於部署中使用 Secure token、Bootstrap token、Volume ownership

Apple 在 10 月 27 日時發表了一篇新的技術文章,主要是在說明大量部署時,會使用哪些 token,以下將針對幾個於部署時所使用的 token 及其他技術作簡短介紹。

Secure Token

於 macOS 10.13 或以上的版本,Apple File System(APFS)修正了 FileVault 的加密方式。而之前版本的 CoreStorage 是當使用者或組織在 Mac 上啟動 FileVault 時,在 FileVault 的加密過程中使用密碼;而在 APFS 卷宗裡,加密密鑰則是在使用者建立並設置第一組使用者密碼、或使用者第一次登入時就已生成。由於此種加密方式是由電腦自動生成,也較不易破解,它可以說是「Secure Token」功能裡的一部分。

Bootstrap token

在 macOS 10.15 或以上的版本,Bootstrap token 則是在行動帳號與已註冊的「受管理的管理員」帳號中為 Secure Token 提供了不少協助。在 macOS 11 或以上的版本,Bootstrap token 則是當任何使用者登入至 Mac 電腦時,將會授與 Secure Token。

Volume ownership

搭載 Apple Silicon 的 Mac 電腦介紹了 Volume Ownership 的概念。組織中的 Volume Ownership 與 Mac 原生的 Legal Ownership 無關,相反地,Volume Ownership 較容易為第一次使用 Mac 的使用者或其他使用者配置相關設定。而你必須是 Volume Owner,以便更改部署安全策略、授權安裝 macOS 的軟體更新與升級,甚至「清除所有內容與設定」。

如何使用 Command-line

Command-line 工具將用於 Secure token 及 Bootstrap token。

Bootstrap token 常用於 Mac 上,當 MDM 解決方案告訴 Mac 需要支援此功能後,啟用 macOS 並在設定過程中,將 Bootstrap token 引至 MDM 解決方案中。已部署的 Mac 亦可生成 Bootstrap token,在 macOS 10.15.4 或以上的版本中,如果 MDM 解決方案有支援此功能的話,那麼任何啟用 Secure token 的使用者在第一次登入時,將生成 Bootstrap token 並引至 MDM 解決方案中。這大幅減少了在配置設備後,需要透過 Command-line 工具來執行 token 並於 MDM 中代管指令的時間。

更多關於 Secure token、Bootstrap token、Volume Ownership,或是 Command-line 的指令,請參閱此處

原文連結:https://support.apple.com/zh-tw/guide/deployment/dep24dbdcf9e/web