Usar a criptografia de disco FileVault para macOS com Intune

Use Microsoft Intune para configurar e gerenciar a criptografia de disco fileVault do macOS. O FileVault é um programa de criptografia de disco completo incluído no macOS. Com Intune você pode implantar políticas que configuram o FileVault e, em seguida, gerenciar chaves de recuperação em dispositivos que executam o macOS 10.13 ou posterior.

Use um dos seguintes tipos de política para configurar o FileVault em seus dispositivos gerenciados:

• Política de segurança do ponto de extremidade para macOS FileVault. O perfil FileVault na Segurança do ponto de extremidade é um grupo focado de configurações dedicado a configurar o FileVault.

  Exiba as configurações do FileVault que estão disponíveis em perfis para a política de criptografia de disco.

• Perfil de configuração do dispositivo para a proteção de ponto de extremidade para o macOS FileVault. As configurações do FileVault são uma das categorias de configurações disponíveis para a proteção de ponto de extremidade do macOS. Confira mais informações sobre como usar um perfil de configuração de dispositivo em Criar um perfil de dispositivo no Intune.

  Exiba as configurações do FileVault que estão disponíveis nos perfis de proteção para a política de configuração do dispositivo.

• Perfil de catálogo de configurações para macOS FileVault. FileVault pode ser configurado por meio do catálogo de configurações Intune, que inclui algumas configurações que não estão disponíveis nos modelos de segurança do ponto de extremidade e proteção de ponto de extremidade.

Para gerenciar o BitLocker para Windows 10/11, consulte Gerenciar a política do BitLocker.

Dica

O Intune fornece um relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados.

Depois que você criar uma política para criptografar dispositivos com o FileVault, a política será aplicada aos dispositivos em dois estágios. Primeiro, o dispositivo é preparado para habilitar o Intune, a fim de recuperar e fazer backup da chave de recuperação. Essa ação é chamada de caução. Depois que a chave for habilitada para caução, a criptografia de disco poderá ser iniciada.

Além de usar Intune política para criptografar um dispositivo com FileVault, você pode implantar a política em um dispositivo gerenciado para permitir que Intune assumam o gerenciamento do FileVault quando o dispositivo é criptografado pelo usuário. Esse cenário requer que o dispositivo receba a política do FileVault do Intune e que o usuário carregue sua chave de recuperação pessoal no Intune.

O registro de dispositivo aprovado pelo usuário é necessário para que o FileVault funcione em um dispositivo. O usuário precisará aprovar manualmente o perfil de gerenciamento nas preferências do sistema para que o registro seja considerado aprovado pelo usuário.

Permissões para gerenciar o FileVault

Para gerenciar o FileVault no Intune, a conta precisa ter as permissões de RBAC (controle de acesso baseado em função) do Intune aplicáveis.

As seguintes são permissões do FileVault, que fazem parte da categoria Tarefas remotas, bem como as funções RBAC internas que concedem a permissão:

• Obter chave do FileVault:

  • Operador do Suporte Técnico
  • Gerenciador de segurança do ponto de extremidade

• Trocar chave do FileVault

  • Operador do Suporte Técnico

Criar política de configuração de dispositivo para FileVault

1. Entre no Centro de administração do Microsoft Intune.

2. SelecioneConfiguração>de Dispositivos> Na guia Políticas, selecione + Criar.

3. Na página Criar um perfil , defina as seguintes opções e selecione Criar:

   • Plataforma: macOS
   • Tipo de perfil: modelos
   • Nome do modelo: proteção do ponto de extremidade

   

4. Na página Noções Básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

5. Na página Definições de configuração, selecione FileVault para expandir as configurações disponíveis:

   

6. Defina as seguinte configurações:

   • Para Habilitar o FileVault, selecione Sim.

   • Para Tipo de chave de recuperação, selecione Chave pessoal.

   • Em Descrição da localização do caução da chave de recuperação pessoal, adicione uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação do dispositivo. Essas informações poderão ser úteis para os usuários quando você usar a configuração para Rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

     Por exemplo: para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

   Defina as Configurações do FileVault restantes de acordo com suas necessidades de negócios e selecione Próximo.

7. Se aplicável, na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas para atribuir marcas de escopo ao perfil.

   Selecione Avançar para continuar.

8. Na página Atribuições , selecione grupos para receber esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

9. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar política de segurança de ponto de extremidade para FileVault

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

3. Na página Noções Básicas, insira as propriedades a seguir e escolha Avançar.

• Plataforma: macOS

• Perfil: FileVault

  

4. Na página Definições de configuração:

   1. Defina Habilitar FileVault como Sim.
   2. Para Tipo de chave de recuperação, só há suporte para Chave de Recuperação Pessoal.
   3. Defina configurações adicionais para atender às suas necessidades.

   Considere adicionar uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação para seus dispositivos. Essas informações poderão ser úteis para os usuários quando você usar a configuração para Rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

   Por exemplo: para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

5. Quando terminar de definir as configurações, selecione Avançar.

6. Na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

   Selecione Avançar para continuar.

7. Na página Atribuições, selecione os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

8. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar política de catálogo de configurações para FileVault

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Perfisde configuração de dispositivos>>macOS>Criar>nova política.

3. Na página Criar um perfil , selecione Catálogo de configurações para o tipo perfil.

4. Na página Noções Básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

5. Na página Configuração de configurações , selecione + Adicionar configurações para abrir o seletor de configurações. As configurações FileVault estão localizadas na categoria Criptografia de Disco Completo :

   

   Para habilitar o FileVault, selecione e configure as seguintes configurações na categoria Criptografia de Disco Completo :

   • Habilitar FileVault > – Definido como Ativado
   • FileVault Recovery Key Escrow >Location – especifique uma descrição do local em que a chave de recuperação está sendo gerada. Este texto é inserido na mensagem que o usuário vê ao habilitar o FileVault.

   Dica

   Ao configurar a criptografia para dispositivos que executam o macOS 14 ou posterior, você pode usar o Assistente de Instalação do macOS para impor a criptografia FileVault antes que um usuário chegue à tela inicial. Consulte Habilitar FileVault por meio do Assistente de Instalação mais adiante neste artigo.

6. Configure configurações adicionais do FileVault(abre o site da Apple) para atender às suas necessidades de negócios e selecione Avançar.

7. Se aplicável, na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas para atribuir marcas de escopo ao perfil. Selecione Avançar para continuar.

8. Na página Atribuições, selecione os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

9. Na página Revisar + criar, quando terminar, selecione Criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Habilitar FileVault por meio do Assistente de Instalação

Para dispositivos que executam o macOS 14 e posteriores, sua política de catálogo de configurações também pode impor a criptografia FileVault por meio do Assistente de Instalação do macOS, antes que um usuário chegue à tela inicial. Essa meta requer configurações adicionais:

• O recurso aguardar a configuração final do dispositivo deve ser definido como Sim. Essa configuração impede que os usuários finais acessem conteúdo restrito ou alterem as configurações até que as políticas de configuração de dispositivo Intune aplicáveis se apliquem. Para obter informações sobre essa configuração, confira Registrar automaticamente Macs com o Apple Business Manager ou o Apple School Manager.

• Crie um filtro usando o atributo EnrollmentProfileName que será atribuído à política de catálogo de configurações. Isso garante que a política FileVault será atribuída quando o dispositivo se registrar pela primeira vez com Intune. Para obter mais informações sobre como configurar filtros, consulte Criar filtros no Microsoft Intune.

• Quando Aguardar configuração final definida como Sim para um dispositivo, você pode adicionar a seguinte configuração de Criptografia de Disco Completa para FileVault no perfil do catálogo de configurações

• FileVault >Force Enable in Setup Assistant – Set to Enableed.

  A imagem a seguir mostra o perfil de catálogo de configurações configurado com as configurações principais para habilitar o FileVault e usar o Assistente de Instalação para impor a criptografia. Neste exemplo, a configuração Local usa o nome simples do nosso domínio, Contoso:

  Importante

  A configuração de adiamento deve ser configurada como Habilitada para habilitar o FileVault com êxito no Assistente de Instalação para dispositivos que executam o macOS 14.4.

  

Gerenciar o FileVault

Para exibir informações sobre dispositivos que recebem a política FileVault, confira Monitorar criptografia de disco.

Quando o Intune criptografa um dispositivo macOS com o FileVault pela primeira vez, uma chave de recuperação pessoal é criada. Após a criptografia, o dispositivo exibe a chave pessoal uma única vez para o usuário do dispositivo.

Observação

Um dispositivo que relata código de erro -2016341107/0x87d1138d geralmente significa que o usuário final não aceitou o prompt FileVault para iniciar a criptografia.

Para os dispositivos gerenciados, o Intune pode habilitar a caução de uma cópia da chave de recuperação pessoal. A caução de chaves permite que os administradores do Intune girem as chaves para ajudar a proteger os dispositivos e que os usuários recuperem uma chave de recuperação pessoal perdida ou girada.

O Intune efetua o caução de uma chave de recuperação quando a política do Intune criptografa um dispositivo ou depois que um usuário carrega sua chave de recuperação do dispositivo que ele criptografou manualmente.

Após o Intune efetuar o caução da chave de recuperação pessoal:

• Os administradores podem gerenciar e girar as chaves de recuperação do FileVault para qualquer dispositivo macOS gerenciado usando o relatório de criptografia do Intune.
• Os administradores podem exibir a chave de recuperação pessoal somente para dispositivos macOS gerenciados marcados como corporativos. Eles não podem exibir a chave de recuperação de dispositivos pessoais.
• Os usuários podem exibir e recuperar sua chave de recuperação pessoal de um local com suporte. Por exemplo, no site Portal da Empresa, o usuário pode optar por Obter a chave de recuperação como uma ação de dispositivo remoto.

Assumir o gerenciamento do FileVault em dispositivos criptografados anteriormente

Intune não pode gerenciar a criptografia de disco FileVault em um dispositivo macOS criptografado por um usuário de dispositivo, a menos que você aplique a política FileVault por meio de Intune. Há dois métodos que você pode usar para permitir que o Intune assuma o gerenciamento do FileVault neste cenário:

• Carregar uma chave de recuperação pessoal no Intune – use esse método quando o usuário sabe sua chave de recuperação pessoal.
• O usuário gera uma nova chave de recuperação no dispositivo – use esse método se o usuário não sabe a chave de recuperação pessoal.

Os dois métodos exigem que o dispositivo tenha uma política ativa do Intune que gerencie a criptografia FileVault. Para implementar esta política, é possível usar um perfil de criptografia de disco de segurança do ponto de extremidade ou um perfil de proteção do ponto de extremidade de configuração de dispositivo para criptografar dispositivos com o FileVault.

Carregar uma chave de recuperação pessoal

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o site do Portal da Empresa para carregar sua chave de recuperação pessoal do dispositivo no Intune. O upload da chave habilita o Intune a assumir o gerenciamento da criptografia.

Após o upload, o Intune alterna a chave para criar uma nova chave de recuperação pessoal. O Intune armazena a nova chave para futuras necessidades de recuperação e a disponibiliza para o usuário do dispositivo.

Pré-requisitos:

• O dispositivo criptografado deve ter uma política do Intune FileVault para criptografia de disco.

  Antes que o Intune possa assumir o gerenciamento da criptografia de um dispositivo criptografado pelo usuário, esse dispositivo deve receber uma política do Intune FileVault para criptografia de disco.

  Use um perfil de criptografia de disco de segurança do ponto de extremidade ou um perfil de proteção do ponto de extremidade de configuração de dispositivo para criptografar dispositivos com o FileVault.

• O usuário que criptografou o dispositivo deve ter acesso à sua chave de recuperação pessoal do dispositivo e ser direcionado para carregá-la no Intune.

  O Intune não alerta os usuários de que eles precisam carregar a chave de recuperação pessoal para concluir a criptografia. Em vez disso, use os canais de comunicação de TI comuns para informar os usuários que já criptografaram seus dispositivos macOS com o FileVault de que eles precisam carregar sua chave de recuperação pessoal no Intune.

  Observação

  Com base em sua política de conformidade, os dispositivos podem ser impedidos de acessar recursos corporativos até que o Intune assuma com êxito o gerenciamento da criptografia do FileVault no dispositivo

Carregar uma chave de recuperação pessoal no Intune:

1. Depois que o dispositivo receber o perfil FileVault, direcione o usuário para usar o site do Portal da Empresa.

2. No site Portal da Empresa, o usuário localiza seu dispositivo macOS criptografado e seleciona a opção Armazenar chave de recuperação.

3. O usuário deve inserir sua chave de recuperação pessoal e o Intune tenta alternar a chave para gerar uma nova chave.

   • Se a alternação de chave for bem-sucedida, o Intune armazenará a nova chave para uso futuro e disponibilizará a chave para o usuário caso o usuário precise recuperar seu dispositivo.
   • Se o processo de alternar a chave falhou, o dispositivo não processou a política do FileVault ou a chave inserida não é a chave correta para o dispositivo.

4. Após a chave ser girada com êxito, o usuário pode recuperar a nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Gerar uma nova chave de recuperação no dispositivo

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o aplicativo do Terminal no dispositivo para alternar sua chave de recuperação pessoal. Se o dispositivo tiver uma política de FileVault ativa do Intune quando a chave for alternada, o Intune assumirá o gerenciamento da criptografia.

Pré-requisitos:

• O dispositivo criptografado deve ter uma política do Intune FileVault para criptografia de disco.

  Antes que o Intune possa assumir o gerenciamento da criptografia de um dispositivo criptografado pelo usuário, esse dispositivo deve receber uma política do Intune FileVault para criptografia de disco.

  Use um perfil de criptografia de disco de segurança do ponto de extremidade ou um perfil de proteção do ponto de extremidade de configuração de dispositivo para criptografar dispositivos com o FileVault.

• O usuário do dispositivo deve ter acesso ao aplicativo de terminal no dispositivo criptografado.

Use o terminal para gerar uma nova chave de recuperação pessoal:

1. Depois que o dispositivo recebe o perfil FileVault, o usuário que criptografou o dispositivo deve entrar no dispositivo, abrir o terminal e executar os dois comandos a seguir, na ordem:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Quando esse comando é executado, o usuário recebe uma solicitação para fornecer a senha do dispositivo. Depois que a senha é fornecida, o dispositivo alterna a chave de recuperação pessoal e apresenta a nova chave de recuperação pessoal para o usuário.

      Depois de registrar a nova chave de recuperação, conclua as solicitações restantes do comando.

2. Depois que as solicitações de comando forem concluídas, a chave de recuperação pessoal será alternada no dispositivo. Se o dispositivo receber a política FileVault com êxito, o Intune assumirá o gerenciamento da criptografia do dispositivo na próxima vez que o dispositivo fizer check-in com o Intune.

   Por padrão, o dispositivo faz check-in a cada oito horas. Para agilizar o check-in do dispositivo, use uma das seguintes opções:

   • Um administrador Intune pode entrar no Microsoft Intune centro de administração, ir para Dispositivos, selecionar o dispositivo e, em seguida, selecionar Sincronizar. Isso notifica o dispositivo a marcar imediatamente com Intune.
   • O usuário do dispositivo pode abrir o aplicativo do Portal da Empresa e acessar configurações>sincronização. O dispositivo será direcionado para verificar imediatamente se há atualizações de política ou perfil.

3. Depois que o Intune assumir o gerenciamento da criptografia, um usuário poderá recuperar sua nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Recuperar uma chave de recuperação pessoal

Para um dispositivo macOS cuja criptografia do FileVault é gerenciada pelo Intune, os usuários finais podem recuperar a chave de recuperação pessoal (chave do FileVault) dos seguintes locais, usando qualquer dispositivo:

• Portal da Empresa site (https://portal.manage.microsoft.com/)
• Aplicativo do Portal da Empresa para iOS/iPadOS
• Aplicativo Android do Portal da Empresa
• Aplicativo do Intune

Os administradores podem exibir as chaves de recuperação pessoal para dispositivos macOS criptografados marcados como dispositivos corporativos. Eles não podem exibir a chave de recuperação de um dispositivo pessoal.

O dispositivo com a chave de recuperação pessoal deve ser registrado com o Intune e criptografado com o FileVault pelo Intune. Quando um usuário do dispositivo usa o aplicativo Portal da Empresa iOS, o aplicativo Android Portal da Empresa, o aplicativo Android Intune ou o site Portal da Empresa, o usuário pode ver a chave de recuperação FileVault necessária para acessar seus dispositivos Mac.

Os usuários do dispositivo podem selecionar Dispositivos>o dispositivo macOS criptografado e registrado>Obter chave de recuperação. O navegador mostra o Portal da Empresa Web e exibe a chave de recuperação.

Girar as chaves de recuperação

O Intune dá suporte a várias opções para girar e recuperar chaves de recuperação pessoal. Um motivo para girar uma chave é se a chave pessoal atual for perdida ou se for considerada em risco.

• Rotação automática: como administrador, você pode configurar o FileVault definindo a Rotação de chave de recuperação pessoal para gerar de forma automática novas chaves de recuperação periodicamente. Quando uma nova chave é gerada para um dispositivo, a chave não é exibida para o usuário. Em vez disso, o usuário precisa obter a chave de um administrador ou usando o aplicativo portal da empresa.

• Rotação manual: como administrador, você pode exibir informações de um dispositivo gerenciado com o Intune, e isso é criptografado com o FileVault. Você pode optar por girar manualmente a chave de recuperação para dispositivos corporativos. Não é possível girar as chaves de recuperação para dispositivos pessoais.

  Para girar uma chave de recuperação:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Na lista de dispositivos, selecione o dispositivo que está criptografado e para o qual você deseja girar sua chave. Em Monitor, selecione Chaves de recuperação.

  4. No painel Chaves de recuperação, selecione Girar chave de recuperação do FileVault.

     Na próxima vez que o dispositivo fizer check-in no Intune, a chave pessoal será girada. Quando necessário, a nova chave pode ser obtida pelo usuário por meio do Portal da Empresa.

Recuperar chaves de recuperação

• Administrador: os administradores não podem exibir chaves de recuperação pessoal de dispositivos que são criptografados com o FileVault.

• Usuário-final: os usuários finais usam o site do Portal da Empresa em qualquer dispositivo para exibir a chave de recuperação pessoal atual de um de seus dispositivos gerenciados. Não é possível exibir as chaves de recuperação no aplicativo Portal da Empresa.

  Para exibir uma chave de recuperação:

  1. Entre no site do Portal da Empresa do Intune em qualquer dispositivo.

  2. No portal, acesse Dispositivos e selecione o dispositivo macOS que está criptografado com o FileVault.

  3. Selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

Próximas etapas

Gerenciar a política do BitLocker

Monitorar a criptografia de disco