Всем привет! Меня зовут Эрик, я инженер технической поддержки в Ринго. Если вы администрируете Mac в корпоративной среде, то рано или поздно сталкиваетесь с загадочными сущностями: Secure Token, Bootstrap Token, volume owner, OIK, KEK, VEK.Проблема в том, что официальная документация Apple описывает их корректно, но сухо и редко объясняет, как всё это связано между собой на практике. В итоге админ узнаёт о Secure Token не из документации, а когда:— пользователь не появляется на экране FileVault,— MDM не может включить FileVault или выполнить Erase All Content,— обновление macOS требует «volume owner»,— а Recovery внезапно никого не пускает менять настройки загрузки.Постараемся разобраться поэтапно, что такое Secure Token, что лежит внутри, как он связан с Bootstrap Token и при чем тут MDM.Статья подготовлена на основе документации Apple, включая Apple Platform Security, доклада Арека Дрейера на конференции MacSysAdmin и ряда дополнительных источников. Читать далее