Utilisation des jetons sécurisés et d’amorçage, et de la propriété de volume dans les déploiements
Jeton sécurisé
Le système de fichiers d’Apple (APFS) de macOS 10.13 ou ultérieur modifie la façon dont les clés de chiffrement FileVault sont générées. Sous les versions précédentes de macOS sur les volumes Core Storage, les clés utilisées dans le processus de chiffrement FileVault étaient créées lorsqu’un utilisateur ou une organisation activait FileVault sur un Mac. Sur les volumes APFS sous macOS, les clés de chiffrement sont générées lors de la création de l’utilisateur, la configuration du mot de passe du premier utilisateur ou lors de la première connexion d’un utilisateur du Mac. Cette implémentation des clés de chiffrement, quand elles sont générées et comment elles sont stockées, fait partie d’une fonctionnalité appelée Jeton sécurisé. Plus précisément, le jeton sécurisé est une version enveloppée d’une clé de chiffrement des clés protégée par le mot de passe d’un utilisateur.
Lors du déploiement de FileVault sur APFS, l’utilisateur peut continuer à :
utiliser des outils et processus existants, tels qu’une clé de secours personnelle qui peut être stockée avec une solution de gestion des appareils mobiles (GAM) pour séquestre;
créer et utiliser une clé de secours institutionnelle;
reporter l’activation de FileVault jusqu’à la connexion ou la déconnexion d’un utilisateur du Mac.
Sous macOS 11 ou ultérieur, la définition du mot de passe initial pour le tout premier utilisateur du Mac permet à cet utilisateur d’obtenir un jeton sécurisé. Dans certains processus, ce n’est peut-être pas le comportement souhaité, puisque précédemment l’octroi du premier jeton sécurisé aurait exigé que le compte utilisateur se connecte. Pour éviter que cela ne se produise, ajoutez
à l’attribut ;DisabledTags;SecureToken
AuthenticationAuthority
de l’utilisateur créé par programme avant de définir le mot de passe de l’utilisateur, comme indiqué ci-dessous :
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"
Jeton d’amorçage
Sous macOS 10.15 ou ultérieur, le jeton d’amorçage peut également être utilisé à d’autres fins que la seule attribution de jetons sécurisés aux comptes d’utilisateur existants. Sur un ordinateur Mac avec puce Apple, le jeton d’amorçage, lorsqu’il est disponible et géré à l’aide de la GAM, peut être utilisé pour :
la supervision de l’appareil;
le soutien du fournisseur GAM.
Supposons que votre solution de GAM prenne en charge les jetons d’amorçage. Sous macOS 10.15.4 ou ultérieur, lorsqu’un utilisateur pour lequel le jeton sécurisé est activé se connecte pour la première fois, un jeton d’amorçage est généré et mis sous séquestre dans la GAM. Un jeton d’amorçage peut aussi être généré et mis sous séquestre dans la solution de GAM à l’aide de l’outil de ligne de commande profiles
, au besoin.
Sous macOS 11 ou ultérieur, le jeton d’amorçage peut également être utilisé à d’autres fins que la seule attribution de jetons sécurisés aux comptes d’utilisateur existants. Sur un ordinateur Mac avec puce Apple, le jeton d’amorçage, lorsqu’il est disponible et géré à l’aide de la GAM, peut être utilisé pour :
autoriser l’installation des mises à jour logicielles;
autoriser silencieusement une commande de GAM « Effacer contenu et réglages » sous (macOS 12.0.1 ou une version ultérieure);
créer les utilisateurs lorsqu’ils se connectent pour la première fois à la plateforme d’authentification unique (macOS 13 ou ultérieur).
Propriété de volume
Les ordinateurs Mac avec puce Apple introduisent le concept de la propriété de volume. Le propriété de volume est un contexte organisationnel qui n’est pas lié à la véritable propriété légale ou à la chaîne de possession du Mac. Elle peut plutôt être définie librement comme faisant référence au premier utilisateur qui a réclamé un Mac en le configurant pour l’utiliser, ainsi qu’aux autres utilisateurs. Vous devez être un propriétaire du volume pour apporter des modifications au règlement de sécurité au démarrage d’une installation donnée de macOS, autoriser l’installation des mises à jour et des mises à niveau logicielles de macOS, lancer une opération « Effacer contenu et réglages » sur le Mac et plus encore. Le règlement de sécurité au démarrage définit les restrictions concernant les versions de macOS pouvant démarrer ainsi que la façons dont les extensions de noyau tierces peuvent être lancées ou gérées, le cas échéant.
L’utilisateur qui a réclamé un Mac en premier en le configurant pour l’utiliser obtient un jeton sécurisé sur un Mac avec puce Apple et devient ainsi le premier propriétaire de volume. Lorsqu’un jeton d’amorçage disponible est en cours d’utilisation, celui-ci devient un propriétaire de volume et il octroie le statut de propriété de volume aux comptes supplémentaires auxquels il accorde des jetons sécurisés. En raison du fait que le jeton d’amorçage ainsi que le premier utilisateur qui obtient un jeton sécurisé deviennent des propriétaires de volume, et de la capacité des jetons d’amorçage à accorder un jeton sécurisé aux utilisateurs supplémentaires (donc le statut de propriété de volume), il ne devrait pas être nécessaire de gérer ou de manipuler activement la propriété de volume au sein d’une organisation. Les considérations précédentes relatives à la gestion et à l’octroi de jetons sécurisés devraient généralement correspondre au statut de propriété de volume.
Il est possible d’être un propriétaire de volume sans avoir le rôle d’administrateur, mais certaines tâches exigent les deux. Par exemple, la modification des réglages de sécurité au démarrage exige d’être un administrateur propriétaire de volume alors que les utilisateurs standard propriétaires de volume peuvent autoriser les mises à jour logicielles.
Pour afficher la liste des propriétaires de volume en vigueur sur un ordinateur Mac avec puce Apple, vous pouvez exécuter la commande suivante :
sudo diskutil apfs listUsers /
Les GUID indiqués dans la sortie de la commande diskutil
de type « Local Open Directory User » sont associés aux attributs GeneratedUID
des dossiers utilisateur d’Open Directory. Pour trouver un utilisateur à l’aide de son GeneratedUID
, utilisez la commande suivante :
dscl . -search /Users GeneratedUID <GUID>
Vous pouvez aussi utiliser la commande suivante pour afficher ensemble les noms d’utilisateur et les GUID :
sudo fdesetup list -extended
Le statut de propriété protégé par chiffrement dans Secure Enclave. Pour en savoir plus, consultez :
Utilisation d’un outil de ligne de commande
Des outils de ligne de commande sont disponibles pour gérer le jeton d’amorçage et le jeton sécurisé. Le jeton d’amorçage est habituellement généré sur le Mac et mis sous séquestre dans la solution de GAM pendant le processus de configuration de macOS une fois que la solution de GAM a informé le Mac qu’elle prend en charge la fonctionnalité. Cependant, un jeton d’amorçage peut également être généré sur un Mac déjà déployé. Sous macOS 10.15.4 ou ultérieur, un jeton d’amorçage est généré et mis sous séquestre dans la solution de GAM à la première connexion de tout utilisateur pour qui un jeton sécurisé est activé, si la solution de GAM prend en charge cette fonctionnalité. Cela réduit la nécessité d’utiliser l’outil de ligne de commande « profiles » après la configuration de l’appareil pour générer et mettre sous séquestre un jeton d’amorçage dans la solution de GAM.
L’outil de ligne de commande profiles
offre plusieurs options pour interagir avec le jeton d’amorçage :
sudo profiles install -type bootstraptoken
: Génère un nouveau jeton d’amorçage et le met sous séquestre dans la solution de GAM. Cette commande a besoin des informations du jeton sécurisé existant de l’administrateur pour générer le jeton d’amorçage et la solution de GAM doit prendre en charge cette fonctionnalité.sudo profiles remove -type bootstraptoken
: Supprime le jeton d’amorçage existant sur le Mac et dans la solution de GAM.sudo profiles status -type bootstraptoken
: Indique si la solution de GAM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel de ce jeton sur le Mac.sudo profiles validate -type bootstraptoken
: Indique si la solution de GAM prend en charge la fonctionnalité de jeton d’amorçage et quel est l’état actuel de ce jeton sur le Mac.
Outil de ligne de commande sysadminctl
L’outil de ligne de commande sysadminctl
peut être utilisé pour modifier l’état du jeton sécurisé pour les comptes d’utilisateur sur un ordinateur Mac. Cela devrait être fait avec prudence, et seulement si nécessaire. La modification de l’état du jeton sécurisé d’un utilisateur à l’aide de sysadminctl
requiert toujours le nom d’utilisateur et le mot de passe d’un administrateur existant pour lequel un jeton sécurisé est activé, par interaction ou à l’aide des indicateurs nécessaires sur la commande. sysadminctl
et Réglages système (macOS 13 ou une version ultérieure) ou Préférences Système(macOS 12.0.1 ou une version antérieure) empêchent tous deux la suppression du dernier administrateur ou de l’utilisateur pour lequel un jeton sécurisé est activé sur un Mac. Si la création d’autres utilisateurs locaux est effectuée à l’aide d’un script sysadminctl
, l’activation du jeton sécurisé pour ces utilisateurs nécessite les informations d’identification de l’administrateur actuel pour lequel le jeton sécurisé est activé, à l’aide de l’option interactive ou directement à l’aide des indicateurs -adminUser
et -adminPassword
avec la commande sysadminctl
. Si un jeton sécurisé n’est pas attribué au moment de la création, sous macOS 11 ou une version ultérieure, un utilisateur local se connectant à un ordinateur Mac se voit attribuer un jeton sécurisé lors de la connexion si un jeton d’amorçage est disponible à partir de la solution de GAM. Utilisez sysadminctl -h
pour obtenir des directives d’utilisation supplémentaires.