Использование шифрования дисков FileVault для macOS с Intune

Используйте Microsoft Intune для настройки шифрования дисков FileVault для macOS и управления ими. FileVault — это программа шифрования всего диска, входящая в состав macOS. С помощью Intune можно развернуть политики, которые настраивают FileVault, а затем управлять ключами восстановления на устройствах под управлением macOS 10.13 или более поздней версии.

Используйте один из следующих типов политик для настройки FileVault на управляемых устройствах.

• Политика безопасности конечной точки для FileVault в macOS. Профиль FileVault в разделе Безопасность конечной точки — это группа параметров, выделенная для настройки FileVault.

  Просмотрите параметры FileVault, доступные в профилях для политики шифрования дисков.

• Профиль конфигурации устройства для защиты конечных точек для FileVault в macOS. Параметры FileVault — это одна из категорий доступных параметров для защиты конечных точек в macOS. Дополнительные сведения об использовании профиля конфигурации устройства см. в статье Создание профиля устройства в Intune.

  Просмотрите параметры FileVault, доступные в профилях защиты конечных точек для политики конфигурации устройств.

• Профиль каталога параметров для macOS FileVault. FileVault можно настроить с помощью каталога параметров Intune, который включает некоторые параметры, недоступные в шаблонах безопасности конечных точек и защиты конечных точек.

Сведения об управлении BitLocker для Windows 10/11 см. в разделе Политика управления BitLocker.

После создания политики шифрования устройств с помощью FileVault она применяется к устройствам в два этапа. Во-первых, устройство готовится к тому, что Intune будет разрешено получить и сохранить ключ восстановления. Название такого действия — депонирование. Когда ключ депонирован, можно начинать шифрование диска.

Помимо использования политики Intune для шифрования устройства с помощью FileVault, вы можете развернуть политику на управляемом устройстве, чтобы позволить Intune принимать управление FileVault, когда устройство, которое пользователь зашифровал его. Для этого сценария требуется, чтобы устройство получило политику FileVault из Intune, а затем пользователь загрузил свой личный ключ восстановления в Intune.

Регистрация устройств, утвержденная пользователем, требуется для работы FileVault на устройстве. Утвержденной считается регистрация, при которой пользователь должен вручную утвердить профиль управления в системных параметрах для регистрации.

Управление доступом на основе ролей для управления FileVault

Чтобы управлять FileVault в Intune, учетной записи должна быть назначена роль Intune управления доступом на основе ролей (RBAC), которая включает разрешение Удаленные задачи с правой кнопкой поворота FileVault для параметра Да:

Вы можете добавить это разрешение и право для собственных пользовательских ролей RBAC или использовать одну из следующих встроенных ролей RBAC , которые включают это право:

• Оператор службы технической поддержки
• Администратор безопасности конечных точек

Создание политики безопасности конечной точки для FileVault

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Безопасность конечной точки>Шифрование диска>Создать политику.

3. На странице Основные укажите следующие свойства и нажмите кнопку Далее.

   • Платформа: macOS
   • Профиль: FileVault

   

4. На странице Параметры конфигурации сделайте следующее.

   1. Задайте для параметра Включить FileVault значение Да.
   2. В качестве типа ключа восстановления поддерживается только личный ключ восстановления.
   3. Настройте другие параметры в соответствии с вашими требованиями.

   Рекомендуется добавить сообщение, помогающее пользователям получить ключ восстановления для своего устройства. Эти сведения могут оказаться полезными для пользователей, если вы применяете параметр для смены ключа восстановления, который может время от времени автоматически создавать новый ключ восстановления для устройства.

   Например, чтобы получить потерянный или недавно измененный ключ восстановления, войдите на веб-сайт Корпоративного портала Intune с любого устройства. На портале перейдите на вкладку "Устройства" и выберите устройство с включенным FileVault, а затем нажмите Получить ключ восстановления. Отобразится текущий ключ восстановления.

5. Завершив настройку параметров, нажмите Далее.

6. На странице Область (теги) щелкните Выберите теги области, чтобы открыть панель "Выбор тегов", в которой можно назначить теги области для профиля.

   Нажмите кнопку Далее, чтобы продолжить.

7. На странице Назначения выберите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье "Назначение профилей пользователей и устройств". Нажмите кнопку Далее.

8. На странице Просмотр и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Создание политики каталога параметров для FileVault

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>по платформе>macOS>Управление устройствами>Конфигурация>Создать>новую политику.

3. На странице Создание профиля выберите Каталог параметров для типа профиля.

4. На странице Основные укажите следующие свойства.

   • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.

   • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

5. На странице Параметры конфигурации выберите + Добавить параметры , чтобы открыть средство выбора параметров. Параметры FileVault находятся в категории Полное шифрование диска :

   

   Чтобы включить FileVault, выберите и настройте следующие параметры в категории Полное шифрование диска :

   • Включить FileVault > — установите значение Включено.
   • Расположение депонирования > ключа восстановления FileVault — укажите описание расположения, в котором выполняется депонирован ключ восстановления. Этот текст вставляется в сообщение, которое пользователь видит при включении FileVault.

   Совет

   При настройке шифрования для устройств под управлением macOS 14 или более поздней версии можно использовать помощник по настройке macOS, чтобы применить шифрование FileVault до того, как пользователь появится на начальном экране. См . раздел Включение FileVault с помощью помощника по настройке далее в этой статье.

6. Настройте дополнительные параметры FileVault(откроется веб-сайт Apple) в соответствии с потребностями вашей организации, а затем нажмите кнопку Далее.

7. Если применимо, на странице Область (теги) выберите Выбрать теги область, чтобы открыть панель Выбор тегов для назначения область тегов профильу. Нажмите кнопку Далее, чтобы продолжить.

8. На странице Назначения выберите группы, которые получают этот профиль. Дополнительные сведения о назначении профилей см. в статье "Назначение профилей пользователей и устройств". Нажмите кнопку Далее.

9. На странице Проверка и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Включение FileVault с помощью помощника по настройке

Для устройств под управлением macOS 14 и более поздних версий политика каталога параметров также может применить шифрование FileVault с помощью помощника по настройке macOS до того, как пользователь появится на начальном экране. Для достижения этой цели требуются дополнительные настройки:

• Для функции ожидания окончательной конфигурации для устройства должно быть задано значение Да. Эта конфигурация не позволяет конечным пользователям получать доступ к ограниченному содержимому или изменять параметры до тех пор, пока не применяются применимые политики конфигурации устройств Intune. Сведения об этой конфигурации см. в статье Автоматическая регистрация Компьютеров Mac с помощью Apple Business Manager или Apple School Manager.

• Создайте фильтр с помощью атрибута EnrollmentProfileName , который будет назначен политике каталога параметров. Это гарантирует, что политика FileVault будет назначена при первой регистрации устройства с Intune. Дополнительные сведения о настройке фильтров см. в статье Создание фильтров в Microsoft Intune.

• Если для устройства для параметра Await final Configurationзадано значение Да , вы можете добавить следующий параметр полного шифрования дисков для FileVault в свой профиль каталога параметров.

• Параметр FileVault >Force Enable в помощнике по настройке — установите значение Включено.

  На следующем рисунке показан профиль каталога параметров, настроенный с основными параметрами для включения FileVault и использования помощника по настройке для принудительного шифрования. В этом примере в параметре Расположение используется простое имя нашего домена Contoso:

  Важно!

  Для параметра Отложить необходимо настроить значение Включено , чтобы успешно включить FileVault в помощнике по настройке для устройств под управлением macOS 14.4.

  

Создание политики конфигурации устройства для FileVault (не рекомендуется)

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация> на вкладке Политики выберите + Создать.

3. На странице Создание профиля задайте следующие параметры, а затем выберите Создать>новую политику:

   • Платформа: macOS
   • Тип профиля: выберите "Шаблоны".
   • Имя шаблона: Endpoint Protection (не рекомендуется)

   

4. На странице Основные укажите следующие свойства.

   • Имя: введите понятное имя для политики. Присвойте имена политикам, чтобы их можно было легко найти позже. Например, хорошее имя политики может включать тип профиля и платформу.

   • Описание: введите описание политики. Этот параметр является необязательным, но мы рекомендуем его использовать.

5. На странице Параметры конфигурации выберите FileVault, чтобы развернуть доступные параметры:

   

6. Настройте указанные ниже параметры.

   • Для параметра Включить FileVault выберите Да.

   • Для параметра Тип ключа восстановления выберите Личный ключ.

   • В поле Описание расположения личного ключа восстановления введите текст сообщения с информацией о том, как пользователь может получить ключ восстановления для своего устройства. Эти сведения могут оказаться полезными для пользователей, если вы применяете параметр для смены ключа восстановления, который может время от времени автоматически создавать новый ключ восстановления для устройства.

     Например, чтобы получить потерянный или недавно измененный ключ восстановления, войдите на веб-сайт Корпоративного портала Intune с любого устройства. На портале перейдите на вкладку Устройства и выберите устройство с включенным FileVault, а затем выберите команду Получить ключ восстановления. Отобразится текущий ключ восстановления.

   Настройте остальные параметры FileVault в соответствии с бизнес-потребностями, а затем нажмите кнопку Далее.

7. Если применимо, на странице Область (теги) выберите Выбрать теги область, чтобы открыть панель Выбор тегов, чтобы назначить область теги профилю.

   Нажмите кнопку Далее, чтобы продолжить.

8. На странице Назначения выберите группы для получения этого профиля. Дополнительные сведения о назначении профилей см. в статье "Назначение профилей пользователей и устройств". Нажмите кнопку Далее.

9. На странице Просмотр и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Управление FileVault

Сведения об устройствах, получающих политику FileVault, см. в разделе Мониторинг шифрования дисков.

Когда Intune впервые шифрует устройство с macOS при помощи FileVault, создается личный ключ восстановления. После шифрования устройство отображает личный ключ один раз для пользователя устройства.

Для управляемых устройств Intune может депонировать копию личного ключа восстановления. Депонирование ключей позволяет администраторам Intune сменять ключи для защиты устройств, а также восстанавливать потерянные или замененные личные ключи восстановления.

Intune депонирует ключ восстановления, когда политика Intune шифрует устройство, или после отправки пользователем своего ключа восстановления для устройства, которое было зашифровано вручную.

После того, как Intune депонирует личный ключ восстановления:

• Администраторы могут управлять ключами восстановления FileVault и сменять их для любого управляемого устройства macOS с помощью отчета о шифровании Intune.
• Администраторы могут просматривать личный ключ восстановления только для управляемых устройств macOS, которые помечены как корпоративные. Они не могут просматривать ключ восстановления для персональных устройств.
• Пользователи могут просматривать и получать личный ключ восстановления из поддерживаемого расположения. Например, на веб-сайте Корпоративного портала пользователь может выбрать удаленное действие Получить ключ восстановления.

Предполагается управление FileVault на ранее зашифрованных устройствах

Intune не может управлять шифрованием дисков FileVault на устройстве macOS, зашифрованном пользователем устройства, если вы не применяете политику FileVault через Intune. В этом сценарии можно использовать два метода, которые позволят Intune управлять FileVault:

• Отправка личного ключа восстановления в Intune — используйте этот метод, если пользователь знает свой личный ключ восстановления.
• Пользователь создает новый ключ восстановления на устройстве — используйте этот метод, если пользователь не знает свой личный ключ восстановления.

Для использования обоих методов требуется, чтобы устройство получило активную политику, которая управляет шифрованием FileVault, из Intune. Чтобы выполнить эту политику, используйте профиль шифрования диска безопасности конечной точки.

Отправка личного ключа восстановления

Чтобы разрешить Intune управлять FileVault на ранее зашифрованном устройстве, пользователь, зашифровавший устройство, должен отправить свой личный ключ восстановления для устройства в Intune на веб-сайте Корпоративного портала. Отправка ключа позволяет Intune принять управление шифрованием.

После отправки Intune осуществляет смену ключа для создания нового личного ключа восстановления. Intune сохраняет новый ключ для будущих операций восстановления и делает его доступным для пользователя устройства.

Предварительные требования:

• Зашифрованное устройство должно иметь политику FileVault Intune для шифрования дисков.

  Прежде чем Intune может получить управление для шифрования устройства, зашифрованного пользователем, оно должно получить политику FileVault Intune для шифрования диска.

  Используйте профиль шифрования диска безопасности конечной точки для шифрования устройств с помощью FileVault.

• Пользователь, который зашифровал устройство, должен иметь доступ к своему личному ключу восстановления для устройства. Необходимо попросить пользователя отправить этот ключ в Intune.

  Intune не предупреждает пользователей о том, что им необходимо отправить личный ключ восстановления для завершения шифрования. Вместо этого следует использовать обычные каналы связи, чтобы сообщить пользователям, зашифровавшим устройство macOS с помощью FileVault, что необходимо передать личный ключ восстановления в Intune.

  Примечание.

  На основе политики соответствия вашим устройствам может быть заблокирован доступ к корпоративным ресурсам до тех пор, пока Intune не возьмет на себя управление шифрованием FileVault на устройстве.

Отправка личного ключа восстановления в Intune:

1. Когда устройство получит профиль FileVault, направьте пользователя на веб-сайт Корпоративного портала.

2. На веб-сайте Корпоративного портала пользователь находит свое зашифрованное устройство macOS и выбирает параметр Сохранить ключ восстановления.

3. Пользователь должен ввести свой личный ключ восстановления, и Intune попытается сменить ключ для создания нового ключа.

   • Если смена ключа завершится успешно, Intune сохранит новый ключ для будущего использования и сделает ключ доступным для пользователя, чтобы пользователь мог использовать этот ключ для будущих операций восстановления.
   • Если смена ключа завершается сбоем, это означает, что устройство не обработало политику FileVault или введен неправильный ключ для устройства.

4. После успешной смены пользователь может получить новый личный ключ восстановления из поддерживаемого расположения.

Дополнительные сведения см. в разделе Пользовательское содержимое для отправки личного ключа восстановления.

Создание нового ключа восстановления на устройстве

Чтобы разрешить Intune управлять FileVault на ранее зашифрованном устройстве, пользователь, зашифровавший устройство, может сменить свой личный ключ восстановления с помощью приложения терминала. Если при смене ключа на устройстве имеется активная политика FileVault из Intune, то Intune принимает управление шифрованием.

Предварительные требования:

• Зашифрованное устройство должно иметь политику FileVault Intune для шифрования дисков.

  Прежде чем Intune может получить управление для шифрования устройства, зашифрованного пользователем, оно должно получить политику FileVault Intune для шифрования диска.

  Используйте профиль шифрования диска безопасности конечной точки для шифрования устройств с помощью FileVault.

• Пользователь устройства должен иметь доступ к приложению терминала на зашифрованном устройстве.

Используйте приложение терминала для создания нового личного ключа восстановления:

1. После того как устройство получит профиль FileVault, пользователь, который зашифровал устройство, должен войти на устройство, открыть терминал и выполнить следующие две команды по порядку:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      При выполнении этой команды пользователю предлагается ввести пароль устройства. После ввода пароля устройство выполняет смену ключа восстановления и предоставляет пользователю новый личный ключ восстановления.

      После записи нового ключа восстановления укажите оставшиеся параметры для команды.

2. После завершения команды личный ключ восстановления на устройстве будет изменен. Если устройство успешно получило политику FileVault, Intune получит управление шифрованием устройства при следующей проверке устройства с помощью Intune.

   По умолчанию синхронизация устройства происходит примерно каждые восемь часов. Чтобы ускорить синхронизацию устройства, используйте один из следующих вариантов:

   • Администратор Intune может войти в центр администрирования Microsoft Intune, перейти в раздел Устройства, выбрать устройство, а затем синхронизировать. Это уведомляет устройство о немедленном проверка с Intune.
   • Пользователь устройства может открыть приложение Корпоративного портала и выбрать Параметры>Синхронизация. При этом устройство немедленно проверит наличие обновлений политики или профиля.

3. После того как Intune получит управление шифрованием, пользователь сможет получить новый личный ключ восстановления из поддерживаемого расположения.

Дополнительные сведения см. в разделе Пользовательское содержимое для отправки личного ключа восстановления.

Получение личного ключа восстановления

Для устройства macOS с шифрованием FileVault, которое управляется Intune, конечные пользователи могут получить свой личный ключ восстановления (ключ FileVault) из следующих расположений, используя любое устройство.

• веб-сайт Корпоративный портал (https://portal.manage.microsoft.com/)
• Приложение "Корпоративный портал" для iOS/iPadOS
• Приложение "Корпоративный портал" для Android
• Приложение Intune

Администраторы могут просматривать личные ключи восстановления для зашифрованных устройств macOS, которые помечены как корпоративное устройство. Они не могут просматривать ключ восстановления для персональных устройств.

Устройство с личным ключом восстановления необходимо зарегистрировать в Intune и зашифровать с помощью FileVault через Intune. Когда пользователь устройства использует приложение iOS Корпоративный портал, приложение Android Корпоративный портал, приложение android Intune или веб-сайт Корпоративный портал, он может увидеть ключ восстановления FileVault, необходимый для доступа к устройствам Mac.

Пользователи устройств могут выбрать Устройства>зашифрованное и зарегистрированное устройство macOS>Получить ключ восстановления. В браузере отображается веб-Корпоративный портал и отображается ключ восстановления.

Смена ключей восстановления

Intune поддерживает несколько вариантов смены и восстановления личных ключей восстановления. Одна из причин для смены ключа — ситуация, когда текущий личный ключ потерян или скомпрометирован.

• Автоматическая смена: как администратор вы можете настроить параметр смены личного ключа восстановления FileVault, чтобы периодически создавать новые ключи восстановления. При создании нового ключа для устройства этот ключ не отображается пользователю. Вместо этого пользователь должен получить ключ от администратора или с помощью приложения "Корпоративный портал".

• Ручная смена: как администратор вы можете просмотреть сведения об устройстве, которое управляется с помощью Intune и зашифровано с помощью FileVault. Затем можно вручную сменить ключ восстановления для корпоративных устройств. Вы не можете сменить ключи восстановления для персональных устройств.

  Для смены ключа восстановления выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Все устройства.

  3. В списке устройств выберите зашифрованное устройство, для которого требуется сменить ключ. Затем в разделе Монитор выберите Ключи восстановления.

  4. В области "Ключи восстановления" выберите команду Сменить ключ восстановления FileVault.

     При следующей отметке устройства в Intune личный ключ будет заменен. При необходимости новый ключ может быть получен пользователем через корпоративный портал.

Восстановление ключей восстановления

• Администратор: администраторы не могут просматривать личные ключи восстановления для устройств, зашифрованных с помощью FileVault.

• Конечный пользователь: конечные пользователи используют веб-сайт Корпоративного портала с любого устройства для просмотра текущего личного ключа восстановления для любых управляемых устройств. Вы не можете просматривать ключи восстановления из приложения "Корпоративный портал".

  Для просмотра ключа восстановления выполните следующие действия.

  1. Войдите на веб-сайт Корпоративного портала Intune с любого устройства.

  2. На портале перейдите на вкладку Устройства и выберите устройство с macOS, зашифрованное с помощью FileVault.

  3. Выберите команду Получить ключ восстановления. Отобразится текущий ключ восстановления.

Дальнейшие действия

Управление политикой BitLocker

Мониторинг шифрования диска