Použití šifrování disku FileVault pro macOS s Intune

Pomocí Microsoft Intune můžete nakonfigurovat a spravovat šifrování disku FileVault pro macOS. FileVault je program pro šifrování celého disku, který je součástí macOS. S Intune můžete nasadit zásady, které nakonfigurují FileVault, a pak spravovat obnovovací klíče na zařízeních se systémem macOS 10.13 nebo novějším.

Ke konfiguraci fileVault na spravovaných zařízeních použijte jeden z následujících typů zásad:

• Zásady zabezpečení koncového bodu pro macOS FileVault Profil FileVault v zabezpečení koncového bodu je zaměřená skupina nastavení, která je vyhrazená ke konfiguraci fileVault.

  Podívejte se na nastavení FileVault, která jsou k dispozici v profilech pro zásady šifrování disků.

• Profil konfigurace zařízení pro ochranu koncových bodů pro macOS FileVault. Nastavení FileVault je jednou z dostupných kategorií nastavení pro ochranu koncových bodů macOS. Další informace o použití konfiguračního profilu zařízení najdete v tématu Vytvoření profilu zařízení v Intune.

  Podívejte se na nastavení FileVault, která jsou k dispozici v profilech ochrany koncových bodů pro zásady konfigurace zařízení.

• Nastavení profilu katalogu pro macOS FileVault. FileVault je možné nakonfigurovat prostřednictvím katalogu nastavení Intune, který obsahuje některá nastavení, která nejsou dostupná v šablonách zabezpečení koncových bodů a ochrany koncových bodů.

Informace o správě nástroje BitLocker pro Windows 10/11 najdete v tématu Správa zásad nástroje BitLocker.

Tip

Intune poskytuje integrovanou sestavu šifrování, která obsahuje podrobnosti o stavu šifrování zařízení na všech spravovaných zařízeních.

Po vytvoření zásady pro šifrování zařízení pomocí FileVault se tato zásada použije na zařízení ve dvou fázích. Zařízení je nejprve připravené povolit Intune načtení a zálohování obnovovacího klíče. Tato akce se označuje jako úschova. Po uložení klíče do úschovy se může spustit šifrování disku.

Kromě použití zásad Intune k šifrování zařízení pomocí FileVault můžete zásady nasadit do spravovaného zařízení, aby Intune mohli převzít správu FileVault, když ho uživatel zašifroval. Tento scénář vyžaduje, aby zařízení přijalo zásady FileVault z Intune a uživatel nahrál svůj osobní obnovovací klíč do Intune.

Aby funkce FileVault na zařízení fungovala, vyžaduje se registrace zařízení schválená uživatelem. Aby se registrace považovala za schválenou uživatelem, musí uživatel ručně schválit profil správy ze systémových předvoleb.

Řízení přístupu na základě role pro správu služby FileVault

Pokud chcete spravovat FileVault v Intune, musí mít účet přiřazenou Intune roli řízení přístupu na základě role (RBAC), která zahrnuje oprávnění Vzdálené úlohy s právem Otočit klíč FileVault nastavenou na Ano:

Toto oprávnění a práva můžete přidat ke svým vlastním rolím RBAC nebo můžete použít některou z následujících předdefinovaných rolí RBAC , které toto právo zahrnují:

• Operátor technické podpory
• Správce zabezpečení koncových bodů

Vytvoření zásad zabezpečení koncového bodu pro FileVault

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Šifrovánídisků> zabezpečení >koncového boduVytvořit zásadu.

3. Na stránce Základy zadejte následující vlastnosti a pak zvolte Další.

   • Platforma: macOS
   • Profil: FileVault

   

4. Na stránce Nastavení konfigurace :

   1. Nastavte Povolit FileVault na Ano.
   2. Pro typ obnovovacího klíče se podporuje pouze osobní obnovovací klíč .
   3. Nakonfigurujte další nastavení tak, aby splňovala vaše požadavky.

   Zvažte přidání zprávy, která uživatelům pomůže načíst obnovovací klíč pro jejich zařízení. Tyto informace můžou být užitečné pro uživatele, když použijete nastavení Obměně osobního obnovovacího klíče, které může automaticky generovat nový obnovovací klíč pro zařízení pravidelně.

   Příklad: Pokud chcete načíst ztracený nebo nedávno obměněný obnovovací klíč, přihlaste se z libovolného zařízení k webu Portál společnosti Intune. Na portálu přejděte do části Zařízení, vyberte zařízení s povoleným souborem FileVault a pak vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

5. Po dokončení konfigurace nastavení vyberte Další.

6. Na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další.

7. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

8. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Vytvoření zásad katalogu nastavení pro FileVault

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>podle platformy>macOS>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu.

3. Na stránce Vytvořit profil vyberte jako Typ profilukatalog Nastavení.

4. Na stránce Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady může například zahrnovat typ profilu a platformu.

   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Na stránce Nastavení konfigurace vyberte + Přidat nastavení a otevřete tak výběr nastavení. Nastavení FileVault se nachází v kategorii Úplné šifrování disku :

   

   Pokud chcete povolit FileVault, vyberte a nakonfigurujte následující nastavení v kategorii Úplné šifrování disku :

   • FileVault >Enable – Nastaveno na Zapnuto
   • FileVault Umístění úschovy > obnovovacího klíče – Zadejte popis umístění, ve kterém je obnovovací klíč uložen. Tento text se vloží do zprávy, která se uživateli zobrazí při povolení funkce FileVault.

   Tip

   Při konfiguraci šifrování pro zařízení se systémem macOS 14 nebo novějším můžete pomocí Průvodce nastavením macOS vynutit šifrování FileVault před tím, než uživatel přijde na domovskou obrazovku. Další informace najdete v části Povolení služby FileVault prostřednictvím Pomocníka s nastavením dále v tomto článku.

6. Nakonfigurujte další nastavení FileVault(otevře web společnosti Apple) tak, aby vyhovovalo potřebám vaší firmy, a pak vyberte Další.

7. Pokud je to možné, na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu. Pokračujte výběrem možnosti Další.

8. Na stránce Přiřazení vyberte skupiny, které obdrží tento profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

9. Až budete hotovi, na stránce Zkontrolovat a vytvořit vyberte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Povolení funkce FileVault prostřednictvím Pomocníka s nastavením

U zařízení se systémem macOS 14 nebo novějším můžou zásady katalogu nastavení také vynutit šifrování FileVault prostřednictvím Pomocníka s nastavením systému macOS před tím, než uživatel přijde na domovskou obrazovku. Tento cíl vyžaduje další konfigurace:

• Funkce Poslední konfigurace Await pro zařízení musí být nastavená na Ano. Tato konfigurace zabraňuje koncovým uživatelům v přístupu k obsahu s omezeným přístupem nebo změně nastavení, dokud nebudou platit Intune zásady konfigurace zařízení. Informace o této konfiguraci najdete v článku Automatická registrace Počítačů Mac pomocí Apple Business Manageru nebo Apple School Manageru.

• Vytvořte filtr pomocí atributu EnrollmentProfileName , který se přiřadí k zásadám katalogu nastavení. Tím se zajistí, že se zásada FileVault přiřadí, když se zařízení poprvé zaregistruje s Intune. Další informace o konfiguraci filtrů najdete v tématu Vytvoření filtrů v Microsoft Intune.

• Pokud je možnost Await final Configuration nastavená na Hodnotu Ano pro zařízení, můžete do profilu katalogu nastavení přidat následující nastavení Úplné šifrování disku pro FileVault.

• FileVault >vynutit povolení v Pomocníkovi s nastavením – Nastavte na Povoleno.

  Následující obrázek ukazuje profil katalogu nastavení nakonfigurovaný se základními nastaveními pro povolení FileVault a použití Pomocníka s nastavením k vynucení šifrování. V tomto příkladu nastavení Umístění používá jednoduchý název naší domény Contoso:

  Důležité

  Nastavení Odložit musí být nakonfigurované na Povoleno , aby bylo možné úspěšně povolit FileVault v Pomocníkovi s nastavením pro zařízení s macOS 14.4.

  

Vytvoření zásad konfigurace zařízení pro FileVault (zastaralé)

Poznámka

Šablona macOS pro Endpoint Protection je zastaralá a už nepodporuje vytváření nových profilů. Místo toho ke konfiguraci a správě nových profilů FileVault použijte zabezpečení koncového bodu nebo katalog nastavení .

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení> Spravovatkonfiguraci>zařízení> Na kartě Zásady vyberte + Vytvořit.

3. Na stránce Vytvořit profil nastavte následující možnosti a pak vyberte Vytvořit>novou zásadu:

   • Platforma: macOS
   • Typ profilu: Šablony
   • Název šablony: Endpoint Protection (zastaralé)

   

4. Na stránce Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady může například zahrnovat typ profilu a platformu.

   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Na stránce Nastavení konfigurace vyberte FileVault a rozbalte dostupná nastavení:

   

6. Nakonfigurujte následující nastavení:

   • V části Povolit FileVault vyberte Ano.

   • Jako Typ obnovovacího klíče vyberte Osobní klíč.

   • Pro popis umístění osobního obnovovacího klíče pro úschovu přidejte zprávu, která uživatele provede načtením obnovovacího klíče pro jejich zařízení. Tyto informace můžou být užitečné pro uživatele, když použijete nastavení Obměně osobního obnovovacího klíče, které může automaticky generovat nový obnovovací klíč pro zařízení pravidelně.

     Příklad: Pokud chcete načíst ztracený nebo nedávno obměněný obnovovací klíč, přihlaste se z libovolného zařízení k webu Portál společnosti Intune. Na portálu přejděte do části Zařízení , vyberte zařízení s povoleným souborem FileVault a pak vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

   Nakonfigurujte zbývající nastavení FileVault tak, aby vyhovovalo vašim obchodním potřebám, a pak vyberte Další.

7. Pokud je to možné, na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další.

8. Na stránce Přiřazení vyberte skupiny pro příjem tohoto profilu. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

9. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Správa funkce FileVault

Informace o zařízeních, která přijímají zásady FileVault, najdete v tématu Monitorování šifrování disku.

Když Intune nejprve zašifruje zařízení s macOS pomocí FileVault, vytvoří se osobní obnovovací klíč. Při šifrování zařízení zobrazí osobní klíč jednou uživateli zařízení.

Poznámka

Zařízení, které hlásí kód chyby -2016341107/0x87d1138d obecně znamená, že koncový uživatel nepřijal výzvu FileVault k zahájení šifrování.

U spravovaných zařízení může Intune úschovu kopie osobního obnovovacího klíče. Úschova klíčů umožňuje správcům Intune obměňovat klíče, které pomáhají chránit zařízení, a uživatelům obnovit ztracený nebo obměněný osobní obnovovací klíč.

Intune uloží obnovovací klíč, když Intune zásady zašifrují zařízení nebo když uživatel nahraje obnovovací klíč pro zařízení, které zašifroval ručně.

Po Intune osobní obnovovací klíč:

• Správci můžou spravovat a obměňovat obnovovací klíče FileVault pro jakékoli spravované zařízení s macOS pomocí sestavy šifrování Intune.
• Správci můžou osobní obnovovací klíč zobrazit jenom pro spravovaná zařízení s macOS, která jsou označená jako podniková. Nemůžou zobrazit obnovovací klíč pro osobní zařízení.
• Uživatelé můžou zobrazit a načíst svůj osobní obnovovací klíč z podporovaného umístění. Například na webu Portál společnosti může uživatel zvolit možnost Získat obnovovací klíč jako akce vzdáleného zařízení.

Převzetí správy služby FileVault na dříve šifrovaných zařízeních

Intune nemůže spravovat šifrování disku FileVault na zařízení s macOS, které je šifrované uživatelem zařízení, pokud nepoužijete zásady FileVault prostřednictvím Intune. V tomto scénáři můžete použít dvě metody, které umožňují Intune převzít správu služby FileVault:

• Nahrání osobního obnovovacího klíče do Intune – Tuto metodu použijte, když uživatel zná svůj osobní obnovovací klíč.
• Uživatel vygeneruje na zařízení nový obnovovací klíč – Tuto metodu použijte, pokud uživatel nezná osobní obnovovací klíč.

Obě metody vyžadují, aby zařízení má aktivní zásady z Intune, která spravuje šifrování FileVault. K zajištění této zásady použijte profil šifrování disku zabezpečení koncového bodu.

Nahrání osobního obnovovacího klíče

Pokud chcete Intune povolit správu služby FileVault na dříve šifrovaném zařízení, může uživatel, který zařízení zašifroval, pomocí webu Portál společnosti nahrát svůj osobní obnovovací klíč pro zařízení do Intune. Nahrání klíče umožňuje Intune převzít správu šifrování.

Po nahrání Intune klíč obmění a vytvoří nový osobní obnovovací klíč. Intune uloží nový klíč pro budoucí potřeby obnovení a zpřístupní ho uživateli zařízení.

Požadavky:

• Šifrované zařízení musí mít zásady Intune FileVault pro šifrování disků.

  Než Intune může převzít správu šifrování zařízení šifrovaného uživatelem, musí toto zařízení přijmout zásady Intune FileVault pro šifrování disků.

  K šifrování zařízení pomocí FileVault použijte profil šifrování disku zabezpečení koncového bodu.

• Uživatel, který zařízení zašifroval, musí mít přístup ke svému osobnímu obnovovacímu klíči zařízení a musí být přesměrován, aby ho nahrál do Intune.

  Intune neupozorní uživatele, že musí nahrát svůj osobní obnovovací klíč, aby mohli dokončit šifrování. Místo toho pomocí běžných komunikačních kanálů IT upozorněte uživatele, kteří dříve zašifrovali své zařízení s macOS pomocí FileVault, že musí nahrát svůj osobní obnovovací klíč do Intune.

  Poznámka

  V závislosti na vašich zásadách dodržování předpisů může být zařízením zablokovaný přístup k podnikovým prostředkům, dokud Intune úspěšně nepřevezme správu šifrování FileVault na zařízení.

Nahrání osobního obnovovacího klíče do Intune:

1. Jakmile zařízení obdrží profil FileVault, nasměrujte uživatele, aby používal Portál společnosti web.

2. Na webu Portál společnosti uživatel vyhledá svoje šifrované zařízení s macOS a vybere možnost Uložit obnovovací klíč.

3. Uživatel musí zadat svůj osobní obnovovací klíč a Intune pak se pokusí klíč obměňovat, aby vygeneroval nový klíč.

   • Pokud je obměně klíčů úspěšná, Intune uloží nový klíč pro budoucí použití a zpřístupní ho uživateli v případě, že bude potřebovat obnovit své zařízení.
   • Pokud se obměně klíčů nezdaří, zařízení buď nezpracovalo zásadu FileVault, nebo zadaný klíč není pro zařízení přesný.

4. Po úspěšném obměně může uživatel načíst svůj nový osobní obnovovací klíč z podporovaného umístění.

Další informace najdete v tématu Obsah koncového uživatele pro nahrání osobního obnovovacího klíče.

Vygenerování nového obnovovacího klíče na zařízení

Pokud chcete Intune spravovat FileVault na dříve šifrovaném zařízení, může uživatel, který zařízení zašifroval, pomocí aplikace Terminál na zařízení obměnět svůj osobní obnovovací klíč. Pokud má zařízení aktivní zásady FileVault z Intune při obměně klíče, Intune pak předpokládá správu šifrování.

Požadavky:

• Šifrované zařízení musí mít zásady Intune FileVault pro šifrování disků.

  Než Intune může převzít správu šifrování zařízení šifrovaného uživatelem, musí toto zařízení přijmout zásady Intune FileVault pro šifrování disků.

  K šifrování zařízení pomocí FileVault použijte profil šifrování disku zabezpečení koncového bodu .

• Uživatel zařízení musí mít přístup k aplikaci Terminál na šifrované zařízení.

Pomocí terminálu vygenerujte nový osobní obnovovací klíč:

1. Jakmile zařízení obdrží profil FileVault, musí se uživatel, který zařízení zašifroval, přihlásit k zařízení, otevřít Terminál a spustit následující dva příkazy v pořadí:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Po spuštění tohoto příkazu se uživateli zobrazí výzva k zadání hesla zařízení. Po zadání hesla zařízení obmění osobní obnovovací klíč a předá uživateli nový osobní obnovovací klíč.

      Po nahrání nového obnovovacího klíče vyplňte zbývající výzvy z příkazu .

2. Po dokončení příkazového řádku se osobní obnovovací klíč na zařízení obměněl. Pokud zařízení úspěšně přijalo zásadu FileVault, Intune předpokládá správu šifrování zařízení při příštím přihlášení zařízení k Intune.

   Ve výchozím nastavení zařízení kontroluje přibližně každých osm hodin. Pokud chcete urychlit přihlášení zařízení, použijte jednu z následujících možností:

   • Správce Intune se může přihlásit k Centru pro správu Microsoft Intune, přejít na Zařízení, vybrat zařízení a pak vybrat Synchronizovat. Tím zařízení upozorníte, aby se okamžitě ohlásí pomocí Intune.
   • Uživatel zařízení může otevřít aplikaci Portál společnosti a přejít dočásti Synchronizacenastavení>. Tím zařízení nasměruje, aby okamžitě zkontrolovalo aktualizace zásad nebo profilu.

3. Jakmile Intune předpokládá správu šifrování, může uživatel načíst svůj nový osobní obnovovací klíč z podporovaného umístění.

Další informace najdete v tématu Obsah koncového uživatele pro nahrání osobního obnovovacího klíče.

Načtení osobního obnovovacího klíče

U zařízení s macOS, které má šifrování FileVault spravované službou Intune, můžou koncoví uživatelé načíst svůj osobní obnovovací klíč (fileVault key) z následujících umístění pomocí libovolného zařízení:

• Portál společnosti webu (https://portal.manage.microsoft.com/)
• aplikace Portál společnosti pro iOS/iPadOS
• Aplikace Portál společnosti pro Android
• Intune aplikace

Správci můžou zobrazit osobní obnovovací klíče pro šifrovaná zařízení s macOS, která jsou označená jako firemní zařízení. Nemůžou zobrazit obnovovací klíč pro osobní zařízení.

Zařízení, které má osobní obnovovací klíč, musí být zaregistrované ve službě Intune a šifrované službou FileVault prostřednictvím Intune. Když uživatel zařízení používá aplikaci Portál společnosti pro iOS, aplikaci Portál společnosti pro Android, aplikaci Intune pro Android nebo web Portál společnosti, zobrazí se mu obnovovací klíč FileVault potřebný pro přístup k zařízením Mac.

Uživatelé zařízení můžou vybrat Zařízení>šifrované a zaregistrované zařízení> s macOSZískat obnovovací klíč. V prohlížeči se zobrazí webová Portál společnosti a obnovovací klíč.

Obměna obnovovacích klíčů

Intune podporuje několik možností obměna a obnovení osobních obnovovacích klíčů. Jedním z důvodů, proč klíč obměňovat, je ztráta aktuálního osobního klíče nebo se považuje za ohrožený.

• Automatická obměně: Jako správce můžete nakonfigurovat nastavení FileVault Obměně osobního obnovovacího klíče tak, aby pravidelně automaticky generovala nové obnovovací klíče. Když se pro zařízení vygeneruje nový klíč, nezobrazí se uživateli. Místo toho musí uživatel získat klíč buď od správce, nebo pomocí aplikace Portál společnosti.

• Ruční obměna: Jako správce můžete zobrazit informace o zařízení, které spravujete pomocí Intune a které je šifrované pomocí FileVault. Pak můžete zvolit ruční obměně obnovovacího klíče pro podniková zařízení. Obnovovací klíče pro osobní zařízení nejde obměňovat.

  Obměna obnovovacího klíče:

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zařízení>Všechna zařízení.

  3. V seznamu zařízení vyberte zařízení, které je šifrované a pro které chcete klíč otočit. Pak v části Monitorování vyberte Obnovovací klíče.

  4. V podokně Obnovovací klíče vyberte Obměna souboru Obnovovací klíčVault.

     Při příštím přihlášení zařízení pomocí Intune se osobní klíč obmění. V případě potřeby může nový klíč získat uživatel prostřednictvím portálu společnosti.

Obnovení obnovovacích klíčů

• Správce: Správci nemůžou zobrazit osobní obnovovací klíče pro zařízení, která jsou šifrovaná pomocí FileVault.

• Koncový uživatel: Koncoví uživatelé používají Portál společnosti web z libovolného zařízení k zobrazení aktuálního osobního obnovovacího klíče pro libovolné spravované zařízení. Z aplikace Portál společnosti nemůžete zobrazit obnovovací klíče.

  Zobrazení obnovovacího klíče:

  1. Přihlaste se k webu Portál společnosti Intune z libovolného zařízení.

  2. Na portálu přejděte na Zařízení a vyberte zařízení s macOS, které je šifrované pomocí FileVault.

  3. Vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

Další kroky

Správa zásad nástroje BitLocker

Monitorování šifrování disku