Uso manual de la funcionalidad de token de inicialización Apple

El token de inicialización elimina la necesidad de solicitar información adicional de autenticación cuando un usuario de red inicia sesión en un ordenador con una cuenta móvil y la cuenta no tiene un SecureToken asociado a ella. Jamf Pro puede custodiar automáticamente tokens de inicialización (identificadores de arranque) enviados por ordenadores con macOS 10.15 o posterior inscritos con una inscripción con PreStage configurada con la cuenta de usuario local de administrador en el ordenador.

Si la cuenta de usuario local no está configurada como el administrador o el ordenador se inscribió antes de Jamf Pro 10.18.0, puedes crear y custodiar manualmente el token de inicialización en el ordenador para permitir que Jamf Pro almacene el token.
Nota:

Si se ha configurado una inscripción con PreStage para crear una cuenta de administrador local adicional durante la inscripción, esa cuenta también es válida para recibir el token de inicialización cuando inicia sesión en un ordenador.

Una vez custodiado el token de inicialización, se solicita a Jamf Pro cada vez que una cuenta móvil inicia sesión en un ordenador sin un SecureToken. A continuación, el ordenador usa el token de inicialización para generar automáticamente un SecureToken para la cuenta móvil. Una vez que el usuario ha emitido un SecureToken, su cuenta se puede usar para servicios de macOS que requieran privilegios criptográficos, como la autenticación de FileVault. Puedes comprobar manualmente que Jamf Pro ha custodiado tokens de inicialización después de que el ordenador se inscriba en Jamf Pro.

Nota:

También se usan tokens de inicialización para autorizar extensiones del núcleo y actualizaciones de software en ordenadores Mac con Apple silicon.

Creación y custodia del token de inicialización

Requisitos
  • Ordenadores con macOS 10.15 o posterior inscritos con Jamf Pro 10.18.0 o posterior mediante una inscripción con PreStage
    Nota:

    Si un ordenador se inscribió antes de Jamf Pro 10.18.0, debes actualizar a Jamf Pro 10.19.0 o posterior.

  • Cuenta de administrador con SecureToken
    Nota:

    Esta cuenta suele ser la primera que se crea en el asistente de configuración, o el primer administrador que inicia sesión en el ordenador. Si quieres más información sobre la gestión del estado de SecureToken, consulta el siguiente artículo del sitio web de soporte Apple:

    Using command-line tools (Uso de herramienta de línea de comandos)

Si los ajustes de «Tipo de cuenta de usuario local» de la carga útil «Ajustes de cuenta» de la inscripción con PreStage se han configurado con la opción Omitir creación de cuenta o Cuenta estándar, haz lo siguiente:

  1. Activa la cuenta de administrador en los ordenadores de destino. Para ello, inicia sesión en el ordenador inscrito como el administrador con SecureToken activado y ejecuta el siguiente comando:
    sudo profiles install -type bootstraptoken
  2. Cuando el sistema te lo pida, introduce el nombre de usuario y la contraseña.

Comprobación de que Jamf Pro ha custodiado un token de inicialización

Puedes iniciar sesión en el ordenador como el administrador y ejecutar el siguiente comando para asegurarte de que Jamf Pro ha custodiado el token de inicialización:

sudo profiles status -type bootstraptoken

Si Jamf Pro ha custodiado el token de inicialización, se devuelve lo siguiente:

perfiles: Bootstrap Token is supported on server: YES
profiles: Bootstrap Token escrowed on server: YES

Información adicional

Si quieres más información sobre el token de inicialización en macOS, consulta los siguientes recursos de la Guía de referencia sobre la implementación para Mac Apple:

Si quieres más información sobre el uso del token de inicialización para gestionar actualizaciones de software, consulta Gestionar las actualizaciones de software para dispositivos Apple en Ajustes del servicio de gestión de dispositivos móviles Apple.