Vai al contenuto principale
Questo articolo spiega cos’è il Secure Token su macOS, il suo ruolo nella gestione degli utenti locali e perché è necessario per azioni come la modifica delle password degli utenti o la creazione di nuovi account utente.

Cos’è il token sicuro?

Il Secure Token è un identificatore di sicurezza generato da macOS e collegato a un account utente locale. Abilita la crittografia e la decrittografia dei dati tramite FileVault. Un utente con un Secure Token è considerato “autorizzato” a eseguire azioni sensibili del sistema come:
  • Abilitare o disabilitare FileVault
  • Modifica della password di un altro utente locale (se l’utente dispone di un token di sicurezza)
  • Creazione di un nuovo utente locale
  • Concessione di un token sicuro a un altro account
Senza un token di sicurezza, queste operazioni falliranno, anche se eseguite da un account amministratore.

Perché il token di sicurezza è importante per Primo

Primo si affida al token sicuro per gestire in modo sicuro gli utenti macOS. Quando si reimposta una password o si crea un nuovo utente tramite Primo, macOS richiede che l’azione venga avviata da un account che detiene un token di sicurezza. Ciò garantisce:
  • Conformità ai requisiti di sicurezza di Apple
  • Accesso continuo al disco crittografato FileVault
  • Corretta esecuzione delle azioni di gestione degli utenti tramite Primo

Controlla lo stato del token di sicurezza in Primo

Lo stato del Secure Token viene visualizzato direttamente nel Primo Cockpit, nella scheda Utenti del relativo dispositivo. È possibile verificare rapidamente se l’account amministratore macOS utilizzato da Primo contiene un token di sicurezza attivo.
Per garantire una corretta gestione degli utenti tramite Primo, assicurarsi che l’account amministratore collegato al dispositivo disponga di un token di sicurezza.

Trasferisci token sicuro

Se hai un account a cui è concesso un SecureToken e desideri che un altro account lo abbia, segui questa procedura:
  1. Se necessario, promuovi l’account con SecureToken Granted (devono essere sudoers)
  2. Esegui sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword -
  3. Per verificare se secureToken è abilitato sul nuovo account, esegui sudo sysadminctl -secureTokenStatus seconduseraccount
  4. Se necessario, retrocedere l’account.
Il Cockpit può impiegare fino a 24 ore per aggiornare lo stato dell’account locale nella scheda Utenti del dispositivo.

Comportamenti token sicuri (solo macOS)

Metodo di creazioneConto amministratoreAccount non amministratore
Creato da Primo durante ZTDSecureToken abilitato automaticamenteNessun SecureToken fornito
Creato automaticamente dal criterio “Account amministratore”.SecureToken fornito al primo accesso all’accountNessun SecureToken fornito
Creato manualmente dal cliente tramite PrimoSecureToken fornito al primo accesso all’accountNessun SecureToken fornito
Creato manualmente dal cliente localmenteSecureToken fornito se creato dall’account amministratore con SecureTokenNessun SecureToken fornito
Creato tramite sysadminctl dal cliente localmente o in remotoSecureToken fornito se creato utilizzando l’amministratore con SecureTokenSecureToken fornito se creato utilizzando l’amministratore con SecureToken