Použití šifrování disku FileVault pro macOS s Intune

Pomocí Microsoft Intune můžete nakonfigurovat a spravovat šifrování disku FileVault pro macOS. FileVault je program pro šifrování celého disku, který je součástí macOS. Pomocí Intune můžete nasadit zásady, které nakonfigurují FileVault, a pak spravovat obnovovací klíče na zařízeních se systémem macOS 10.13 nebo novějším.

Ke konfiguraci fileVault na spravovaných zařízeních použijte jeden z následujících typů zásad:

• Zásady zabezpečení koncového bodu pro macOS FileVault Profil FileVault v zabezpečení koncového bodu je zaměřená skupina nastavení, která je vyhrazená ke konfiguraci fileVault.

  Podívejte se na nastavení FileVault, která jsou k dispozici v profilech pro zásady šifrování disků.

• Profil konfigurace zařízení pro ochranu koncových bodů pro macOS FileVault. Nastavení FileVault je jednou z dostupných kategorií nastavení pro ochranu koncových bodů macOS. Další informace o použití konfiguračního profilu zařízení najdete v tématu Vytvoření profilu zařízení v Intune.

  Podívejte se na nastavení FileVault, která jsou k dispozici v profilech ochrany koncových bodů pro zásady konfigurace zařízení.

• Nastavení profilu katalogu pro macOS FileVault. FileVault je možné nakonfigurovat prostřednictvím katalogu nastavení Intune, který obsahuje některá nastavení, která nejsou dostupná v šablonách zabezpečení koncových bodů a ochrany koncových bodů .

Informace o správě nástroje BitLocker pro Windows 10/11 najdete v tématu Správa zásad nástroje BitLocker.

Tip

Intune poskytuje integrovanou sestavu šifrování , která obsahuje podrobnosti o stavu šifrování zařízení na všech spravovaných zařízeních.

Po vytvoření zásady pro šifrování zařízení pomocí FileVault se tato zásada použije na zařízení ve dvou fázích. Zařízení je nejprve připravené povolit Intune načtení a zálohování obnovovacího klíče. Tato akce se označuje jako úschova. Po uložení klíče do úschovy se může spustit šifrování disku.

Kromě použití zásad Intune k šifrování zařízení pomocí FileVault můžete zásady nasadit do spravovaného zařízení, aby intune mohla převzít správu služby FileVault, když ho uživatel zašifroval. Tento scénář vyžaduje, aby zařízení přijalo zásadu FileVault z Intune a pak uživatel nahrál svůj osobní obnovovací klíč do Intune.

Aby funkce FileVault na zařízení fungovala, vyžaduje se registrace zařízení schválená uživatelem. Aby se registrace považovala za schválenou uživatelem, musí uživatel ručně schválit profil správy ze systémových předvoleb.

Řízení přístupu na základě role pro správu služby FileVault

Pokud chcete spravovat FileVault v Intune, musí mít účet přiřazenou roli řízení přístupu na základě role (RBAC) Intune, která zahrnuje oprávnění Vzdálené úlohy s právem Otočit klíč FileVault nastavenou na Ano:

Toto oprávnění a práva můžete přidat ke svým vlastním rolím RBAC nebo můžete použít některou z následujících předdefinovaných rolí RBAC , které toto právo zahrnují:

• Operátor technické podpory
• Správce zabezpečení koncových bodů

Vytvoření zásad konfigurace zařízení pro FileVault

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Zařízení> Spravovatkonfiguraci>zařízení> Na kartě Zásady vyberte + Vytvořit.

3. Na stránce Vytvořit profil nastavte následující možnosti a pak vyberte Vytvořit:

   • Platforma: macOS
   • Typ profilu: Šablony
   • Název šablony: Endpoint Protection

   

4. Na stránce Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady může například zahrnovat typ profilu a platformu.

   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Na stránce Nastavení konfigurace vyberte FileVault a rozbalte dostupná nastavení:

   

6. Nakonfigurujte následující nastavení:

   • V části Povolit FileVault vyberte Ano.

   • Jako Typ obnovovacího klíče vyberte Osobní klíč.

   • Pro popis umístění osobního obnovovacího klíče pro úschovu přidejte zprávu, která uživatele provede načtením obnovovacího klíče pro jejich zařízení. Tyto informace můžou být užitečné pro uživatele, když použijete nastavení Obměně osobního obnovovacího klíče, které může automaticky generovat nový obnovovací klíč pro zařízení pravidelně.

     Příklad: Pokud chcete načíst ztracený nebo nedávno obměněný obnovovací klíč, přihlaste se z libovolného zařízení k webu Portál společnosti Intune. Na portálu přejděte do části Zařízení , vyberte zařízení s povoleným souborem FileVault a pak vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

   Nakonfigurujte zbývající nastavení FileVault tak, aby vyhovovalo vašim obchodním potřebám, a pak vyberte Další.

7. Pokud je to možné, na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další .

8. Na stránce Přiřazení vyberte skupiny pro příjem tohoto profilu. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

9. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Vytvoření zásad zabezpečení koncového bodu pro FileVault

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Šifrovánídisků> zabezpečení >koncového boduVytvořit zásadu.

3. Na stránce Základy zadejte následující vlastnosti a pak zvolte Další.

• Platforma: macOS

• Profil: FileVault

  

4. Na stránce Nastavení konfigurace :

   1. Nastavte Povolit FileVault na Ano.
   2. Pro typ obnovovacího klíče se podporuje pouze osobní obnovovací klíč .
   3. Nakonfigurujte další nastavení tak, aby splňovala vaše požadavky.

   Zvažte přidání zprávy, která uživatelům pomůže načíst obnovovací klíč pro jejich zařízení. Tyto informace můžou být užitečné pro uživatele, když použijete nastavení Obměně osobního obnovovacího klíče, které může automaticky generovat nový obnovovací klíč pro zařízení pravidelně.

   Příklad: Pokud chcete načíst ztracený nebo nedávno obměněný obnovovací klíč, přihlaste se z libovolného zařízení k webu Portál společnosti Intune. Na portálu přejděte do části Zařízení, vyberte zařízení s povoleným souborem FileVault a pak vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

5. Po dokončení konfigurace nastavení vyberte Další.

6. Na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další .

7. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

8. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Vytvoření zásad katalogu nastavení pro FileVault

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Zařízení>podle platformy>macOS>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu.

3. Na stránce Vytvořit profil vyberte jako Typ profilukatalog Nastavení.

4. Na stránce Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název zásady. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název zásady může například zahrnovat typ profilu a platformu.

   • Popis: Zadejte popis zásady. Toto nastavení není povinné, ale doporučujeme ho zadat.

5. Na stránce Nastavení konfigurace vyberte + Přidat nastavení a otevřete tak výběr nastavení. Nastavení FileVault se nachází v kategorii Úplné šifrování disku :

   

   Pokud chcete povolit FileVault, vyberte a nakonfigurujte následující nastavení v kategorii Úplné šifrování disku :

   • FileVault >Enable – Nastaveno na Zapnuto
   • FileVault Umístění úschovy > obnovovacího klíče – Zadejte popis umístění, ve kterém je obnovovací klíč uložen. Tento text se vloží do zprávy, která se uživateli zobrazí při povolení funkce FileVault.

   Tip

   Při konfiguraci šifrování pro zařízení se systémem macOS 14 nebo novějším můžete pomocí Průvodce nastavením macOS vynutit šifrování FileVault před tím, než uživatel přijde na domovskou obrazovku. Další informace najdete v části Povolení služby FileVault prostřednictvím Pomocníka s nastavením dále v tomto článku.

6. Nakonfigurujte další nastavení FileVault(otevře web společnosti Apple) tak, aby vyhovovalo potřebám vaší firmy, a pak vyberte Další.

7. Pokud je to možné, na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu. Pokračujte výběrem možnosti Další .

8. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

9. Až budete hotovi, na stránce Zkontrolovat a vytvořit vyberte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Povolení funkce FileVault prostřednictvím Pomocníka s nastavením

U zařízení se systémem macOS 14 nebo novějším můžou zásady katalogu nastavení také vynutit šifrování FileVault prostřednictvím Pomocníka s nastavením systému macOS před tím, než uživatel přijde na domovskou obrazovku. Tento cíl vyžaduje další konfigurace:

• Funkce Poslední konfigurace Await pro zařízení musí být nastavená na Ano. Tato konfigurace zabraňuje koncovým uživatelům v přístupu k obsahu s omezeným přístupem nebo změně nastavení, dokud nebudou platit platné zásady konfigurace zařízení Intune. Informace o této konfiguraci najdete v článku Automatická registrace Počítačů Mac pomocí Apple Business Manageru nebo Apple School Manageru.

• Vytvořte filtr pomocí atributu EnrollmentProfileName , který se přiřadí k zásadám katalogu nastavení. Tím se zajistí, že se zásada FileVault přiřadí při první registraci zařízení v Intune. Další informace o konfiguraci filtrů najdete v tématu Vytvoření filtrů v Microsoft Intune.

• Pokud je možnost Await final Configuration nastavená na Hodnotu Ano pro zařízení, můžete do profilu katalogu nastavení přidat následující nastavení Úplné šifrování disku pro FileVault.

• FileVault >vynutit povolení v Pomocníkovi s nastavením – Nastavte na Povoleno.

  Následující obrázek ukazuje profil katalogu nastavení nakonfigurovaný se základními nastaveními pro povolení FileVault a použití Pomocníka s nastavením k vynucení šifrování. V tomto příkladu nastavení Umístění používá jednoduchý název naší domény Contoso:

  Důležité

  Nastavení Odložit musí být nakonfigurované na Povoleno , aby bylo možné úspěšně povolit FileVault v Pomocníkovi s nastavením pro zařízení s macOS 14.4.

  

Správa funkce FileVault

Informace o zařízeních, která přijímají zásady FileVault, najdete v tématu Monitorování šifrování disku.

Když Intune poprvé zašifruje zařízení s macOS pomocí FileVault, vytvoří se osobní obnovovací klíč. Při šifrování zařízení zobrazí osobní klíč jednou uživateli zařízení.

Poznámka

Zařízení, které hlásí kód chyby -2016341107/0x87d1138d obecně znamená, že koncový uživatel nepřijal výzvu FileVault k zahájení šifrování.

U spravovaných zařízení může Intune úschovu kopie osobního obnovovacího klíče. Úschova klíčů umožňuje správcům Intune obměňovat klíče, které pomáhají chránit zařízení, a uživatelům obnovit ztracený nebo obměněný osobní obnovovací klíč.

Intune uloží obnovovací klíč do úschovy, když zásady Intune zašifrují zařízení nebo když uživatel nahraje obnovovací klíč pro zařízení, které ručně zašifroval.

Po uložení osobního obnovovacího klíče v Intune:

• Správci můžou spravovat a obměňovat obnovovací klíče FileVault pro jakékoli spravované zařízení s macOS pomocí sestavy šifrování Intune.
• Správci můžou osobní obnovovací klíč zobrazit jenom pro spravovaná zařízení s macOS, která jsou označená jako podniková. Nemůžou zobrazit obnovovací klíč pro osobní zařízení.
• Uživatelé můžou zobrazit a načíst svůj osobní obnovovací klíč z podporovaného umístění. Například na webu Portál společnosti může uživatel zvolit, že má získat obnovovací klíč jako akci vzdáleného zařízení.

Převzetí správy služby FileVault na dříve šifrovaných zařízeních

Intune nemůže spravovat šifrování disku FileVault na zařízení s macOS, které je šifrované uživatelem zařízení, pokud nepoužijete zásady FileVault prostřednictvím Intune. V tomto scénáři můžete použít dvě metody, které intune umožní převzít správu služby FileVault:

• Nahrání osobního obnovovacího klíče do Intune – Tuto metodu použijte, když uživatel zná svůj osobní obnovovací klíč.
• Uživatel vygeneruje na zařízení nový obnovovací klíč – Tuto metodu použijte, pokud uživatel nezná osobní obnovovací klíč.

Obě metody vyžadují, aby zařízení má aktivní zásady z Intune, které spravují šifrování FileVault. K zajištění této zásady můžete použít profil šifrování disku zabezpečení koncového bodu nebo profil ochrany koncového bodu konfigurace zařízení k šifrování zařízení pomocí FileVault.

Nahrání osobního obnovovacího klíče

Pokud chcete službě Intune povolit správu služby FileVault na dříve šifrovaném zařízení, uživatel, který zařízení zašifroval, může pomocí webu Portál společnosti nahrát svůj osobní obnovovací klíč pro zařízení do Intune. Nahrání klíče umožní Intune převzít správu šifrování.

Po nahrání Intune klíč obměňuje a vytvoří nový osobní obnovovací klíč. Intune uloží nový klíč pro budoucí potřeby obnovení a zpřístupní ho uživateli zařízení.

Požadavky:

• Šifrované zařízení musí mít zásadu Intune FileVault pro šifrování disku.

  Aby intune mohl převzít správu šifrování zařízení šifrovaného uživatelem, musí toto zařízení přijmout zásady Intune FileVault pro šifrování disku.

  K šifrování zařízení pomocí FileVault použijte buď profil šifrování disku zabezpečení koncového bodu, nebo profil ochrany koncového bodu konfigurace zařízení .

• Uživatel, který zařízení zašifroval, musí mít přístup ke svému osobnímu obnovovacímu klíči zařízení a musí být přesměrován, aby ho nahrál do Intune.

  Intune neupozorní uživatele, že kvůli dokončení šifrování musí nahrát svůj osobní obnovovací klíč. Místo toho pomocí běžných komunikačních kanálů IT upozorněte uživatele, kteří dříve zašifrovali své zařízení s macOS pomocí FileVault, že musí nahrát svůj osobní obnovovací klíč do Intune.

  Poznámka

  V závislosti na vašich zásadách dodržování předpisů může být zařízením zablokovaný přístup k podnikovým prostředkům, dokud Intune úspěšně nepřevezme správu šifrování FileVault na zařízení.

Nahrání osobního obnovovacího klíče do Intune:

1. Jakmile zařízení obdrží profil FileVault, nasměrujte uživatele, aby používal web Portál společnosti.

2. Na webu Portál společnosti uživatel vyhledá šifrované zařízení s macOS a vybere možnost Obnovovací klíč pro Store.

3. Uživatel musí zadat svůj osobní obnovovací klíč a Intune se pak pokusí klíč obměňovat, aby vygeneroval nový klíč.

   • Pokud je obměně klíčů úspěšná, Intune uloží nový klíč pro budoucí použití a zpřístupní ho uživateli v případě, že uživatel bude potřebovat obnovit své zařízení.
   • Pokud se obměně klíčů nezdaří, zařízení buď nezpracovalo zásadu FileVault, nebo zadaný klíč není pro zařízení přesný.

4. Po úspěšném obměně může uživatel načíst svůj nový osobní obnovovací klíč z podporovaného umístění.

Další informace najdete v tématu Obsah koncového uživatele pro nahrání osobního obnovovacího klíče.

Vygenerování nového obnovovacího klíče na zařízení

Pokud chcete službě Intune povolit správu služby FileVault na dříve šifrovaném zařízení, může uživatel, který zařízení zašifroval, pomocí aplikace Terminál na zařízení obměnět svůj osobní obnovovací klíč. Pokud má zařízení aktivní zásadu FileVault z Intune při obměně klíče, Intune pak převezme správu šifrování.

Požadavky:

• Šifrované zařízení musí mít zásadu Intune FileVault pro šifrování disku.

  Aby intune mohl převzít správu šifrování zařízení šifrovaného uživatelem, musí toto zařízení přijmout zásady Intune FileVault pro šifrování disku.

  K šifrování zařízení pomocí FileVault použijte buď profil šifrování disku zabezpečení koncového bodu, nebo profil ochrany koncového bodu konfigurace zařízení .

• Uživatel zařízení musí mít přístup k aplikaci Terminál na šifrované zařízení.

Pomocí terminálu vygenerujte nový osobní obnovovací klíč:

1. Jakmile zařízení obdrží profil FileVault, musí se uživatel, který zařízení zašifroval, přihlásit k zařízení, otevřít Terminál a spustit následující dva příkazy v pořadí:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Po spuštění tohoto příkazu se uživateli zobrazí výzva k zadání hesla zařízení. Po zadání hesla zařízení obmění osobní obnovovací klíč a předá uživateli nový osobní obnovovací klíč.

      Po nahrání nového obnovovacího klíče vyplňte zbývající výzvy z příkazu .

2. Po dokončení příkazového řádku se osobní obnovovací klíč na zařízení obměněl. Pokud zařízení úspěšně přijalo zásadu FileVault, Intune předpokládá správu šifrování zařízení při příštím přihlášení zařízení k Intune.

   Ve výchozím nastavení zařízení kontroluje přibližně každých osm hodin. Pokud chcete urychlit přihlášení zařízení, použijte jednu z následujících možností:

   • Správce Intune se může přihlásit do Centra pro správu Microsoft Intune, přejít na Zařízení, vybrat zařízení a pak vybrat Synchronizovat. Tím zařízení upozorníte, aby se okamžitě ohlásí pomocí Intune.
   • Uživatel zařízení může otevřít aplikaci Portál společnosti a přejít dočásti Synchronizacenastavení>. Tím zařízení nasměruje, aby okamžitě zkontrolovalo aktualizace zásad nebo profilu.

3. Jakmile Intune převezme správu šifrování, může uživatel načíst svůj nový osobní obnovovací klíč z podporovaného umístění.

Další informace najdete v tématu Obsah koncového uživatele pro nahrání osobního obnovovacího klíče.

Načtení osobního obnovovacího klíče

U zařízení s macOS, které má šifrování FileVault spravované službou Intune, můžou koncoví uživatelé načíst svůj osobní obnovovací klíč (klíč FileVault) z následujících umístění pomocí libovolného zařízení:

• Web Portál společnosti (https://portal.manage.microsoft.com/)
• Aplikace Portál společnosti pro iOS/iPadOS
• Aplikace Portál společnosti pro Android
• Aplikace Intune

Správci můžou zobrazit osobní obnovovací klíče pro šifrovaná zařízení s macOS, která jsou označená jako firemní zařízení. Nemůžou zobrazit obnovovací klíč pro osobní zařízení.

Zařízení, které má osobní obnovovací klíč, musí být zaregistrované v Intune a šifrované pomocí Služby FileVault prostřednictvím Intune. Když uživatel zařízení používá aplikaci Portál společnosti pro iOS, aplikaci Portál společnosti pro Android, aplikaci Intune pro Android nebo web Portál společnosti, zobrazí se mu obnovovací klíč FileVault potřebný pro přístup k zařízením Mac.

Uživatelé zařízení můžou vybrat Zařízení>šifrované a zaregistrované zařízení> s macOSZískat obnovovací klíč. V prohlížeči se zobrazí Webový portál společnosti a obnovovací klíč.

Obměna obnovovacích klíčů

Intune podporuje několik možností obměna a obnovení osobních obnovovacích klíčů. Jedním z důvodů, proč klíč obměňovat, je ztráta aktuálního osobního klíče nebo se považuje za ohrožený.

• Automatická obměně: Jako správce můžete nakonfigurovat nastavení FileVault Obměně osobního obnovovacího klíče tak, aby pravidelně automaticky generovala nové obnovovací klíče. Když se pro zařízení vygeneruje nový klíč, nezobrazí se uživateli. Místo toho musí uživatel získat klíč buď od správce, nebo pomocí aplikace Portál společnosti.

• Ruční obměna: Jako správce můžete zobrazit informace o zařízení, které spravujete pomocí Intune a které je šifrované pomocí FileVault. Pak můžete zvolit ruční obměně obnovovacího klíče pro podniková zařízení. Obnovovací klíče pro osobní zařízení nejde obměňovat.

  Obměna obnovovacího klíče:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení>Všechna zařízení.

  3. V seznamu zařízení vyberte zařízení, které je šifrované a pro které chcete klíč otočit. Pak v části Monitorování vyberte Obnovovací klíče.

  4. V podokně Obnovovací klíče vyberte Obměna souboru Obnovovací klíčVault.

     Při příštím přihlášení zařízení k Intune se osobní klíč obmění. V případě potřeby může nový klíč získat uživatel prostřednictvím portálu společnosti.

Obnovení obnovovacích klíčů

• Správce: Správci nemůžou zobrazit osobní obnovovací klíče pro zařízení, která jsou šifrovaná pomocí FileVault.

• Koncový uživatel: Koncoví uživatelé používají web Portál společnosti z libovolného zařízení k zobrazení aktuálního osobního obnovovacího klíče pro libovolné jejich spravované zařízení. Z aplikace Portál společnosti nemůžete zobrazit obnovovací klíče.

  Zobrazení obnovovacího klíče:

  1. Přihlaste se k webu Portál společnosti Intune z libovolného zařízení.

  2. Na portálu přejděte na Zařízení a vyberte zařízení s macOS, které je šifrované pomocí FileVault.

  3. Vyberte Získat obnovovací klíč. Zobrazí se aktuální obnovovací klíč.

Další kroky

Správa zásad nástroje BitLocker

Monitorování šifrování disku