Udostępnij za pośrednictwem


Używanie szyfrowania dysków programu FileVault dla systemu macOS z Intune

Użyj Microsoft Intune, aby skonfigurować szyfrowanie dysków fileVault systemu macOS i zarządzać nimi. FileVault to program szyfrowania całego dysku dołączony do systemu macOS. Za pomocą Intune można wdrożyć zasady, które konfigurują program FileVault, a następnie zarządzać kluczami odzyskiwania na urządzeniach z systemem macOS 10.13 lub nowszym.

Użyj jednego z następujących typów zasad, aby skonfigurować program FileVault na zarządzanych urządzeniach:

Aby zarządzać funkcją BitLocker dla Windows 10/11, zobacz Zarządzanie zasadami funkcji BitLocker.

Porada

Intune udostępnia wbudowany raport szyfrowania, który przedstawia szczegółowe informacje o stanie szyfrowania urządzeń na wszystkich zarządzanych urządzeniach.

Po utworzeniu zasad szyfrowania urządzeń za pomocą programu FileVault zasady są stosowane do urządzeń w dwóch etapach. Najpierw urządzenie jest przygotowane do włączenia Intune pobierania i tworzenia kopii zapasowej klucza odzyskiwania. Ta akcja jest określana jako escrow. Po usunięciu można uruchomić szyfrowanie dysku.

Oprócz używania zasad Intune do szyfrowania urządzenia za pomocą programu FileVault można wdrożyć zasady na zarządzanym urządzeniu, aby umożliwić Intune zakładanie zarządzania programem FileVault, gdy urządzenie jest zaszyfrowane przez użytkownika. W tym scenariuszu urządzenie musi odbierać zasady programu FileVault z Intune, a następnie użytkownik przekazuje swój osobisty klucz odzyskiwania do Intune.

Rejestracja urządzeń zatwierdzona przez użytkownika jest wymagana, aby program FileVault działał na urządzeniu. Użytkownik musi ręcznie zatwierdzić profil zarządzania z preferencji systemowych, aby rejestracja została uznana za zatwierdzoną przez użytkownika.

Kontrola dostępu oparta na rolach do zarządzania programem FileVault

Aby zarządzać usługą FileVault w Intune, konto musi mieć przypisaną rolę Intune kontroli dostępu opartej na rolach (RBAC), która zawiera uprawnienie Zadania zdalne z prawą pozycją Rotate FileVault klucza ustawioną na wartość Tak:

Możesz dodać to uprawnienie i prawo do własnych niestandardowych ról RBAC lub użyć jednej z następujących wbudowanych ról RBAC , które obejmują to prawo:

  • Operator pomocy technicznej
  • Administrator zabezpieczeń punktu końcowego

Tworzenie zasad zabezpieczeń punktu końcowego dla programu FileVault

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

  3. Na stronie Podstawy wprowadź następujące właściwości, a następnie wybierz pozycję Dalej.

    • Platforma: macOS
    • Profil: FileVault

    Wybieranie profilu programu FileVault

  4. Na stronie Ustawienia konfiguracji :

    1. Ustaw opcję Włącz funkcję FileVault na wartość Tak.
    2. W przypadku typu klucza odzyskiwania obsługiwany jest tylko osobisty klucz odzyskiwania .
    3. Skonfiguruj inne ustawienia w celu spełnienia wymagań.

    Rozważ dodanie komunikatu, aby ułatwić użytkownikom pobieranie klucza odzyskiwania dla urządzenia. Te informacje mogą być przydatne dla użytkowników podczas używania ustawienia rotacji osobistych kluczy odzyskiwania, które może okresowo generować nowy klucz odzyskiwania dla urządzenia.

    Na przykład: aby pobrać utracony lub ostatnio obrócony klucz odzyskiwania, zaloguj się do witryny internetowej Intune — Portal firmy z dowolnego urządzenia. W portalu przejdź do pozycji Urządzenia i wybierz urządzenie z włączonym programem FileVault, a następnie wybierz pozycję Pobierz klucz odzyskiwania. Zostanie wyświetlony bieżący klucz odzyskiwania.

  5. Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.

  6. Na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi, aby przypisać tagi zakresu do profilu.

    Wybierz przycisk Dalej, aby kontynuować.

  7. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  8. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Tworzenie zasad wykazu ustawień dla programu FileVault

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>macOS>Zarządzanie urządzeniami>Konfiguracja>Utwórz>nowe zasady.

  3. Na stronie Tworzenie profilu wybierz pozycję Katalog ustawień dla typu Profil.

  4. Na stronie Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad może obejmować typ profilu i platformę.

    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

  5. Na stronie Ustawienia konfiguracji wybierz pozycję + Dodaj ustawienia , aby otworzyć selektor ustawień. Ustawienia programu FileVault znajdują się w kategorii Szyfrowanie pełnego dysku :

    Obraz przedstawiający opcje programu FileVault w kategorii Szyfrowanie pełnego dysku selektora Ustawień.

    Aby włączyć funkcję FileVault, wybierz i skonfiguruj następujące ustawienia z kategorii Szyfrowanie pełnego dysku :

    • FileVault >Enable — ustawienie włączone
    • Lokalizacja escrow > klucza odzyskiwania programu FileVault — określ opis lokalizacji, w której jest deponowany klucz odzyskiwania. Ten tekst jest wstawiany do komunikatu, który użytkownik widzi podczas włączania programu FileVault.

    Porada

    Podczas konfigurowania szyfrowania dla urządzeń z systemem macOS 14 lub nowszym możesz użyć Asystenta ustawień systemu macOS, aby wymusić szyfrowanie FileVault, zanim użytkownik pojawi się na ekranie głównym. Zobacz Włączanie programu FileVault za pomocą Asystenta ustawień w dalszej części tego artykułu.

  6. Skonfiguruj dodatkowe ustawienia usługi FileVault(otwiera witrynę internetową firmy Apple), aby spełnić Twoje potrzeby biznesowe, a następnie wybierz pozycję Dalej.

  7. Jeśli to możliwe, na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi , aby przypisać tagi zakresu do profilu. Wybierz przycisk Dalej, aby kontynuować.

  8. Na stronie Przypisania wybierz grupy, które otrzymują ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  9. Po zakończeniu na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Włączanie programu FileVault za pomocą Asystenta ustawień

W przypadku urządzeń z systemem macOS 14 lub nowszym zasady katalogu ustawień mogą również wymuszać szyfrowanie FileVault za pośrednictwem Asystenta ustawień systemu macOS, zanim użytkownik pojawi się na ekranie głównym. Ten cel wymaga dodatkowych konfiguracji:

  • Funkcja konfiguracji ostatecznej await dla urządzenia musi być ustawiona na wartość Tak. Ta konfiguracja uniemożliwia użytkownikom końcowym dostęp do zawartości z ograniczeniami lub zmienianie ustawień do czasu zastosowania odpowiednich Intune zasad konfiguracji urządzeń. Aby uzyskać informacje na temat tej konfiguracji, zobacz Automatyczne rejestrowanie komputerów Mac w programie Apple Business Manager lub Apple School Manager.

  • Utwórz filtr przy użyciu atrybutu EnrollmentProfileName , który zostanie przypisany do zasad wykazu ustawień. Dzięki temu zasady programu FileVault zostaną przypisane, gdy urządzenie zostanie po raz pierwszy zarejestrowane przy użyciu Intune. Aby uzyskać więcej informacji na temat konfigurowania filtrów, zobacz Tworzenie filtrów w Microsoft Intune.

  • Po ustawieniu opcji Await final Configuration (Oczekiwanie na ostateczną konfigurację ) na wartość Tak dla urządzenia możesz dodać następujące ustawienie Szyfrowanie pełnego dysku dla usługi FileVault w profilu katalogu ustawień

  • FileVault >Force Enable w Asystentze ustawień — ustaw wartość Włączone.

    Na poniższej ilustracji przedstawiono profil katalogu ustawień skonfigurowany przy użyciu podstawowych ustawień umożliwiających włączenie programu FileVault i użycie Asystenta ustawień w celu wymuszania szyfrowania. W tym przykładzie ustawienie Lokalizacja używa prostej nazwy domeny Contoso:

    Ważna

    Ustawienie Odrocz musi być skonfigurowane na wartość Włączone , aby pomyślnie włączyć funkcję FileVault w Asystentze ustawień dla urządzeń z systemem macOS 14.4.

    Zrzut ekranu przedstawiający ustawienia wymagane do włączenia usługi File Vault w Asystentze ustawień.

Tworzenie zasad konfiguracji urządzenia dla programu FileVault (przestarzałe)

Uwaga

Szablon systemu macOS dla programu Endpoint Protection jest przestarzały i nie obsługuje już tworzenia nowych profilów. Zamiast tego użyj zabezpieczeń punktu końcowego lub wykazu ustawień , aby skonfigurować nowe profile programu FileVault i zarządzać nimi.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Zarządzajkonfiguracją> urządzeń > Na karcie Zasady wybierz pozycję + Utwórz.

  3. Na stronie Tworzenie profilu ustaw następujące opcje, a następnie wybierz pozycję Utwórz>nowe zasady:

    • Platforma: macOS
    • Typ profilu: Szablony
    • Nazwa szablonu: Ochrona punktu końcowego (przestarzała)

    Zrzut ekranu przedstawiający profil ochrony punktu końcowego.

  4. Na stronie Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę zasad. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa zasad może obejmować typ profilu i platformę.

    • Opis: wprowadź opis zasad. To ustawienie jest opcjonalne, ale zalecane.

  5. Na stronie Ustawienia konfiguracji wybierz pozycję FileVault , aby rozwinąć dostępne ustawienia:

    Zrzut ekranu przedstawiający ustawienia programu FileVault.

  6. Skonfiguruj następujące ustawienia:

    • W obszarze Włącz funkcję FileVault wybierz pozycję Tak.

    • W polu Typ klucza odzyskiwania wybierz pozycję Klucz osobisty.

    • W przypadku opisu lokalizacji escrow osobistego klucza odzyskiwania dodaj komunikat ułatwiający użytkownikom uzyskiwanie klucza odzyskiwania dla urządzenia. Te informacje mogą być przydatne dla użytkowników podczas używania ustawienia rotacji osobistych kluczy odzyskiwania, które może okresowo generować nowy klucz odzyskiwania dla urządzenia.

      Na przykład: aby pobrać utracony lub ostatnio obrócony klucz odzyskiwania, zaloguj się do witryny internetowej Intune — Portal firmy z dowolnego urządzenia. W portalu przejdź do pozycji Urządzenia i wybierz urządzenie z włączonym programem FileVault, a następnie wybierz pozycję Pobierz klucz odzyskiwania. Zostanie wyświetlony bieżący klucz odzyskiwania.

    Skonfiguruj pozostałe ustawienia programu FileVault , aby spełnić twoje potrzeby biznesowe, a następnie wybierz pozycję Dalej.

  7. Jeśli to możliwe, na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi, aby przypisać tagi zakresu do profilu.

    Wybierz przycisk Dalej, aby kontynuować.

  8. Na stronie Przypisania wybierz grupy, aby otrzymać ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  9. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Zarządzanie programem FileVault

Aby wyświetlić informacje o urządzeniach, które odbierają zasady programu FileVault, zobacz Monitorowanie szyfrowania dysków.

Gdy Intune najpierw szyfruje urządzenie z systemem macOS za pomocą programu FileVault, tworzony jest osobisty klucz odzyskiwania. Podczas szyfrowania urządzenie wyświetla użytkownikowi urządzenia klucz osobisty jednorazowo.

Uwaga

Urządzenie, które zgłasza kod błędu -2016341107/0x87d1138d zwykle oznacza, że użytkownik końcowy nie zaakceptował monitu FileVault o rozpoczęcie szyfrowania.

W przypadku urządzeń zarządzanych Intune może skasować kopię osobistego klucza odzyskiwania. Funkcja escrow kluczy umożliwia administratorom Intune obracanie kluczy w celu ochrony urządzeń, a użytkownikom odzyskiwanie utraconego lub obróconego osobistego klucza odzyskiwania.

Intune skasuje klucz odzyskiwania, gdy zasady Intune szyfrują urządzenie lub gdy użytkownik przekaże klucz odzyskiwania dla urządzenia, które zostało ręcznie zaszyfrowane.

Po Intune skarży osobisty klucz odzyskiwania:

  • Administratorzy mogą zarządzać kluczami odzyskiwania programu FileVault i obracać je dla dowolnego zarządzanego urządzenia z systemem macOS przy użyciu raportu szyfrowania Intune.
  • Administratorzy mogą wyświetlać osobisty klucz odzyskiwania tylko dla zarządzanych urządzeń z systemem macOS oznaczonych jako firmowe. Nie mogą wyświetlić klucza odzyskiwania dla urządzeń osobistych.
  • Użytkownicy mogą wyświetlać i pobierać osobisty klucz odzyskiwania z obsługiwanej lokalizacji. Na przykład w witrynie internetowej Portal firmy użytkownik może wybrać opcję Pobierz klucz odzyskiwania jako akcję urządzenia zdalnego.

Załóżmy, że zarządzanie programem FileVault na wcześniej zaszyfrowanych urządzeniach

Intune nie może zarządzać szyfrowaniem dysków programu FileVault na urządzeniu z systemem macOS zaszyfrowanym przez użytkownika urządzenia, chyba że zostaną zastosowane zasady programu FileVault za pośrednictwem Intune. Istnieją dwie metody, których można użyć, aby umożliwić Intune przejęcie zarządzania programem FileVault w tym scenariuszu:

Obie metody wymagają, aby urządzenie ma aktywne zasady z Intune, które zarządza szyfrowaniem FileVault. Aby dostarczyć te zasady, użyj profilu szyfrowania dysków zabezpieczeń punktu końcowego.

Przekazywanie osobistego klucza odzyskiwania

Aby umożliwić Intune zarządzanie programem FileVault na wcześniej zaszyfrowanym urządzeniu, użytkownik, który zaszyfrował urządzenie, może przekazać osobisty klucz odzyskiwania urządzenia do Intune za pomocą witryny internetowej Portal firmy. Przekazanie klucza umożliwia Intune przejęcie zarządzania szyfrowaniem.

Po przekazaniu Intune obraca klucz, aby utworzyć nowy osobisty klucz odzyskiwania. Intune przechowuje nowy klucz dla przyszłych potrzeb odzyskiwania i udostępnia go użytkownikowi urządzenia.

Wymagania wstępne:

  • Zaszyfrowane urządzenie musi mieć zasady Intune FileVault na potrzeby szyfrowania dysków.

    Zanim Intune może przyjąć zarządzanie szyfrowaniem urządzenia szyfrowanego przez użytkownika, urządzenie musi otrzymać Intune zasad programu FileVault na potrzeby szyfrowania dysków.

    Użyj profilu szyfrowania dysków zabezpieczeń punktu końcowego, aby zaszyfrować urządzenia za pomocą programu FileVault.

  • Użytkownik, który zaszyfrował urządzenie, musi mieć dostęp do osobistego klucza odzyskiwania dla urządzenia i przekierować go do Intune.

    Intune nie powiadamia użytkowników o konieczności przekazania osobistego klucza odzyskiwania w celu ukończenia szyfrowania. Zamiast tego użyj normalnych kanałów komunikacji IT, aby powiadomić użytkowników, którzy wcześniej zaszyfrowali swoje urządzenie z systemem macOS za pomocą usługi FileVault, że muszą przekazać swój osobisty klucz odzyskiwania do Intune.

    Uwaga

    Na podstawie zasad zgodności urządzenia mogą mieć zablokowany dostęp do zasobów firmowych, dopóki Intune pomyślnie nie przyjmie zarządzania szyfrowaniem FileVault na urządzeniu

Przekaż osobisty klucz odzyskiwania do Intune:

  1. Gdy urządzenie otrzyma profil FileVault, skieruj użytkownika do korzystania z witryny internetowej Portal firmy.

  2. W witrynie internetowej Portal firmy użytkownik lokalizuje zaszyfrowane urządzenie z systemem macOS i wybiera opcję Zapisz klucz odzyskiwania.

  3. Użytkownik musi wprowadzić swój osobisty klucz odzyskiwania, a Intune następnie próbuje obrócić klucz w celu wygenerowania nowego klucza.

    • Jeśli rotacja kluczy zakończy się pomyślnie, Intune przechowuje nowy klucz do użycia w przyszłości i udostępnia klucz użytkownikowi, jeśli użytkownik będzie musiał odzyskać swoje urządzenie.
    • Jeśli rotacja kluczy nie powiedzie się, urządzenie nie przetworzło zasad fileVault lub wprowadzony klucz nie jest dokładny dla urządzenia.
  4. Po pomyślnym rotacji użytkownik może pobrać nowy osobisty klucz odzyskiwania z obsługiwanej lokalizacji.

Aby uzyskać więcej informacji, zobacz zawartość użytkownika końcowego na potrzeby przekazywania osobistego klucza odzyskiwania.

Generowanie nowego klucza odzyskiwania na urządzeniu

Aby umożliwić Intune zarządzanie programem FileVault na wcześniej zaszyfrowanym urządzeniu, użytkownik, który zaszyfrował urządzenie, może użyć aplikacji Terminal na urządzeniu do rotacji osobistego klucza odzyskiwania. Jeśli urządzenie ma aktywne zasady programu FileVault z Intune po obróceniu klucza, Intune następnie zakłada zarządzanie szyfrowaniem.

Wymagania wstępne:

  • Zaszyfrowane urządzenie musi mieć zasady Intune FileVault na potrzeby szyfrowania dysków.

    Zanim Intune może przyjąć zarządzanie szyfrowaniem urządzenia szyfrowanego przez użytkownika, urządzenie musi otrzymać Intune zasad programu FileVault na potrzeby szyfrowania dysków.

    Użyj profilu szyfrowania dysków zabezpieczeń punktu końcowego , aby zaszyfrować urządzenia za pomocą programu FileVault.

  • Użytkownik urządzenia musi mieć dostęp do aplikacji Terminal na zaszyfrowanym urządzeniu.

Użyj terminalu, aby wygenerować nowy osobisty klucz odzyskiwania:

  1. Gdy urządzenie otrzyma profil FileVault, użytkownik, który zaszyfrował urządzenie, musi zalogować się do urządzenia, otworzyć terminal i uruchomić następujące dwa polecenia w kolejności:

    1. cd /Applications/Utilities

    2. sudo fdesetup changerecovery -personal

      Po uruchomieniu tego polecenia użytkownik otrzymuje monit o podanie hasła urządzenia. Po podaniu hasła urządzenie obraca osobisty klucz odzyskiwania i przedstawia użytkownikowi nowy osobisty klucz odzyskiwania.

      Po zarejestrowaniu nowego klucza odzyskiwania wykonaj pozostałe monity z polecenia .

  2. Po zakończeniu wiersza polecenia osobisty klucz odzyskiwania na urządzeniu został obrócony. Jeśli urządzenie pomyślnie odebrało zasady programu FileVault, Intune zakłada zarządzanie szyfrowaniem urządzenia przy następnym zaewidencjonowyniu urządzenia za pomocą Intune.

    Domyślnie urządzenie jest sprawdzane co około osiem godzin. Aby przyspieszyć ewidencjonowanie urządzenia, użyj jednej z następujących opcji:

    • Administrator Intune może zalogować się do centrum administracyjnego Microsoft Intune, przejść do pozycji Urządzenia, wybrać urządzenie, a następnie wybrać pozycję Synchronizuj. Spowoduje to powiadomienie urządzenia o natychmiastowym zaewidencjonowaniu przy użyciu Intune.
    • Użytkownik urządzenia może otworzyć aplikację Portal firmy i przejść do pozycji Synchronizacja ustawień>. Spowoduje to natychmiastowe sprawdzenie aktualizacji zasad lub profilu na urządzeniu.
  3. Gdy Intune zakłada zarządzanie szyfrowaniem, użytkownik może pobrać nowy osobisty klucz odzyskiwania z obsługiwanej lokalizacji.

Aby uzyskać więcej informacji, zobacz zawartość użytkownika końcowego na potrzeby przekazywania osobistego klucza odzyskiwania.

Pobieranie osobistego klucza odzyskiwania

W przypadku urządzenia z systemem macOS z szyfrowaniem FileVault zarządzanym przez Intune użytkownicy końcowi mogą pobrać osobisty klucz odzyskiwania (klucz FileVault) z następujących lokalizacji przy użyciu dowolnego urządzenia:

Administratorzy mogą wyświetlać osobiste klucze odzyskiwania dla zaszyfrowanych urządzeń z systemem macOS oznaczonych jako urządzenie firmowe . Nie mogą wyświetlić klucza odzyskiwania dla urządzenia osobistego.

Urządzenie z osobistym kluczem odzyskiwania musi zostać zarejestrowane w Intune i zaszyfrowane za pomocą usługi FileVault za pośrednictwem Intune. Gdy użytkownik urządzenia korzysta z aplikacji systemu iOS Portal firmy, aplikacji Portal firmy systemu Android, aplikacji Intune systemu Android lub witryny internetowej Portal firmy, użytkownik może zobaczyć klucz odzyskiwania programu FileVault potrzebny do uzyskania dostępu do swoich urządzeń Mac.

Użytkownicy urządzeń mogą wybrać pozycję Urządzenia>zaszyfrowane i zarejestrowane urządzenie> z systemem macOSPobierz klucz odzyskiwania. W przeglądarce zostanie wyświetlona Portal firmy sieci Web i zostanie wyświetlony klucz odzyskiwania.

Obracanie kluczy odzyskiwania

Intune obsługuje wiele opcji rotacji i odzyskiwania osobistych kluczy odzyskiwania. Jednym z powodów rotacji klucza jest to, czy bieżący klucz osobisty zostanie utracony lub uważany za zagrożony.

  • Automatyczna rotacja: jako administrator możesz skonfigurować ustawienie FileVault , aby automatycznie generować nowe klucze odzyskiwania okresowo. Po wygenerowaniu nowego klucza dla urządzenia klucz nie jest wyświetlany użytkownikowi. Zamiast tego użytkownik musi uzyskać klucz od administratora lub przy użyciu aplikacji Portal firmy.

  • Ręczna rotacja: jako administrator możesz wyświetlać informacje o urządzeniu zarządzanym za pomocą Intune, które jest szyfrowane za pomocą programu FileVault. Następnie można ręcznie obrócić klucz odzyskiwania dla urządzeń firmowych. Nie można obracać kluczy odzyskiwania dla urządzeń osobistych.

    Aby obrócić klucz odzyskiwania:

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

    2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

    3. Z listy urządzeń wybierz zaszyfrowane urządzenie, dla którego chcesz obrócić klucz. Następnie w obszarze Monitor wybierz pozycję Klucze odzyskiwania.

    4. W okienku Klucze odzyskiwania wybierz pozycję Obróć klucz odzyskiwania programu FileVault.

      Następnym razem, gdy urządzenie zaewidencjonuje za pomocą Intune, klucz osobisty zostanie obrócony. W razie potrzeby użytkownik może uzyskać nowy klucz za pośrednictwem portalu firmy.

Odzyskiwanie kluczy odzyskiwania

  • Administrator: Administratorzy nie mogą wyświetlać osobistych kluczy odzyskiwania dla urządzeń zaszyfrowanych za pomocą programu FileVault.

  • Użytkownik końcowy: użytkownicy końcowi używają witryny internetowej Portal firmy z dowolnego urządzenia do wyświetlania bieżącego osobistego klucza odzyskiwania dla dowolnego z zarządzanych urządzeń. Nie można wyświetlić kluczy odzyskiwania z aplikacji Portal firmy.

    Aby wyświetlić klucz odzyskiwania:

    1. Zaloguj się do witryny internetowej Intune — Portal firmy z dowolnego urządzenia.

    2. W portalu przejdź do pozycji Urządzenia i wybierz urządzenie z systemem macOS zaszyfrowane za pomocą programu FileVault.

    3. Wybierz pozycję Pobierz klucz odzyskiwania. Zostanie wyświetlony bieżący klucz odzyskiwania.

Następne kroki

Zarządzanie zasadami funkcji BitLocker

Monitorowanie szyfrowania dysków