Mengelola FileVault di macOS
Di perangkat dengan macOS, organisasi dapat mengelola FileVault menggunakan SecureToken atau Token Bootstrap.
Menggunakan Token Aman
Apple File System (APFS) di macOS 10.13 atau lebih baru mengubah bagaimana kunci enkripsi FileVault dibuat. Di versi macOS sebelumnya di volume CoreStorage, kunci yang digunakan di proses enkripsi FileVault dibuat saat pengguna atau organisasi menyalakan FileVault di Mac. Di perangkat dengan macOS di volume APFS, kunci dibuat selama pembuatan pengguna, pengaturan kata sandi pengguna pertama, atau selama proses masuk pertama oleh pengguna Mac. Penerapan kunci enkripsi ini, saat mereka dibuat, dan bagaimana mereka disimpan adalah bagian dari fitur yang disebut Token Aman. Secara spesifik, Token Aman adalah versi kunci enkripsi kunci (KEK) yang dibungkus dan dilindungi oleh kata sandi pengguna.
Saat menyebarkan FileVault di APFS, pengguna dapat terus:
Menggunakan alat dan proses yang ada, seperti kunci pemulihan pribadi (PRK) yang dapat disimpan dengan layanan manajemen perangkat untuk eskrow
Menangguhkan pengaktifan FileVault hingga pengguna masuk atau keluar dari Mac
Membuat dan menggunakan kunci pemulihan institusional (IRK)
Di macOS 11, mengatur kata sandi awal untuk pengguna paling pertama di Mac akan membuat pengguna tersebut memiliki Token Aman. Dalam beberapa alur kerja, hal ini mungkin tidak diharapkan, karena sebelumnya, memberikan Token Aman pertama akan mengharuskan akun pengguna untuk masuk. Untuk mencegah hal ini terjadi, tambahkan ;DisabledTags;SecureToken ke atribut AuthenticationAuthority pengguna yang dibuat dengan program sebelum mengatur kata sandi pengguna, seperti yang ditampilkan di bawah:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Menggunakan Token Bootstrap
macOS 10.15 memperkenalkan Token Bootstrap untuk membantu pemberian Token Aman ke akun bergerak dan akun administrator yang dibuat pendaftaran perangkat opsional (“administrator terkelola”). Penggunaan fitur Token Bootstrap dari macOS 10.15 atau lebih baru memerlukan:
Pendaftaran Mac di layanan manajemen perangkat untuk menggunakan Apple School Manager atau Apple Business Manager, yang membuat Mac diawasi
Dukungan pengembang layanan manajemen perangkat
Di macOS 10.15.4 atau lebih baru, Token Bootstrap dibuat dan dieskrow ke layanan manajemen perangkat untuk pada masuk pertama kali oleh pengguna mana pun dengan Token Aman yang diaktifkan jika layanan manajemen perangkat mendukung fitur tersebut. Token Bootstrap juga dapat dibuat dan dieskrow ke layanan manajemen perangkat untuk menggunakan alat baris perintah profiles, jika perlu.
Di macOS 11 atau lebih baru, Token Bootstrap:
Dapat memberikan Token Aman ke pengguna mana pun yang masuk ke komputer Mac, termasuk akun pengguna lokal.
Di Mac dengan Apple silicon, Token Bootstrap dapat digunakan untuk mengesahkan penginstalan ekstensi kernel dan pembaruan perangkat lunak saat dikelola menggunakan layanan manajemen perangkat.
Kunci pemulihan institusi versus pribadi
FileVault di volume CoreStorage dan APFS mendukung penggunaan kunci pemulihan institusi (IRK, sebelumnya disebut sebagai identitas Master FileVault) untuk membuka volume. Meskipun IRK bermanfaat bagi operasi baris perintah untuk membuka volume atau mematikan FileVault sekaligus, utilitasnya untuk organisasi terbatas, khususnya dalam versi macOS terbaru. Dan di Mac dengan Apple silicon, IRK tidak menyediakan nilai fungsional karena dua alasan utama: IRK tidak dapat digunakan untuk mengakses recoveryOS, dan karena mode disk target tidak lagi didukung, volume tidak dapat dibuka dengan menyambungkannya ke Mac lain.
Penting: Karena alasan tersebut dan lainnya, penggunaan IRK tidak lagi dianjurkan untuk manajemen FileVault institusional di komputer Mac. Sebagai gantinya, kunci pemulihan pribadi (PRK) harus digunakan.
Membuka FileVault menggunakan SSH
Di Mac dengan Apple silicon dengan macOS 26 atau lebih baru, FileVault dapat dibuka melalui SSH setelah dimulai ulang jika Masuk Jarak Jauh dinyalakan dan koneksi jaringan tersedia.