Cet article explique ce qu'est le jeton sécurisé sur macOS, son rôle dans la gestion des utilisateurs locaux et pourquoi il est nécessaire pour des actions telles que la modification des mots de passe des utilisateurs ou la création de nouveaux comptes d'utilisateurs.
Qu'est-ce qu'un jeton sécurisé ?
Le jeton sécurisé est un identifiant de sécurité généré par macOS et lié à un compte utilisateur local.
Il permet le chiffrement et le déchiffrement des données via FileVault . Un utilisateur disposant d'un jeton sécurisé est considéré comme « autorisé » à effectuer des actions système sensibles telles que :
- Activation ou désactivation de FileVault
- Modification du mot de passe d'un autre utilisateur local (si l'utilisateur possède un jeton sécurisé)
- Création d'un nouvel utilisateur local
- Octroi d'un jeton sécurisé à un autre compte
- Sans jeton de sécurité, ces opérations échoueront, même si elles sont effectuées par un compte administrateur.
Pourquoi le jeton sécurisé est important pour Factorial IT
Factorial IT utilise le jeton sécurisé pour gérer en toute sécurité les utilisateurs macOS.
Lors de la réinitialisation d'un mot de passe ou de la création d'un nouvel utilisateur via Factorial IT, macOS exige que l'action soit initiée par un compte possédant un jeton sécurisé.
Cela garantit :
- Conformité aux exigences de sécurité d'Apple
- Accès continu au disque chiffré FileVault
- Exécution correcte des actions de gestion des utilisateurs via Factorial IT
Vérifiez le statut du jeton sécurisé dans Factorial IT
L'état du jeton sécurisé est affiché directement dans le cockpit Factorial IT , sous l'onglet Utilisateurs du périphérique concerné.
Vous pouvez rapidement vérifier si le compte administrateur macOS utilisé par Factorial IT possède un jeton de sécurité actif.
Pour garantir une gestion correcte des utilisateurs via Factorial IT, assurez-vous que le compte administrateur lié à l'appareil possède un jeton sécurisé.
Transfert SecureToken
Si vous possédez un compte disposant d'un jeton SecureToken et que vous souhaitez qu'un autre compte en bénéficie également, suivez cette procédure.
- Si nécessaire, promouvez le compte avec SecureToken Granted (doit être un utilisateur sudo).
- Exécutez
sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword - - Pour vérifier si le jeton sécurisé est activé sur le nouveau compte, exécutez la commande suivante
sudo sysadminctl -secureTokenStatus seconduseraccount - Si nécessaire, rétrogradez le compte.
La mise à jour du statut du compte local dans l'onglet Utilisateurs de l'appareil peut prendre jusqu'à 24 heures.
Comportements de SecureToken (MacOS uniquement)
| Méthode de création | Compte administrateur | Compte non administrateur |
| Créé par Factorial IT pendant ZTD | SecureToken a été activé automatiquement. | Aucun jeton sécurisé fourni |
| Créé automatiquement par la politique du « compte administrateur ». | SecureToken fourni lors de la première connexion au compte | Aucun jeton sécurisé fourni |
| Créé manuellement par le client via Factorial IT | SecureToken fourni lors de la première connexion au compte | Aucun jeton sécurisé fourni |
| Créé manuellement par le client localement | SecureToken fourni si créé à partir d'un compte administrateur avec SecureToken | Aucun jeton sécurisé fourni |
| Créé via sysadminctl par le client localement ou à distance | SecureToken fourni si créé via l'interface d'administration avec SecureToken | SecureToken fourni si créé via l'interface d'administration avec SecureToken |