Zum Hauptinhalt springen
In diesem Artikel wird erläutert, was das Sichere Token auf macOS ist, welche Rolle es bei der lokalen Benutzerverwaltung spielt und warum es für Aktionen wie das Ändern von Benutzerkennwörtern oder das Erstellen neuer Benutzerkonten erforderlich ist.

Was ist der sichere Token?

Das Sichere Token ist eine von macOS generierte und mit einem lokalen Benutzerkonto verknüpfte Sicherheitskennung. Es ermöglicht die Datenverschlüsselung und -entschlüsselung über FileVault. Ein Benutzer mit einem sicheren Token gilt als „autorisiert“, vertrauliche Systemaktionen auszuführen, wie zum Beispiel:
  • FileVault aktivieren oder deaktivieren
  • Ändern des Passworts eines anderen lokalen Benutzers (wenn der Benutzer über ein sicheres Token verfügt)
  • Erstellen eines neuen lokalen Benutzers
  • Gewähren eines sicheren Tokens an ein anderes Konto
Ohne ein sicheres Token schlagen diese Vorgänge fehl, selbst wenn sie von einem Administratorkonto ausgeführt werden.

Warum das Secure Token für Primo wichtig ist

Primo verlässt sich auf das Secure Token, um macOS-Benutzer sicher zu verwalten. Beim Zurücksetzen eines Passworts oder beim Erstellen eines neuen Benutzers über Primo erfordert macOS, dass die Aktion von einem Konto initiiert wird, das über ein sicheres Token verfügt. Dies gewährleistet:
  • Einhaltung der Sicherheitsanforderungen von Apple
  • Fortgesetzter Zugriff auf die mit FileVault verschlüsselte Festplatte
  • Korrekte Ausführung von Benutzerverwaltungsaktionen über Primo

Überprüfen Sie den Status des sicheren Tokens in Primo

Der Status des Secure Token wird direkt im Primo-Cockpit unter dem Reiter Benutzer des jeweiligen Geräts angezeigt. Sie können schnell überprüfen, ob das von Primo verwendete Administratorkonto macOS über ein aktives sicheres Token verfügt.
Um eine ordnungsgemäße Benutzerverwaltung über Primo sicherzustellen, stellen Sie sicher, dass das mit dem Gerät verknüpfte Administratorkonto über ein sicheres Token verfügt.

Sicheres Token übertragen

Wenn Sie über ein Konto verfügen, dem ein SecureToken gewährt wurde, und Sie möchten, dass ein anderes Konto darüber verfügt, gehen Sie wie folgt vor:
  1. Bewerben Sie das Konto bei Bedarf mit SecureToken Granted (muss sudoers sein)
  2. Führen Sie sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword - aus
  3. Um zu überprüfen, ob das secureToken für das neue Konto aktiviert ist, führen Sie sudo sysadminctl -secureTokenStatus seconduseraccount aus
  4. Stufen Sie das Konto bei Bedarf herab.
Es kann bis zu 24 Stunden dauern, bis das Cockpit den lokalen Kontostatus auf der Registerkarte „Benutzer“ des Geräts aktualisiert.

Sicheres Token-Verhalten (nur macOS)

ErstellungsmethodeAdmin-KontoNicht-Administratorkonto
Erstellt von Primo während ZTDSecureToken automatisch aktiviertKein SecureToken bereitgestellt
Wird automatisch durch die Richtlinie „Administratorkonto“ erstelltSecureToken wird bei der ersten Anmeldung des Kontos bereitgestelltKein SecureToken bereitgestellt
Manuell vom Kunden über Primo erstelltSecureToken wird bei der ersten Anmeldung des Kontos bereitgestelltKein SecureToken bereitgestellt
Manuell vom Kunden vor Ort erstelltSecureToken wird bereitgestellt, wenn es über ein Administratorkonto mit SecureToken erstellt wurdeKein SecureToken bereitgestellt
Erstellt über sysadminctl vom Kunden lokal oder remoteSecureToken wird bereitgestellt, wenn es mit Admin mit SecureToken erstellt wurdeSecureToken wird bereitgestellt, wenn es mit Admin mit SecureToken erstellt wurde