Hantera FileVault i macOS
På enheter med macOS kan organisationer hantera FileVault med SecureToken eller Bootstrap Token.
Använda SecureToken
APFS (Apple File System) i macOS 10.13 och senare ändrar hur FileVault-krypteringsnycklar genereras. I tidigare versioner av macOS på CoreStorage-volymer skapades de nycklar som används i FileVault-krypteringsprocessen när en användare eller organisation aktiverade FileVault på en Mac. På enheter med macOS på APFS-volymer genereras nycklarna antingen genom att användaren skapar dem, när den första användarens lösenord ställs in eller när en användare loggar in första gången på datorn. Den här implementeringen av krypteringsnycklarna, när de genereras och hur de lagras ingår tillsammans i en funktion som heter Secure Token. Mer specifikt är en säker token en paketerad version av en nyckelkrypteringsnyckel (Key Encryption Key, KEK) som skyddas av en användares lösenord.
Vid driftsättning av FileVault på APFS kan användaren fortsätta att:
använda befintliga verktyg och processer, som en personlig återställningsnyckel som kan deponeras i en enhetshanteringstjänst
skjuta upp aktivering av FileVault tills en användare loggar in eller ut ur datorn
skapa och använda organisationens återställningsnyckel
När det första lösenordet för den allra första användaren på datorn anges i macOS 11 tilldelas den användaren en säker token. I vissa arbetsflöden är det möjligtvis inte det önskade beteendet eftersom, som tidigare nämnts, beviljande av den första säkra token kräver att användaren loggar in. Lägg till ;DisabledTags;SecureToken i användarens AuthenticationAuthority-attribut som skapats av programvara innan du ställer in användarens lösenord för att förhindra detta. Gör så här:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Använda Bootstrap Token
macOS 10.15 introducerade Bootstrap Token som hjälper till att bevilja en säker token till både flyttbara konton och det valfria administratörskonto som kan skapas vid registreringen av en enhet (”hanterad administratör”). För att använda Bootstrap Token-funktionen i macOS 10.15 eller senare krävs:
Mac-registrering i en enhetshanteringstjänst via Apple School Manager eller Apple Business Manager, vilket gör datorn övervakad
Utvecklarstöd för enhetshanteringstjänst
I macOS 10.15.4 eller senare skapas en bootstrap token som deponeras i en enhetshanteringstjänst första gången en användare som är Secure Token-aktiverad loggar in om enhetshanteringstjänsten har stöd för funktionen. En Bootstrap Token kan vid behov genereras och deponeras i en enhetshanteringstjänst genom att använda kommandoradsverktyget profiles.
I macOS 11 eller senare kan en Bootstrap Token:
bevilja en Secure Token till en användare som loggar in på en Mac-dator, inklusive lokala användarkonton.
På Mac-datorer med Apple Silicon kan en Bootstrap Token användas till att auktorisera installationen av både kärntillägg och programuppdateringar när de hanteras med en enhetshanteringstjänst.
Organisationens jämfört med personliga återställningsnycklar
FileVault i både CoreStorage- och APFS-volymer stöder användningen av en organisations återställningsnyckel (IRK, kallades tidigare FileVault Master identity) för att låsa upp volymen. En IRK är visserligen praktisk för kommandoradsåtgärder som att låsa upp en volym eller stänga av FileVault helt och hållet, men dess användbarhet för organisationer är begränsad (särskilt i de senaste versionerna av macOS). På en Mac med Apple Silicon tillför IRK:er inget funktionellt värde av två huvudsakliga skäl: IRK:er kan inte användas till att komma åt recoveryOS och volymen kan inte låsas upp genom att ansluta den till en annan Mac eftersom hårddiskläge inte längre stöds.
Viktigt: På grund av dessa skäl och andra anledningar rekommenderas inte längre en IRK för organisationshantering av FileVault på Mac-datorer. Istället bör en personlig återställningsnyckel (PRK) användas.
Låsa upp FileVault med SSH
På en Mac med Apple Silicon med iOS 26 eller senare kan FileVault låsas upp via SSH efter en omstart om fjärrinloggning är påslagen och en nätverksanslutning är tillgänglig.