帳號)解鎖「檔案保險箱」卷宗。
在 macOS 產生 Bootstrap 代號並將其交由裝置管理服務託管的 Mac 上,若另一個使用者未來登入 Mac,macOS 會使用 Bootstrap 代號來自動授予對方安全代號。這表示也會為該帳號啟用「檔案保險箱」,且其可解鎖「檔案保險箱」卷宗。若要移除使用者解鎖儲存空間的能力,請使用 fdesetup remove -user。
當機構佈建 Mac 時
當機構佈建 Mac 後再將其交給使用者時,IT 部門會設定裝置。你會使用在「設定輔助程式」中建立或透過裝置管理服務佈建的本機管理帳號來佈建或設定 Mac,並在登入時由作業系統授予第一個安全代號。如果服務支援 Bootstrap 代號功能,作業系統也會產生 Bootstrap 代號並將其託管。
如果 Mac 有加入目錄服務、已設定為建立行動帳號,且 Bootstrap 代號不存在,則目錄服務使用者第一次登入時會顯示提示,要求輸入現有安全代號管理員的使用者名稱和密碼以授予安全代號給其帳號。使用者需要輸入已啟用安全代號的本機管理員憑證。如果不需要安全代號,使用者可以按一下「略過」。針對安裝 macOS 10.13.5 或以上版本的 Mac,若你沒有要將「檔案保險箱」與行動帳號搭配使用,便可完全隱藏安全代號對話框。若要隱藏安全代號對話框,請套用來自裝置管理服務的自訂設定配置描述檔,須包含以下密鑰與值:
設定 | 值 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
網域 | com.apple.MCX | ||||||||||
密鑰 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True | ||||||||||
若裝置管理服務支援 Bootstrap 代號功能且 Mac 產生代號並將其交由服務託管,行動帳號使用者不會看到此提示。取而代之的是 macOS 會在登入期間自動授予使用者安全代號。
如果 Mac 需要其他本機使用者,而非目錄服務的使用者帳號,當目前啟用安全代號的管理員在「使用者與群組」(在 macOS 13 或以上版本的「系統設定」中或 macOS 12.0.1 或較早版本的「系統偏好設定」中)中建立這些本機使用者時,macOS 會自動授予安全代號給他們。使用命令列建立本機使用者時,管理員可以使用 sysadminctl 命令列工具,而且可選擇為其啟用安全代號。在安裝 macOS 11 或以上版本的 Mac 上,若 macOS 在建立安全代號時未將其授予使用者,而且若可從裝置管理服務取得 Bootstrap 代號,macOS 會在本機使用者登入時將安全代號授予對方。
在上述情況中,下列使用者可解鎖以「檔案保險箱」加密的卷宗:
原本用於佈建的本機管理員
任何在登入程序中獲得安全代號(使用對話框提示透過互動方式獲得或是透過 Bootstrap 代號自動獲得)的其他目錄服務使用者
任何新的本機使用者
若要移除使用者解鎖儲存空間的能力,請使用 fdesetup remove -user。
使用上述任何一種工作流程時,安全代號均受到 macOS 管理,無須任何額外設定或指令碼;它會成為實作詳細資訊,而非需要主動管理或操縱的代號。
fdesetup 命令列工具
你可以使用裝置管理設定或 fdesetup 命令列工具來設定「檔案保險箱」。針對安裝 macOS 10.15 或以上版本的 Mac,使用 fdesetup 提供使用者名稱和密碼來開啟「檔案保險箱」是過時的做法,且不適用於未來版本。此指令會持續運作,但仍不適用於 macOS 11 和 macOS 12.0.1。請改為考慮從裝置管理服務中使用延遲啟用。如需更多 fdesetup 命令列工具的相關資訊,請啟動「終端機」App 並輸入 man fdesetup 或 fdesetup help。
機構復原密鑰對比個人復原密鑰
CoreStorage 和 APFS 卷宗上的「檔案保險箱」都支援使用機構復原密鑰(IRK,以前稱為「檔案保險箱主身份」)來解鎖卷宗。儘管 IRK 對於解鎖卷宗或完全停用「檔案保險箱」的指令列操作很有用,但它對機構的實用性是有限的,尤其是在最新版本的 macOS 中。而在配備 Apple 晶片的 Mac 上,IRK 沒有提供任何功能價值,主要有兩個原因:首先,IRK 無法用於取用 recoveryOS;其次,由於不再支援目標磁碟模式,因此無法透過將其連接至另一台 Mac 來解鎖該卷宗。由於種種原因,不再推薦使用 IRK 來對 Mac 電腦上的「檔案保險箱」進行機構管理。請改為使用個人復原密鑰(PRK)。PRK 具備以下特點:
極其強大的復原和作業系統取用機制
個別卷宗的獨有加密
託管到裝置管理服務
使用後輕鬆輪換密鑰
針對配備 Apple 晶片且安裝 macOS 12.0.1 或以上版本的 Mac,PRK 可用於 recoveryOS 或直接將加密的 Mac 啟動至 macOS。在 recoveryOS 中,如果「復原輔助程式」提示或使用「忘記所有密碼」選項,可以使用 PRK 來取用復原環境,然後也可以解鎖卷宗。使用「忘記所有密碼」選項時不需要重置使用者的密碼;可以按一下結束按鈕來直接開機進入 recoveryOS。若要在 Intel 架構式 Mac 電腦上直接啟動 macOS,按一下密碼欄位旁的問號,然後選擇「使用復原密鑰重置」選項。輸入 PRK,然後按下 Return 鍵或按一下箭頭。啟動 macOS 後,在密碼更改對話框上按下「取消」。
同樣地,針對配備 Apple 晶片且安裝 macOS 12.0.1 或以上版本的 Mac,按下 Option + Shift + Return 來顯示 PRK 的輸入欄位,然後按下 Return 鍵(或按一下箭頭)。
每個加密卷宗只有一個 PRK,並且在從裝置管理服務啟用「檔案保險箱」期間,你可以選擇對使用者隱藏。設定為託管到裝置管理服務時,服務會以憑證的形式向 Mac 提供公用密鑰,然後使用該憑證以 CMS 信封格式對 PRK 進行非對稱加密。加密的 PRK 會在安全資訊查詢中傳回給服務,然後機構可以解密進行檢視。由於加密是非對稱的,服務本身可能無法解密 PRK(其可能需要管理員執行其他步驟)。然而,許多裝置管理服務開發者會提供選項來管理這些密鑰以允許直接在其產品中檢視。裝置管理服務也可以根據需求經常輪換 PRK,以幫助保持強大的安全姿態——例如,在使用 PRK 解鎖卷宗之後。
PRK 可以在沒有 Apple 晶片的 Mac 電腦上以目標磁碟模式(TDM)使用來解鎖卷宗:
1. 將處於目標磁碟模式的 Mac 連接到另一台使用相同或更新 macOS 版本的 Mac。
2. 打開「終端機」,然後執行以下指令並查詢卷宗的名稱(通常是「Macintosh HD」)。應該會說「裝載點:未裝載」和「檔案保險箱:是(已鎖定)。」註記卷宗的 APFS 卷宗磁碟 ID,它看起來像 disk3s2,但可能有不同的數字,例如,disk4s5。
diskutil apfs list3. 執行下列指令,然後查詢個人復原密鑰使用者並註記列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>4. 執行此指令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 在密語提示下,貼上或輸入 PRK,然後按下 Return 鍵。卷宗會在 Finder 中裝載。