使用 MDM 管理檔案保險箱
「檔案保險箱」磁碟加密可在使用行動裝置管理(MDM)解決方案的組織中管理,或針對部分進階部署和設定則可使用 fdesetup
命令列工具。使用 MDM 管理「檔案保險箱」稱為延遲啟用,需要使用者登出或登入事件。MDM 可以自訂的選項如下:
使用者可延遲啟用「檔案保險箱」的次數
除了在登入時提示使用者以外,是否要在登出時提示使用者
是否要對使用者顯示復原密鑰
什麼憑證用於非對稱加密恢復密鑰以託管到 MDM 解決方案
讓使用者能夠解鎖 APFS 卷宗上的存儲需要使用者擁有安全代號,並且在配備 Apple 晶片的 Mac 上成為卷宗擁有者。如需更多安全代號和卷宗擁有者權限的相關資訊,請參閱:在部署中使用安全代號、Bootstrap 代號和卷宗擁有者權限。下面提供了有關如何以及何時在特定工作流程中授予使用者安全代號的資訊。
在「設定輔助程式」中強制執行「檔案保險箱」
使用 ForceEnableInSetupAssistant
金鑰,可要求 Mac 電腦在「設定輔助程式」執行期間開啟「檔案保險箱」。這可確保受管理 Mac 電腦的內置儲存裝置在使用前一律會經過加密處理。組織可以決定是要向使用者顯示「檔案保險箱」復原密鑰,還是要託管個人復原密鑰。若要使用此功能,請確定 await_device_configured
已設定。
【注意】在 macOS 14.4 之前,此功能需要使用者帳號在「設定輔助程式」期間以互動方式建立才能具有「管理者」的職務。
當使用者自行設定 Mac 時
當使用者自行設定 Mac 時,IT 部門不會在實際裝置上執行任何佈建作業。所有規則和設定均使用 MDM 解決方案或設定管理工具來提供。需使用「設定輔助程式」來建立初始本機管理者帳號,且使用者會獲得一個安全代號。如果 MDM 解決方案支援 Bootstrap 代號功能,並在 MDM 註冊期間告知,Mac 就會產生 Bootstrap 代號並交由 MDM 解決方案託管。
如果 Mac 於 MDM 解決方案中註冊,則初始帳號可能不是本機管理者帳號,而是本機標準使用者帳號。如果使用者透過 MDM 被降級為標準使用者,則該使用者會自動獲得安全代號。在 macOS 10.15.4 或以上版本中,如果 MDM 支援此功能,一旦使用者遭降級,系統就會自動產生 Bootstrap 代號並交由 MDM 解決方案託管。
如果使用 MDM 將「設定輔助程式」中的本機使用者帳號建立程序完全略過,且改用含有行動帳號的目錄服務,則行動帳號使用者會在登入時獲得安全代號。如果 MDM 支援此功能,在 macOS 10.15.4 或以上版本中,使用者搭配行動帳號啟用安全代號後,Bootstrap 代號會在使用者第二次登入期間自動產生並交由 MDM 解決方案託管。
在上述任何情況下,因為第一個和主要使用者會獲得安全代號,因此可以使用延遲啟用來為他們啟用「檔案保險箱」。延遲啟用可允許組織開啟「檔案保險箱」,但會延後啟用直到使用者登入或登出 Mac。也可以自訂使用者是否可以略過開啟「檔案保險箱」(在定義的次數內可選擇略過)。最終結果是當以「檔案保險箱」加密時,Mac 的主要使用者(無論是任何類型的本機使用者或行動帳號)可以解鎖儲存裝置。
在產生 Bootstrap 代號並交由 MDM 解決方案託管的 Mac 電腦上,如果另一個使用者未來登入 Mac,就會使用 Bootstrap 代號來自動授予安全代號。這表示也會為該帳號啟用「檔案保險箱」,且其可解鎖「檔案保險箱」卷宗。若要移除使用者解鎖儲存空間的能力,請使用 fdesetup remove -user
。
當 Mac 是由組織佈建時
當 Mac 由組織佈建再交給使用者時,IT 部門會設定裝置。在「設定輔助程式」中建立或使用 MDM 佈建的本機管理帳號會用來佈建或設定 Mac,並在登入時獲得第一個安全代號。如果 MDM 解決方案支援 Bootstrap 代號功能,也會產生 Bootstrap 代號並交由 MDM 解決方案託管。
如果 Mac 有加入目錄服務、已設定為建立行動帳號,且 Bootstrap 代號不存在,則目錄服務使用者第一次登入時會顯示提示,要求輸入現有安全代號管理者的使用者名稱和密碼以授予安全代號給其帳號。應輸入目前啟用安全代號的本機管理者憑證。如果不需要安全代號,使用者可以按一下「略過」。在 macOS 10.13.5 或以上版本中,如果「檔案保險箱」不會搭配行動帳號使用,便可完全隱藏安全代號對話框。若要隱藏安全代號對話框,請套用 MDM 解決方案所提供用於自訂設定的設定描述檔,須包含以下密鑰與值:
設定 | 值 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
網域 | com.apple.MCX | ||||||||||
密鑰 | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
值 | True |
如果 MDM 解決方案支援「Bootstrap 代號」功能,且 Mac 已產生 Bootstrap 代號並交由 MDM 解決方案託管,則行動帳號使用者就不會看到此提示。取而代之的是使用者會在登入時自動獲得安全代號。
如果 Mac 需要其他本機使用者,而非目錄服務的使用者帳號,當目前啟用安全代號的管理者在「使用者與群組」(在 macOS 13 或以上版本的「系統設定」中或 macOS 12.0.1 或較早版本的「系統偏好設定」中)中建立這些本機使用者時,系統會自動授予安全代號給他們。若需使用命令列建立本機使用者,則可使用 sysadminctl
命令列工具並為安全代號選擇啟用。即使建立時未授予安全代號,在 macOS 11 或以上版本中,若可從 MDM 解決方案取得 Bootstrap 代號,安全代號會時在登入期間授予登入 Mac 的本機使用者。
在上述情況中,下列使用者可解鎖以「檔案保險箱」加密的卷宗:
原本用於佈建的本機管理者
任何在登入程序中獲得安全代號(使用對話框提示透過互動方式獲得或是透過 Bootstrap 代號自動獲得)的其他目錄服務使用者
任何新的本機使用者
若要移除使用者解鎖儲存空間的能力,請使用 fdesetup remove -user
。
使用上述任何一種工作流程時,安全代號均受到 macOS 管理,無須任何額外設定或指令碼;它會成為實作詳細資訊,而非需要主動管理或操縱的代號。
fdesetup 命令列工具
MDM 設定或 fdesetup
命令列工具可用來設定「檔案保險箱」。在 macOS 10.15 或以上版本中,使用 fdesetup
提供使用者名稱和密碼來開啟「檔案保險箱」是過時的做法,且未來版本中不承認此做法。此指令會持續運作但仍不適用於 macOS 11 和 macOS 12.0.1。請改為考慮透過 MDM 使用延遲啟用。如需更多 fdesetup
命令列工具的相關資訊,請啟動「終端機」App 並輸入 man fdesetup
或 fdesetup help
。
機構復原密鑰對比個人復原密鑰
CoreStorage 和 APFS 卷宗上的「檔案保險箱」都支援使用機構復原密鑰(IRK,以前稱為「檔案保險箱主身份」)來解鎖卷宗。儘管 IRK 對於解鎖卷宗或完全停用「檔案保險箱」的指令列操作很有用,但它對組織的實用性是有限的,尤其是在最新版本的 macOS 中。而在配備 Apple 晶片的 Mac 上,IRK 沒有提供任何功能價值,主要有兩個原因:首先,IRK 無法用於取用 recoveryOS;其次,由於不再支援目標磁碟模式,因此無法透過將其連接至另一台 Mac 來解鎖該卷宗。由於種種原因,不再推薦使用 IRK 來對 Mac 電腦上的「檔案保險箱」進行機構管理。請改為使用個人復原密鑰(PRK)。PRK 具備以下特點:
極其強大的復原和作業系統取用機制
個別卷宗的獨有加密
託管到 MDM
使用後輕鬆輪換密鑰
PRK 可用於 recoveryOS 或直接將加密的 Mac 啟動至 macOS(需要 macOS 12.0.1 或以上版本才能使用配備 Apple 晶片的 Mac)。在 recoveryOS 中,如果「復原輔助程式」提示或使用「忘記所有密碼」選項,可以使用 PRK 來取用復原環境,然後也可以解鎖卷宗。使用「忘記所有密碼」選項時不需要重置使用者的密碼;可以按一下結束按鈕來直接開機進入 recoveryOS。若要在 Intel 架構式 Mac 電腦上直接啟動 macOS,按一下密碼欄位旁的問號,然後選擇「使用復原密鑰重置」選項。輸入 PRK,然後按下 Return 鍵或按一下箭頭。啟動 macOS 後,在密碼更改對話框上按下「取消」。在使用 macOS 12.0.1 或以上版本且配備 Apple 晶片的 Mac 上,按下 Option + Shift + Return 來顯示 PRK 的輸入欄位,然後按下 Return 鍵(或按一下箭頭)。
每個加密卷宗只有一個 PRK,並且在從 MDM 啟用「檔案保險箱」期間,它可以選擇對使用者隱藏。設定為託管至 MDM 時,MDM 以憑證的形式向 Mac 提供公用密鑰,然後使用該憑證以 CMS 信封格式對 PRK 進行非對稱加密。加密的 PRK 在安全資訊查詢中傳回給 MDM,然後可以解密以供組織檢視。由於加密是非對稱的,MDM 本身可能無法解密 PRK(因此需要管理者執行其他步驟)。然而,許多 MDM 廠商會提供選項來管理這些密鑰以允許直接在其產品中檢視。MDM 也可以根據需求經常輪換 PRK,以幫助保持強大的安全姿態——例如,在使用 PRK 解鎖卷宗之後。
PRK 可以在沒有 Apple 晶片的 Mac 電腦上以目標磁碟模式(TDM)使用來解鎖卷宗:
1.將處於目標磁碟模式的 Mac 連接到另一台使用相同或更新 macOS 版本 的 Mac。
2.打開「終端機」,然後執行以下指令並查詢卷宗的名稱(通常是「Macintosh HD」)。應該會說「裝載點:未裝載」和「檔案保險箱:是(已鎖定)。」註記卷宗的 APFS 卷宗磁碟 ID,它看起來像 disk3s2,但可能有不同的數字,例如,disk4s5。
diskutil apfs list
3.執行下列指令,然後查詢個人復原密鑰使用者並註記列出的 UUID:
diskutil apfs listUsers /dev/<diskXsN>
4.執行此指令:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>
5.在密語提示下,貼上或輸入 PRK,然後按下 Return 鍵。卷宗會在 Finder 中裝載。