Шифрование устройств macOS с помощью FileVault с помощью Intune

Используйте Microsoft Intune для настройки шифрования дисков FileVault и управления ими на устройствах macOS. FileVault — это программа шифрования всего диска, входящая в состав macOS, которая использует 128-разрядное шифрование XTS-AES. В этой статье рассматриваются комплексные сценарии развертывания, управления и восстановления FileVault для корпоративных сред.

Шифрование дисков FileVault доступно на устройствах под управлением macOS 10.13 или более поздней версии и обеспечивает полное шифрование диска для защиты данных на потерянных, украденных или скомпрометированных устройствах.

Примечание.

FileVault использует 128-разрядное шифрование XTS-AES, реализованное в macOS от Apple. Этот стандарт шифрования является фиксированным и не может быть изменен на 256-разрядные параметры Intune или macOS. Apple считает XTS-AES 128-разрядное шифрование достаточным для корпоративных требований к безопасности.

Совет

Intune предоставляет встроенный отчет о шифровании, который содержит сведения о состоянии шифрования устройств на всех управляемых устройствах. После того как Intune зашифрует устройство macOS с помощью FileVault, вы можете просматривать ключи восстановления FileVault и управлять ими с помощью отчета о шифровании.

Сценарии шифрования FileVault

Intune поддерживает несколько подходов к развертыванию FileVault, которые могут соответствовать различным потребностям организации:

  • Standard шифрование FileVault — интерактивное развертывание с запросами и вариантами отсрочки.
  • Принудительное применение помощника по настройке — автоматическое шифрование во время начальной настройки устройства (macOS 14+).
  • Предположение о существующем шифровании . Управление устройствами, зашифрованными пользователем.
  • Управление ключами восстановления — комплексные сценарии смены ключей и восстановления.

Процесс развертывания FileVault

После создания политики для шифрования устройств с помощью FileVault политика применяется к устройствам в два этапа:

  1. Подготовка депонирования ключей. Устройство готово к тому, чтобы Intune могли получать и создавать резервную копию ключа восстановления. Название такого действия — депонирование.
  2. Запуск шифрования дисков . После депонирования ключа можно запустить шифрование диска.

Когда Intune впервые шифрует устройство с macOS при помощи FileVault, создается личный ключ восстановления. После шифрования устройство отображает личный ключ один раз для пользователя устройства.

Примечание.

Параметры FileVault, доступные через Intune, охватывают основные функции шифрования macOS, но не предоставляют все возможности FileVault. С помощью MDM можно настроить только параметры, указанные в шаблонах или каталоге параметров Intune. Дополнительные параметры FileVault, доступные непосредственно в macOS, могут быть не настроены с помощью политик Intune.

Предварительные условия

Лицензирование и версии macOS

Для управления шифрованием FileVault требуется:

  • macOS 10.13 или более поздней версии для основных функций FileVault.
  • macOS 14 или более поздней версии для функций принудительного применения помощника по настройке.
  • Регистрация MDM, утвержденная пользователем . Пользователи должны вручную утвердить профиль управления в системных настройках.

Элементы управления доступом на основе ролей

Для управления FileVault в Intune учетной записи должна быть назначена роль Intune управления доступом на основе ролей (RBAC), которая включает разрешение Удаленные задачи с правой кнопкой поворота FileVault, которая имеет значение Да.

Это разрешение можно добавить к собственным настраиваемым ролям RBAC или использовать одну из следующих встроенных ролей RBAC:

  • Оператор службы технической поддержки
  • Администратор безопасности конечных точек

Рекомендации по Apple Business Manager

Для сценариев применения помощника по настройке убедитесь, что:

  • Устройства регистрируются через Apple Business Manager или Apple School Manager.
  • Ожидание окончательной конфигурации правильно настроено для автоматического развертывания.
  • Профили регистрации настраиваются для управления защищенными устройствами.

Типы политик для шифрования FileVault

Выберите один из следующих Intune типов политик, чтобы настроить шифрование FileVault в зависимости от потребностей развертывания:

Политика безопасности конечных точек

Лучше всего подходит для: Standard развертываний FileVault с оптимизированной конфигурацией.

Политика шифрования дисков безопасности конечной точки предоставляет специализированную конфигурацию FileVault, зависят от безопасности:

  • Профиль FileVault — выделенные параметры для настройки шифрования FileVault с комплексными параметрами восстановления.
  • Оптимизированная конфигурация, ориентированная на требования безопасности.
  • Интеграция с мониторингом шифрования и отчетностью Intune.
  • Упрощенная настройка для большинства сценариев FileVault.

Политика каталога параметров

Лучше всего подходит для: Для расширенных развертываний требуется принудительное применение помощника по настройке или комплексные параметры конфигурации.

Каталог параметров предоставляет наиболее полные параметры конфигурации FileVault:

  • Доступ ко всем параметрам, доступным через Intune fileVault
  • Возможности принудительного применения помощника по настройке (macOS 14+) — уникальные для каталога параметров
  • Дополнительные параметры конфигурации, недоступные в шаблонах
  • Детальный контроль над пользовательским интерфейсом и параметрами безопасности
  • Максимальная гибкость для сложных сценариев развертывания

Политика конфигурации устройств (не рекомендуется)

Шаблон Защиты конечных точек конфигурации > устройства включает FileVault как часть более широкой защиты конечных точек.

Примечание.

Шаблон macOS для Endpoint Protection устарел и больше не поддерживает создание новых профилей. Используйте безопасность конечных точек или каталог параметров для новых развертываний FileVault.

Создание политики безопасности конечной точки

Развертывание FileVault Standard

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность конечной точки>Шифрование диска>Создать политику.

  3. Настройте следующие параметры:

    • Платформа: macOS
    • Профиль: MacOS FileVault

  4. На странице Параметры конфигурации настройте основные параметры FileVault:

    Обязательные параметры:

    • для FileVault: Включить = (для включения FileVault)
    • Использование ключа = восстановленияВключен

    Управление ключами восстановления.

    • Смена ключа восстановления в месяцах = установка интервала смены
    • Расположение = введите описательное руководство , чтобы помочь пользователям получить ключ.

    Параметры взаимодействия с пользователем:

    • Разрешить отсрочку до выхода = настройка в зависимости от потребностей организации
    • Отложить не спрашивать при выходе пользователя = настройка параметров взаимодействия с пользователем
    • Defer Force At User Login Max Bypass Attempts = Set enforcement strictness

  5. На странице Область (теги) назначьте соответствующие теги область для структуры управления организации.

  6. На странице Назначения выберите группы, которые получают этот профиль. Ниже приведено несколько вариантов использования соответствующих функций.

    • Группы устройств для устройств, принадлежащих компании
    • Группы пользователей для сценариев BYOD
    • Пилотные группы для начального тестирования

  7. Выберите Создать , чтобы развернуть политику.

Руководство по расположению депонирования

Настройте полезные описания расположения депонирования, чтобы помочь пользователям получить ключ восстановления. Эта информация полезна при использовании параметра смены личного ключа восстановления, который может периодически создавать новый ключ восстановления для устройства.

Пример сообщения:

To retrieve a lost or recently rotated recovery key, sign in to the Intune Company Portal website from any device. In the portal, go to Devices and select the device that has FileVault enabled, and then select 'Get recovery key'. The current recovery key is displayed.

Дополнительные рекомендации по настройке:

  • Включите контактные данные службы поддержки вашей организации.
  • Ссылки на внутренние ИТ-процедуры для восстановления устройств.
  • Предоставьте четкий и простой язык, который могут понять нетехнические пользователи.

Создание политики каталога параметров

Каталог параметров предоставляет наиболее полные параметры конфигурации FileVault, включая принудительное применение помощника по настройке.

Развертывание каталога параметров Standard

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>по платформе>macOS>Управление устройствами>Конфигурация>Создать>новую политику.

  3. Выберите Каталог параметров в поле Тип профиля.

  4. На странице Параметры конфигурации выберите + Добавить параметры и перейдите в раздел Полное шифрование диска.

    Изображение параметров FileVault в категории Полное шифрование диска средства выбора параметров.

  5. Настройте следующие основные параметры FileVault:

    Filevault:

    • Включить = На
    • Отложить = Включено (требуется для успешного приложения FileVault)

    Депонирования ключа восстановления FileVault:

    Дополнительные параметры (по мере необходимости): (Все находятся в разделе FileVault)

    • Показать ключ восстановления = настроить видимость во время шифрования
    • Отложить не спрашивать при выходе пользователя = управление временем запроса
    • Defer Force At User Login Max Bypass Attempts = Set enforcement limits
    • Смена ключей восстановления в месяцах = настройка автоматической смены

  6. Выполните назначение и развертывание политики, следуя стандартным процедурам Intune.

Применение помощника по настройке (macOS 14+)

Важно!

Для принудительного применения помощника по настройке требуются определенные предварительные требования для регистрации и настройки. Перед развертыванием убедитесь, что ваша среда соответствует этим требованиям.

Совет

в macOS 14.4 добавлены уточнения , которые применяются к помощнику по настройке. До macOS 14.4 помощник по настройке требует, чтобы учетная запись пользователя, созданная в интерактивном режиме во время помощника по настройке, была роль администратора.

Для автоматического включения FileVault во время настройки устройства:

Необходимые условия для помощника по настройке:

  • macOS 14 или более поздней версии
  • Регистрация Apple Business Manager или Apple School Manager
  • Ожидание окончательной конфигурации = Да в профиле регистрации
  • Фильтр устройства с помощью атрибута EnrollmentProfileName

Конфигурация каталога дополнительных параметров: (находится в разделе FileVault)

  • Filevault>Принудительное включение в помощнике по настройке = Включен

  • Filevault>Отложить = Включен

    Важно!

    Для параметра Отложить необходимо настроить значение Включено , чтобы успешно включить FileVault в помощнике по настройке для устройств под управлением macOS 14.4.

    Снимок экрана: параметры, необходимые для включения хранилища файлов в помощнике по настройке.

Конфигурация профиля регистрации:

  1. Настройте профиль регистрации с помощью await final configuration = Да.
  2. Создайте фильтр устройств для целевого развертывания.
  3. Назначьте политику каталога параметров отфильтрованным устройствам.

Процесс шифрования FileVault

Понимание процесса шифрования FileVault помогает с планированием развертывания и устранением неполадок:

Этапы шифрования

Развертывание FileVault выполняется в два этапа:

  1. Подготовка депонирования ключей— Intune подготавливает устройство к резервному копированию ключей восстановления в облачные службы Майкрософт
  2. Запуск шифрования дисков — шифрование FileVault начинается после успешного депонирования ключа

Рекомендации по взаимодействию с пользователем

Standard пользовательского интерфейса развертывания:

  • Пользователи могут видеть запросы на включение FileVault (в зависимости от конфигурации)
  • Ключ восстановления отображается один раз во время процесса шифрования
  • Пользователи должны быть направлены на запись сведений о ключах восстановления
  • Шифрование продолжается в фоновом режиме после начальной настройки

Пользовательский интерфейс помощника по настройке:

  • Шифрование происходит автоматически во время настройки устройства
  • Не требуется взаимодействие с пользователем для запуска шифрования
  • Ключ восстановления автоматически депонируется в Intune
  • Пользователи завершают настройку с помощью зашифрованного устройства

Мониторинг FileVault и управление ими

Просмотр состояния шифрования

Сведения об устройствах, получающих политику FileVault, см. в разделе Мониторинг шифрования дисков.

Мониторинг развертывания FileVault с помощью нескольких интерфейсов Intune:

  1. Отчет о шифровании. Перейдите в раздел Состояние>шифрования устройства монитора> устройств:

    • Просмотр состояния шифрования на всех управляемых устройствах
    • Доступ к сведениям о ключах восстановления для зашифрованных устройств
    • Мониторинг развертывания и соответствия политик

  2. Мониторинг для конкретных устройств . Выберите отдельные устройства для просмотра:

    • Состояние включения FileVault
    • Доступность ключа восстановления
    • Сведения о назначении политики шифрования

Депонирования ключей FileVault и управление ими

Для управляемых устройств Intune может депонировать копию личного ключа восстановления. Депонирование ключей позволяет администраторам Intune сменять ключи для защиты устройств, а также восстанавливать потерянные или замененные личные ключи восстановления.

Intune депонирует ключ восстановления, если:

  • Intune политика шифрует устройство
  • Пользователь отправляет ключ восстановления для устройства, которое он зашифровал вручную

После того, как Intune депонирует личный ключ восстановления:

  • Администраторы могут управлять ключами восстановления FileVault и менять их для любого управляемого устройства macOS с помощью отчета о шифровании Intune.
  • Администраторы могут просматривать личный ключ восстановления только для управляемых устройств macOS, помеченных как корпоративные. Им не удается просмотреть ключ восстановления для личных устройств.
  • Пользователи могут просматривать и извлекать свой личный ключ восстановления из поддерживаемых расположений.

Управление ключами восстановления

Intune обеспечивает комплексное управление ключами восстановления для устройств с шифрованием FileVault:

Просмотр ключей восстановления

Важно!

Ограничения доступа администратора. Администраторы могут просматривать ключи восстановления FileVault и управлять ими только для устройств, помеченных как корпоративные. Ключи восстановления для личных устройств (BYOD) недоступны администраторам, обеспечивая конфиденциальность пользователей. Это различие имеет решающее значение для ожиданий администратора и устранения неполадок.

Для администраторов:

  • Доступ к ключам восстановления для устройств, помеченных как корпоративные
  • Не удается просмотреть ключи восстановления для личных устройств или устройств BYOD
  • Перейдите к сведениям об > устройстве Мониторинг>ключей восстановления
  • Выберите Показать ключ восстановления (создает запись журнала аудита)

Необходимые разрешения:

  • Intune роль RBAC с разрешением удаленных задач
  • Смена клавиши FileVault вправо с значением Да

Расположения доступа к ключу восстановления

Конечные пользователи могут получить ключи восстановления из:

  • веб-сайт Корпоративный портал (portal.manage.microsoft.com) — основной и наиболее надежный метод
  • Приложение iOS/iPadOS Корпоративный портал — отображает ключ восстановления FileVault для устройств Mac
  • Приложение Android Корпоративный портал — отображает ключ восстановления FileVault для устройств Mac
  • Intune мобильном приложении — отображается ключ восстановления FileVault для устройств Mac

Важно!

Устройство должно быть зарегистрировано с помощью Intune и зашифровано с помощью FileVault через Intune. Хотя ключи восстановления доступны через мобильные приложения Корпоративный портал, веб-сайт Корпоративный портал является основным методом надежного извлечения ключей восстановления.

Процесс извлечения ключа восстановления:

  1. Использование веб-сайта Корпоративный портал (рекомендуется):

    • Войдите на веб-сайт Корпоративный портал (https://portal.manage.microsoft.com/) с любого устройства.
    • Перейдите в раздел Устройства и выберите устройство macOS, зашифрованное с помощью FileVault.
    • Выберите Получить ключ восстановления — отображается текущий ключ восстановления.

  2. Использование мобильных приложений Корпоративный портал:

    • Откройте приложение iOS/iPadOS Корпоративный портал, приложение android Корпоративный портал или мобильное приложение Intune.
    • Перейдите в раздел Устройства и выберите зашифрованное и зарегистрированное устройство macOS.
    • Выберите Получить ключ восстановления. В браузере отображается веб-Корпоративный портал и отображается ключ восстановления.

Смена ключа восстановления

Intune поддерживает автоматическую и ручную смену ключей восстановления:

Автоматическая смена

Настройте автоматическую смену ключей в политиках FileVault:

  • Смена личного ключа восстановления = задать интервал (1–12 месяцев)
  • Новые ключи создаются и депонируются автоматически.
  • Предыдущие ключи становятся недействительными после успешного поворота
  • Пользователи должны получать новые ключи через Корпоративный портал

Смена вручную

Администраторы могут вручную сменить ключи восстановления:

  1. Вход в Центр администрирования Microsoft Intune
  2. Выберите Устройства>Все устройства
  3. Выбор зашифрованного устройства
  4. В разделе Монитор выберите Ключи восстановления.
  5. Выберите Смена ключа восстановления FileVault.

Примечание.

Смена вручную доступна только для корпоративных устройств. Личные устройства используют автоматическую смену, настроенную в политике.

Предположим, что управление существующим шифрованием FileVault

Intune может предполагать управление устройствами, которые пользователи шифруют перед получением политики FileVault Intune. Этот сценарий обеспечивает централизованное управление ключами восстановления для ранее зашифрованных устройств.

Предварительные требования для допущения управления

  • Устройство должно получать активную политику FileVault от Intune
  • Пользователь должен иметь доступ к текущему ключу восстановления или возможность создания нового ключа

Для обоих методов требуется активная политика FileVault, развернутая с помощью Intune. Используйте профиль шифрования диска безопасности конечной точки для доставки политики.

Способ 1. Отправка существующего ключа восстановления

Когда следует использовать: Пользователь знает текущий личный ключ восстановления.

Процесс:

  1. Разверните политику FileVault на ранее зашифрованном устройстве.
  2. Перенаправление пользователя на веб-сайт Корпоративный портал (portal.manage.microsoft.com).
  3. Пользователь выбирает зашифрованное устройство и выбирает Сохранить ключ восстановления.
  4. Пользователь вводит текущий личный ключ восстановления.
  5. Intune проверяет ключ и выполняет смену на новый ключ восстановления.
  6. Новый ключ будет депонирован и доступен через Корпоративный портал.

Взаимодействие с пользователем:
Сообщите пользователям, что они должны отправить свой ключ восстановления, чтобы включить управление Intune. Рассмотрите возможность применения политики соответствия, чтобы обеспечить завершение.

Способ 2. Создание нового ключа восстановления на устройстве

Когда следует использовать: Пользователь не знает текущий ключ восстановления, но имеет доступ к устройству.

Процесс:

  1. Разверните политику FileVault на ранее зашифрованном устройстве.
  2. Пользователь открывает приложение терминала на зашифрованном устройстве.
  3. Выполните команды смены ключей: 
    cd /Applications/Utilities
sudo fdesetup changerecovery -personal
  4. При появлении запроса пользователь предоставляет пароль устройства.
  5. Система создает и отображает новый ключ восстановления.
  6. Предполагается, что устройство выполняется с помощью Intune и управления.

Ускорение проверка устройства:

  • Администратор: Устройства> Выбор синхронизации устройства >
  • Пользователь: синхронизация параметров> приложения Корпоративный портал >

Проверка допущения управления

После выполнения любого из методов проверьте успешное допущение управления:

  1. Проверьте состояние шифрования устройства в отчете о шифровании Intune.
  2. Подтвердите доступность ключа восстановления в сведениях об устройстве.
  3. Проверьте получение ключа восстановления с помощью Корпоративный портал.

Устранение неполадок с развертыванием FileVault

Распространенные проблемы с развертыванием

Проблема Решение Проверки
Сбой включения FileVault Проверка состояния регистрации MDM, утвержденного пользователем Проверка профилей системных параметров >
Сбой депонирования ключа восстановления Обеспечение сетевого подключения устройства Проверка состояния условного депонирования в отчете о шифровании
Применение помощника по настройке не работает (macOS 14+) Убедитесь , что параметр Deferвключен в каталоге параметров Проверка профиля регистрации для окончательной конфигурации Await
Пользователи не могут получить ключи восстановления Проверка типа владения устройством и разрешений пользователя Проверка обозначения корпоративного устройства в Intune
Администратор не может получить доступ к ключам восстановления Устройство, помеченное как личное или BYOD (ожидаемое поведение) Проверка типа владения устройством — личные устройства защищают конфиденциальность пользователей

Справочник по коду ошибки

Ошибка -2016341107 / 0x87d1138d: Пользователь не принял запрос на включение FileVault.

  • Разрешение: Обучение пользователей принятию запросов FileVault.
  • Предотвращения: Рассмотрите возможность применения помощника по настройке для автоматического развертывания.

Разрешение конфликтов политик

Используйте обнаружение конфликтов политики Intune для выявления:

  • Перекрывающиеся политики FileVault
  • Конфликтующие параметры защиты конечных точек
  • Взаимодействие с политикой соответствия

Рекомендации по безопасности

Безопасность ключа восстановления

Защита ключей:

  • Ключи восстановления шифруются при передаче и хранении
  • Ключи безопасно хранятся в облачных службах Майкрософт
  • Доступ контролируется с помощью Intune разрешений RBAC

Ведение журнала аудита:

  • Все доступ к ключу восстановления регистрируются в журналах аудита Microsoft Entra
  • Журналы включают удостоверение пользователя, метку времени и идентификатор ключа.
  • Регулярно проверяйте журналы на наличие попыток несанкционированного доступа

Корпоративные и личные устройства

Примечание.

Тип владения устройством (корпоративный или персональный) определяет доступ администратора к ключам восстановления FileVault. Это фундаментальный проект безопасности и конфиденциальности.

Корпоративные устройства:

  • Полный административный доступ: администраторы могут просматривать ключи восстановления, поворачивать их и управлять ими.
  • Полные возможности управления ключами восстановления с помощью центра администрирования Intune
  • Подходит для оборудования компании, где ожидается полный ИТ-контроль
  • Ведение журнала аудита отслеживает доступ ко всем административным ключам восстановления

Личные устройства (BYOD):

  • Нет административного доступа: администраторы не могут просматривать ключи восстановления или напрямую управлять ими
  • Пользователи поддерживают полный контроль с помощью самообслуживания Корпоративный портал доступа
  • Балансирует потребности в безопасности организации с требованиями к конфиденциальности сотрудников
  • Ключи по-прежнему депонируются в microsoft cloud для самостоятельного восстановления пользователей
  • Автоматическая смена функций на основе конфигурации политики

Интеграция соответствия требованиям

Шифрование FileVault интегрируется с политиками соответствия Intune:

  • Задать требование шифрования хранилища данных в политике соответствия требованиям
  • Блокировать доступ к корпоративным ресурсам до включения шифрования
  • Мониторинг соответствия требованиям с помощью отчетов о соответствии устройств

Дальнейшие действия

  • Last updated on