Freigeben über

Verschlüsseln von macOS-Geräten mit FileVault mithilfe von Intune

Verwenden Sie Microsoft Intune, um die FileVault-Datenträgerverschlüsselung auf macOS-Geräten zu konfigurieren und zu verwalten. FileVault ist ein in macOS enthaltenes Verschlüsselungsprogramm für ganze Datenträger, das XTS-AES 128-Bit-Verschlüsselung verwendet. In diesem Artikel werden umfassende FileVault-Bereitstellungs-, Verwaltungs- und Wiederherstellungsszenarien für Unternehmensumgebungen behandelt.

Die FileVault-Datenträgerverschlüsselung ist auf Geräten mit macOS 10.13 oder höher verfügbar und bietet eine vollständige Datenträgerverschlüsselung, um Daten auf verlorenen, gestohlenen oder kompromittierten Geräten zu schützen.

Hinweis

FileVault verwendet die XTS-AES 128-Bit-Verschlüsselung, wie sie von MacOS von Apple implementiert wird. Dieser Verschlüsselungsstandard ist fest und kann über Intune- oder macOS-Einstellungen nicht in 256-Bit geändert werden. Apple hält die XTS-AES-128-Bit-Verschlüsselung für ausreichend für Unternehmenssicherheitsanforderungen.

Tipp

Intune bietet einen integrierten Verschlüsselungsbericht, der Details zur Verschlüsselung status von Geräten auf allen Ihren verwalteten Geräten enthält. Nachdem Intune ein macOS-Gerät mit FileVault verschlüsselt hat, können Sie FileVault-Wiederherstellungsschlüssel über den Verschlüsselungsbericht anzeigen und verwalten.

FileVault-Verschlüsselungsszenarien

Intune unterstützt mehrere Ansätze für die Bereitstellung von FileVault, die verschiedene Organisationsanforderungen erfüllen können:

  • Standard FileVault-Verschlüsselung: Interaktive Benutzerbereitstellung mit Eingabeaufforderungen und Zurückstellungsoptionen.
  • Erzwingung des Setup-Assistenten : Automatische Verschlüsselung während der anfänglichen Geräteeinrichtung (macOS 14 und höher).
  • Annahme der vorhandenen Verschlüsselung : Übernehmen Sie die Verwaltung von benutzerverschlüsselten Geräten.
  • Wiederherstellungsschlüsselverwaltung : Umfassende Schlüsselrotations- und Wiederherstellungsszenarien.

FileVault-Bereitstellungsprozess

Nachdem Sie eine Richtlinie zum Verschlüsseln von Geräten mit FileVault erstellt haben, wird die Richtlinie in zwei Phasen auf Geräte angewendet:

  1. Vorbereitung des Schlüsseltresors: Das Gerät ist darauf vorbereitet, Intune das Abrufen und Sichern des Wiederherstellungsschlüssels zu ermöglichen. Dies wird als Schlüsselhinterlegung bezeichnet.
  2. Initiierung der Datenträgerverschlüsselung : Nachdem der Schlüssel hinterlegt wurde, kann die Datenträgerverschlüsselung gestartet werden.

Wenn Intune zum ersten Mal ein macOS-Gerät mithilfe von FileVault verschlüsselt, wird ein persönlicher Wiederherstellungsschlüssel erstellt. Bei der Verschlüsselung zeigt das Gerät dem Gerätebenutzer den persönlichen Schlüssel ein Mal an.

Hinweis

Die über Intune verfügbaren FileVault-Einstellungen decken die wichtigsten macOS-Verschlüsselungsfeatures ab, machen aber nicht jede FileVault-Funktion verfügbar. Nur Optionen, die im Vorlagen- oder Einstellungskatalog von Intune bereitgestellt werden, können über MDM konfiguriert werden. Erweiterte FileVault-Einstellungen, die direkt in macOS verfügbar sind, können möglicherweise nicht über Intune-Richtlinien konfiguriert werden.

Voraussetzungen

Lizenzierung und macOS-Versionen

Die FileVault-Verschlüsselungsverwaltung erfordert Folgendes:

  • macOS 10.13 oder höher für grundlegende FileVault-Funktionen.
  • macOS 14 oder höher für Erzwingungsfunktionen des Setup-Assistenten.
  • Vom Benutzer genehmigte MDM-Registrierung : Benutzer müssen das Verwaltungsprofil manuell über die Systemeinstellungen genehmigen.

Rollenbasierte Zugriffssteuerungen

Um FileVault in Intune zu verwalten, muss einem Konto eine Intune Rolle für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) zugewiesen werden, die die Berechtigung Remoteaufgaben enthält, wobei die Berechtigung FileVault rotieren auf Ja festgelegt ist.

Sie können diese Berechtigung Ihren eigenen benutzerdefinierten RBAC-Rollen hinzufügen oder eine der folgenden integrierten RBAC-Rollen verwenden:

  • Helpdeskoperator
  • Endpunktsicherheitsadministrator

Überlegungen zu Apple Business Manager

Stellen Sie für Erzwingungsszenarien des Setup-Assistenten Folgendes sicher:

  • Geräte werden über Apple Business Manager oder Apple School Manager registriert.
  • Die endgültige Konfiguration von Await ist ordnungsgemäß für die automatisierte Bereitstellung konfiguriert.
  • Registrierungsprofile werden für die überwachte Geräteverwaltung konfiguriert.

Richtlinientypen für die FileVault-Verschlüsselung

Wählen Sie aus den folgenden Intune Richtlinientypen aus, um die FileVault-Verschlüsselung basierend auf Ihren Bereitstellungsanforderungen zu konfigurieren:

Sicherheitsrichtlinieneinstellungen für Endpunkt

Am besten geeignet für: Standard FileVault-Bereitstellungen mit optimierter Konfiguration.

Die Endpunktsicherheit Datenträgerverschlüsselungsrichtlinie bietet eine fokussierte, sicherheitsspezifische FileVault-Konfiguration:

  • FileVault-Profil : Dedizierte Einstellungen zum Konfigurieren der FileVault-Verschlüsselung mit umfassenden Wiederherstellungsoptionen.
  • Optimierte Konfiguration, die sich auf Sicherheitsanforderungen konzentriert.
  • Integration in die Verschlüsselungsüberwachung und -berichterstellung von Intune.
  • Vereinfachte Einrichtung für die meisten FileVault-Szenarien.

Einstellungskatalogrichtlinie

Am besten geeignet für: Erweiterte Bereitstellungen erfordern die Erzwingung des Setup-Assistenten oder umfassende Konfigurationsoptionen.

Der Einstellungskatalog bietet die umfassendsten FileVault-Konfigurationsoptionen:

  • Zugriff auf alle Einstellungen, die über Intune für FileVault verfügbar sind
  • Erzwingungsfunktionen des Setup-Assistenten (macOS 14 und höher) – eindeutig für den Einstellungskatalog
  • Erweiterte Konfigurationsoptionen, die in Vorlagen nicht verfügbar sind
  • Präzise Steuerung der Benutzererfahrung und der Sicherheitseinstellungen
  • Maximale Flexibilität für komplexe Bereitstellungsszenarien

Gerätekonfigurationsrichtlinie (veraltet)

Die Gerätekonfiguration > Endpoint Protection-Vorlage enthält FileVault als Teil des umfassenderen Endpunktschutzes.

Hinweis

Die macOS-Vorlage für Endpoint Protection ist veraltet und unterstützt das Erstellen neuer Profile nicht mehr. Verwenden Sie Endpunktsicherheit oder Einstellungskatalog für neue FileVault-Bereitstellungen.

Erstellen einer Endpunktsicherheitsrichtlinie

Standard FileVault-Bereitstellung

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen aus.

  3. Legen Sie die folgenden Optionen fest:

    • Plattform: macOS
    • Profil: macOS FileVault

  4. Konfigurieren Sie auf der Seite Konfigurationseinstellungen die grundlegenden FileVault-Einstellungen:

    Erforderliche Einstellungen:

    • für FileVault: Aktivieren = (zum Aktivieren von FileVault)
    • Verwenden des Wiederherstellungsschlüssels = Aktiviert

    Wiederherstellungsschlüsselverwaltung:

    • Wiederherstellungsschlüsselrotation in Monaten = Rotationsintervall festlegen
    • Location = Geben Sie eine beschreibende Anleitung ein, um Ihre Benutzer beim Abrufen von Schlüsseln zu unterstützen.

    Einstellungen für die Benutzererfahrung:

    • Verzögerung bis zur Abmeldung zulassen = Konfigurieren basierend auf den Anforderungen der Organisation
    • Defer Dont Ask At User Logout = Konfigurieren der Benutzerinteraktionseinstellungen
    • Verzögerungserzwingung bei Benutzeranmeldung Max. Umgehungsversuche = Festlegen der Strenge der Erzwingung

  5. Weisen Sie auf der Seite Bereich (Tags) die entsprechenden Bereichstags für die Verwaltungsstruktur Ihrer organization zu.

  6. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten. Erwägen Sie Folgendes:

    • Gerätegruppen für unternehmenseigene Geräte
    • Benutzergruppen für BYOD-Szenarien
    • Pilotgruppen für anfängliche Tests

  7. Wählen Sie Erstellen aus, um die Richtlinie bereitzustellen.

Leitfaden zum Speicherort für die Hinterlegung

Konfigurieren Sie hilfreiche Beschreibungen des Treuhandspeicherorts, um Benutzer beim Abrufen ihres Wiederherstellungsschlüssels zu unterstützen. Diese Informationen sind nützlich, wenn Sie die Einstellung für die Rotation des persönlichen Wiederherstellungsschlüssels verwenden, die automatisch in regelmäßigen Abständen einen neuen Wiederherstellungsschlüssel für ein Gerät generieren kann.

Meldungsbeispiel:

To retrieve a lost or recently rotated recovery key, sign in to the Intune Company Portal website from any device. In the portal, go to Devices and select the device that has FileVault enabled, and then select 'Get recovery key'. The current recovery key is displayed.

Zusätzliche Überlegungen zur Konfiguration:

  • Geben Sie die Supportkontaktinformationen Ihrer organization an.
  • Verweisen Sie auf Ihre internen IT-Verfahren für die Gerätewiederherstellung.
  • Stellen Sie eine klare, einfache Sprache bereit, die nicht technische Benutzer verstehen können.

Erstellen einer Einstellungskatalogrichtlinie

Der Einstellungskatalog bietet die umfassendsten FileVault-Konfigurationsoptionen, einschließlich der Erzwingung des Setup-Assistenten.

Bereitstellung des Standard-Einstellungskatalogs

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>nach Plattform>macOS>Geräte> verwaltenKonfiguration>Neue Richtlinieerstellen> aus.

  3. Wählen Sie als Profiltyp die Option Einstellungskatalog aus.

  4. Wählen Sie auf der Seite Konfigurationseinstellungendie Option + Einstellungen hinzufügen aus, und navigieren Sie zu Vollständige Datenträgerverschlüsselung.

    Abbildung der FileVault-Optionen in der Kategorie Vollständige Datenträgerverschlüsselung der Einstellungsauswahl.

  5. Konfigurieren Sie die folgenden grundlegenden FileVault-Einstellungen:

    Filevault:

    • Aktivieren = Auf
    • Verschieben = Aktiviert (erforderlich für eine erfolgreiche FileVault-Anwendung)

    FileVault Recovery Key Escrow:

    • Location = Geben Sie eine beschreibende Anleitung ein, um Ihre Benutzer beim Abrufen von Schlüsseln zu unterstützen.

    Erweiterte Optionen (je nach Bedarf): (Alle befinden sich unter FileVault)

    • Wiederherstellungsschlüssel anzeigen = Sichtbarkeit während der Verschlüsselung konfigurieren
    • Defer Don't Ask At User Logout = Control prompt timing
    • Verzögerung der Erzwingung bei Der Benutzeranmeldung max. Umgehungsversuche = Festlegen von Erzwingungsgrenzwerten
    • Wiederherstellungsschlüsselrotation in Monaten = Automatische Rotation konfigurieren

  6. Schließen Sie die Richtlinienzuweisung und -bereitstellung gemäß standard Intune Verfahren ab.

Erzwingung des Setup-Assistenten (macOS 14 und höher)

Wichtig

Die Erzwingung des Setup-Assistenten erfordert bestimmte Registrierungs- und Konfigurationsvoraussetzungen. Überprüfen Sie vor der Bereitstellung, ob Ihre Umgebung diese Anforderungen erfüllt.

Tipp

macOS 14.4 fügt Verfeinerungen hinzu, die für den Setup-Assistenten gelten. Vor macOS 14.4 erfordert der Setup-Assistent, dass das während des Setup-Assistenten interaktiv erstellte Benutzerkonto die Rolle Administrator hat.

Für die automatisierte FileVault-Aktivierung während der Geräteeinrichtung:

Voraussetzungen für den Setup-Assistenten:

  • macOS 14 oder höher
  • Apple Business Manager- oder Apple School Manager-Registrierung
  • Warten der endgültigen Konfiguration = Ja im Registrierungsprofil
  • Gerätefilter mit dem EnrollmentProfileName-Attribut

Konfiguration des Zusätzlichen Einstellungskatalogs: (Finden Sie unter FileVault)

  • Filevault>Erzwingen der Aktivierung im Setup-Assistenten = Aktiviert

  • Filevault>Verschieben = Aktiviert

    Wichtig

    Die Einstellung Zurückstellen muss auf Aktiviert konfiguriert sein, um FileVault im Setup-Assistenten für Geräte mit macOS 14.4 erfolgreich zu aktivieren.

    Screenshot der Einstellungen, die zum Aktivieren des Dateitresors im Setup-Assistenten erforderlich sind.

Konfiguration des Registrierungsprofils:

  1. Konfigurieren Sie das Registrierungsprofil mit der endgültigen Konfiguration = wartenJa.
  2. Erstellen Sie einen Gerätefilter für die gezielte Bereitstellung.
  3. Zuweisen der Einstellungskatalogrichtlinie zu gefilterten Geräten.

FileVault-Verschlüsselungsprozess

Das Verständnis des FileVault-Verschlüsselungsprozesses hilft bei der Bereitstellungsplanung und Problembehandlung:

Verschlüsselungsphasen

Die FileVault-Bereitstellung erfolgt in zwei unterschiedlichen Phasen:

  1. Vorbereitung des Schlüsseltresors: Intune bereitet das Gerät auf die Sicherung von Wiederherstellungsschlüsseln in Microsoft-Clouddiensten vor.
  2. Initiierung der Datenträgerverschlüsselung : FileVault-Verschlüsselung beginnt nach erfolgreicher Schlüsselbetrehung

Überlegungen zur Benutzererfahrung

Standard Benutzerfreundlichkeit der Bereitstellung:

  • Benutzern werden möglicherweise Aufforderungen zur FileVault-Aktivierung angezeigt (abhängig von der Konfiguration).
  • Der Wiederherstellungsschlüssel wird während des Verschlüsselungsprozesses einmal angezeigt.
  • Benutzer sollten angewiesen werden, Wiederherstellungsschlüsselinformationen aufzuzeichnen.
  • Die Verschlüsselung wird nach der ersteinrichtung im Hintergrund fortgesetzt.

Benutzeroberfläche des Setup-Assistenten:

  • Die Verschlüsselung erfolgt automatisch während der Geräteeinrichtung.
  • Für die Verschlüsselungsinitiierung ist keine Benutzerinteraktion erforderlich.
  • Wiederherstellungsschlüssel wird automatisch Intune
  • Benutzer schließen einrichtung mit verschlüsseltem Gerät ab

Überwachen und Verwalten von FileVault

Anzeigen der verschlüsselungs status

Informationen zu Geräten, die die FileVault-Richtlinie erhalten, finden Sie unter Überwachen der Datenträgerverschlüsselung.

Überwachen Der FileVault-Bereitstellung über mehrere Intune Schnittstellen:

  1. Verschlüsselungsbericht: Navigieren Sie zu Geräte>Überwachen>der Geräteverschlüsselung status:

    • Anzeigen von Verschlüsselungs-status auf allen verwalteten Geräten
    • Zugreifen auf Wiederherstellungsschlüsselinformationen für verschlüsselte Geräte
    • Überwachen der Richtlinienbereitstellung und -konformität

  2. Gerätespezifische Überwachung : Wählen Sie einzelne Geräte aus, die Angezeigt werden sollen:

    • FileVault-Status
    • Verfügbarkeit des Wiederherstellungsschlüssels
    • Details zur Zuweisung von Verschlüsselungsrichtlinien

FileVault-Schlüsseltresor und -Verwaltung

Bei verwalteten Geräten kann Intune eine Kopie des persönlichen Wiederherstellungsschlüssels hinterlegen. Durch die Hinterlegung von Schlüsseln können Intune-Administratoren die Schlüssel zum Schutz von Geräten rotieren, und die Benutzer können verlorene oder rotierte persönliche Wiederherstellungsschlüssel wiederherstellen.

Intune erstellt einen Wiederherstellungsschlüssel in folgenden Fällen:

  • Intune Richtlinie verschlüsselt ein Gerät
  • Ein Benutzer lädt seinen Wiederherstellungsschlüssel für ein Gerät hoch, das manuell verschlüsselt wurde.

Nachdem Intune den persönlichen Wiederherstellungsschlüssel hinterlegt hat:

  • Administratoren können die FileVault-Wiederherstellungsschlüssel für jedes verwaltete macOS-Gerät mithilfe des Intune Verschlüsselungsberichts verwalten und rotieren.
  • Administratoren können den persönlichen Wiederherstellungsschlüssel nur für verwaltete macOS-Geräte anzeigen, die als Unternehmens gekennzeichnet sind. Sie können den Wiederherstellungsschlüssel für persönliche Geräte nicht anzeigen.
  • Benutzer können ihren persönlichen Wiederherstellungsschlüssel an unterstützten Standorten anzeigen und abrufen.

Wiederherstellungsschlüsselverwaltung

Intune bietet eine umfassende Wiederherstellungsschlüsselverwaltung für Mit FileVault verschlüsselte Geräte:

Wiederherstellungsschlüssel anzeigen

Wichtig

Administratorzugriffseinschränkungen: Administratoren können FileVault-Wiederherstellungsschlüssel nur für Geräte anzeigen und verwalten, die als "Unternehmens" gekennzeichnet sind. Wiederherstellungsschlüssel für persönliche (BYOD)-Geräte sind für Administratoren nicht zugänglich, sodass der Datenschutz der Benutzer gewährleistet ist. Diese Unterscheidung ist für die Erwartungen des Administrators und die Problembehandlung von entscheidender Bedeutung.

Für Administratoren:

  • Zugriff auf Wiederherstellungsschlüssel für Geräte, die nur als "Unternehmens" gekennzeichnet sind
  • Wiederherstellungsschlüssel für persönliche/BYOD-Gerätekönnen nicht angezeigt werden
  • Navigieren Sie zu Gerätedetails > Überwachenvon Wiederherstellungsschlüsseln.>
  • Wählen Sie Wiederherstellungsschlüssel anzeigen (generiert Überwachungsprotokolleintrag) aus.

Erforderliche Berechtigungen:

  • Intune RBAC-Rolle mit der Berechtigung "Remoteaufgaben"
  • Rotieren des FileVault-Schlüssels nach rechts auf Ja

Speicherorte für den Zugriff auf Wiederherstellungsschlüssel

Endbenutzer können Wiederherstellungsschlüssel abrufen aus:

  • Unternehmensportal Website (portal.manage.microsoft.com): Primäre und zuverlässigste Methode
  • iOS-/iPadOS-Unternehmensportal-App– Zeigt FileVault-Wiederherstellungsschlüssel für Mac-Geräte an
  • Android Unternehmensportal-App – Zeigt FileVault-Wiederherstellungsschlüssel für Mac-Geräte an
  • Intune mobile App: Zeigt FileVault-Wiederherstellungsschlüssel für Mac-Geräte an.

Wichtig

Das Gerät muss mit Intune registriert und mit FileVault über Intune verschlüsselt werden. Während Wiederherstellungsschlüssel über mobile Unternehmensportal-Apps verfügbar sind, ist die Unternehmensportal-Website die primäre Methode für den zuverlässigen Abruf von Wiederherstellungsschlüsseln.

Prozess zum Abrufen von Wiederherstellungsschlüsseln:

  1. Verwenden Unternehmensportal Website (empfohlen):

    • Melden Sie sich von einem beliebigen Gerät aus bei der Unternehmensportal-Website (https://portal.manage.microsoft.com/) an.
    • Navigieren Sie zu Geräte , und wählen Sie das macOS-Gerät aus, das mit FileVault verschlüsselt ist.
    • Wählen Sie Wiederherstellungsschlüssel abrufen – Der aktuelle Wiederherstellungsschlüssel wird angezeigt.

  2. Verwenden von mobilen Unternehmensportal-Apps:

    • Öffnen Sie die iOS-/iPadOS-Unternehmensportal-App, die Android-Unternehmensportal-App oder Intune mobile App.
    • Navigieren Sie zu Geräte, und wählen Sie das verschlüsselte und registrierte macOS-Gerät aus.
    • Wählen Sie Wiederherstellungsschlüssel abrufen aus: Der Browser zeigt die Web-Unternehmensportal und den Wiederherstellungsschlüssel an.

Rotation des Wiederherstellungsschlüssels

Intune unterstützt sowohl die automatische als auch die manuelle Rotation des Wiederherstellungsschlüssels:

Automatische Drehung

Konfigurieren der automatischen Schlüsselrotation in FileVault-Richtlinien:

  • Rotation des persönlichen Wiederherstellungsschlüssels = Intervall festlegen (1–12 Monate)
  • Neue Schlüssel werden automatisch generiert und escrowed
  • Vorherige Schlüssel werden nach erfolgreicher Rotation ungültig
  • Benutzer müssen neue Schlüssel über Unternehmensportal

Manuelle Drehung

Administratoren können Wiederherstellungsschlüssel manuell rotieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Geräte>Alle Geräte aus.
  3. Wählen Sie das verschlüsselte Gerät aus.
  4. Wählen Sie unter Überwachendie Option Wiederherstellungsschlüssel aus.
  5. Wählen Sie Rotieren von FileVault-Wiederherstellungsschlüssel aus.

Hinweis

Die manuelle Rotation ist nur für Unternehmensgeräte verfügbar. Persönliche Geräte verwenden die automatische Rotation, die in der Richtlinie konfiguriert ist.

Übernehmen der Verwaltung der vorhandenen FileVault-Verschlüsselung

Intune können von der Verwaltung von Geräten ausgehen, die Benutzer verschlüsselt haben, bevor sie Intune FileVault-Richtlinie erhalten. Dieses Szenario ermöglicht eine zentralisierte Wiederherstellungsschlüsselverwaltung für zuvor verschlüsselte Geräte.

Voraussetzungen für die Übernahme der Geschäftsführung

  • Das Gerät muss eine aktive FileVault-Richtlinie von Intune
  • Der Benutzer muss Zugriff auf den aktuellen Wiederherstellungsschlüssel oder die Möglichkeit haben, einen neuen Schlüssel zu generieren.

Beide Methoden erfordern eine aktive FileVault-Richtlinie, die über Intune bereitgestellt wird. Verwenden Sie ein Endpunktsicherheits-Datenträgerverschlüsselungsprofil für die Richtlinienübermittlung.

Methode 1: Hochladen eines vorhandenen Wiederherstellungsschlüssels

Verwendung: Der Benutzer kennt seinen aktuellen persönlichen Wiederherstellungsschlüssel.

Prozess:

  1. Stellen Sie die FileVault-Richtlinie auf einem zuvor verschlüsselten Gerät bereit.
  2. Leiten Sie den Benutzer zur Unternehmensportal Website (portal.manage.microsoft.com) weiter.
  3. Der Benutzer wählt verschlüsseltes Gerät und dann Wiederherstellungsschlüssel speichern aus.
  4. Der Benutzer gibt den aktuellen persönlichen Wiederherstellungsschlüssel ein.
  5. Intune überprüft den Schlüssel und rotiert in einen neuen Wiederherstellungsschlüssel.
  6. Der neue Schlüssel ist hinterlegt und über Unternehmensportal verfügbar.

Benutzerkommunikation:
Informieren Sie die Benutzer darüber, dass sie ihren Wiederherstellungsschlüssel hochladen müssen, um Intune Verwaltung zu ermöglichen. Erwägen Sie die Erzwingung von Konformitätsrichtlinien, um den Abschluss sicherzustellen.

Methode 2: Generieren eines neuen Wiederherstellungsschlüssels auf dem Gerät

Verwendung: Der Benutzer kennt den aktuellen Wiederherstellungsschlüssel nicht, verfügt aber über Gerätezugriff.

Prozess:

  1. Stellen Sie die FileVault-Richtlinie auf einem zuvor verschlüsselten Gerät bereit.
  2. Der Benutzer öffnet die Terminal-App auf einem verschlüsselten Gerät.
  3. Ausführen von Befehlen zur Schlüsselrotation: 
    cd /Applications/Utilities
sudo fdesetup changerecovery -personal
  4. Der Benutzer gibt das Gerätekennwort an, wenn er dazu aufgefordert wird.
  5. Das System generiert und zeigt einen neuen Wiederherstellungsschlüssel an.
  6. Es wird davon ausgegangen, dass das Gerät mit Intune und Verwaltung eincheckt.

Beschleunigen des Geräte-Check-Ins:

  • Admin: Geräte> Auswählen der Gerätesynchronisierung>
  • Benutzer: Unternehmensportal App-Einstellungen>>Synchronisieren

Überprüfung der Annahme des Managements

Überprüfen Sie nach beiden Methoden die erfolgreiche Annahme der Verwaltung:

  1. Überprüfen Sie die status der Geräteverschlüsselung in Intune Verschlüsselungsbericht.
  2. Bestätigen Sie die Verfügbarkeit des Wiederherstellungsschlüssels in den Gerätedetails.
  3. Testen Sie den Abruf von Wiederherstellungsschlüsseln über Unternehmensportal.

Problembehandlung bei der FileVault-Bereitstellung

Häufige Bereitstellungsprobleme

Problem Lösung Überprüfung
Fehler bei der FileVault-Aktivierung Überprüfen der vom Benutzer genehmigten MDM-Registrierung status Überprüfen von Systemeinstellungsprofilen >
Fehler bei der Wiederherstellungsschlüssel-Beilegung Sicherstellen der Gerätenetzwerkkonnektivität Überprüfen des Verschlüsselungsberichts auf status
Erzwingung des Setup-Assistenten funktioniert nicht (macOS 14 und höher) Überprüfen Sie, ob die Einstellung "Zurückstellen " im Einstellungskatalog aktiviert ist. Überprüfen des Registrierungsprofils für die endgültige Konfiguration von Await
Benutzer können keine Wiederherstellungsschlüssel abrufen Überprüfen des Gerätebesitztyps und der Benutzerberechtigungen Überprüfen der Unternehmensgerätebezeichnung in Intune
Administrator kann nicht auf Wiederherstellungsschlüssel zugreifen Als persönlich/BYOD gekennzeichnetes Gerät (erwartetes Verhalten) Überprüfen des Gerätebesitztyps: Persönliche Geräte schützen die Privatsphäre der Benutzer

Fehlercodereferenz

Fehler -2016341107/0x87d1138d: Der Benutzer hat die Aufforderung zur FileVault-Aktivierung nicht akzeptiert.

  • Auflösung: Benutzerschulung zum Akzeptieren von FileVault-Aufforderungen.
  • Prävention: Ziehen Sie die Erzwingung des Setup-Assistenten für die automatisierte Bereitstellung in Betracht.

Lösung von Richtlinienkonflikten

Verwenden Sie die Richtlinienkonflikterkennung von Intune, um Folgendes zu identifizieren:

  • Überlappende FileVault-Richtlinien
  • In Konflikt stehende Endpoint Protection-Einstellungen
  • Interaktionen mit Konformitätsrichtlinien

Sicherheitsüberlegungen

Sicherheit des Wiederherstellungsschlüssels

Schlüsselschutz:

  • Wiederherstellungsschlüssel werden während der Übertragung und im Ruhezustand verschlüsselt.
  • Schlüssel werden sicher in Microsoft-Clouddiensten gespeichert.
  • Der Zugriff wird über Intune RBAC-Berechtigungen gesteuert.

Überwachungsprotokollierung:

  • Der gesamte Zugriff auf den Wiederherstellungsschlüssel wird in Microsoft Entra Überwachungsprotokollen protokolliert.
  • Protokolle enthalten Benutzeridentität, Zeitstempel und Schlüssel-ID.
  • Regelmäßiges Überprüfen von Protokollen auf nicht autorisierte Zugriffsversuche

Unternehmensgeräte im Vergleich zu persönlichen Geräten

Hinweis

Der Gerätebesitztyp (Unternehmens oder Privat) bestimmt den Administratorzugriff auf FileVault-Wiederherstellungsschlüssel. Dies ist ein grundlegendes Sicherheits- und Datenschutzdesign.

Unternehmensgeräte:

  • Vollständiger Administratorzugriff: Administratoren können Wiederherstellungsschlüssel anzeigen, rotieren und verwalten.
  • Vollständige Funktionen zur Verwaltung von Wiederherstellungsschlüsseln über Intune Admin Center
  • Geeignet für unternehmenseigene Geräte, bei denen volle IT-Kontrolle erwartet wird
  • Bei der Überwachungsprotokollierung werden alle Administrativen Zugriffe auf Wiederherstellungsschlüssel nachverfolgt.

Persönliche Geräte (BYOD):

  • Kein Administratorzugriff: Administratoren können Wiederherstellungsschlüssel nicht anzeigen oder direkt verwalten.
  • Benutzer behalten die vollständige Kontrolle über Self-Service-Unternehmensportal Zugriff
  • Gleicht die Sicherheitsanforderungen der Organisation mit den Datenschutzanforderungen der Mitarbeiter ab
  • Schlüssel sind weiterhin in der Microsoft-Cloud für die Self-Service-Wiederherstellung von Benutzern hinterlegt.
  • Automatische Drehung funktioniert weiterhin basierend auf der Richtlinienkonfiguration

Complianceintegration

Die FileVault-Verschlüsselung lässt sich in Intune Konformitätsrichtlinien integrieren:

  • Legen Sie in der Konformitätsrichtlinie Die Verschlüsselung des Datenspeichers erforderlich fest.
  • Blockieren des Zugriffs auf Unternehmensressourcen, bis die Verschlüsselung aktiviert ist
  • Überwachen der Konformität über Gerätekonformitätsberichte

Nächste Schritte

  • Last updated on