Bruk sikkert kjennetegn, Bootstrap-kjennetegn og volumeierskap i utrullinger
Sikkert kjennetegn
Apple File System (APFS) i macOS 10.13 eller nyere endrer hvordan FileVault-krypteringsnøkler genereres. I tidligere versjoner av macOS på CoreStorage-volumer ble nøklene som brukes i FileVault-krypteringsprosessen, opprettet når FileVault ble slått på av en bruker eller en organisasjon på en Mac. I macOS på APFS-volumer genereres krypteringsnøklene enten under brukeroppretting, registrering av den første brukerens passord eller første pålogging av en bruker på Macen. Denne implementeringen av krypteringsnøklene, når de genereres, og hvordan de lagres, er en del av funksjonen som er kjent som sikkert kjennetegn. Et sikkert kjennetegn er en pakket versjon av en Key Encryption Key (KEK) beskyttet av en brukers passord.
Ved utrulling av FileVault på APFS kan brukeren fortsette å:
bruke eksisterende verktøy og prosesser, for eksempel Personal Recovery Key (PRK) som kan oppbevares med en MDM-løsning til deponering
opprette og bruke en gjenopprettingsnøkkel for institusjonen (IRK)
utsette aktivering av FileVault til en bruker logger på eller av Macen
I macOS 11 eller nyere vil registreringen av det første passordet for den aller første brukeren på Macen resultere i at brukeren får et sikkert kjennetegn. I enkelte arbeidsflyter er dette kanskje ikke ønskelig, siden tildeling av det første sikre kjennetegnet tidligere ville ha krevd pålogging av brukerkontoen. For å unngå at dette skjer, må ;DisabledTags;SecureToken legges til den programmatisk opprettede brukerens AuthenticationAuthority-attributt før brukerens passord angis, som vist nedenfor:
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap-kjennetegn
I macOS 10.15 eller nyere kan Bootstrap-kjennetegnet også brukes til mer enn å bare gi sikre kjennetegn til eksisterende brukerkontoer. På Macer med Apple-chip kan Bootstrap-kjennetegnet, hvis det er tilgjengelig og administreres gjennom MDM, brukes til:
tilsyn
MDM-leverandørstøtte
Ta utgangspunkt i at MDM-løsningen støtter Bootstrap-kjennetegn. Når en bruker som er aktivert for sikkert kjennetegn, logger på macOS 10.15.4 eller nyere for første gang, genereres et Bootstrap-kjennetegn som deponeres i MDM. Et Bootstrap-kjennetegn kan også genereres og deponeres i MDM ved hjelp av profiles-kommandolinjeverktøyet, hvis det er nødvendig.
I macOS 11 eller nyere kan Bootstrap-kjennetegnet også brukes til mer enn å bare gi sikre kjennetegn til eksisterende brukerkontoer. På Macer med Apple-chip kan Bootstrap-kjennetegnet, hvis det er tilgjengelig og administreres gjennom MDM, brukes til:
autorisering av installering av programvareoppdateringer
autorisering av MDM-kommandoen Erase All Content and Settings (macOS 12.0.1 eller nyere)
oppretting av nye brukere når de logger på med engangspålogging for plattform for første gang (macOS 13 eller nyere)
Volumeierskap
Macer med Apple-chip introduserer konseptet volumeierskap. Volumeierskap i en organisatorisk kontekst er ikke knyttet til det juridiske eierskapet eller forvaringskjeden for Macen. I stedet kan volumeierskap løst defineres som brukeren som først tok eierskap over Macen ved å konfigurere den for sitt eget bruk, sammen med eventuelle andre brukere. Du må være volumeier for å endre sikkerhetskriteriene for oppstart for en installasjon av macOS, autorisere installering av oppdateringer og oppgraderinger av macOS, starte Slett alt innhold og alle innstillinger på Macen med mer. Sikkerhetskriteriene for oppstart definerer begrensningene for hvilke versjoner av macOS som kan startes, samt om og hvordan tredjeparts kjerneutvidelser kan lastes inn eller administreres.
Brukeren som først tok eierskap over Macen ved å konfigurere den for eget bruk, får et sikkert kjennetegn på Macen med Apple-chip og blir den første volumeieren. Når et Bootstrap-kjennetegn er tilgjengelig og brukes, blir det også volumeier og gir status som volumeier til andre kontoer når de får Bootstrap-kjennetegn. Siden både den første brukeren som får et sikkert kjennetegn og Bootstrap-kjennetegnet blir volumeiere, samt at Bootstrap-kjennetegnet kan gi sikre kjennetegn til andre brukere (og dermed volumeierskap), skal det ikke være behov for å aktivt administrere volumeierskap i organisasjonen. Tidligere vurderinger for å administrere og gi sikre kjennetegn, skal generelt være i tråd med status for volumeierskap også.
Man kan være volumeier uten å være administrator, men enkelte oppgaver krever begge deler. For eksempel må man være både administrator og volumeier for å kunne endre sikkerhetsinnstillingene for oppstart, mens vanlige brukere kan godkjenne programvareoppdateringer, slik at de bare trenger eierskap.
Du kan kjøre denne kommandoen for å vise en liste over volumeierne på en Mac med Apple-chip:
sudo diskutil apfs listUsers /GUID-ene av typen «Local Open Directory User» som vises i utdataene for diskutil-kommandoen, er knyttet til GeneratedUID-attributter for brukeroppføringer i Open Directory. Bruk følgende kommando for å finne en bruker basert på GeneratedUID:
dscl . -search /Users GeneratedUID <GUID>Du kan også bruke følgende kommando for å se brukernavn og GUID-er sammen:
sudo fdesetup list -extendedEierskapet er kryptografisk beskyttet i Secure Enclave. Her finner du mer informasjon:
Bruk av kommandolinjeverktøy
Kommandolinjeverktøy er tilgjengelige for å administrere Bootstrap-kjennetegn og sikkert kjennetegn. Bootstrap-kjennetegn genereres vanligvis på Macen og deponeres i MDM-løsningen under macOS-konfigurasjonsprosessen etter at MDM-løsningen har fortalt Macen at den støtter funksjonen. Imidlertid kan et Bootstrap-kjennetegn også genereres på Macer som allerede er rullet ut. I macOS 10.15.4 eller nyere blir et Bootstrap-kjennetegn generert og deponert i MDM ved første pålogging av en bruker som har aktivert sikkert kjennetegn, hvis MDM-løsningen støtter funksjonen. Dette reduserer behovet for å bruke profiles-kommandolinjeverktøyet etter enhetskonfigurering for å generere og deponere et Bootstrap-kjennetegn i MDM-løsningen.
profiles-kommandolinjeverktøyet har en rekke nye valg for å samhandle med Bootstrap-kjennetegnet:
sudo profiles install -type bootstraptoken: Denne kommandoen genererer et nytt Bootstrap-kjennetegn og deponerer det i MDM-løsningen. Denne kommandoen krever at eksisterende administratorinformasjon for sikkert kjennetegn først genererer Bootstrap-kjennetegnet og at MDM-løsningen støtter funksjonen.sudo profiles remove -type bootstraptoken: Fjerner eksisterende Bootstrap-kjennetegn på Macen og MDM-løsningen.sudo profiles status -type bootstraptoken: Rapporterer tilbake om MDM-løsningen støtter Bootstrap-kjennetegn-funksjonen, og hva gjeldende status for Bootstrap-kjennetegn er på Macen.sudo profiles validate -type bootstraptoken: Rapporterer tilbake om MDM-løsningen støtter Bootstrap-kjennetegn-funksjonen, og hva gjeldende status for Bootstrap-kjennetegn er på Macen.
sysadminctl-kommandolinjeverktøyet
sysadminctl-kommandolinjeverktøyet kan brukes til å spesifikt modifisere sikkert kjennetegn-status for brukerkontoer på Macer. Dette bør gjøres med forsiktighet og kun når det er nødvendig. Endring av sikkert kjennetegn-status for en bruker ved hjelp av sysadminctl krever alltid brukernavnet og passordet til en eksisterende administrator som har sikkert kjennetegn aktivert, enten interaktivt eller med de relevante flaggene på kommandoen. Både sysadminctl og Systeminnstillinger (macOS 13 eller nyere) eller Systemvalg (macOS 12.0.1 eller eldre) forhindrer sletting av den siste administrator- eller sikkert kjennetegn-aktiverte brukeren på en Mac. Hvis oppretting av ytterligere lokale brukere utføres via prosedyre med sysadminctl og de brukerne skal aktiveres for sikre kjennetegn, kreves det at akkreditiver for den nåværende administratoren som har aktivert sikkert kjennetegn, oppgis enten interaktivt eller direkte med -adminUser- og -adminPassword-flaggene med sysadminctl. Hvis en bruker ikke får et sikkert kjennetegn ved opprettelse (i macOS 11 eller nyere), vil vedkommende som logger på Macen lokalt, få et sikkert kjennetegn under pålogging hvis et Bootstrap-kjennetegn er tilgjengelig fra MDM-løsningen. Bruk sysadminctl -h for ytterligere instruksjoner om bruk.