macOS 中的文件保險箱和智能卡使用

使用文件保險箱在搭載 Apple 芯片且運(yùn)行 macOS 11 或更高版本的 Mac 上登錄允許使用 macOS 支持的認(rèn)證方式，其中包括對使用 CCID 和兼容 PIV 的智能卡進(jìn)行認(rèn)證的內(nèi)建支持。

使用智能卡全局登錄可讓成功的文件保險箱認(rèn)證也自動登錄到系統(tǒng)。文件保險箱的智能卡支持可使用 security 命令行工具進(jìn)行管理。

在搭載 Apple T2 安全芯片且運(yùn)行 macOS 10.14 或更高版本的 Mac 上，解鎖文件保險箱將啟用登錄。但是，這些電腦上的文件保險箱不包括智能卡支持。為便于智能卡登錄，每臺電腦上必須運(yùn)行以下命令：

sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES

Mac 重新啟動時，macOS 會支持文件保險箱使用密碼解鎖，然后在登錄窗口中提示智能卡認(rèn)證。此設(shè)置還可使用移動設(shè)備管理 (MDM) 解決方案中的被管理偏好設(shè)置進(jìn)行管理。

對于運(yùn)行 macOS 11 或更高版本的 Mac，recoveryOS 中提供了智能卡恢復(fù)選項（如果“強(qiáng)制使用智能卡”已打開）。在用戶的智能卡丟失或損壞的情況下，用戶可暫時使用本地管理者認(rèn)證覆蓋智能卡執(zhí)行方案。若要執(zhí)行此作，用戶必須將 Mac 啟動進(jìn)入 recoveryOS，進(jìn)行認(rèn)證，并運(yùn)行以下命令：

security filevault skip-sc-enforcement

然后用戶會收到輸入管理員密碼的提示。如果成功，智能卡執(zhí)行方案會僅跳過一次登錄。用戶可隨后取消配對，然后配對新智能卡以繼續(xù)常規(guī)智能卡作。