在 macOS 中管理檔案保險箱
在安裝 macOS 的裝置上,機構可以使用 SecureToken 或「Bootstrap 代號」來管理「檔案保險箱」。
使用安全代號
macOS 10.13 或較新版本中的「Apple 檔案系統」(APFS)更改了產生「檔案保險箱」加密密鑰的方式。在舊版 macOS 的 CoreStorage 卷宗上,「檔案保險箱」加密程序中使用的密鑰,是在用户或機構於 Mac 上啟用「檔案保險箱」時所製作。在 APFS 卷宗上已安裝 macOS 的裝置上,密鑰則是在建立用户期間、設定第一位用户的密碼或 Mac 用户的首次登入期間產生的。這種加密密鑰實行方式、產生時間,以及儲存方式皆為「安全代號」的功能之一部份。具體來説,「安全代號」是封裝版本的密鑰加密密鑰(KEK),受用户的密碼保護。
在 APFS 上部署「檔案保險箱」時,用户可繼續:
使用現有工具和程序,例如可以用裝置管理服務儲存的個人還原密鑰(PRK)進行託管
延遲啟用「檔案保險箱」,直至用户登入或登出 Mac
建立和使用機構還原密鑰(IRK)
在 macOS 11 中,為 Mac 上的第一位用户設定初始密碼會讓該用户取得「安全代號」。在某些工作流程中,這可能不是你期望的行為,就像以前一樣,授予第一個「安全代號」應當需要登入用户帳户。為了避免此情況發生,請在設定用户的密碼前,先將 ;DisabledTags;SecureToken 加入程式所建立的用户 AuthenticationAuthority 屬性中,如下所示:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"使用 Bootstrap 代號
macOS 10.15 引入了「Bootstrap 代號」,以協助將「安全代號」授予流動帳户和透過註冊建立的選擇性裝置管理員帳户(「受管理的管理員」)。使用 macOS 10.15 或更新版本的「Bootstrap 代號」功能有以下要求:
使用 Apple School Manager 或 Apple Business Manager 在裝置管理服務中註冊 Mac,這樣會讓 Mac 受監管
裝置管理服務開發者支援
如果裝置管理服務支援此功能,在 macOS 10.15.4 或較新版本中,任何已啟用安全代號的用户初次登入時,系統會產生「Bootstrap 代號」並交由裝置管理服務託管。如有需要,也可使用 profiles 命令列工具來產生「Bootstrap 代號」並交由裝置管理服務託管。
在 macOS 11 或較新版本,「Bootstrap 代號」:
可以向登入到 Mac 電腦的任何用户(包括本機用户帳户)授予「安全代號」。
在配備 Apple 晶片的 Mac 上,如果使用裝置管理服務進行管理,則「Bootstrap 代號」可用來授權安裝核心延伸功能和軟件更新項目。
機構與個人還原密鑰的對比
CoreStorage 和 APFS 卷宗上的「檔案保險箱」支援使用機構還原密鑰(IRK,之前被稱為「檔案保險箱」主身份)來解鎖卷宗。雖然 IRK 對於解鎖卷宗或一併關閉「檔案保險箱」的命令列很有用,它對機構的效能有限,特別是在近期的 macOS 版本。而在配備 Apple 晶片的 Mac 上,IRK 因為兩個主要原因而無法提供功能價值:IRK 無法用於取用 RecoveryOS,而且因為已不再支援目標磁碟模式,所以無法透過將卷宗連接到其他 Mac 來進行解鎖。
重要事項:因為上述和其他原因,不建議再將 IRK 用於對 Mac 電腦上的「檔案保險箱」進行機構式管理。建議改為使用個人還原密鑰(PRK)。
使用 SSH 解鎖「檔案保險箱」
在配備 Apple 晶片並安裝 macOS 26 或較新版本的 Mac 上,如「遙距登入」已開啟並有可用的網絡連線,即可在重新啟動後透過 SSH 解鎖「檔案保險箱」。