การจัดการ FileVault ใน macOS
บนอุปกรณ์ที่ใช้ macOS องค์กรสามารถจัดการ FileVault ได้โดยใช้ SecureToken หรือโทเค็นบูตสแตรป
การใช้โทเค็นที่ปลอดภัย
Apple File System (APFS) ใน macOS 10.13 ขึ้นไปเปลี่ยนวิธีสร้างกุญแจการเข้ารหัส FileVault ใน macOS เวอร์ชั่นก่อนหน้าบนดิสก์โวลุ่ม CoreStorage กุญแจที่ใช้อยู่ในกระบวนการการเข้ารหัส FileVault ถูกสร้างเมื่อผู้ใช้หรือองค์กรเปิดใช้ FileVault บน Mac บนอุปกรณ์ที่ใช้ macOS บนดิสก์โวลุ่ม APFS กุญแจจะถูกสร้างในระหว่างการสร้างผู้ใช้ การตั้งรหัสผ่านแรกของผู้ใช้ หรือในระหว่างที่ผู้ใช้ของ Mac เข้าสู่ระบบเป็นครั้งแรก สำหรับการปรับใช้กุญแจการเข้ารหัสนี้ กรณีที่จะมีการสร้างกุญแจและวิธีการจัดเก็บกุญแจนี้เป็นส่วนหนึ่งของคุณสมบัติที่เรียกว่าโทเค็นที่ปลอดภัย โทเค็นที่ปลอดภัยเป็นเวอร์ชั่นที่ถูกห่อของกุญแจสำหรับการเข้ารหัสกุญแจ (KEK) โดยเฉพาะซึ่งได้รับการปกป้องด้วยรหัสผ่านของผู้ใช้
เมื่อมีการปรับใช้ FileVault บน APFS ผู้ใช้สามารถทำสิ่งต่างๆ เหล่านี้ต่อไปได้:
ใช้เครื่องมือและกระบวนการที่มีอยู่ เช่น กุญแจการกู้คืนส่วนบุคคล (PRK) ที่สามารถจัดเก็บด้วยโซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) สำหรับข้อมูลที่ฝากได้
เลื่อนการเปิดใช้งาน FileVault จนกว่าผู้ใช้จะเข้าสู่ระบบหรือออกจากระบบ Mac
สร้างและใช้รหัสการกู้คืนขององค์กร (IRK)
ใน macOS 11 การตั้งรหัสผ่านเริ่มต้นสำหรับผู้ใช้ที่ใช้งาน Mac เป็นครั้งแรกส่งผลให้ผู้ใช้ได้รับโทเค็นที่ปลอดภัย ในบางเวิร์คโฟลว์ที่อาจเป็นลักษณะการทำงานที่ไม่พึงประสงค์ การมอบโทเค็นที่ปลอดภัยรายการแรกจะกำหนดให้ผู้ใช้เข้าสู่ระบบ เช่นเดียวกับก่อนหน้านี้ ในการป้องกันไม่ให้สิ่งนี้เกิดขึ้น ให้เพิ่ม ;DisabledTags;SecureToken ไปยังคุณลักษณะ AuthenticationAuthority ของผู้ใช้ที่สร้างขึ้นด้วยโปรแกรม ก่อนที่จะตั้งรหัสผ่านของผู้ใช้ ดังที่แสดงอยู่ด้านล่าง:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"การใช้โทเค็นบูตสแตรป
macOS 10.15 เปิดตัวคุณสมบัติใหม่ซึ่งเป็นโทเค็นบูตสแตรป เพื่อช่วยในการมอบโทเค็นที่ปลอดภัยให้กับทั้งบัญชีอุปกรณ์เคลื่อนที่และบัญชีผู้ดูแลระบบที่สร้างด้วยการลงทะเบียนอุปกรณ์ (“ผู้ดูแลระบบที่มีการจัดการ”) สำหรับ macOS 11 โทเค็นบูตสแตรปสามารถมอบโทเค็นที่ปลอดภัยให้กับผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์ Mac ซึ่งรวมถึงบัญชีผู้ใช้ภายในเครื่องด้วย การใช้คุณสมบัติโทเค็นบูตสแตรปใหม่ของ macOS 10.15 ขึ้นไป ต้องใช้:
การลงทะเบียน Mac ใน MDM โดยใช้ Apple School Manager หรือ Apple Business Manager ซึ่งทำให้ Mac ได้รับการกำกับดูแล
การรองรับผู้จำหน่าย MDM
สำหรับ macOS 10.15.4 ขึ้นไป โทเค็นบูตสแตรปจะถูกสร้างและฝากไว้กับ MDM ในการเข้าสู่ระบบครั้งแรกโดยผู้ใช้ที่เปิดใช้งานโทเค็นความปลอดภัย หากโซลูชั่น MDM รองรับคุณสมบัตินี้ โทเค็นบูตสแตรปยังสามารถสร้างและฝากไปยัง MDM โดยใช้เครื่องมือบรรทัดคำสั่ง profiles ได้เช่นกัน หากจำเป็น
สำหรับ macOS 11 โทเค็นบูตสแตรปยังสามารถใช้ได้มากกว่าเพียงเพื่อมอบโทเค็นที่ปลอดภัยให้กับบัญชีผู้ใช้ บน Mac ที่มี Apple Silicon จะสามารถใช้โทเค็นบูตสแตรป (หากมี) เพื่ออนุญาตการติดตั้งทั้งส่วนขยายเคอร์เนลและรายการอัปเดตซอฟต์แวร์ได้เมื่อจัดการโดยใช้ MDM
รหัสการกู้คืนขององค์กรกับรหัสการกู้คืนส่วนบุคคล
FileVault ที่อยู่ทั้งบนดิสก์โวลุ่ม CoreStorage และ APFS รองรับการใช้รหัสการกู้คืนขององค์กร (IRK หรือก่อนหน้านี้รู้จักกันในชื่อข้อมูลประจำตัว FileVault Master) เพื่อปลดล็อคดิสก์โวลุ่ม ถึงแม้ว่า IRK จะมีประโยชน์สำหรับการดำเนินการบรรทัดคำสั่งเพื่อปลดล็อคดิสก์โวลุ่มหรือปิดใช้ FileVault ทั้งหมด ประโยชน์ของกุญแจนี้สำหรับองค์กรมีอยู่อย่างจำกัด โดยเฉพาะใน macOS เวอร์ชั่นล่าสุด และบน Mac ที่มี Apple Silicon นั้น IRK ไม่ได้ให้ประโยชน์ด้านการทำงานใดๆ เนื่องจากเหตุผลหลักสองข้อ: ข้อแรก IRK ไม่สามารถใช้เข้าถึง recoveryOS ได้ และข้อที่สอง เนื่องจากไม่มีการรองรับโหมดดิสก์เป้าหมายอีกต่อไป ดิสก์โวลุ่มจะไม่สามารถปลดล็อคโดยเชื่อมต่อกับ Mac เครื่องอื่นได้ ด้วยเหตุผลดังกล่าวและเหตุผลอื่นๆ จึงไม่แนะนำให้ใช้ IRK ในการจัดการ FileVault ขององค์กรบนคอมพิวเตอร์ Mac ควรใช้รหัสการกู้คืนส่วนบุคคล (PRK) แทน