Utilizar a encriptação de disco FileVault para macOS com Intune

Utilize Microsoft Intune para configurar e gerir a encriptação de discos macOS FileVault. O FileVault é um programa de criptografia de disco completo incluído no macOS. Com Intune pode implementar políticas que configuram o FileVault e, em seguida, gerir chaves de recuperação em dispositivos com o macOS 10.13 ou posterior.

Use um dos seguintes tipos de política para configurar o FileVault em seus dispositivos gerenciados:

• Política de segurança do ponto de extremidade para macOS FileVault. O perfil FileVault na Segurança do ponto de extremidade é um grupo focado de configurações dedicado a configurar o FileVault.

  Exiba as configurações do FileVault que estão disponíveis em perfis para a política de criptografia de disco.

• Perfil de configuração do dispositivo para a proteção de ponto de extremidade para o macOS FileVault. As configurações do FileVault são uma das categorias de configurações disponíveis para a proteção de ponto de extremidade do macOS. Confira mais informações sobre como usar um perfil de configuração de dispositivo em Criar um perfil de dispositivo no Intune.

  Exiba as configurações do FileVault que estão disponíveis nos perfis de proteção para a política de configuração do dispositivo.

• Perfil de catálogo de definições para macOS FileVault. O FileVault pode ser configurado através do catálogo de definições de Intune, que inclui algumas definições que não estão disponíveis nos modelos de proteção de ponto final e de proteção de ponto final.

Para gerenciar o BitLocker para Windows 10/11, consulte Gerenciar a política do BitLocker.

Dica

O Intune fornece um relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados.

Depois que você criar uma política para criptografar dispositivos com o FileVault, a política será aplicada aos dispositivos em dois estágios. Primeiro, o dispositivo é preparado para habilitar o Intune, a fim de recuperar e fazer backup da chave de recuperação. Essa ação é chamada de caução. Depois que a chave for habilitada para caução, a criptografia de disco poderá ser iniciada.

Além de utilizar Intune política para encriptar um dispositivo com o FileVault, pode implementar a política num dispositivo gerido para permitir que Intune assumam a gestão do FileVault quando o dispositivo o utilizador o encriptar. Esse cenário requer que o dispositivo receba a política do FileVault do Intune e que o usuário carregue sua chave de recuperação pessoal no Intune.

O registro de dispositivo aprovado pelo usuário é necessário para que o FileVault funcione em um dispositivo. O usuário precisará aprovar manualmente o perfil de gerenciamento nas preferências do sistema para que o registro seja considerado aprovado pelo usuário.

Controlos de acesso baseados em funções para gerir o FileVault

Para gerir o FileVault no Intune, tem de ser atribuída uma conta Intune função de controlo de acesso baseado em funções (RBAC) que inclua a permissão Tarefas remotas com a chave Rotate FileVault definida como Sim:

Pode adicionar esta permissão e direito às suas próprias funções RBAC personalizadas ou utilizar uma das seguintes funções RBAC incorporadas que incluem este direito:

• Operador do Suporte Técnico
• Administrador de Segurança de Ponto Final

Criar política de segurança de ponto de extremidade para FileVault

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

3. Na página Noções Básicas, insira as propriedades a seguir e escolha Avançar.

   • Plataforma: macOS
   • Perfil: FileVault

   

4. Na página Definições de configuração:

   1. Defina Habilitar FileVault como Sim.
   2. Para Tipo de chave de recuperação, só há suporte para Chave de Recuperação Pessoal.
   3. Configure outras definições para cumprir os seus requisitos.

   Considere adicionar uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação para seus dispositivos. Essas informações poderão ser úteis para os usuários quando você usar a configuração para Rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

   Por exemplo: para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

5. Quando terminar de definir as configurações, selecione Avançar.

6. Na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

   Selecione Avançar para continuar.

7. Na página Atribuições, selecione os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

8. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar política de catálogo de definições para FileVault

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar>Nova política.

3. Na página Criar um perfil , selecione Catálogo de definições para o Tipo de perfil.

4. Na página Noções Básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

5. Na página Definições de configuração , selecione + Adicionar definições para abrir o seletor de definições. As definições do FileVault estão localizadas na categoria Encriptação de Disco Completa :

   

   Para ativar o FileVault, selecione e configure as seguintes definições na categoria Encriptação de Disco Completa :

   • FileVault >Enable - Definir como Ativado
   • Localização da Chave de Recuperação FileVault – especifique > uma descrição da localização onde a chave de recuperação é escrowed. Este texto é inserido na mensagem que o utilizador vê ao ativar o FileVault.

   Dica

   Ao configurar a encriptação para dispositivos com o macOS 14 ou posterior, pode utilizar o Assistente de Configuração do macOS para impor a encriptação FileVault antes de um utilizador chegar ao ecrã principal. Veja Ativar o FileVault através do Assistente de Configuração mais à frente neste artigo.

6. Configure definições adicionais do FileVault(abre o site da Apple) para satisfazer as suas necessidades empresariais e, em seguida, selecione Seguinte.

7. Se aplicável, na página Âmbito (Etiquetas),selecione Selecionar etiquetas de âmbito para abrir o painel Selecionar etiquetas para atribuir etiquetas de âmbito ao perfil. Selecione Avançar para continuar.

8. Na página Atribuições , selecione os grupos que recebem este perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

9. Na página Revisar + criar, quando terminar, selecione Criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Ativar o FileVault através do Assistente de Configuração

Para dispositivos com o macOS 14 e posterior, a política de catálogo de definições também pode impor a encriptação FileVault através do Assistente de Configuração do macOS, antes de um utilizador chegar ao ecrã principal. Este objetivo requer configurações adicionais:

• A funcionalidade Aguardar configuração final para o dispositivo tem de estar definida como Sim. Esta configuração impede que os utilizadores finais acedam a conteúdo restrito ou alterem as definições até serem aplicáveis Intune aplicações às políticas de configuração de dispositivos. Para obter informações sobre esta configuração, consulte Inscrever automaticamente Macs com o Apple Business Manager ou o Apple School Manager.

• Crie um filtro com o atributo EnrollmentProfileName que será atribuído à política de catálogo de definições. Isto garante que a política FileVault será atribuída quando o dispositivo for inscrito pela primeira vez com Intune. Para obter mais informações sobre como configurar filtros, veja Criar filtros no Microsoft Intune.

• Quando Aguardar configuração final definida como Sim para um dispositivo, pode adicionar a seguinte definição de Encriptação de Disco Completo para FileVault no perfil do catálogo de definições

• FileVault >Force Enable no Assistente de Configuração – defina como Ativado.

  A imagem seguinte mostra o perfil de catálogo de definições configurado com as definições principais para ativar o FileVault e utilizar o Assistente de Configuração para impor a encriptação. Neste exemplo, a definição Localização utiliza o nome simples do nosso domínio, Contoso:

  Importante

  A definição Diferir tem de estar configurada para Ativado para ativar o FileVault com êxito no Assistente de Configuração para dispositivos com o macOS 14.4.

  

Criar política de configuração de dispositivos para o FileVault (Preterido)

Observação

O modelo macOS para o Endpoint Protection foi preterido e já não suporta a criação de novos perfis. Em vez disso, utilize a segurança do Ponto final ou o catálogo de definições para configurar e gerir novos perfis FileVault.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos> GerirConfiguração> deDispositivos> No separador Políticas, selecione + Criar.

3. Na página Criar um perfil , defina as seguintes opções e, em seguida, selecione Criar>Nova política:

   • Plataforma: macOS
   • Tipo de perfil: modelos
   • Nome do modelo: Endpoint Protection (Preterido)

   

4. Na página Noções Básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

   • Descrição: insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

5. Na página Definições de configuração, selecione FileVault para expandir as configurações disponíveis:

   

6. Defina as seguinte configurações:

   • Para Habilitar o FileVault, selecione Sim.

   • Para Tipo de chave de recuperação, selecione Chave pessoal.

   • Em Descrição da localização do caução da chave de recuperação pessoal, adicione uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação do dispositivo. Essas informações poderão ser úteis para os usuários quando você usar a configuração para Rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

     Por exemplo: para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

   Defina as Configurações do FileVault restantes de acordo com suas necessidades de negócios e selecione Próximo.

7. Se aplicável, na página Âmbito (Etiquetas),selecione Selecionar etiquetas de âmbito para abrir o painel Selecionar etiquetas para atribuir etiquetas de âmbito ao perfil.

   Selecione Avançar para continuar.

8. Na página Atribuições , selecione grupos para receber este perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

9. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Gerenciar o FileVault

Para exibir informações sobre dispositivos que recebem a política FileVault, confira Monitorar criptografia de disco.

Quando o Intune criptografa um dispositivo macOS com o FileVault pela primeira vez, uma chave de recuperação pessoal é criada. Após a criptografia, o dispositivo exibe a chave pessoal uma única vez para o usuário do dispositivo.

Observação

Um dispositivo que reporta o código de erro -2016341107/0x87d1138d geralmente significa que o utilizador final não aceitou o pedido FileVault para iniciar a encriptação.

Para os dispositivos gerenciados, o Intune pode habilitar a caução de uma cópia da chave de recuperação pessoal. A caução de chaves permite que os administradores do Intune girem as chaves para ajudar a proteger os dispositivos e que os usuários recuperem uma chave de recuperação pessoal perdida ou girada.

O Intune efetua o caução de uma chave de recuperação quando a política do Intune criptografa um dispositivo ou depois que um usuário carrega sua chave de recuperação do dispositivo que ele criptografou manualmente.

Após o Intune efetuar o caução da chave de recuperação pessoal:

• Os administradores podem gerenciar e girar as chaves de recuperação do FileVault para qualquer dispositivo macOS gerenciado usando o relatório de criptografia do Intune.
• Os administradores podem exibir a chave de recuperação pessoal somente para dispositivos macOS gerenciados marcados como corporativos. Eles não podem exibir a chave de recuperação de dispositivos pessoais.
• Os usuários podem exibir e recuperar sua chave de recuperação pessoal de um local com suporte. Por exemplo, no site Portal da Empresa, o usuário pode optar por Obter a chave de recuperação como uma ação de dispositivo remoto.

Assumir o gerenciamento do FileVault em dispositivos criptografados anteriormente

Intune não consegue gerir a encriptação de disco FileVault num dispositivo macOS encriptado por um utilizador do dispositivo, a menos que aplique a política FileVault através de Intune. Há dois métodos que você pode usar para permitir que o Intune assuma o gerenciamento do FileVault neste cenário:

• Carregar uma chave de recuperação pessoal no Intune – use esse método quando o usuário sabe sua chave de recuperação pessoal.
• O usuário gera uma nova chave de recuperação no dispositivo – use esse método se o usuário não sabe a chave de recuperação pessoal.

Os dois métodos exigem que o dispositivo tenha uma política ativa do Intune que gerencie a criptografia FileVault. Para entregar esta política, utilize um perfil de encriptação de disco de segurança de ponto final.

Carregar uma chave de recuperação pessoal

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o site do Portal da Empresa para carregar sua chave de recuperação pessoal do dispositivo no Intune. O upload da chave habilita o Intune a assumir o gerenciamento da criptografia.

Após o upload, o Intune alterna a chave para criar uma nova chave de recuperação pessoal. O Intune armazena a nova chave para futuras necessidades de recuperação e a disponibiliza para o usuário do dispositivo.

Pré-requisitos:

• O dispositivo criptografado deve ter uma política do Intune FileVault para criptografia de disco.

  Antes que o Intune possa assumir o gerenciamento da criptografia de um dispositivo criptografado pelo usuário, esse dispositivo deve receber uma política do Intune FileVault para criptografia de disco.

  Utilize um perfil de encriptação de disco de segurança de ponto final para encriptar dispositivos com o FileVault.

• O usuário que criptografou o dispositivo deve ter acesso à sua chave de recuperação pessoal do dispositivo e ser direcionado para carregá-la no Intune.

  O Intune não alerta os usuários de que eles precisam carregar a chave de recuperação pessoal para concluir a criptografia. Em vez disso, use os canais de comunicação de TI comuns para informar os usuários que já criptografaram seus dispositivos macOS com o FileVault de que eles precisam carregar sua chave de recuperação pessoal no Intune.

  Observação

  Com base em sua política de conformidade, os dispositivos podem ser impedidos de acessar recursos corporativos até que o Intune assuma com êxito o gerenciamento da criptografia do FileVault no dispositivo

Carregar uma chave de recuperação pessoal no Intune:

1. Depois que o dispositivo receber o perfil FileVault, direcione o usuário para usar o site do Portal da Empresa.

2. No site Portal da Empresa, o usuário localiza seu dispositivo macOS criptografado e seleciona a opção Armazenar chave de recuperação.

3. O usuário deve inserir sua chave de recuperação pessoal e o Intune tenta alternar a chave para gerar uma nova chave.

   • Se a alternação de chave for bem-sucedida, o Intune armazenará a nova chave para uso futuro e disponibilizará a chave para o usuário caso o usuário precise recuperar seu dispositivo.
   • Se o processo de alternar a chave falhou, o dispositivo não processou a política do FileVault ou a chave inserida não é a chave correta para o dispositivo.

4. Após a chave ser girada com êxito, o usuário pode recuperar a nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Gerar uma nova chave de recuperação no dispositivo

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o aplicativo do Terminal no dispositivo para alternar sua chave de recuperação pessoal. Se o dispositivo tiver uma política de FileVault ativa do Intune quando a chave for alternada, o Intune assumirá o gerenciamento da criptografia.

Pré-requisitos:

• O dispositivo criptografado deve ter uma política do Intune FileVault para criptografia de disco.

  Antes que o Intune possa assumir o gerenciamento da criptografia de um dispositivo criptografado pelo usuário, esse dispositivo deve receber uma política do Intune FileVault para criptografia de disco.

  Utilize um perfil de encriptação de disco de segurança de ponto final para encriptar dispositivos com o FileVault.

• O usuário do dispositivo deve ter acesso ao aplicativo de terminal no dispositivo criptografado.

Use o terminal para gerar uma nova chave de recuperação pessoal:

1. Depois que o dispositivo recebe o perfil FileVault, o usuário que criptografou o dispositivo deve entrar no dispositivo, abrir o terminal e executar os dois comandos a seguir, na ordem:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Quando esse comando é executado, o usuário recebe uma solicitação para fornecer a senha do dispositivo. Depois que a senha é fornecida, o dispositivo alterna a chave de recuperação pessoal e apresenta a nova chave de recuperação pessoal para o usuário.

      Depois de registrar a nova chave de recuperação, conclua as solicitações restantes do comando.

2. Depois que as solicitações de comando forem concluídas, a chave de recuperação pessoal será alternada no dispositivo. Se o dispositivo receber a política FileVault com êxito, o Intune assumirá o gerenciamento da criptografia do dispositivo na próxima vez que o dispositivo fizer check-in com o Intune.

   Por padrão, o dispositivo faz check-in a cada oito horas. Para agilizar o check-in do dispositivo, use uma das seguintes opções:

   • Um administrador Intune pode iniciar sessão no Microsoft Intune centro de administração, aceder a Dispositivos, selecionar o dispositivo e, em seguida, selecionar Sincronizar. Isto notifica o dispositivo para marcar imediatamente com Intune.
   • O usuário do dispositivo pode abrir o aplicativo do Portal da Empresa e acessar configurações>sincronização. O dispositivo será direcionado para verificar imediatamente se há atualizações de política ou perfil.

3. Depois que o Intune assumir o gerenciamento da criptografia, um usuário poderá recuperar sua nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Recuperar uma chave de recuperação pessoal

Para um dispositivo macOS cuja criptografia do FileVault é gerenciada pelo Intune, os usuários finais podem recuperar a chave de recuperação pessoal (chave do FileVault) dos seguintes locais, usando qualquer dispositivo:

• Portal da Empresa Web site (https://portal.manage.microsoft.com/)
• Aplicativo do Portal da Empresa para iOS/iPadOS
• Aplicativo Android do Portal da Empresa
• Aplicativo do Intune

Os administradores podem exibir as chaves de recuperação pessoal para dispositivos macOS criptografados marcados como dispositivos corporativos. Eles não podem exibir a chave de recuperação de um dispositivo pessoal.

O dispositivo com a chave de recuperação pessoal deve ser registrado com o Intune e criptografado com o FileVault pelo Intune. Quando um utilizador do dispositivo utiliza a aplicação iOS Portal da Empresa, a aplicação Android Portal da Empresa, a aplicação android Intune ou o site Portal da Empresa, o utilizador pode ver a chave de recuperação FileVault necessária para aceder aos respetivos dispositivos Mac.

Os usuários do dispositivo podem selecionar Dispositivos>o dispositivo macOS criptografado e registrado>Obter chave de recuperação. O browser mostra a Portal da Empresa Web e apresenta a chave de recuperação.

Girar as chaves de recuperação

O Intune dá suporte a várias opções para girar e recuperar chaves de recuperação pessoal. Um motivo para girar uma chave é se a chave pessoal atual for perdida ou se for considerada em risco.

• Rotação automática: como administrador, você pode configurar o FileVault definindo a Rotação de chave de recuperação pessoal para gerar de forma automática novas chaves de recuperação periodicamente. Quando uma nova chave é gerada para um dispositivo, a chave não é exibida para o usuário. Em vez disso, o usuário precisa obter a chave de um administrador ou usando o aplicativo portal da empresa.

• Rotação manual: como administrador, você pode exibir informações de um dispositivo gerenciado com o Intune, e isso é criptografado com o FileVault. Você pode optar por girar manualmente a chave de recuperação para dispositivos corporativos. Não é possível girar as chaves de recuperação para dispositivos pessoais.

  Para girar uma chave de recuperação:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Na lista de dispositivos, selecione o dispositivo que está criptografado e para o qual você deseja girar sua chave. Em seguida, em Monitor, selecione Chaves de recuperação.

  4. No painel Chaves de recuperação, selecione Girar chave de recuperação do FileVault.

     Na próxima vez que o dispositivo fizer check-in no Intune, a chave pessoal será girada. Quando necessário, a nova chave pode ser obtida pelo usuário por meio do Portal da Empresa.

Recuperar chaves de recuperação

• Administrador: os administradores não podem exibir chaves de recuperação pessoal de dispositivos que são criptografados com o FileVault.

• Usuário-final: os usuários finais usam o site do Portal da Empresa em qualquer dispositivo para exibir a chave de recuperação pessoal atual de um de seus dispositivos gerenciados. Não é possível exibir as chaves de recuperação no aplicativo Portal da Empresa.

  Para exibir uma chave de recuperação:

  1. Entre no site do Portal da Empresa do Intune em qualquer dispositivo.

  2. No portal, acesse Dispositivos e selecione o dispositivo macOS que está criptografado com o FileVault.

  3. Selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

Próximas etapas

Gerenciar a política do BitLocker

Monitorar a criptografia de disco