在 macOS 中,组织使用 SecureToken 或 Bootstrap Token 管理文件保险箱,也就是说开启文件保险箱的账户必须要有SecureToken 或 Bootstrap Token的权限,如果使用MDM,但无法开启文件保险箱要确认SecureToken 或 Bootstrap Token是否托管到MDM,可以看前期有关SecureToken 或 Bootstrap Token的介绍。
使用SecureToken
macOS 10.13 或更高版本中的 Apple 文件系统 (APFS) 更改了文件保险箱加密密钥的生成方式。在 CoreStorage 宗卷上的 macOS 旧版本中,文件保险箱加密过程中使用的密钥是在用户或组织在 Mac 上启用文件保险箱时创建的。在 APFS 宗卷上的 macOS 中,该类密钥在用户创建过程中、设定首位用户的密码或 Mac 用户首次登录过程中创建。加密密钥的此实施方式、生成时间和储存方式都是称为安全令牌这一功能的一部分。特别地,安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的封装版本。
在 APFS 上部署文件保险箱时,用户可以继续:
(1)使用现有工具和进程,如使用移动设备管理 (MDM) 解决方案储存以进行托管的个人恢复密钥 (PRK)
(2)创建和使用机构恢复密钥 (IRK)
(3)推迟文件保险箱的启用,直到用户登录或退出登录 Mac
使用 Bootstrap Token
macOS 10.15 引入了 Bootstrap Token 这项新功能,可帮助将安全令牌授予移动帐户和设备注册时创建的管理员帐户(“被管理的管理员”,可选项)。在 macOS 11 中,Bootstrap Token 能够将安全令牌授予给登录 Mac 电脑的任何用户,包括本地用户帐户。使用 macOS 10.15 或更高版本中的 Bootstrap Token 功能需要:
(1)使用“Apple 校园教务管理”(ASM)或“Apple 商务管理”(ABM)在 MDM 中注册 Mac,从而让 Mac 受监督
(2)MDM 供应商支持
在 macOS 10.15.4 或更高版本中,启用了安全令牌的任何用户在首次登录时会生成 Bootstrap Token 并托管到 MDM,前提是 MDM 解决方案支持该功能(大部分MDM支持,例如VMware WorkspaceONE和Jamf)。在需要时,还可以使用 profiles 命令行工具来生成 Bootstrap Token 并托管到 MDM(见如下截图 )。
在 macOS 11 中,Bootstrap Token 除了可用于向用户帐户授予安全令牌外,还可用于其他方面。在搭载 Apple 芯片的 Mac 上,通过 MDM 进行管理时,Bootstrap Token(如果可用)可用于授权安装内核扩展和软件更新。
原文始发于微信公众号(Share My Learn):macOS开启文件保险箱
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/242280.html
