Administrering av FileVault i macOS
I macOS kan organisasjonene administrere FileVault ved å bruke sikkert kjennetegn eller Bootstrap-kjennetegn.
Ved bruk av sikkert kjennetegn
Apple File System (APFS) i macOS 10.13 eller nyere endrer hvordan FileVault-krypteringsnøkler genereres. I tidligere versjoner av macOS på CoreStorage-volumer ble nøklene som brukes i FileVault-krypteringsprosessen, opprettet når FileVault ble slått på av en bruker eller en organisasjon. I macOS på APFS-volumer genereres nøklene enten under oppretting av bruker, når den første brukerens passord angis, eller under første pålogging av en bruker på Macen. Denne implementeringen av krypteringsnøklene, når de genereres, og hvordan de lagres, er en del av en funksjon som kalles sikkert kjennetegn. Mer konkret er et sikkert kjennetegn en innpakket versjon av en nøkkelkrypteringsnøkkel (KEK) som beskyttes av en brukers passord.
Ved utrulling av FileVault på APFS kan brukeren fortsette å:
bruke eksisterende verktøy og prosesser, for eksempel en personlig gjenopprettingsnøkkel (PRK) som kan oppbevares med en MDM-løsning for deponering
utsette aktivering av FileVault til en bruker logger på eller av Macen
opprette og bruke en gjenopprettingsnøkkel for institusjonen (IRK)
Når det første passordet angis for den aller første brukeren på Macen i macOS 11, får brukeren tildelt et sikkert kjennetegn. I enkelte arbeidsflyter er dette kanskje ikke ønskelig, siden tildeling av det første sikre kjennetegnet tidligere ville ha krevd pålogging av brukerkontoen. For å unngå at dette skjer, må ;DisabledTags;SecureToken legges til den programmatisk opprettede brukerens AuthenticationAuthority-attributt før brukerens passord angis, som vist nedenfor:
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Ved bruk av Bootstrap-kjennetegn
macOS 10.15 introduserte en ny funksjon, Bootstrap-kjennetegn, for å hjelpe til med å tildele et sikkert kjennetegn til både mobile kontoer og den valgfrie administratorkontoen («administrert administrator») opprettet via enhetsregistrering. I macOS 11 kan et Bootstrap-kjennetegn tildele et sikkert kjennetegn til en hvilken som helst bruker som logger på en Mac, inkludert lokale brukerkontoer. Bruk av Bootstrap-kjennetegn-funksjonen i macOS 10.15 eller nyere krever:
Mac-registrering i MDM ved hjelp av Apple School Manager eller Apple Business Manager, som setter Macen under tilsyn
MDM-leverandørstøtte
I macOS 10.15.4 eller nyere blir et Bootstrap-kjennetegn generert og deponert i MDM ved første pålogging av en bruker som har aktivert sikkert kjennetegn, hvis MDM-løsningen støtter funksjonen. Et Bootstrap-kjennetegn kan også genereres og deponeres i MDM ved hjelp av profiles-kommandolinjeverktøyet, hvis det er nødvendig.
I macOS 11 kan et Bootstrap-kjennetegn også brukes til mer enn kun å tildele sikkert kjennetegn til brukerkontoer. På Macer med Apple-chip kan et Bootstrap-kjennetegn, hvis det er tilgjengelig, brukes til å autorisere installasjonen av både kjerneutvidelser og programvareoppdateringer når det administreres via MDM.
Gjenopprettingsnøkler for institusjonen kontra personlige gjenopprettingsnøkler
FileVault på både CoreStorage- og APFS-volumer støtter at det brukes en gjenopprettingsnøkkel for institusjonen (IRK, tidligere kalt FileVault-masteridentitet) til å låse opp volumet. Selv om en IRK er nyttig for kommandolinjeoperasjoner for å låse opp et volum eller slå av FileVault, har den begrenset nytte for organisasjoner, spesielt i nyere versjoner av macOS. Og på en Mac med Apple-chip har IRK-er ingen funksjonell verdi. Det skyldes primært to ting: For det første kan ikke IRK-er brukes til å få tilgang til recoveryOS, og for det andre kan ikke volumet låses opp ved å koble det til en annen Mac, siden måldiskmodus ikke lenger støttes. På grunn av blant annet dette anbefales det ikke lenger at institusjoner bruker en IRK til å administrere FileVault på Mac-datamaskiner. Det bør brukes en personlig gjenopprettingsnøkkel (PRK) i stedet.