Usare la crittografia del disco FileVault per macOS con Intune

Usare Microsoft Intune per configurare e gestire la crittografia del disco macOS FileVault. FileVault è un programma di crittografia su disco intero incluso in macOS. Con Intune è possibile distribuire criteri che configurano FileVault e quindi gestire le chiavi di ripristino nei dispositivi che eseguono macOS 10.13 o versioni successive.

Usare uno dei tipi di criteri seguenti per configurare FileVault nei dispositivi gestiti:

• Criteri di sicurezza degli endpoint per macOS FileVault. Il profilo FileVault in Sicurezza degli endpoint è un gruppo incentrato di impostazioni dedicato alla configurazione di FileVault.

  Visualizzare le impostazioni FileVault disponibili nei profili per i criteri di crittografia del disco.

• Profilo di configurazione del dispositivo per Endpoint Protection per macOS FileVault. Le impostazioni di FileVault sono una delle categorie di impostazioni disponibili per la protezione degli endpoint macOS. Per altre informazioni sull'uso di un profilo di configurazione del dispositivo, vedere Creare un profilo di dispositivo in Intune.

  Visualizzare le impostazioni FileVault disponibili nei profili di endpoint protection per i criteri di configurazione del dispositivo.

• Profilo del catalogo delle impostazioni per macOS FileVault. FileVault può essere configurato tramite il catalogo delle impostazioni di Intune, che include alcune impostazioni non disponibili nei modelli di endpoint security ed endpoint protection.

Per gestire BitLocker per Windows 10/11, vedere Gestire i criteri di BitLocker.

Consiglio

Intune fornisce un report di crittografia predefinito che presenta i dettagli sullo stato di crittografia dei dispositivi, in tutti i dispositivi gestiti.

Dopo aver creato un criterio per crittografare i dispositivi con FileVault, il criterio viene applicato ai dispositivi in due fasi. In primo luogo, il dispositivo è pronto per abilitare Intune per recuperare ed eseguire il backup della chiave di ripristino. Questa azione viene definita deposito. Dopo il deposito della chiave, è possibile avviare la crittografia del disco.

Oltre a usare Intune criteri per crittografare un dispositivo con FileVault, è possibile distribuire i criteri in un dispositivo gestito per consentire Intune di assumere la gestione di FileVault quando il dispositivo è stato crittografato dall'utente. Questo scenario richiede che il dispositivo riceva i criteri FileVault da Intune, seguito dall'utente che carica la chiave di ripristino personale in Intune.

La registrazione del dispositivo approvata dall'utente è necessaria per il funzionamento di FileVault in un dispositivo. L'utente deve approvare manualmente il profilo di gestione dalle preferenze di sistema affinché la registrazione venga considerata approvata dall'utente.

Controlli di accesso in base al ruolo per gestire FileVault

Per gestire FileVault in Intune, a un account deve essere assegnato un ruolo Intune controllo degli accessi in base al ruolo che include l'autorizzazione Attività remote con il diritto Ruota fileVault impostato su Sì:

È possibile aggiungere questa autorizzazione e questo diritto ai propri ruoli di controllo degli accessi in base al ruolo personalizzati oppure usare uno dei ruoli RBAC predefiniti seguenti che includono questo diritto:

• Operatore help desk
• Amministratore della sicurezza degli endpoint

Creare criteri di sicurezza degli endpoint per FileVault

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Endpoint security> Disk encryptionCreate Policy (Crea criteri dicrittografia> dei dischi).

3. Nella pagina Informazioni di base immettere le proprietà seguenti e quindi scegliere Avanti.

   • Piattaforma: macOS
   • Profilo: FileVault

   

4. Nella pagina Impostazioni di configurazione :

   1. Impostare Abilita FileVault su Sì.
   2. Per il tipo di chiave di ripristino, è supportata solo la chiave di ripristino personale .
   3. Configurare altre impostazioni per soddisfare i requisiti.

   Valutare la possibilità di aggiungere un messaggio per aiutare gli utenti a recuperare la chiave di ripristino per il dispositivo. Queste informazioni possono essere utili per gli utenti quando si usa l'impostazione per la rotazione della chiave di ripristino personale, che può generare automaticamente una nuova chiave di ripristino per un dispositivo periodicamente.

   Ad esempio: per recuperare una chiave di ripristino smarrita o ruotata di recente, accedere al sito Web Portale aziendale Intune da qualsiasi dispositivo. Nel portale passare a Dispositivi e selezionare il dispositivo in cui è abilitato FileVault e quindi selezionare Recupera chiave di ripristino. Viene visualizzata la chiave di ripristino corrente.

5. Al termine della configurazione delle impostazioni, selezionare Avanti.

6. Nella pagina Ambito (tag) scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare tag di ambito al profilo.

   Selezionare Avanti per continuare.

7. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo. Selezionare Avanti.

8. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Creare criteri di catalogo delle impostazioni per FileVault

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi>per piattaforma>macOS>Gestisci dispositivi>Configurazione>Crea>nuovo criterio.

3. Nella pagina Crea un profilo selezionare Catalogo impostazioni per Il tipo di profilo.

4. Nella pagina Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido potrebbe includere il tipo di profilo e la piattaforma.

   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

5. Nella pagina Impostazioni di configurazione selezionare + Aggiungi impostazioni per aprire la selezione impostazioni. Le impostazioni di FileVault si trovano nella categoria Crittografia disco completo :

   

   Per abilitare FileVault, selezionare e configurare le impostazioni seguenti nella categoria Crittografia disco completo :

   • Abilitare FileVault > - Impostato su Attivato
   • FileVault Recovery Key Escrow >Location ( Percorso deposito chiave di ripristino FileVault): specificare una descrizione del percorso in cui la chiave di ripristino viene depositata. Questo testo viene inserito nel messaggio visualizzato dall'utente quando si abilita FileVault.

   Consiglio

   Quando si configura la crittografia per i dispositivi che eseguono macOS 14 o versioni successive, è possibile usare l'Assistente configurazione macOS per applicare la crittografia FileVault prima che un utente arrivi alla schermata iniziale. Vedere Enable FileVault through the Setup Assistant più avanti in questo articolo.

6. Configurare impostazioni FileVault aggiuntive (apre il sito Web di Apple) per soddisfare le esigenze aziendali e quindi selezionare Avanti.

7. Se applicabile, nella pagina Ambito (tag) scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare i tag di ambito al profilo. Selezionare Avanti per continuare.

8. Nella pagina Assegnazioni selezionare i gruppi che ricevono questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo. Selezionare Avanti.

9. Nella pagina Rivedi e crea, al termine, scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Abilitare FileVault tramite l'Assistente configurazione

Per i dispositivi che eseguono macOS 14 e versioni successive, i criteri del catalogo delle impostazioni possono anche applicare la crittografia FileVault tramite l'Assistente configurazione macOS, prima che un utente arrivi alla schermata iniziale. Questo obiettivo richiede configurazioni aggiuntive:

• La funzionalità di configurazione finale Await per il dispositivo deve essere impostata su Sì. Questa configurazione impedisce agli utenti finali di accedere al contenuto con restrizioni o modificare le impostazioni fino a quando non si applicano criteri di configurazione del dispositivo Intune applicabili. Per informazioni su questa configurazione, vedere Registrare automaticamente i Mac con Apple Business Manager o Apple School Manager.

• Creare un filtro usando l'attributo EnrollmentProfileName che verrà assegnato ai criteri del catalogo delle impostazioni. In questo modo si garantisce che i criteri FileVault vengano assegnati alla prima registrazione del dispositivo con Intune. Per altre informazioni sulla configurazione dei filtri, vedere Creare filtri in Microsoft Intune.

• Quando Await final Configuration è impostato su Sì per un dispositivo, è possibile aggiungere la seguente impostazione crittografia disco completo per FileVault nel profilo del catalogo delle impostazioni

• FileVault >Forza l'abilitazione in Assistente configurazione : impostato su Abilitato.

  L'immagine seguente mostra il profilo del catalogo delle impostazioni configurato con le impostazioni di base per abilitare FileVault e usare Assistente configurazione per applicare la crittografia. In questo esempio l'impostazione Percorso usa il nome semplice del dominio Contoso:

  Importante

  L'impostazione Rinvia deve essere configurata su Abilitato per abilitare correttamente FileVault in Assistente configurazione per i dispositivi che eseguono macOS 14.4.

  

Creare criteri di configurazione del dispositivo per FileVault (deprecato)

Nota

Il modello macOS per Endpoint Protection è deprecato e non supporta più la creazione di nuovi profili. Usare invece la sicurezza degli endpoint o il catalogo delle impostazioni per configurare e gestire i nuovi profili FileVault.

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi> Gestisciconfigurazione>dispositivi> Nella scheda Criteri selezionare + Crea.

3. Nella pagina Crea un profilo impostare le opzioni seguenti e quindi selezionare Crea>nuovo criterio:

   • Piattaforma: macOS
   • Tipo di profilo: Modelli
   • Nome modello: Endpoint Protection (deprecato)

   

4. Nella pagina Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di criterio valido potrebbe includere il tipo di profilo e la piattaforma.

   • Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.

5. Nella pagina Impostazioni di configurazione selezionare FileVault per espandere le impostazioni disponibili:

   

6. Configurare le seguenti impostazioni:

   • Per Abilita FileVault selezionare Sì.

   • Per Tipo di chiave di ripristino selezionare Chiave personale.

   • Per la descrizione della posizione del deposito della chiave di ripristino personale, aggiungere un messaggio per aiutare gli utenti a recuperare la chiave di ripristino per il dispositivo. Queste informazioni possono essere utili per gli utenti quando si usa l'impostazione per la rotazione della chiave di ripristino personale, che può generare automaticamente una nuova chiave di ripristino per un dispositivo periodicamente.

     Ad esempio: per recuperare una chiave di ripristino smarrita o ruotata di recente, accedere al sito Web Portale aziendale Intune da qualsiasi dispositivo. Nel portale passare a Dispositivi e selezionare il dispositivo in cui è abilitato FileVault e quindi selezionare Recupera chiave di ripristino. Viene visualizzata la chiave di ripristino corrente.

   Configurare le impostazioni rimanenti di FileVault per soddisfare le esigenze aziendali e quindi selezionare Avanti.

7. Se applicabile, nella pagina Ambito (tag) scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare i tag di ambito al profilo.

   Selezionare Avanti per continuare.

8. Nella pagina Assegnazioni selezionare i gruppi per ricevere questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo. Selezionare Avanti.

9. Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.

Gestire FileVault

Per visualizzare informazioni sui dispositivi che ricevono i criteri FileVault, vedere Monitorare la crittografia del disco.

Quando Intune crittografa per la prima volta un dispositivo macOS con FileVault, viene creata una chiave di ripristino personale. Al momento della crittografia, il dispositivo visualizza la chiave personale una sola volta per l'utente del dispositivo.

Nota

Un dispositivo che segnala il codice di errore -2016341107/0x87d1138d indica in genere che l'utente finale non ha accettato la richiesta FileVault per avviare la crittografia.

Per i dispositivi gestiti, Intune possono depositare una copia della chiave di ripristino personale. Il deposito di chiavi consente agli amministratori Intune di ruotare le chiavi per proteggere i dispositivi e agli utenti di ripristinare una chiave di ripristino personale persa o ruotata.

Intune deposita una chiave di ripristino quando Intune criterio crittografa un dispositivo o dopo che un utente carica la chiave di ripristino per il dispositivo crittografato manualmente.

Dopo Intune deposito la chiave di recupero personale:

• Gli amministratori possono gestire e ruotare le chiavi di ripristino FileVault per qualsiasi dispositivo macOS gestito usando il report di crittografia Intune.
• Gli amministratori possono visualizzare la chiave di ripristino personale solo per i dispositivi macOS gestiti contrassegnati come aziendali. Non possono visualizzare la chiave di ripristino per i dispositivi personali.
• Gli utenti possono visualizzare e recuperare la chiave di ripristino personale da una posizione supportata. Ad esempio, dal sito Web Portale aziendale, l'utente può scegliere Di ottenere la chiave di ripristino come azione del dispositivo remoto.

Si supponga di gestire FileVault nei dispositivi crittografati in precedenza

Intune non è possibile gestire la crittografia del disco FileVault in un dispositivo macOS crittografato da un utente del dispositivo, a meno che non si applichino criteri FileVault tramite Intune. In questo scenario è possibile usare due metodi che consentono a Intune di assumere il controllo della gestione di FileVault:

• Caricare una chiave di ripristino personale per Intune: usare questo metodo quando l'utente conosce la chiave di ripristino personale.
• L'utente genera una nuova chiave di ripristino nel dispositivo : usare questo metodo se la chiave di ripristino personale non è nota dall'utente.

Entrambi i metodi richiedono che il dispositivo disponga di criteri attivi da Intune che gestisce la crittografia FileVault. Per distribuire questo criterio, usare un profilo di crittografia del disco di sicurezza degli endpoint.

Caricare una chiave di ripristino personale

Per consentire a Intune di gestire FileVault in un dispositivo crittografato in precedenza, l'utente che ha crittografato il dispositivo può usare il sito Web Portale aziendale per caricare la chiave di ripristino personale del dispositivo da Intune. Il caricamento della chiave consente a Intune di assumere la gestione della crittografia.

Al momento del caricamento, Intune ruota la chiave per creare una nuova chiave di ripristino personale. Intune archivia la nuova chiave per le esigenze di ripristino future e la rende disponibile per l'utente del dispositivo.

Prerequisiti:

• Il dispositivo crittografato deve avere un criterio FileVault Intune per la crittografia del disco.

  Prima che Intune possa assumere la gestione della crittografia di un dispositivo crittografato dall'utente, tale dispositivo deve ricevere un criterio FileVault Intune per la crittografia del disco.

  Usare un profilo di crittografia del disco di sicurezza degli endpoint per crittografare i dispositivi con FileVault.

• L'utente che ha crittografato il dispositivo deve avere accesso alla propria chiave di ripristino personale per il dispositivo e deve essere indirizzato a caricarlo in Intune.

  Intune non avvisa gli utenti che devono caricare la chiave di ripristino personale per completare la crittografia. Usare invece i normali canali di comunicazione IT per avvisare gli utenti che in precedenza hanno crittografato il dispositivo macOS con FileVault che devono caricare la chiave di ripristino personale in Intune.

  Nota

  In base ai criteri di conformità, ai dispositivi potrebbe essere impedito l'accesso alle risorse aziendali fino a quando Intune non assume correttamente la gestione della crittografia FileVault nel dispositivo

Caricare una chiave di ripristino personale per Intune:

1. Dopo che il dispositivo ha ricevuto il profilo FileVault, indirizzare l'utente all'uso del sito Web Portale aziendale.

2. Nel sito Web Portale aziendale l'utente individua il dispositivo macOS crittografato e seleziona l'opzione Store recovery key (Chiave di ripristino dello Store).

3. L'utente deve immettere la chiave di ripristino personale e Intune quindi tenta di ruotare la chiave per generare una nuova chiave.

   • Se la rotazione della chiave ha esito positivo, Intune archivia la nuova chiave per un uso futuro e rende disponibile la chiave all'utente nel caso in cui l'utente debba ripristinare il dispositivo.
   • Se la rotazione della chiave ha esito negativo, il dispositivo non ha elaborato i criteri FileVault o la chiave immessa non è accurata per il dispositivo.

4. Dopo la corretta rotazione, un utente può recuperare la nuova chiave di ripristino personale da una posizione supportata.

Per altre informazioni, vedere Contenuto dell'utente finale per il caricamento della chiave di ripristino personale.

Generare una nuova chiave di ripristino nel dispositivo

Per consentire a Intune di gestire FileVault in un dispositivo crittografato in precedenza, l'utente che ha crittografato il dispositivo può usare l'app Terminale nel dispositivo per ruotare la chiave di ripristino personale. Se il dispositivo ha un criterio FileVault attivo da Intune quando la chiave viene ruotata, Intune presuppone la gestione della crittografia.

Prerequisiti:

• Il dispositivo crittografato deve avere un criterio FileVault Intune per la crittografia del disco.

  Prima che Intune possa assumere la gestione della crittografia di un dispositivo crittografato dall'utente, tale dispositivo deve ricevere un criterio FileVault Intune per la crittografia del disco.

  Usare un profilo di crittografia dei dischi di sicurezza degli endpoint per crittografare i dispositivi con FileVault.

• L'utente del dispositivo deve avere accesso all'app Terminale nel dispositivo crittografato.

Usare Terminale per generare una nuova chiave di ripristino personale:

1. Dopo che il dispositivo riceve il profilo FileVault, l'utente che ha crittografato il dispositivo deve accedere al dispositivo, aprire Terminale ed eseguire i due comandi seguenti, nell'ordine seguente:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Quando questo comando viene eseguito, all'utente viene richiesto di specificare la password del dispositivo. Dopo aver fornito la password, il dispositivo ruota la chiave di ripristino personale e presenta la nuova chiave di ripristino personale all'utente.

      Dopo aver registrato la nuova chiave di ripristino, completare i prompt rimanenti dal comando.

2. Al termine dei prompt dei comandi, la chiave di ripristino personale nel dispositivo è stata ruotata. Se il dispositivo ha ricevuto correttamente i criteri FileVault, Intune presuppone la gestione della crittografia del dispositivo al successivo check-in del dispositivo con Intune.

   Per impostazione predefinita, il dispositivo esegue il controllo ogni otto ore circa. Per accelerare l'archiviazione del dispositivo, usare una delle opzioni seguenti:

   • Un amministratore Intune può accedere a Microsoft Intune'interfaccia di amministrazione, passare a Dispositivi, selezionare il dispositivo e quindi selezionare Sincronizza. In questo modo il dispositivo viene avvisato di effettuare immediatamente il check-in con Intune.
   • L'utente del dispositivo può aprire l'app Portale aziendale e passare aSincronizzazioneimpostazioni>. Ciò indica al dispositivo di verificare immediatamente la presenza di aggiornamenti dei criteri o del profilo.

3. Dopo Intune presuppone la gestione della crittografia, un utente può recuperare la nuova chiave di ripristino personale da una posizione supportata.

Per altre informazioni, vedere Contenuto dell'utente finale per il caricamento della chiave di ripristino personale.

Recuperare una chiave di ripristino personale

Per un dispositivo macOS con la crittografia FileVault gestita da Intune, gli utenti finali possono recuperare la chiave di ripristino personale (chiave FileVault) dalle posizioni seguenti, usando qualsiasi dispositivo:

• sito Web Portale aziendale (https://portal.manage.microsoft.com/)
• App iOS/iPadOS Portale aziendale
• App android Portale aziendale
• Intune'app

Gli amministratori possono visualizzare le chiavi di ripristino personali per i dispositivi macOS crittografati contrassegnati come dispositivo aziendale . Non possono visualizzare la chiave di ripristino per un dispositivo personale.

Il dispositivo con la chiave di ripristino personale deve essere registrato con Intune e crittografato con FileVault tramite Intune. Quando un utente del dispositivo usa l'app iOS Portale aziendale, l'app Android Portale aziendale, l'app android Intune o il sito Web Portale aziendale, l'utente può visualizzare la chiave di ripristino FileVault necessaria per accedere ai dispositivi Mac.

Gli utenti del dispositivo possono selezionare Dispositivi>il dispositivo macOS crittografato e registrato Ottenere lachiave di ripristino.> Il browser mostra il Portale aziendale Web e visualizza la chiave di ripristino.

Ruotare le chiavi di ripristino

Intune supporta più opzioni per ruotare e recuperare le chiavi di ripristino personali. Uno dei motivi per ruotare una chiave è se la chiave personale corrente viene persa o considerata a rischio.

• Rotazione automatica: come amministratore, è possibile configurare l'impostazione FileVault Rotazione della chiave di ripristino personale per generare automaticamente la nuova chiave di ripristino periodicamente. Quando viene generata una nuova chiave per un dispositivo, la chiave non viene visualizzata all'utente. L'utente deve invece ottenere la chiave da un amministratore o usando l'app portale aziendale.

• Rotazione manuale: come amministratore, è possibile visualizzare le informazioni per un dispositivo gestito con Intune e crittografato con FileVault. È quindi possibile scegliere di ruotare manualmente la chiave di ripristino per i dispositivi aziendali. Non è possibile ruotare le chiavi di ripristino per i dispositivi personali.

  Per ruotare una chiave di ripristino:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Dispositivi>Tutti i dispositivi.

  3. Nell'elenco dei dispositivi selezionare il dispositivo crittografato e per il quale si vuole ruotarne la chiave. In Monitoraggio selezionare Chiavi di ripristino.

  4. Nel riquadro Chiavi di ripristino selezionare Ruota fileTasto di ripristino.

     La volta successiva che il dispositivo esegue il check-in con Intune, la chiave personale viene ruotata. Quando necessario, la nuova chiave può essere ottenuta dall'utente tramite il portale aziendale.

Ripristinare le chiavi di ripristino

• Amministratore: gli amministratori non possono visualizzare le chiavi di ripristino personali per i dispositivi crittografati con FileVault.

• Utente finale: gli utenti finali usano il sito Web Portale aziendale da qualsiasi dispositivo per visualizzare la chiave di ripristino personale corrente per uno dei dispositivi gestiti. Non è possibile visualizzare le chiavi di ripristino dall'app Portale aziendale.

  Per visualizzare una chiave di ripristino:

  1. Accedere al sito Web Portale aziendale Intune da qualsiasi dispositivo.

  2. Nel portale passare a Dispositivi e selezionare il dispositivo macOS crittografato con FileVault.

  3. Selezionare Recupera chiave di ripristino. Viene visualizzata la chiave di ripristino corrente.

Passaggi successivi

Gestire i criteri di BitLocker

Monitorare la crittografia del disco