Aquest article explica què és el Secure Token a macOS, la seva funció en la gestió d'usuaris locals i per què és necessari per a accions com ara canviar les contrasenyes dels usuaris o crear nous comptes d'usuari.
Què és el token segur?
El Secure Token és un identificador de seguretat generat per macOS i vinculat a un compte d'usuari local.
Permet el xifratge i el desxifratge de dades a través de FileVault . Un usuari amb un Secure Token es considera "autoritzat" per dur a terme accions sensibles del sistema com ara:
- Activació o desactivació de FileVault
- Canviar la contrasenya d'un altre usuari local (si l'usuari té un testimoni segur)
- Creació d'un nou usuari local
- Atorgar un token segur a un altre compte
- Sense un testimoni segur, aquestes operacions fallaran, fins i tot si les realitza un compte d'administrador.
Per què el Secure Token és important per Factorial IT
Factorial IT es basa en el Secure Token per gestionar de manera segura els usuaris de macOS.
Quan es restableix una contrasenya o es crea un usuari nou a través de Factorial IT, macOS requereix que l'acció sigui iniciada per un compte que tingui un Secure Token.
Això garanteix:
- Compliment dels requisits de seguretat d'Apple
- Accés continuat al disc xifrat amb FileVault
- Execució correcta de les accions de gestió d'usuaris a través de Factorial IT
Comprova l'estat del Secure Token a Factorial IT
L'estat del Secure Token es mostra directament al panel de control informàtic Factorial, a la pestanya Usuaris del dispositiu corresponent.
Podeu verificar ràpidament si el compte d'administrador de macOS que utilitza Factorial IT té un Secure Token actiu.
Per garantir una correcta gestió d'usuaris a través de Factorial IT, assegureu-vos que el compte d'administrador vinculat al dispositiu tingui un Secure Token.
Transfereix SecureToken
Si teniu un compte que té un SecureToken atorgat i voleu que un altre compte el tingui, seguiu aquest procediment
- Si cal, promocioneu el compte amb SecureToken Granted (ha de ser sudoers)
- Executeu
sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword - - Per comprovar si el secureToken està habilitat al compte nou, executeu
sudo sysadminctl -secureTokenStatus seconduseraccount - Si cal, degrada el compte.
El panel de control pot trigar fins a 24 hores a actualitzar l'estat del compte local a la pestanya d'usuaris del dispositiu.
Comportaments de SecureToken (només per a MacOS)
| Mètode de creació | Compte d'administrador | Compte no administrador |
| Creat per Factorial IT durant el ZTD | SecureToken activat automàticament | No s'ha proporcionat cap SecureToken |
| Creat automàticament per la política "Compte d'administrador" | SecureToken proporcionat en el primer inici de sessió del compte | No s'ha proporcionat cap SecureToken |
| Creat manualment pel client a través de Factorial IT | SecureToken proporcionat en el primer inici de sessió del compte | No s'ha proporcionat cap SecureToken |
| Creat manualment pel client localment | SecureToken proporcionat si es crea des d'un compte d'administrador amb SecureToken | No s'ha proporcionat cap SecureToken |
| Creat mitjançant sysadminctl pel client localment o remotament | SecureToken proporcionat si es crea amb l'administrador amb SecureToken | SecureToken proporcionat si es crea amb l'administrador amb SecureToken |