Dieser Artikel erklärt, was ein Secure Token unter macOS ist, welche Rolle es bei der lokalen Benutzerverwaltung spielt und warum es für Aktionen wie das Ändern von Benutzerpasswörtern oder das Erstellen neuer Benutzerkonten erforderlich ist.
Was ist ein sicheres Token?
Das Secure Token ist eine von macOS generierte Sicherheitskennung, die mit einem lokalen Benutzerkonto verknüpft ist.
Es ermöglicht die Datenverschlüsselung und -entschlüsselung über FileVault . Ein Benutzer mit einem Sicherheitstoken gilt als „autorisiert“, sensible Systemaktionen durchzuführen, wie zum Beispiel:
- FileVault aktivieren oder deaktivieren
- Ändern des Passworts eines anderen lokalen Benutzers (sofern der Benutzer über ein sicheres Token verfügt)
- Erstellen eines neuen lokalen Benutzers
- Einem anderen Konto ein sicheres Token zuweisen
- Ohne ein sicheres Token schlagen diese Vorgänge fehl, selbst wenn sie von einem Administratorkonto ausgeführt werden.
Warum das Secure Token für Factorial IT wichtig ist
Factorial IT setzt auf Secure Token, um macOS-Benutzer sicher zu verwalten.
Beim Zurücksetzen eines Passworts oder beim Erstellen eines neuen Benutzers über Factorial IT verlangt macOS, dass die Aktion von einem Konto initiiert wird, das über ein sicheres Token verfügt.
Dies gewährleistet:
- Einhaltung der Sicherheitsanforderungen von Apple
- Fortgesetzter Zugriff auf die FileVault-verschlüsselte Festplatte
- Ordnungsgemäße Durchführung von Benutzerverwaltungsaktionen über Factorial IT
Überprüfen Sie den Status des sicheren Tokens in Factorial IT.
Der Status des sicheren Tokens wird direkt im Factorial IT-Cockpit unter der Registerkarte „Benutzer “ des jeweiligen Geräts angezeigt.
Sie können schnell überprüfen, ob das von Factorial IT verwendete macOS-Administratorkonto über ein aktives Secure Token verfügt.
Um eine ordnungsgemäße Benutzerverwaltung über Factorial IT zu gewährleisten, stellen Sie sicher, dass das mit dem Gerät verknüpfte Administratorkonto über ein sicheres Token verfügt.
Sicheres Token übertragen
Wenn Sie ein Konto mit einem SecureToken besitzen und dieses auch einem anderen Konto zuweisen möchten, gehen Sie wie folgt vor
- Falls erforderlich, das Konto mit erteiltem SecureToken hochstufen (muss sudo-Benutzer sein).
- Führen Sie
sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword -aus. - Um zu überprüfen, ob SecureToken für das neue Konto aktiviert ist, führen Sie den Befehl
sudo sysadminctl -secureTokenStatus seconduseraccountaus. - Falls erforderlich, stufen Sie das Konto herab.
Es kann bis zu 24 Stunden dauern, bis das Cockpit den Status des lokalen Kontos auf der Registerkarte „Benutzer“ des Geräts aktualisiert.
SecureToken-Verhalten (nur macOS)
| Erstellungsmethode | Administratorkonto | Nicht-Administrator-Konto |
| Erstellt von Factorial IT während ZTD | SecureToken automatisch aktiviert | Kein SecureToken bereitgestellt |
| Automatisch erstellt durch die Richtlinie „Administratorkonto“. | Beim ersten Login des Kontos wird ein SecureToken bereitgestellt. | Kein SecureToken bereitgestellt |
| Manuell vom Kunden über Factorial IT erstellt. | Beim ersten Login des Kontos wird ein SecureToken bereitgestellt. | Kein SecureToken bereitgestellt |
| Manuell vom Kunden vor Ort erstellt | SecureToken wird bereitgestellt, wenn das Konto mit SecureToken erstellt wurde. | Kein SecureToken bereitgestellt |
| Vom Kunden lokal oder remote über sysadminctl erstellt | SecureToken wird bereitgestellt, wenn die Erstellung über den Administrator mit SecureToken erfolgte. | SecureToken wird bereitgestellt, wenn die Erstellung über den Administrator mit SecureToken erfolgte. |