MDM(모바일 기기 관리)을 사용하여 FileVault 관리하기
조직에서는 MDM(모바일 기기 관리) 솔루션을 사용하거나 일부 고급 배포 및 구성의 경우 fdesetup 명령어 라인 도구를 사용하여 FileVault 전체 디스크 암호화를 관리할 수 있습니다. MDM을 사용하여 FileVault를 관리하는 것을 연기된 활성화라고 하며 사용자의 로그아웃 또는 로그인 이벤트가 필요합니다. MDM은 다음과 같은 옵션을 사용자화할 수 있습니다.
사용자가 FileVault 활성화를 연기할 수 있는 횟수
사용자에게 로그인 확인 메시지 외에 로그아웃 확인 메시지도 표시할지 여부
사용자에게 복구 키를 표시할지 여부
MDM 솔루션에 대한 에스크로용 복구 키를 비대칭적으로 암호화하는 데 사용할 인증서
사용자가 APFS 볼륨의 저장 공간을 잠금 해제하도록 하려면 Secure Token이 있어야 하며 Apple Silicon이 탑재된 Mac의 경우 볼륨 소유자여야 합니다. Secure Token 및 볼륨 소유권에 관한 자세한 정보는 배포에 Secure Token, Bootstrap Token 및 볼륨 소유권 사용하기를 참조하십시오. 사용자가 특정 작업 흐름에서 Secure Token을 언제 어떻게 부여받는지에 관한 정보가 아래에 나와 있습니다.
설정 지원에서 FileVault 강제 적용하기
ForceEnableInSetupAssistant 키를 사용하여 설정 지원 도중 FileVault를 켜도록 Mac 컴퓨터에 요구할 수 있습니다. 이렇게 하면 관리형 Mac 컴퓨터의 내부 저장 공간을 사용하기 전에 항상 암호화할 수 있습니다. 조직은 사용자에게 FileVault 복구 키를 표시할지 또는 개인 복구 키를 에스크로할지 결정할 수 있습니다. 이 기능을 사용하려면 await_device_configured가 설정되어 있어야 합니다.
참고: macOS 14.4 이전 버전의 경우 이 기능을 위해 설정 지원 도중 대화식으로 생성된 사용자 계정이 관리자 역할을 가져야 합니다.
사용자가 스스로 Mac을 설정하는 경우
사용자가 스스로 Mac을 설정하는 경우 IT 부서는 실제 기기의 권한 설정 작업을 하지 않습니다. 모든 정책 및 구성은 MDM 솔루션이나 구성 관리 도구를 사용하여 제공됩니다. 최초의 로컬 관리자 계정 생성에 설정 지원이 사용되며 사용자에게는 Secure Token이 부여됩니다. MDM 솔루션이 Bootstrap Token 기능을 지원하고 MDM 등록 과정 중에 Mac에 이를 알리면, Mac에서 Bootstrap Token이 생성되고 MDM 솔루션으로 에스크로됩니다.
Mac이 MDM 솔루션에 등록된 경우 최초의 계정은 로컬 관리자 계정이 아니라 로컬 표준 사용자 계정일 수도 있습니다. MDM을 사용하여 사용자가 표준 사용자로 다운그레이드된 경우, 사용자에게 Secure Token이 자동으로 부여됩니다. macOS 10.15.4 이상에서는 사용자가 다운그레이드되면 Bootstrap Token이 자동으로 생성되고 MDM 솔루션(해당 기능을 지원하는 경우)으로 에스크로됩니다.
MDM을 사용하여 설정 지원에서 로컬 사용자 계정 생성을 완전히 건너뛰고, 그 대신에 모바일 계정이 있는 디렉토리 서비스가 사용되는 경우 모바일 계정 사용자는 로그인 시 Secure Token을 부여받습니다. 모바일 계정을 사용하면 사용자가 Secure Token을 활성화한 후에 macOS 10.15.4 이상에서 사용자가 두 번째 로그인을 하는 중에 Bootstrap Token이 자동으로 생성되고 MDM 솔루션(해당 기능을 지원하는 경우)으로 에스크로됩니다.
위의 모든 시나리오에서 Secure Token은 최초 사용자이자 기본 사용자에게 부여되기 때문에, 계정은 지연된 활성화를 사용하여 FileVault를 활성화할 수 있습니다. 조직은 지연된 활성화로 FileVault를 켤 수 있지만 사용자가 Mac에 로그인하거나 Mac에서 로그아웃할 때까지 FileVault의 활성화가 지연됩니다. 사용자가 FileVault 켜기를 건너뛸 수 있는지도 사용자화할 수 있습니다(선택 사항으로 일정 횟수 지정 가능). 결과적으로 모든 유형의 로컬 사용자이든 모바일 계정 사용자이든, Mac의 기본 사용자는 저장 장치가 FileVault로 암호화되었을 때 이를 잠금 해제할 수 있습니다.
Bootstrap Token이 생성되었고 MDM 솔루션으로 에스크로된 Mac 컴퓨터에서 다른 사용자가 나중에 Mac에 로그인하면, Bootstrap Token이 Secure Token을 자동으로 부여하는 데에 사용됩니다. 이는 해당 계정 또한 FileVault에 대해 활성화되었으며 FileVault 볼륨을 잠금 해제할 수 있음을 의미합니다. 사용자가 저장 장치를 잠금 해제하지 못 하게 하려면 fdesetup remove -user를 사용하십시오.
조직이 Mac의 권한 설정을 하는 경우
Mac이 사용자에게 주어지기 전에 조직이 권한 설정을 한 경우, IT 부서가 기기를 설정합니다. 설정 지원에서 생성되거나 MDM으로 권한 설정된 로컬 관리자 계정은 해당 Mac을 설정하거나 권한 설정하는 데에 사용되며 로그인 시 최초의 Secure Token을 부여받습니다. MDM 솔루션이 Bootstrap Token 기능을 지원하는 경우 Bootstrap Token도 생성되어 MDM 솔루션으로 에스크로됩니다.
Mac이 디렉토리 서비스에 연결되고 모바일 계정을 생성하도록 구성되었으며 Bootstrap Token이 없는 경우, 디렉토리 서비스 사용자 계정에 Secure Token을 부여하기 위해 첫 로그인 시 기존 Secure Token 관리자의 사용자 이름과 암호를 묻는 메시지가 나타납니다. 현재 Secure Token을 활성화한 로컬 관리자의 자격 증명을 입력해야 합니다. Secure Token이 필요하지 않은 경우, 사용자는 건너뛰기를 클릭할 수 있습니다. macOS 10.13.5 이상에서는 모바일 계정으로 FileVault를 사용하지 않을 경우, Secure Token 대화상자를 아예 표시하지 않을 수 있습니다. Secure Token 대화상자를 표시하지 않으려면 다음과 같은 키와 값을 사용하여 MDM 솔루션의 사용자 설정 구성 프로필을 적용하십시오.
설정 | 값 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
도메인 | com.apple.MCX | ||||||||||
키 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
값 | True | ||||||||||
MDM 솔루션이 Bootstrap Token 기능을 지원하고 Mac에서 Bootstrap Token이 생성되어 MDM 솔루션으로 에스크로된 경우, 모바일 계정 사용자에게는 이 대화상자 메시지가 보이지 않습니다. 그 대신에 로그인 시 Secure Token이 자동으로 부여됩니다.
Mac에서 디렉토리 서비스의 사용자 계정 대신 추가 로컬 사용자가 필요하면, 해당 로컬 사용자에게 SecureToken이 자동으로 부여됩니다(현재 Secure Token을 활성화한 관리자가 macOS 13 이상의 시스템 설정 또는 macOS 12.0.1 또는 이전 버전의 시스템 환경설정 ‘사용자 및 그룹’에서 로컬 사용자를 생성한 경우). 명령어 라인을 사용하여 로컬 사용자를 생성하는 경우, sysadminctl 명령어 라인 도구를 사용하고 선택적으로 사용자에게 Secure Token을 활성화할 수 있습니다. 로컬 사용자 생성 시 Secure Token이 부여되지 않더라도 macOS 11 이상에서는 MDM 솔루션에서 Bootstrap Token이 지원되는 경우, Mac에 로그인하는 로컬 사용자에게 로그인 시 Secure Token이 부여됩니다.
이러한 시나리오에서는 다음과 같은 사용자가 FileVault로 암호화된 볼륨을 잠금 해제할 수 있습니다.
권한 설정에 사용된 원래의 로컬 관리자
상호적으로 대화상자 메시지를 사용하거나 자동으로 Bootstrap Token을 통해 로그인 프로세스 중에 Secure Token을 부여받은 추가 디렉토리 서비스 사용자
새로운 모든 로컬 사용자
사용자가 저장 장치를 잠금 해제하지 못 하게 하려면 fdesetup remove -user를 사용하십시오.
위에 설명된 작업흐름 중 하나를 사용할 때, macOS는 추가 구성이나 요구되는 스크립팅 없이 Secure Token을 관리합니다. 이는 구현 세부사항으로 기능하는 것이며 능동적으로 관리되거나 처리되어야 하는 것이 아닙니다.
fdesetup 명령어 라인 도구
MDM 구성 또는 fdesetup 명령어 라인 도구를 사용하여 FileVault를 구성할 수 있습니다. macOS 10.15 이상의 경우 fdesetup을 사용하여 사용자 이름과 암호를 제공하고 FileVault를 켜는 방법은 더 이상 지원하지 않으며 앞으로 출시되는 버전에서도 해당 명령을 인식하지 않게 될 것입니다. 이 명령은 계속 작동하지만 macOS 11 및 macOS 12.0.1에서는 더 이상 사용되지 않습니다. 대신에 MDM을 통해 실시 연기 기능을 사용하도록 고려해 보십시오. fdesetup 명령어 라인 도구에 관한 자세한 정보를 보려면 터미널 앱을 실행하고 man fdesetup 또는 fdesetup help를 입력하십시오.
기관 대 개인 복구 키
CoreStorage 및 APFS 볼륨 모두에서 FileVault는 기관 복구 키(IRK, 기존의 FileVault 마스터 ID)를 사용하여 잠금 해제할 수 있도록 지원합니다. IRK는 볼륨을 잠금 해제하거나 FileVault를 완전히 비활성화하는 명령어 라인 작업에 유용하지만 특히 최신 버전의 macOS에서 조직에서의 유용성은 제한적입니다. 그리고 Apple Silicon이 탑재된 Mac에서 IRK는 다음 두 가지 주요한 이유로 기능적 가치가 없습니다. 첫 번째 이유는 IRK를 사용하여 복구용 OS에 접근할 수 없으며, 두 번째 이유는 대상 디스크 모드가 더 이상 지원되지 않기 때문에 다른 Mac에 연결하여 볼륨을 잠금 해제할 수 없습니다. 이러한 이유 등으로 기관에서 Mac 컴퓨터의 FileVault를 관리하는 데 IRK를 사용하는 것은 더 이상 권장하지 않습니다. 대신 개인 복구 키(PRK)를 사용하십시오. PRK는 다음과 같은 특징이 있습니다.
매우 강력한 복구 및 운영 체제 접근 메커니즘 제공
볼륨당 고유한 암호화
MDM으로 에스크로
사용 후 간편한 키 순환
PRK는 복구용 OS에서 사용할 수 있으며 암호화된 Mac을 macOS로 직접 시동할 때도 사용할 수 있습니다(Apple Silicon이 탑재된 Mac의 경우 macOS 12.0.1 이상 필요). 복구용 OS에서는 복구 지원에 메시지가 표시되는 경우 PRK를 사용하거나 ‘모든 암호를 잊어버렸습니까?’ 옵션을 사용하여 복구 환경에 접근한 후에 볼륨도 잠금 해제할 수 있습니다. ‘모든 암호를 잊어버렸습니까?’ 옵션을 사용하는 경우 사용자 암호를 재설정할 필요가 없으며 종료 버튼을 클릭하여 복구용 OS로 바로 시동할 수 있습니다. Intel 기반 Mac 컴퓨터에서 직접 macOS를 시작하려면 암호 필드 옆에 있는 물음표를 클릭한 다음, ‘복구 키를 사용하여 재설정하기’를 선택합니다. PRK를 입력한 다음, Return을 누르거나 화살표를 클릭하십시오. macOS을 시동한 후에 암호 변경 대화상자에서 취소를 누르십시오. macOS 12.0.1 이상을 사용하는 Apple Silicon이 탑재된 Mac에서 Option-Shift-Return을 눌러 PRK 입력 필드를 표시한 다음, Return을 누르거나 화살표를 클릭하십시오.
암호화된 볼륨당 PRK는 하나만 있으며 MDM에서 FileVault를 활성화하는 동안 선택적으로 사용자에게 가릴 수 있습니다. MDM으로 에스크로하도록 구성하면 MDM은 인증서 형식의 공개 키를 Mac에 제공하며, 이는 CMS 봉투 형식으로 PRK를 비대칭적으로 암호화하는 데 사용됩니다. 암호화된 PRK는 보안 정보 쿼리에서 MDM으로 반환되며 조직에서 볼 수 있도록 암호화 해제될 수 있습니다. 암호화가 비대칭이어서 MDM 자체가 PRK를 암호화 해제하지 못할 수 있으므로 관리자가 추가 단계를 수행해야 합니다. 그러나 많은 MDM 공급업체는 이러한 키를 관리하는 옵션을 제공하여 제품에서 바로 볼 수 있도록 합니다. MDM은 또한 PRK를 사용하여 볼륨을 잠금 해제한 후와 같이 강력한 보안 상태를 유지하는 데 필요한 만큼 PRK를 선택적으로 순환시킬 수도 있습니다.
PRK는 Apple Silicon이 탑재되지 않은 Mac 컴퓨터의 대상 디스크 모드에서 볼륨을 잠금 해제하는 데 사용될 수 있습니다.
1. 대상 디스크 모드의 Mac을 동일한 버전 또는 최신 버전의 macOS를 사용하는 다른 Mac에 연결하십시오.
2. 터미널을 열어 다음 명령을 실행하고 볼륨 이름(보통 ‘Macintosh HD’)을 검색하십시오. 볼륨은 ‘Mount Point: Not Mounted’ 및 ‘FileVault: Yes (Locked)’로 표시됩니다. disk3s2와 같은 형식이지만 숫자가 다르게 지정된 APFS 볼륨 디스크 ID를 메모해 두십시오(예: disk4s5).
diskutil apfs list3. 다음 명령을 실행하고 ‘개인 복구 키 사용자’를 찾아 나열된 UUID를 기록하십시오.
diskutil apfs listUsers /dev/<diskXsN>4. 이 명령을 실행하십시오.
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 암호가 요청되면 PRK를 붙여넣거나 입력한 다음 Return을 누르십시오. 볼륨이 Finder에 마운트됩니다.