在 macOS 中管理文件保险箱
在运行 macOS 的设备上,组织可以使用 SecureToken 或 Bootstrap 令牌管理文件保险箱。
使用安全令牌
macOS 10.13 或更高版本中的 Apple 文件系统 (APFS) 更改了文件保险箱加密密钥的生成方式。在 CoreStorage 宗卷上的 macOS 旧版本中,文件保险箱加密过程中使用的密钥是在用户或组织在 Mac 上启用文件保险箱时创建的。在 APFS 宗卷装有 macOS 的设备上,该类密钥在用户创建过程中、设定首位用户的密码或 Mac 用户首次登录过程中创建。加密密钥的此实施方式、生成时间和储存方式都是称为安全令牌这一功能的一部分。具体来说,安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的封装版本。
在 APFS 上部署文件保险箱时,用户可以继续:
使用现有工具和流程,如使用设备管理服务储存以进行托管的个人恢复密钥 (PRK)
推迟文件保险箱的启用,直到用户登录或退出登录 Mac
创建和使用机构恢复密钥 (IRK)
在 macOS 11 中,为 Mac 上的首位用户设定初始密码即会授予该用户安全令牌。在部分流程中,这可能并不是预期的行为,因为在此之前授予第一个安全令牌已要求登录用户账户。为了防止此类行为发生,在设定用户的密码前,请将 ;DisabledTags;SecureToken 添加到以编程方式创建的用户的 AuthenticationAuthority 属性,如下所示:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"使用 Bootstrap 令牌
macOS 10.15 引入了 Bootstrap 令牌,可协助将安全令牌授予移动账户和设备注册时创建的管理员账户(“受管理的管理员”,可选项)。使用 macOS 10.15 或更高版本中的 Bootstrap 令牌功能需要:
使用 Apple 校园教务管理或 Apple 商务管理在设备管理服务中注册 Mac,从而让 Mac 受监督
设备管理服务开发者支持
在 macOS 10.15.4 或更高版本中,启用了安全令牌的用户在首次登录时系统会生成 Bootstrap 令牌并将其托管到设备管理服务,前提是设备管理服务支持该功能。在需要时,还可以使用 profiles 命令行工具生成 Bootstrap 令牌并托管到设备管理服务。
在 macOS 11 或更高版本中,Bootstrap 令牌:
能够将安全令牌授予给登录 Mac 电脑的任何用户,包括本地用户账户。
在搭载 Apple 芯片的 Mac 上,通过设备管理服务进行管理时,Bootstrap 令牌可用于授权安装内核扩展和软件更新。
机构恢复密钥和个人恢复密钥
CoreStorage 和 APFS 宗卷上的文件保险箱均支持使用机构恢复密钥(IRK,之前称为“文件保险箱主身份标识”)解锁宗卷。虽然 IRK 在通过命令行操作解锁宗卷或完全停用文件保险箱方面很有用,但其实用性对于组织而言很有限,在最近版本的 macOS 中尤其如此。在搭载 Apple 芯片的 Mac 上,IRK 没有实际价值,主要有两个方面的原因:IRK 无法用于访问 recoveryOS,而且由于不再支持目标磁盘模式,宗卷无法通过连接到另一台 Mac 进行解锁。
【重要事项】鉴于以上及其他方面的原因,不再建议组织使用 IRK 管理 Mac 电脑上的文件保险箱,而应改用个人恢复密钥 (PRK)。
使用 SSH 解锁文件保险箱
在搭载 Apple 芯片且运行 macOS 26 或更高版本的 Mac 上,如果“远程登录”已打开且网络连接可用,重启后可通过 SSH 解锁文件保险箱。