在 macOS 中管理 FileVault

在 macOS 中管理 FileVault

在 macOS 中，组织可以使用 SecureToken 或 Bootstrap Token 来管理文件保管库。

使用安全令牌

macOS 10.13 或更高版本中的 Apple 文件系统 (APFS) 更改了 FileVault 加密密钥的生成方式。 在 CoreStorage 卷上的旧版 macOS 中，FileVault 加密中使用的密钥是在用户或组织在 Mac 上启用 FileVault 时创建的。 在 APFS 卷上的 macOS 中，此类密钥是在用户创建、设置第一个用户的密码或 Mac 用户首次登录期间创建的。加密密钥的实现方式、生成时间以及存储方式都是称为安全令牌的功能的一部分。 具体来说，安全令牌是受用户密码保护的密钥加密密钥 (KEK) 的包装版本。

在 APFS 上部署 FileVault 时，用户可以继续：

在 macOS 11 中，为 Mac 上的第一个用户设置初始密码会向该用户授予安全令牌。 在流程的某些部分中，这可能不是预期的行为，因为在此之前授予的第一个安全令牌需要登录到用户帐户。 要防止发生此行为，请在设置用户密码之前将 ;DisabledTags;SecureToken 添加到以编程方式创建的用户的 AuthenticationAuthority 属性中，如下所示：

sudo dscl .append /Users/ AuthenticationAuthority ";DisabledTags;SecureToken"

使用引导令牌

macOS 10.15 引入了 Bootstrap Token，这是一项新功能，可帮助向设备注册期间创建的移动帐户和管理员帐户（“托管管理员”，可选）授予安全令牌。 在 macOS 11 中，Bootstrap Token 可以向登录 Mac 计算机的任何用户（包括本地用户帐户）授予安全令牌。 在 macOS 10.15 或更高版本中使用 Bootstrap Token 功能需要：

在 macOS 10.15.4 或更高版本中，任何启用了安全令牌的用户在首次登录时都会生成一个引导令牌并将其托管到 MDM（如果 MDM 解决方案支持此功能）。 需要时，您还可以使用profiles命令行工具生成Bootstrap Token并将其托管到MDM。

在 macOS 11 中，除了向用户帐户授予安全令牌之外，Bootstrap 令牌还可用于其他目的。 在基于 Apple 的 Mac 上，当通过 MDM 进行管理时，引导令牌（如果可用）可用于授权安装内核扩展和软件更新。