Administrering av FileVault i macOS
På enheter med macOS kan organisasjonene administrere FileVault ved å bruke SecureToken eller Bootstrap-kjennetegn.
Ved bruk av sikkert kjennetegn
Apple File System (APFS) i macOS 10.13 eller nyere endrer hvordan FileVault-krypteringsnøkler genereres. I tidligere versjoner av macOS på CoreStorage-volumer ble nøklene som brukes i FileVault-krypteringsprosessen, opprettet når FileVault ble slått på av en bruker eller en organisasjon. På enheter med macOS på APFS-volumer genereres nøklene enten under oppretting av bruker, når den første brukerens passord angis, eller under første pålogging av en bruker på Macen. Denne implementeringen av krypteringsnøklene, når de genereres, og hvordan de lagres, er en del av en funksjon som kalles sikkert kjennetegn. Mer konkret er et sikkert kjennetegn en innpakket versjon av en nøkkelkrypteringsnøkkel (KEK) som beskyttes av en brukers passord.
Ved utrulling av FileVault på APFS kan brukeren fortsette å:
bruke eksisterende verktøy og prosesser, for eksempel en personlig gjenopprettingsnøkkel (PRK) som kan oppbevares med en tjeneste for enhetsadministrering for deponering
utsette aktivering av FileVault til en bruker logger på eller av Macen
opprette og bruke en gjenopprettingsnøkkel for institusjonen (IRK)
Når det første passordet angis for den aller første brukeren på Macen i macOS 11, får brukeren tildelt et sikkert kjennetegn. I enkelte arbeidsflyter er dette kanskje ikke ønskelig, siden tildeling av det første sikre kjennetegnet tidligere ville ha krevd pålogging av brukerkontoen. For å unngå at dette skjer, må ;DisabledTags;SecureToken legges til den programmatisk opprettede brukerens AuthenticationAuthority-attributt før brukerens passord angis, som vist nedenfor:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Ved bruk av Bootstrap-kjennetegn
macOS 10.15 introduserte Bootstrap-kjennetegnet for å hjelpe til med å tildele et sikkert kjennetegn til både mobile kontoer og den valgfrie administratorkontoen («administrert administrator») opprettet via enhetsregistrering. Bruk av Bootstrap-kjennetegn-funksjonen i macOS 10.15 eller nyere krever:
Mac-registrering i en tjeneste for enhetsadministrering ved hjelp av Apple School Manager eller Apple Business Manager, som setter Macen under tilsyn
Utviklerstøtte for tjenester for enhetsadministrering
I macOS 10.15.4 eller nyere blir et Bootstrap-kjennetegn generert og deponert i en tjeneste for enhetsadministrering ved første pålogging av en bruker som har aktivert sikkert kjennetegn, hvis tjenesten for enhetsadministrering støtter funksjonen. Et Bootstrap-kjennetegn kan også genereres og deponeres i en tjeneste for enhetsadministrering ved hjelp av profiles-kommandolinjeverktøyet, hvis det er nødvendig.
I macOS 11 eller nyere kan et Bootstrap-kjennetegn
tildele et sikkert kjennetegn til en hvilken som helst bruker som logger på en Mac, inkludert lokale brukerkontoer
brukes til å autorisere installasjonen av både kjerneutvidelser og programvareoppdateringer på Macer med Apple-chip når det administreres via en tjeneste for enhetsadministrering
Gjenopprettingsnøkler for institusjonen kontra personlige gjenopprettingsnøkler
FileVault på både CoreStorage- og APFS-volumer støtter at det brukes en gjenopprettingsnøkkel for institusjonen (IRK, tidligere kalt FileVault-masteridentitet) til å låse opp volumet. Selv om en IRK er nyttig for kommandolinjeoperasjoner for å låse opp et volum eller slå av FileVault, har den begrenset nytte for organisasjoner, spesielt i nyere versjoner av macOS. Og på en Mac med Apple-chip har IRK-er ingen funksjonell verdi. Det skyldes primært to ting: IRK-er kan ikke brukes til å få tilgang til recoveryOS, og volumet kan ikke låses opp ved å koble det til en annen Mac, siden måldiskmodus ikke lenger støttes.
Viktig: På grunn av blant annet dette anbefales det ikke lenger at institusjoner bruker en IRK til å administrere FileVault på Mac-datamaskiner. Det bør brukes en personlig gjenopprettingsnøkkel (PRK) i stedet.
Lås opp FileVault ved hjelp av SSH
På en Mac med Apple-chip med macOS 26 eller nyere kan FileVault låses opp over SSH etter en omstart dersom ekstern pålogging er slått på og en nettverkstilkobling er tilgjengelig.