在当今的移动工作和教育环境中,Apple 设备的一个关键功能是内置的 macOS 加密技术,该技术保护组织数据和用户隐私。配备 Apple M1 芯片的最新计算机还具有额外的加密功能。
虽然这些安全层有助于保护最终用户手中的设备,无论他们在哪里工作或学习,但这也意味着 Mac 管理员需要加密特权来访问数据和管理用户帐户。
MacOS FileVault 是苹果在 Mac 上进行全磁盘加密的原生解决方案,它保留了您对用户密码加密保护的数据的远程管理访问权限。但由于有多种方法可以启用和管理文件保险箱,Mac 管理员甚至知道从哪里开始都可能是一个挑战。
为了帮助您了解组织的最佳做法,我们的网络研讨会“如何使用 Jamf 管理文件保险箱”就如何充分利用文件保险箱远程管理的潜力提供了专家指导。
网络研讨会概述了苹果的原生技术、选择启用工作流程的准则以及恢复密钥和密码重置管理的建议。
继续阅读一些要点,了解如何在使用文件保险箱和 Jamf 的同时保持最高安全标准,提供最佳用户体验。
为什么要了解文件保险箱管理?
如果您负责管理组织的 Apple 设备——无论是 Jamf Pro、Jamf School 还是 Jamf Now——您需要了解和理解原生的 Apple 加密技术,以及它们如何适合您期望的结果,以便您可以选择适当的启用工作流程和部署方法。macOS 计算机的不同工作流程和部署方法可能会导致不同的结果。
有关全面概述,IT 管理员应查阅《Apple 平台部署指南》。有关文件保险箱的具体信息,请查看“确保设备安全”标题下的部分。
macOS 加密构建块
对理解 macOS 加密和文件保险箱管理至关重要的技术包括:
- SecureToken – 帐户创建期间分配的加密密钥,由用户的密码包装。用户需要支持文件保险箱。
- Bootstrap 令牌 – 当创建或登录 SecureToken 用户时,另一个额外的令牌会被托管到 MDM。在 macOS 10.15 中引入。
- 卷宗所有权 – 特定于搭载 Apple 芯片的计算机。允许用户访问存储在安全隔区中的所有者身份密钥。使用软件更新、管理传统外部扩展等功能时需要。
选择您的部署工作流程
《Apple 平台部署指南》包含特定场景供参考,以便您可以选择适合您组织的场景。
用户自行设置 Mac
真正的零触控部署是文件保险箱启用的最直接路径。
Mac 由组织配置
如果您的 IT 管理员设置了一台新计算机,他们将是第一个获得令牌的人而不是日常用户。在这种情况下,您需要考虑您的部署如何影响令牌状态。
还有几种情况是,如果 Jamf 策略在创建用户之前运行,可能会导致意外用户获得第一个令牌。
最佳实践是评估您的部署工作流程的目标和结果,以便您确定是否需要更改或修改启用方法,并了解在管理文件保险箱时谁获得了令牌。
在部署的前端建立这些实践比以后再回去修复更容易。
选择文件保险箱启用方法
您可以选择三种主要的启用方法来管理文件保险箱。您可以使用多个计算机,但任何给定的计算机都应该只用一种方法瞄准。
- 配置描述文件 – 简单明了,适用于目标。
- Jamf Pro 策略-允许自定义用户体验和消息传递。
- Jamf Connect 登录-仅用于部署的新机器。
启用方法可以是个人偏好
无论您是使用配置配置配置文件还是设置策略,最重要的选择是确保您选择的启用配置配置文件的方式也允许您管理对加密特权的访问。
在文件保险箱中报告
了解您是否成功启用了文件保险箱,或知道该针对谁启用设备,对于合规性和报告以及补救目的都至关重要。
查看单个计算机记录可以显示丰富的库存数据,包括:
- 加密状态
- 恢复密钥有效性
- 查看恢复密钥(具有特定级别的访问权限)
- 磁盘加密配置(如果策略启用)
除了内置库存字段外,IT 管理员还可以使用 macOS 上的 fdesetup 二进制文件添加自定义属性并深入研究部署工作流程。
恢复密钥管理等
对于设备安全性的持续管理,考虑如何处理恢复密钥管理很重要。
例如,被锁定在计算机之外的用户可能需要重设密码。
个人恢复密钥(PRK)可以提供帮助,但最佳做法是在出于安全考虑使用后旋转它。您可以在文件保险箱中设置策略来旋转和发放新的恢复密钥。
与大多数文件保险箱操作一样,您在设置中做出的初步决定是最重要的。决定您希望发生什么,启用工作流程,MDM 中的自动化可以为您完成这些工作。
要了解有关如何在组织中设置和管理 FileVault 的更多详细信息,请联系我们。