إدارة خزنة الملفات في macOS
على الأجهزة المثبت عليها macOS، يمكن للمؤسسات إدارة خزنة الملفات باستخدام SecureToken أو رمز Bootstrap.
استخدام الرمز الآمن
يغير نظام ملفات Apple (APFS) في macOS 10.13 أو أحدث كيفية إنشاء مفاتيح تشفير خزنة الملفات. في الإصدارات السابقة من macOS على وحدات تخزين CoreStorage، كان يتم إنشاء المفاتيح المستخدمة في عملية تشفير خزنة الملفات عند قيام المستخدم أو المؤسسة بتشغيل خزنة الملفات على Mac. على الأجهزة المثبت عليها macOS على وحدات تخزين APFS، يتم إنشاء المفاتيح إما أثناء إنشاء المستخدم، أو تعيين كلمة سر المستخدم الأول، أو أثناء تسجيل الدخول الأول بواسطة مستخدم الـ Mac. يعد هذا التطبيق لمفاتيح التشفير، عند إنشائها، وكيفية تخزينها جزءًا من ميزة تُعرف باسم الرمز الآمن. وعلى وجه التحديد، فإن الرمز الآمن هو إصدار مغلف من مفتاح تشفير المفاتيح (KEK) محمي بكلمة سر المستخدم.
عند نشر خزنة الملفات على APFS، يمكن للمستخدم متابعة التالي:
استخدام الأدوات والعمليات الموجودة، مثل مفتاح الاسترداد الشخصي (PRK) الذي يمكن تخزينه باستخدام خدمة إدارة الجهاز للضمان
تأجيل تمكين خزنة الملفات حتى يقوم المستخدم بتسجيل الدخول إلى Mac أو الخروج منه
إنشاء مفتاح استرداد مؤسسي (IRK) واستخدامه
في macOS 11، يؤدي تعيين كلمة السر الأولية للمستخدم الأول على الـ Mac إلى منح هذا المستخدم رمزًا آمنًا. في بعض عمليات سير العمل، قد لا يكون هذا هو السلوك المطلوب، كما في السابق، فمنح أول رمز آمن يتطلب من حساب المستخدم تسجيل الدخول. لمنع حدوث ذلك، أضف ;DisabledTags;SecureToken إلى سمة المستخدم التي تم إنشاؤها برمجيًا AuthenticationAuthority قبل تعيين كلمة سر المستخدم كما هو موضح أدناه:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"استخدام رمز Bootstrap
قدَّم macOS 10.15 ميزة؛ رمز Bootstrap في منح رمز آمن لكل من حسابات الجوال وحساب المسؤول الذي أنشأه تسجيل الجهاز الاختياري ("المسؤول المُدار"). يتطلب استخدام ميزة رمز Bootstrap في macOS 10.15 أو أحدث ما يلي:
تسجيل الـ Mac في خدمة إدارة الجهاز باستخدام Apple School Manager أو Apple Business Manager، مما يجعل الـ Mac خاضعًا للإشراف
دعم مطوري خدمة إدارة الجهاز
في macOS 10.15.4 أو أحدث، يتم إنشاء رمز Bootstrap وإيداعه في الضمان لدى خدمة إدارة الجهاز مع تسجيل الدخول الأول من قِبل أي مستخدم تم تمكين الرمز الآمن لديه، إذا كانت خدمة إدارة الجهاز يدعم تلك الميزة. يمكن أيضًا إنشاء رمز Bootstrap وإيداعه في الضمان لدى خدمة إدارة الجهاز باستخدام أداة سطر الأوامر profiles، إذا لزم الأمر.
في نظام macOS 11 أو الأحدث، يمكن لرمز Bootstrap:
منح رمز آمن لأي مستخدم يقوم بتسجيل الدخول إلى كمبيوتر Mac، بما في ذلك حسابات المستخدمين المحليين.
على الـ Mac المزود بسيليكون Apple، يمكن استخدام رمز Bootstrap للسماح بتثبيت كل من ملحقات Kernel وتحديثات البرامج عند إدارتهما باستخدام خدمة إدارة الجهاز.
مفاتيح الاسترداد المؤسسية مقابل مفاتيح الاسترداد الشخصية
تدعم خزنة الملفات على كل من وحدات التخزين CoreStorage و APFS استخدام مفتاح استرداد مؤسسي (IRK، يُعرف سابقًا باسم الهوية الرئيسية لخزنة الملفات) لفتح قفل وحدة التخزين. بالرغم من أن مفتاح الاسترداد المؤسسي (IRK) مفيد لعمليات سطر الأوامر لفتح قفل وحدة تخزين أو إيقاف خزنة الملفات كليًا، فإن فائدته بالنسبة إلى المؤسسات محدودة، خصوصًا عند استخدام الإصدارات الحديثة من macOS. وعلى Mac مزود بسيليكون Apple، لا توفر مفاتيح IRK قيمة وظيفية، وذلك لسببين رئيسيين: لا يمكن استخدام مفاتيح IRK للوصول إلى recoveryOS، ولأن نمط القرص المستهدف لم يعد مدعومًا، لا يمكن فتح قفل وحدة التخزين عن طريق توصيلها بـ Mac آخر.
مهم: لهذين السببين وأكثر، لم يعد يوصى باستخدام IRK للإدارة المؤسسية لخزنة الملفات على أجهزة كمبيوتر Mac. بدلًا من ذلك، ينبغي استخدام مفتاح استرداد شخصي (PRK).
فتح قفل خزنة الملفات باستخدام SSH
على الـ Mac المزود بسيليكون Apple، ويعمل بنظام macOS 26 أو أحدث، يمكن فتح قفل خزنة الملفات عبر SSH بعد إعادة التشغيل إذا كان تسجيل الدخول عن بُعد قيد التشغيل وكان اتصال الشبكة متاحًا.