การจัดการ FileVault ใน macOS
บนอุปกรณ์ที่ใช้ macOS องค์กรสามารถจัดการ FileVault ได้โดยใช้ SecureToken หรือโทเค็นบูตสแตรป
การใช้โทเค็นที่ปลอดภัย
Apple File System (APFS) ใน macOS 10.13 ขึ้นไปเปลี่ยนวิธีสร้างกุญแจการเข้ารหัส FileVault ใน macOS เวอร์ชั่นก่อนหน้าบนดิสก์โวลุ่ม CoreStorage กุญแจที่ใช้อยู่ในกระบวนการการเข้ารหัส FileVault ถูกสร้างเมื่อผู้ใช้หรือองค์กรเปิดใช้ FileVault บน Mac บนอุปกรณ์ที่ใช้ macOS บนดิสก์โวลุ่ม APFS กุญแจจะถูกสร้างในระหว่างการสร้างผู้ใช้ การตั้งรหัสผ่านแรกของผู้ใช้ หรือในระหว่างที่ผู้ใช้ของ Mac เข้าสู่ระบบเป็นครั้งแรก สำหรับการปรับใช้กุญแจการเข้ารหัสนี้ กรณีที่จะมีการสร้างกุญแจและวิธีการจัดเก็บกุญแจนี้เป็นส่วนหนึ่งของคุณสมบัติที่เรียกว่าโทเค็นที่ปลอดภัย โทเค็นที่ปลอดภัยเป็นเวอร์ชั่นที่ถูกห่อของกุญแจสำหรับการเข้ารหัสกุญแจ (KEK) โดยเฉพาะซึ่งได้รับการปกป้องด้วยรหัสผ่านของผู้ใช้
เมื่อมีการปรับใช้ FileVault บน APFS ผู้ใช้สามารถทำสิ่งต่างๆ เหล่านี้ต่อไปได้:
ใช้เครื่องมือและกระบวนการที่มีอยู่ เช่น รหัสการกู้คืนส่วนบุคคล (PRK) ที่สามารถจัดเก็บด้วยบริการจัดการอุปกรณ์สำหรับข้อมูลที่ฝากได้
เลื่อนการเปิดใช้งาน FileVault จนกว่าผู้ใช้จะเข้าสู่ระบบหรือออกจากระบบ Mac
สร้างและใช้รหัสการกู้คืนขององค์กร (IRK)
ใน macOS 11 การตั้งรหัสผ่านครั้งแรกสำหรับผู้ใช้ที่ใช้งาน Mac เป็นครั้งแรกส่งผลให้ผู้ใช้ได้รับโทเค็นที่ปลอดภัย ในบางเวิร์คโฟลว์ที่อาจเป็นลักษณะการทำงานที่ไม่พึงประสงค์ การมอบโทเค็นที่ปลอดภัยรายการแรกจะกำหนดให้ผู้ใช้เข้าสู่ระบบ เช่นเดียวกับก่อนหน้านี้ ในการป้องกันไม่ให้สิ่งนี้เกิดขึ้น ให้เพิ่ม ;DisabledTags;SecureToken ไปยังคุณลักษณะ AuthenticationAuthority ของผู้ใช้ที่สร้างขึ้นด้วยโปรแกรม ก่อนที่จะตั้งรหัสผ่านของผู้ใช้ ดังที่แสดงอยู่ด้านล่าง:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"การใช้โทเค็นบูตสแตรป
macOS 10.15 เปิดตัวโทเค็นบูตสแตรปเพื่อช่วยในการมอบโทเค็นที่ปลอดภัยให้กับทั้งบัญชีอุปกรณ์เคลื่อนที่และบัญชีผู้ดูแลระบบที่สร้างด้วยการลงทะเบียนอุปกรณ์ (“ผู้ดูแลระบบที่มีการจัดการ”) การใช้คุณสมบัติโทเค็นบูตสแตรปใหม่ของ macOS 10.15 ขึ้นไป ต้องใช้:
การลงทะเบียน Mac ในบริการจัดการอุปกรณ์โดยใช้ Apple School Manager หรือ Apple Business Manager ซึ่งทำให้ Mac ได้รับการกำกับดูแล
การรองรับจากนักพัฒนาบริการจัดการอุปกรณ์
ใน macOS 10.15.4 ขึ้นไป โทเค็นบูตสแตรปจะถูกสร้างและฝากไปยังบริการจัดการอุปกรณ์เมื่อมีการเข้าสู่ระบบครั้งแรกจากผู้ใช้ที่สามารถใช้โทเค็นที่ปลอดภัยได้ หากบริการจัดการอุปกรณ์รองรับคุณสมบัติ โทเค็นบูตสแตรปยังสามารถสร้างและฝากไปยังบริการจัดการอุปกรณ์โดยใช้เครื่องมือบรรทัดคำสั่ง profiles ได้เช่นกัน หากจำเป็น
ใน macOS 11 ขึ้นไป โทเค็นบูตสแตรป:
สามารถมอบโทเค็นที่ปลอดภัยให้กับผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์ Mac ซึ่งรวมถึงบัญชีผู้ใช้ภายในเครื่องด้วย
บน Mac ที่มี Apple Silicon โทเค็นบูตสแตรปสามารถใช้เพื่ออนุญาตการติดตั้งทั้งส่วนขยายเคอร์เนลและรายการอัปเดตซอฟต์แวร์ได้เมื่อจัดการโดยใช้บริการจัดการอุปกรณ์
รหัสการกู้คืนขององค์กรกับรหัสการกู้คืนส่วนบุคคล
FileVault ที่อยู่ทั้งบนดิสก์โวลุ่ม CoreStorage และ APFS รองรับการใช้รหัสการกู้คืนขององค์กร (IRK หรือก่อนหน้านี้รู้จักกันในชื่อข้อมูลประจำตัว FileVault Master) เพื่อปลดล็อคดิสก์โวลุ่ม ถึงแม้ว่า IRK จะมีประโยชน์สำหรับการดำเนินการบรรทัดคำสั่งเพื่อปลดล็อคดิสก์โวลุ่มหรือปิดใช้ FileVault ทั้งหมด ประโยชน์ของกุญแจนี้สำหรับองค์กรมีอยู่อย่างจำกัด โดยเฉพาะใน macOS เวอร์ชั่นล่าสุด และบน Mac ที่มี Apple Silicon นั้น IRK ไม่ได้ให้ประโยชน์ด้านการทำงานใดๆ เนื่องจากเหตุผลหลักสองข้อ: IRK ไม่สามารถใช้เข้าถึง recoveryOS ได้ และเนื่องจากไม่มีการรองรับโหมดดิสก์เป้าหมายอีกต่อไป ดิสก์โวลุ่มจึงไม่สามารถปลดล็อคโดยเชื่อมต่อกับ Mac เครื่องอื่นได้
สิ่งสำคัญ: ด้วยเหตุผลดังกล่าวและเหตุผลอื่นๆ จึงไม่แนะนำให้ใช้ IRK ในการจัดการ FileVault ขององค์กรบนคอมพิวเตอร์ Mac ควรใช้รหัสการกู้คืนส่วนบุคคล (PRK) แทน
ปลดล็อค FileVault โดยใช้ SSH
บน Mac ที่มี Apple Silicon ที่ใช้ macOS 26 ขึ้นไป FileVault สามารถถูกปลดล็อคได้ผ่าน SSH หลังจากเริ่มการทำงานเครื่องใหม่ หากเปิดใช้การเข้าสู่ระบบระยะไกลอยู่และมีการเชื่อมต่อกับเครือข่าย