在 macOS 中管理文件保险箱
在 macOS 中,组织可以使用 SecureToken 或 Bootstrap Token 管理文件保险箱。
使用安全令牌
macOS 10.13 或更高版本中的 Apple 文件系统 (APFS) 更改了文件保险箱加密密钥的生成方式。在 CoreStorage 宗卷上的 macOS 旧版本中,文件保险箱加密过程中使用的密钥是在用户或组织在 Mac 上启用文件保险箱时创建的。在 APFS 宗卷上的 macOS 中,该类密钥在用户创建过程中、设定首位用户的密码或 Mac 用户首次登录过程中创建。加密密钥的此实施方式、生成时间和储存方式都是称为安全令牌这一功能的一部分。特别地,安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的封装版本。
在 APFS 上部署文件保险箱时,用户可以继续:
使用现有工具和进程,如使用移动设备管理 (MDM) 解决方案储存以进行托管的个人恢复密钥 (PRK)
推迟文件保险箱的启用,直到用户登录或退出登录 Mac
创建和使用机构恢复密钥 (IRK)
在 macOS 11 中,为 Mac 上的首位用户设定初始密码就会授予该用户安全令牌。在部分流程中,这可能并不是预期的行为,因为在此之前授予第一个安全令牌已要求登录用户账户。为了防止此类行为发生,在设定用户的密码前,请将;DisabledTags;SecureToken 添加到以编程方式创建的用户的 AuthenticationAuthority 属性,如下:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"使用 Bootstrap Token
macOS 10.15 引入了 Bootstrap Token 这项新功能,可帮助将安全令牌授予移动账户和设备注册时创建的管理员账户(“受管理的管理员”,可选项)。在 macOS 11 中,Bootstrap Token 能够将安全令牌授予给登录 Mac 电脑的任何用户,包括本地用户账户。使用 macOS 10.15 或更高版本中的 Bootstrap Token 功能需要:
使用“Apple 校园教务管理”或“Apple 商务管理”在 MDM 中注册 Mac,从而让 Mac 受监督
MDM 供应商支持
在 macOS 10.15.4 或更高版本中,启用了安全令牌的任何用户在首次登录时会生成 Bootstrap Token 并托管到 MDM,前提是 MDM 解决方案支持该功能。在需要时,还可以使用 profiles 命令行工具来生成 Bootstrap Token 并托管到 MDM。
在 macOS 11 中,Bootstrap Token 除了可用于向用户账户授予安全令牌外,还可用于其他方面。在搭载 Apple 芯片的 Mac 上,通过 MDM 进行管理时,Bootstrap Token(如果可用)可用于授权安装内核扩展和软件更新。
机构恢复密钥和个人恢复密钥
CoreStorage 和 APFS 宗卷上的文件保险箱均支持使用机构恢复密钥(IRK,之前称为“文件保险箱主身份标识”)解锁宗卷。虽然 IRK 在通过命令行操作解锁宗卷或完全停用文件保险箱方面很有用,但其实用性对于组织而言很有限,在最近版本的 macOS 中尤其如此。在搭载 Apple 芯片的 Mac 上,IRK 没有实际价值,主要有两个方面的原因:首先,IRK 不能用于访问 recoveryOS;其次,由于不再支持目标磁盘模式,无法通过将宗卷连接到其他 Mac 来进行解锁。鉴于以上及其他方面的原因,不再建议组织使用 IRK 管理 Mac 电脑上的文件保险箱,而应改用个人恢复密钥 (PRK)。