Este artículo explica qué es el token seguro en macOS, su función en la gestión de usuarios locales y por qué es necesario para acciones como cambiar contraseñas de usuario o crear nuevas cuentas de usuario.
¿Qué es el Token Seguro?
El token seguro es un identificador de seguridad generado por macOS y vinculado a una cuenta de usuario local.
Permite el cifrado y descifrado de datos mediante FileVault . Un usuario con un token seguro se considera autorizado para realizar acciones sensibles del sistema, como:
- Habilitar o deshabilitar FileVault
- Cambiar la contraseña de otro usuario local (si el usuario tiene un token seguro)
- Creando un nuevo usuario local
- Otorgar un token seguro a otra cuenta
- Sin un token seguro, estas operaciones fallarán, incluso si las realiza una cuenta de administrador.
Por qué el token seguro es importante para Factorial IT
Factorial IT se basa en el Secure Token para gestionar de forma segura los usuarios de macOS.
Al restablecer una contraseña o crear un nuevo usuario a través de Factorial IT, macOS requiere que la acción sea iniciada por una cuenta que tenga un token seguro.
Esto garantiza:
- Cumplimiento de los requisitos de seguridad de Apple
- Acceso continuo al disco cifrado con FileVault
- Correcta ejecución de acciones de gestión de usuarios a través de Factorial IT
Verificar el estado del Token Seguro en Factorial IT
El estado del Secure Token se muestra directamente en el panel de control centralizado Factorial IT , en la pestaña Usuarios del dispositivo correspondiente.
Puede verificar rápidamente si la cuenta de administrador de macOS utilizada por Factorial IT tiene un token seguro activo.
Para garantizar una correcta gestión de usuarios a través de Factorial IT, asegúrese de que la cuenta de administrador vinculada al dispositivo tenga un Token Seguro.
Transferir SecureToken
Si tienes una cuenta que tiene un SecureToken otorgado y quieres que otra cuenta lo tenga, sigue este procedimiento
- Si es necesario, promueva la cuenta con SecureToken otorgado (debe ser sudoers)
- Ejecute
sudo sysadminctl -secureTokenOn seconduseraccount -password - -adminUser firstuseraccount -adminPassword - - Para comprobar si el secureToken está habilitado en la nueva cuenta, ejecute
sudo sysadminctl -secureTokenStatus seconduseraccount - Si es necesario, degrade la cuenta.
El panel de control puede tardar hasta 24 horas en actualizar el estado de la cuenta local en la pestaña de usuarios del dispositivo.
Comportamientos de SecureToken (solo macOS)
| Método de creación | Cuenta de administrador | Cuenta no administradora |
| Creado por Factorial IT durante ZTD | SecureToken habilitado automáticamente | No se proporciona SecureToken |
| Creado automáticamente por la política de "Cuenta de administrador" | SecureToken proporcionado en el primer inicio de sesión de la cuenta | No se proporciona SecureToken |
| Creado manualmente por el cliente a través de Factorial IT | SecureToken proporcionado en el primer inicio de sesión de la cuenta | No se proporciona SecureToken |
| Creado manualmente por el cliente localmente | SecureToken proporcionado si se crea desde una cuenta de administrador con SecureToken | No se proporciona SecureToken |
| Creado a través de sysadminctl por el cliente de forma local o remota | SecureToken proporcionado si se crea usando admin con SecureToken | SecureToken proporcionado si se crea usando admin con SecureToken |