Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Utilize Microsoft Intune para configurar e gerir a encriptação de discos FileVault em dispositivos macOS. O FileVault é um programa de encriptação de disco inteiro incluído no macOS que utiliza encriptação XTS-AES de 128 bits. Este artigo aborda cenários abrangentes de implementação, gestão e recuperação do FileVault para ambientes empresariais.
A encriptação de disco FileVault está disponível em dispositivos com o macOS 10.13 ou posterior e fornece encriptação de disco completa para proteger dados em dispositivos perdidos, roubados ou comprometidos.
Observação
O FileVault utiliza a encriptação XTS-AES de 128 bits, conforme implementado pelo macOS da Apple. Esta norma de encriptação é fixa e não pode ser alterada para 256 bits através das definições de Intune ou macOS. A Apple considera a encriptação XTS-AES de 128 bits suficiente para os requisitos de segurança empresariais.
Dica
Intune fornece um relatório de encriptação incorporado que apresenta detalhes sobre a encriptação status de dispositivos em todos os seus dispositivos geridos. Depois de Intune encriptar um dispositivo macOS com o FileVault, pode ver e gerir as chaves de recuperação FileVault através do relatório de encriptação.
Cenários de encriptação fileVault
Intune suporta várias abordagens à implementação do FileVault que se adequam a diferentes necessidades organizacionais:
- Standard encriptação FileVault – implementação interativa do utilizador com pedidos e opções de diferimento.
- Imposição do Assistente de Configuração – encriptação automática durante a configuração inicial do dispositivo (macOS 14+).
- Pressuposto da encriptação existente – assumir a gestão de dispositivos encriptados pelo utilizador.
- Gestão de chaves de recuperação – cenários abrangentes de rotação de chaves e recuperação.
Processo de implementação do FileVault
Depois de criar uma política para encriptar dispositivos com o FileVault, a política é aplicada aos dispositivos em duas fases:
- Preparação do depósito de chaves – o dispositivo está preparado para permitir que Intune obtenham e criem uma cópia de segurança da chave de recuperação. Essa ação é chamada de caução.
- Iniciação da encriptação do disco – depois de a chave ser escrowed, a encriptação do disco pode ser iniciada.
Quando o Intune criptografa um dispositivo macOS com o FileVault pela primeira vez, uma chave de recuperação pessoal é criada. Após a criptografia, o dispositivo exibe a chave pessoal uma única vez para o usuário do dispositivo.
Observação
As definições do FileVault disponíveis através Intune abrangem as principais funcionalidades de encriptação do macOS, mas não expõem todas as funcionalidades do FileVault. Apenas as opções fornecidas no catálogo de modelos ou definições do Intune podem ser configuradas através da MDM. As definições avançadas do FileVault disponíveis diretamente no macOS podem não ser configuráveis através de políticas de Intune.
Pré-requisitos
Licenciamento e versões do macOS
A gestão da encriptação FileVault requer:
- macOS 10.13 ou posterior para a funcionalidade FileVault básica.
- macOS 14 ou posterior para funcionalidades de imposição do Assistente de Configuração.
- Inscrição MDM aprovada pelo utilizador – os utilizadores têm de aprovar manualmente o perfil de gestão a partir das Preferências do Sistema.
Controlos de acesso baseados em funções
Para gerir o FileVault no Intune, tem de ser atribuída uma conta Intune função de controlo de acesso baseado em funções (RBAC) que inclua a permissão Tarefas remotas com a chave Rodar FileVault definida como Sim.
Pode adicionar esta permissão às suas próprias funções RBAC personalizadas ou utilizar uma das seguintes funções RBAC incorporadas:
- Operador do Suporte Técnico
- Administrador de Segurança de Ponto Final
Considerações do Apple Business Manager
Para cenários de imposição do Assistente de Configuração, certifique-se de que:
- Os dispositivos são inscritos através do Apple Business Manager ou do Apple School Manager.
- A aguardar configuração final está configurada corretamente para implementação automatizada.
- Os perfis de inscrição estão configurados para gestão de dispositivos supervisionada.
Tipos de política para encriptação FileVault
Escolha entre os seguintes tipos de política Intune para configurar a encriptação FileVault com base nas suas necessidades de implementação:
Política de segurança do ponto de extremidade
Melhor para: Standard implementações do FileVault com configuração simplificada.
A política de encriptação do Disco de segurança de Ponto Final fornece uma configuração fileVault focada e específica da segurança:
- Perfil FileVault – definições dedicadas para configurar a encriptação FileVault com opções de recuperação abrangentes.
- Configuração simplificada focada nos requisitos de segurança.
- Integração com a monitorização e os relatórios de encriptação do Intune.
- Configuração simplificada para a maioria dos cenários do FileVault.
Política de catálogo de definições
Melhor para: Implementações avançadas que requerem a imposição do Assistente de Configuração ou opções de configuração abrangentes.
O catálogo de definições fornece as opções de configuração do FileVault mais abrangentes:
- Acesso a todas as definições disponíveis através do Intune para FileVault
- Capacidades de imposição do Assistente de Configuração (macOS 14+) – exclusivas do Catálogo de Definições
- Opções de configuração avançadas que não estão disponíveis em modelos
- Controlo granular sobre a experiência do utilizador e as definições de segurança
- Flexibilidade máxima para cenários de implementação complexos
Política de configuração do dispositivo (preterida)
O modelo Configuração > do Dispositivo do Endpoint Protection inclui FileVault como parte de uma proteção de ponto final mais abrangente.
Observação
O modelo macOS para o Endpoint Protection foi preterido e já não suporta a criação de novos perfis. Utilize a Segurança do ponto final ou o Catálogo de Definições para novas implementações do FileVault.
Criar política de segurança de ponto final
implementação Standard FileVault
Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.
Configure as seguintes opções:
- Plataforma: macOS
- Perfil: MacOS FileVault
Na página Definições de configuração , configure as definições principais do FileVault:
Definições necessárias:
- para FileVault: Ativar = Ativado (para ativar o FileVault)
- Utilizar Chave = de RecuperaçãoAtivado
Gestão de chaves de recuperação:
- Rotação da Chave de Recuperação em Meses = Definir intervalo de rotação
- Location = Introduza algumas orientações descritivas para orientar os seus utilizadores para a obtenção de chaves.
Definições de experiência do utilizador:
- Permitir diferimento até terminar sessão = Configurar com base nas necessidades organizacionais
- Diferir Não Perguntar no Fim de Sessão do Utilizador = Configurar as preferências de interação do utilizador
- Diferir As Tentativas de Desativação Máximas de Início de Sessão do Utilizador – Definir a restrição da imposição
Na página Âmbito (Etiquetas), atribua etiquetas de âmbito adequadas para a estrutura de gestão da sua organização.
Na página Atribuições , selecione os grupos que recebem este perfil. Considere:
- Grupos de dispositivos para dispositivos pertencentes à empresa
- Grupos de utilizadores para cenários BYOD
- Grupos piloto para testes iniciais
Selecione Criar para implementar a política.
Documentação de orientação sobre a localização de segurança
Configure descrições de localização de caução úteis para orientar os utilizadores sobre como obter a chave de recuperação. Estas informações são úteis quando utiliza a definição para Rotação de chaves de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.
Exemplo de mensagem:
To retrieve a lost or recently rotated recovery key, sign in to the Intune Company Portal website from any device. In the portal, go to Devices and select the device that has FileVault enabled, and then select 'Get recovery key'. The current recovery key is displayed.
Considerações de configuração adicionais:
- Inclua as informações de contacto de suporte da sua organização.
- Referencie os procedimentos de TI internos para a recuperação de dispositivos.
- Forneça um idioma simples e claro que os utilizadores não tecnicos possam compreender.
Criar política de Catálogo de Definições
O Catálogo de Definições fornece as opções de configuração do FileVault mais abrangentes, incluindo a imposição do Assistente de Configuração.
Implementação do Catálogo de Definições do Standard
Selecione Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar>Nova política.
Selecione Catálogo de Definições para o Tipo de perfil.
Na página Definições de configuração , selecione + Adicionar definições e navegue para Encriptação de Disco Completa.
Configure as seguintes definições principais do FileVault:
FileVault:
- Ativar = Ativado
- Diferir = Ativado (necessário para a aplicação FileVault com êxito)
FileVault Recovery Key Escrow:
- Location = Introduza algumas orientações descritivas para orientar os seus utilizadores para a obtenção de chaves.
Opções avançadas (conforme necessário): (Todas são encontradas em FileVault)
- Mostrar Chave de Recuperação = Configurar visibilidade durante a encriptação
- Diferir Não Perguntar no Fim de Sessão do Utilizador = Temporização do pedido de controlo
- Adiar Tentativas de Desativação Máximas de Início de Sessão do Utilizador – Definir limites de imposição
- Rotação da Chave de Recuperação em Meses = Configurar a rotação automática
Conclua a atribuição e implementação de políticas ao seguir os procedimentos de Intune padrão.
Imposição do Assistente de Configuração (macOS 14+)
Importante
A imposição do Assistente de Configuração requer pré-requisitos de inscrição e configuração específicos. Verifique se o seu ambiente cumpre estes requisitos antes da implementação.
Dica
O macOS 14.4 adiciona refinamentos que se aplicam ao Assistente de Configuração. Antes do macOS 14.4, o Assistente de Configuração requer que a conta de utilizador criada interativamente durante o Assistente de Configuração tenha a função de Administrador.
Para a ativação automatizada do FileVault durante a configuração do dispositivo:
Pré-requisitos do Assistente de Configuração:
- macOS 14 ou posterior
- Inscrição no Apple Business Manager ou Apple School Manager
- Aguardar configuração = finalSim no perfil de inscrição
- Filtro de dispositivo com o atributo EnrollmentProfileName
Configuração do Catálogo de Definições Adicionais: (Encontrado em FileVault)
FileVault>Forçar Ativar no Assistente = de ConfiguraçãoAtivado
FileVault>Diferir = Ativado
Importante
A definição Diferir tem de estar configurada para Ativado para ativar o FileVault com êxito no Assistente de Configuração para dispositivos com o macOS 14.4.
Configuração do perfil de inscrição:
- Configurar o perfil de inscrição com a configuração = final AguardarSim.
- Criar filtro de dispositivo para implementação direcionada.
- Atribuir política de Catálogo de Definições a dispositivos filtrados.
Processo de encriptação fileVault
Compreender o processo de encriptação fileVault ajuda no planeamento e resolução de problemas da implementação:
Fases de encriptação
A implementação do FileVault ocorre em duas fases distintas:
- Preparação da cópia de segurança - Intune prepara o dispositivo para criar cópias de segurança de chaves de recuperação para serviços cloud da Microsoft
- Iniciação da encriptação de disco – a encriptação FileVault começa após a atualização da chave com êxito
Considerações sobre a experiência do utilizador
Standard experiência de utilizador de implementação:
- Os utilizadores podem ver pedidos de ativação do FileVault (consoante a configuração)
- A chave de recuperação é apresentada uma vez durante o processo de encriptação
- Os utilizadores devem ser direcionados para registar informações da chave de recuperação
- A encriptação continua em segundo plano após a configuração inicial
Experiência de utilizador do Assistente de Configuração:
- A encriptação ocorre automaticamente durante a configuração do dispositivo
- Não é necessária qualquer interação do utilizador para a iniciação da encriptação
- A chave de recuperação é automaticamente escrowed para Intune
- Os utilizadores completam a configuração com o dispositivo encriptado
Monitorizar e gerir o FileVault
Ver status de encriptação
Para exibir informações sobre dispositivos que recebem a política FileVault, confira Monitorar criptografia de disco.
Monitorizar a implementação do FileVault através de várias interfaces de Intune:
Relatório de encriptação – navegue para DispositivosMonitorizar>Encriptação de Dispositivos> status:
- Ver status de encriptação em todos os dispositivos geridos
- Aceder a informações da chave de recuperação para dispositivos encriptados
- Monitorizar a implementação e conformidade de políticas
Monitorização específica do dispositivo – selecione dispositivos individuais para ver:
- Status de ativação do FileVault
- Disponibilidade da chave de recuperação
- Detalhes da atribuição da política de encriptação
FileVault key escrow and management (Gestão e chave FileVault)
Para os dispositivos gerenciados, o Intune pode habilitar a caução de uma cópia da chave de recuperação pessoal. A caução de chaves permite que os administradores do Intune girem as chaves para ajudar a proteger os dispositivos e que os usuários recuperem uma chave de recuperação pessoal perdida ou girada.
Intune escrows uma chave de recuperação quando:
- Intune política encripta um dispositivo
- Um utilizador carrega a chave de recuperação para um dispositivo que encripta manualmente
Após o Intune efetuar o caução da chave de recuperação pessoal:
- Os administradores podem gerir e rodar as chaves de recuperação FileVault para qualquer dispositivo macOS gerido através do relatório de encriptação Intune.
- Os administradores podem ver a chave de recuperação pessoal apenas para dispositivos macOS geridos que estejam marcados como Empresariais. Não podem ver a chave de recuperação para dispositivos Pessoais.
- Os utilizadores podem ver e obter a chave de recuperação pessoal a partir de localizações suportadas.
Gestão de chaves de recuperação
Intune fornece uma gestão abrangente de chaves de recuperação para dispositivos encriptados pelo FileVault:
Ver chaves de recuperação
Importante
Restrições de Acesso de Administrador: os administradores só podem ver e gerir chaves de recuperação FileVault para dispositivos marcados como Empresariais. As chaves de recuperação para dispositivos Pessoais (BYOD) não estão acessíveis aos administradores, garantindo a privacidade dos utilizadores. Esta distinção é fundamental para as expetativas e a resolução de problemas do administrador.
Para administradores:
- Aceder a chaves de recuperação para dispositivos marcados como Apenas empresariais
- Não é possível ver chaves de recuperação para dispositivos Pessoais/BYOD
- Navegue para os detalhes > do dispositivo Monitorizar>chaves de Recuperação
- Selecione Mostrar Chave de Recuperação (gera a entrada de registo de auditoria)
Permissões necessárias:
- Intune função RBAC com permissão tarefas remotas
- Rodar a tecla FileVault para a direita definida como Sim
Localizações de acesso da chave de recuperação
Os utilizadores finais podem obter chaves de recuperação a partir de:
- site do Portal da Empresa (portal.manage.microsoft.com) – método principal e mais fiável
- Aplicação Portal da Empresa iOS/iPadOS – Mostra a chave de recuperação FileVault para dispositivos Mac
- Aplicação Portal da Empresa Android – Mostra a chave de recuperação FileVault para dispositivos Mac
- Intune aplicação móvel - Mostra a chave de recuperação FileVault para dispositivos Mac
Importante
O dispositivo tem de ser inscrito com Intune e encriptado com FileVault através de Intune. Embora as chaves de recuperação estejam disponíveis através de aplicações de Portal da Empresa móveis, o site Portal da Empresa é o método principal para obter chaves de recuperação fiáveis.
Processo de obtenção da chave de recuperação:
Utilizar Portal da Empresa site (Recomendado):
- Inicie sessão no site Portal da Empresa (https://portal.manage.microsoft.com/) a partir de qualquer dispositivo.
- Navegue para Dispositivos e selecione o dispositivo macOS que está encriptado com FileVault.
- Selecione Obter chave de recuperação – a chave de recuperação atual é apresentada.
Utilizar aplicações de Portal da Empresa móveis:
- Abra a aplicação iOS/iPadOS Portal da Empresa, a aplicação android Portal da Empresa ou Intune aplicação móvel.
- Navegue para Dispositivos e selecione o dispositivo macOS encriptado e inscrito.
- Selecione Obter chave de recuperação – o browser mostra a Portal da Empresa Web e apresenta a chave de recuperação.
Rotação da chave de recuperação
Intune suporta a rotação automática e manual de chaves de recuperação:
Rotação automática
Configure a rotação automática de chaves nas políticas FileVault:
- Rotação da chave de recuperação pessoal = Intervalo definido (1-12 meses)
- As novas chaves são geradas e guardadas automaticamente
- As chaves anteriores tornam-se inválidas após a rotação com êxito
- Os utilizadores têm de obter novas chaves através de Portal da Empresa
Rotação manual
Os administradores podem rodar manualmente as chaves de recuperação:
- Iniciar sessão no centro de administração do Microsoft Intune
- Selecionar Dispositivos>Todos os dispositivos
- Selecionar o dispositivo encriptado
- Em Monitorizar, selecione Chaves de recuperação
- Selecione Rodar a chave de recuperação FileVault
Observação
A rotação manual só está disponível para dispositivos empresariais . Os dispositivos pessoais utilizam a rotação automática configurada na política.
Assumir a gestão da encriptação FileVault existente
Intune podem assumir a gestão de dispositivos que os utilizadores encriptaram antes de receberem Intune política FileVault. Este cenário permite a gestão centralizada de chaves de recuperação para dispositivos anteriormente encriptados.
Pré-requisitos para assumir a gestão
- O dispositivo tem de receber a política FileVault ativa do Intune
- O utilizador tem de ter acesso à chave de recuperação atual ou à capacidade de gerar uma nova chave
Ambos os métodos requerem uma política FileVault ativa implementada através de Intune. Utilize um perfil de encriptação de disco de segurança de ponto final para a entrega de políticas.
Método 1: Carregar a chave de recuperação existente
Quando utilizar: O utilizador conhece a chave de recuperação pessoal atual.
Processo:
- Implementar a política FileVault no dispositivo anteriormente encriptado.
- Direcionar o utilizador para Portal da Empresa site (portal.manage.microsoft.com).
- O utilizador seleciona o dispositivo encriptado e seleciona Armazenar chave de recuperação.
- O utilizador introduz a chave de recuperação pessoal atual.
- Intune valida a chave e roda para a nova chave de recuperação.
- A nova chave é escrowed e está disponível através de Portal da Empresa.
Comunicação do utilizador:
Informe os utilizadores de que têm de carregar a chave de recuperação para ativar a gestão de Intune. Considere a imposição da política de conformidade para garantir a conclusão.
Método 2: Gerar nova chave de recuperação no dispositivo
Quando utilizar: O utilizador não sabe a chave de recuperação atual, mas tem acesso ao dispositivo.
Processo:
- Implementar a política FileVault no dispositivo anteriormente encriptado.
- O utilizador abre a aplicação terminal no dispositivo encriptado.
- Execute comandos de rotação de chaves:
cd /Applications/Utilities sudo fdesetup changerecovery -personal - O utilizador fornece a palavra-passe do dispositivo quando lhe for pedido.
- O sistema gera e apresenta uma nova chave de recuperação.
- O dispositivo dá entrada com Intune e a gestão é assumida.
Agilizar o marcar do dispositivo:
- Administração: Dispositivos> Selecionar Sincronização do dispositivo >
- Utilizador: Sincronização de Definições> da aplicação Portal da Empresa>
Verificação do pressuposto de gestão
Após qualquer um dos métodos, verifique o pressuposto de gestão com êxito:
- Verifique os status de encriptação de dispositivos no relatório de encriptação Intune.
- Confirme a disponibilidade da chave de recuperação nos detalhes do dispositivo.
- Teste a obtenção da chave de recuperação através de Portal da Empresa.
Resolver problemas de implementação do FileVault
Problemas comuns de implementação
| Problema | Solução | Verificação |
|---|---|---|
| Falha na ativação do FileVault | Verificar a inscrição mdm aprovada pelo utilizador status | Verificar Perfis de Preferências > do Sistema |
| Falha ao escrow da chave de recuperação | Garantir a conectividade da rede do dispositivo | Verificar se existem status de escrow no relatório de encriptação |
| A imposição do Assistente de Configuração não está a funcionar (macOS 14+) | Verifique se a definição Diferir está Ativada no Catálogo de Definições | Verificar o perfil de inscrição para Aguardar configuração final |
| Os utilizadores não conseguem obter chaves de recuperação | Verificar o tipo de propriedade do dispositivo e as permissões de utilizador | Verificar a designação de dispositivos empresariais no Intune |
| O administrador não consegue aceder às chaves de recuperação | Dispositivo marcado como Pessoal/BYOD (comportamento esperado) | Verificar o tipo de propriedade do dispositivo – Os dispositivos pessoais protegem a privacidade dos utilizadores |
Referência do código de erro
Erro -2016341107/0x87d1138d: O utilizador não aceitou o pedido de ativação do FileVault.
- Resolução: Educação do utilizador sobre como aceitar pedidos do FileVault.
- Prevenção: Considere a imposição do Assistente de Configuração para a implementação automatizada.
Resolução de conflitos de políticas
Utilize a deteção de conflitos de políticas do Intune para identificar:
- Sobreposição de políticas FileVault
- Definições de proteção de pontos finais em conflito
- Interações da política de conformidade
Considerações de segurança
Segurança da chave de recuperação
Proteção de chaves:
- As chaves de recuperação são encriptadas em trânsito e inativas
- As chaves são armazenadas de forma segura nos serviços cloud da Microsoft
- O acesso é controlado através de permissões RBAC Intune
Registo de auditoria:
- Todo o acesso à chave de recuperação é registado nos registos de auditoria Microsoft Entra
- Os registos incluem a identidade do utilizador, o carimbo de data/hora e o ID da chave
- Rever registos regularmente para tentativas de acesso não autorizado
Dispositivos empresariais vs. pessoais
Observação
O tipo de propriedade do dispositivo (Empresarial vs. Pessoal) determina o acesso de administrador às chaves de recuperação FileVault. Este é um design de segurança e privacidade fundamental.
Dispositivos empresariais:
- Acesso administrativo total: os administradores podem ver, rodar e gerir chaves de recuperação
- Complete recovery key management capabilities through Intune admin center (Concluir as capacidades de gestão de chaves de recuperação através do centro de administração do Intune)
- Adequado para equipamentos pertencentes à empresa em que é esperado controlo total de TI
- O registo de auditoria monitoriza todo o acesso à chave de recuperação administrativa
Dispositivos pessoais (BYOD):
- Sem acesso administrativo: os administradores não podem ver ou gerir diretamente chaves de recuperação
- Os utilizadores mantêm o controlo total através do acesso Portal da Empresa self-service
- Equilibra as necessidades de segurança organizacional com os requisitos de privacidade dos funcionários
- As chaves continuam a ser guardadas na cloud da Microsoft para recuperação self-service do utilizador
- A rotação automática ainda funciona com base na configuração da política
Integração de conformidade
A encriptação FileVault integra-se com políticas de conformidade Intune:
- Definir Exigir encriptação do armazenamento de dados na política de conformidade
- Bloquear o acesso aos recursos empresariais até a encriptação estar ativada
- Monitorizar a conformidade através de relatórios de conformidade de dispositivos
Próximas etapas
- Monitorizar a encriptação de discos em todo o ambiente
- Configurar a encriptação BitLocker para dispositivos Windows
- Referência de definições do FileVault para políticas de segurança de ponto final
- Guia de implementação do Apple FileVault(abre o site da Apple)
- Orientação do utilizador final para chaves de recuperação FileVault