jamf filevault 视频 个人恢复密钥 personal recovery key 有大用 有大大用 有大大大用

个人恢复密钥 比较实用

机构恢复密钥 不太重要,不太实用

个人恢复密钥 personal recovery key,unknown

是不是要在 self service 当中再启用一下  

How to Manage FileVault

https://www.y2b.com/watch?v=5zQEQwoRoDA&list=PLAGm7fU4wolOEACxN2XJc8kB8YHtT3Kta&index=1    

What is FileVault on a Mac? When Should You Enable FileVault?

https://www.y2b.com/watch?v=IkAk3A0-DKs      

Jamf 100官方培训视频 2020年版 40个合成完全版

https://www.bilibili.com/video/BV1tK41137bH/?spm_id_from=333.337.search-card.all.click&vd_source=346847773d1f74962a4daab9ddf7f228  

安全令牌 secure token

对macOS有所帮助在apfs卷上,加密密钥是在用户创建期间设置第一个用户的密码或在

mac用户首次登录期间生成的,,,在mac Os 11或更高版本中，有几种不同的方式

为mac上的第一个用户设置初始密码

导致该用户在某些工作流程中被授予安全令牌，这可能不是

所需的行为,因为之前授予第一个安全令牌将需要用户

帐户登录这种语言,这是非常有意的,特别是如果部署工作流程以

编程方式添加其他本地

用户,当执行此操作的策略可能在设置期间创建

第一个预期主用户帐户之前运行时

安全令牌是用户创建或登录的附加令牌,将被托管到mdm,以便将附加密钥

发送到mdm,,并且 mac os 可以在认为合适时请求,

如果用户帐户登当时没有安全令牌,则登录窗口将在他们登录时授予他们一个,

这也可以用于带有m1芯片的apple silicon 计算机的不同管理工作流程

引导令牌  bootstrap token  

macos 10.15引入的

重要的是要注意引导令牌

不需要由管理员主动管理

Mac操作系统将在任何时候尝试创建它 可以像jamf pro一样将其发送到mdm,

并且在认为合适时也会请求它，也不

需要采取任何操作

卷所有权 Volume ownership

这个主题特定于采用苹果芯片的计算机,

虽然它与文件库没有直接关系

但我们今天讨论的内容

导致成功部署文件库的工作流程,,

也适用于部署具有苹果芯片的计算机Apple Silicon,,

并确保计算机上的用户

具有用于不同功能的卷所有权属性

简而言之，它是另一个加密用户

属性，允许用户访问存储

在安全飞地中的所有者身份密钥,,

并且是软件更新管理等功能所必需的

遗留内核扩展以及

引导令牌也具有卷

所有者权限，这意味着由

mdm服务器启动的软件更新也可以以

编程方式提供授权

如果您有一个用户

收到安全令牌的工作流程，他们也

应该所有者

好吧，我们已经确定了mac OS

处理用户帐户的加密密钥，

首先重新审视的是用户何时设置的概念

一台Mac自己,这可以通向最

直接的路径，

这是基本工作流程，

如果您在用户设置的这种情况下使用

真正的零接触部署,它确实会被接受,

他们获得第一个安全令牌的新计算机,

引导令牌被托管到mdm,

因此,如果您有

需要稍后登录的托管管理员，他们可以通过

这种方式从mdm检索并获取令牌,,

一旦设置了管理操作,

就像我们一样。我们将查看前面的这些选择,

该操作可以为该用户启用文件保管库,,

然后托管个人恢复密钥，以便

将来在需要访问磁盘时使用

这里有关于

组织设置时令牌如何工作的指南，

因为它的帐户将是

第一个获得令牌的帐户而不是

日常用户,这实际上是该区域

您希望对这些工作流程保持谨慎，或者至少

知道您的部署受到如何影响

并检查令牌状态，

因此种情况是，如果IT管理员

设置一台计算机，

他们将获得第一个令牌，

但好消息在macos 11或更高版本中

引导令牌也会被托管,

因此通常很容易

解决，但有几种情况，

但是，如果在创建用户之前运行堵塞策略，

则可能会导致意外的用户

获得第一个令牌,这是

由策略设置创建的本地帐户

密码可以获取令牌和传递用户名和密码的脚本，

这通常不是个好的安全

实践,它也可以为该脚本用户提供

第一个安全令牌,,

请注意如果您执行额外的操作

jam pro prestage或jamf

管理帐户中的用户创建了

不适用于底部两项的用户

并且不会获得第一个

安全令牌

来自 https://support.apple.com/en-hk/guide/deployment/dep24dbdcf9e/web 

 三种方法启用文件保险箱

在设定描述符中设置

描述符发布方法: Install Automatically

在策略中设置

上图的 Personal Key 的位置

当启用 Enable FileVault时,下面的  User adjustment of FileVault options 就强制变灰了

不管是在 设定描述符还是在策略中设置了 文件保险箱,如果条件为触发登录的用户,启动时就会像下面这样子的,,,,点下图的 取消 就无法登录

许多管理员更喜欢登录触发器,,,,因为用户实际上被迫选择您接下来 启用

Jamf Connect Login  

JAMF连接登录

Benefits

优势

Part of first login, Automated Device Enrollment flow

首次登录的一部分，自动化设备注册流程

First user authentication will:

第一次用户身份验证将：

Create first user account, assign first Secure Token

创建第一个用户帐户，分配第一个安全令牌

Enable FileVault without additional logout and login

无需注销和登录即可启用FileVault

Jamf Connect Login

JAMF连接登录

Requirements

要求

Must be first user created during provisioning

必须是在资源调配期间创建的第一个用户

Jamf Connect configured to enable FileVault

配置为启用FileVault的JAMF连接

PPPC profile for Connect deployed (Checkbox to deploy)

已部署连接的PPPC配置文件(要部署的复选框)

Config profile to escrow Personal Recovery Key

托管个人恢复密钥的配置文件  禁止关闭pppc的文件保管库

PPPC:    Privacy Preferences Policy Control,隐私首选项策略控制

系统=>计算机管理=>安全

# sudo fdesetup list -extended   #在本电脑查看令牌

#  diskutil apfs listCryptoUsers /     #与上面的操作的功能类似  这里斜杠 / 指的是 卷,根目录的意思吧

重新发布新恢复密钥(已有个人恢复密码)

如果没有个人恢复密钥

如果没有个人恢复密钥

你可以定位符合某些智能组标准的设备并使用将修复并

颁发新密钥的工作流程来定位它们，

因此使用文件库验证的智能组进行定位是无效的

使用文件库加密的计算机

应该为您提供一组

您想要放置此

工作流程的良好目标

它不需要解密，所以

谢天谢地，数据将始终受到保护

但您将希望将该

恢复密钥

放回到该管理记录中

这可以

使用该智能组将其设置为持续策略，因此如果设备

落入没有经过验证的恢复密钥的标准

可能会被定位和触发，

它实际上是

脚本和配置文件的组合

配置文件将被设置为托管

密钥，而脚本将被设置为告诉

fde安装程序生成新的密钥

密钥利用当前用户的密码

作为生成密码的方法，

以获取更多信息，可

在jamf pro或 jamf github页面上找到此链接

FileVault2_Scripts / reissueKey.sh

允许您自定义它并添加您自己的品牌,可以 把这个脚本放在自助服务 self service 当中 

jamf reissueKey.sh

reissueKey.sh 脚本是用于在 Jamf Pro 中重新发行注册配置文件的工具。通过运行 reissueKey.sh，可以为已经在 Jamf Pro MDM 系统中注册的 macOS 设备生成新的注册配置文件证书。使用 reissueKey.sh，可以为设备创建新的注册配置文件，而无需取消注册并重新注册设备。这对于排除 MDM 问题或更新设备上的注册配置文件非常有用。要使用 reissueKey.sh，只需在需要新注册配置文件的设备上运行该脚本，并按照屏幕提示生成新密钥。

reissueKey.sh  需要结合配置文件一起使用吗

是的，reissueKey.sh 脚本需要与注册配置文件（也称为enrollment profile）一起使用。注册配置文件包含了设备的认证信息和与 Jamf Pro MDM 服务器通信所需的证书。当运行 reissueKey.sh 脚本时，它会使用现有的注册配置文件来重新生成新的 Key，然后将生成的新证书与注册配置文件相关联。这样，设备就能够使用新的证书与 Jamf Pro 服务器进行通信，而无需取消注册并重新注册设备。因此，在使用 reissueKey.sh 脚本之前，请确保你已经有有效的注册配置文件可用。

可以直接把 reissueKey.sh 这个脚本放到 jamf 的 策略当中,然后在 self service 中 点击运行吗

是的，你可以将reissueKey.sh脚本作为Jamf的策略之一，然后在Self Service中让用户点击运行。这样用户就可以通过Self Service轻松地执行重新发行注册配置文件的操作，而无需过多的管理员干预。

要将reissueKey.sh脚本添加到Jamf的策略中，你可以使用Jamf Pro的管理控制台来创建一个新的策略，并将reissueKey.sh脚本作为一个自定义脚本或命令行脚本添加到该策略中。然后，将该策略设置为在Self Service中可见，使用户能够轻松运行该脚本以重新生成注册配置文件。

https://github.com/jamf/FileVault2_Scripts  

值得注意的是，

如果任何组织使用

机构恢复密

而不是个人恢复密钥，则

此重新颁发工作流程

总结一下:

当需要托管新的个人

恢复密钥以持续

管理您的设备组时，也很有用

如果您部署其他lT用户

帐户，文件库并不需要很复杂，但您应该评估您

当前的目标或将其他用户

创建策略设置为在

创建主用户后运行

因此了解您的部署工作流程及其

给出的结果

实际上是第一步

无论您是否需要

更改某些内容，修改

都会更容易在

前端执行此操作部署的而

不是返回并尝试修复您的启用方法实际上可以是

个人偏好

策略配置文件，

这实际上取决于您

只需确保将其设置为

以您想要的方式启用并让该

密钥托管

轮换需要时使用密钥

以及授予有限权限的任何内容

您都可以

在jamf pro中设置访问权限

并审核谁可以查看这些

恢复密钥，

实际上，涉汲文件库操作时，大多数事倩都

应该是设置后就可以

忘记

在许多经历入职流程的客户中

这些工作流程甚至是补救工作

流程(如果需要)通常会

立即进行设置，允许这些设备

签入以及是否需要采取行动以

在jamf中进行基于库存的自动化pro

可以完成工作

来自    https://www.y2b.com/watch?v=5zQEQwoRoDA&list=PLAGm7fU4wolOEACxN2XJc8kB8YHtT3Kta&index=1