Use encriptação de disco FileVault para macOS com Intune

Intune suporta encriptação de disco ficheiro macOS. FileVault é um programa de encriptação de todo o disco que está incluído com o macOS. Pode utilizar o Intune para configurar o FileVault em dispositivos que executam o macOS 10.13 ou mais tarde.

Utilize um dos seguintes tipos de política para configurar o FileVault nos seus dispositivos geridos:

• Política de segurança de ponto final para o macOS FileVault. O perfil FileVault na segurança Endpoint é um grupo focado de definições que se dedica a configurar o FileVault.

  Consulte as definições do FileVault que estão disponíveis nos perfis para a política de encriptação do disco.

• Perfil de configuração do dispositivo para proteção de ponto final para o macOS FileVault. As definições do FileVault são uma das categorias de definições disponíveis para a proteção do ponto final do macOS. Para obter mais informações sobre a utilização de um perfil de configuração do dispositivo, consulte Criar um perfil do dispositivo no Intune.

  Consulte as definições do FileVault que estão disponíveis nos perfis de proteção do ponto final para a política de configuração do dispositivo.

Para gerir o BitLocker para Windows 10, consulte a política do Manage BitLocker.

Dica

A Intune fornece um relatório de encriptação incorporado que apresenta detalhes sobre o estado de encriptação dos dispositivos, em todos os seus dispositivos geridos.

Depois de criar uma política para encriptar dispositivos com FileVault, a política é aplicada aos dispositivos em duas fases. Em primeiro lugar, o dispositivo está preparado para permitir ao Intune recuperar e fazer o reforço da chave de recuperação. Esta ação é referida como caução. Depois de a chave ser escrocada, a encriptação do disco pode começar.

Além de utilizar a política do Intune para encriptar um dispositivo com o FileVault, pode implementar a política num dispositivo gerido para permitir ao Intune assumir a gestão do FileVault quando o dispositivo foi encriptado pelo utilizador. Este cenário requer que o dispositivo receba a política do FileVault do Intune, seguida pelo utilizador a carregar a sua chave de recuperação pessoal para o Intune.

A inscrição do dispositivo aprovada pelo utilizador é necessária para que o FileVault funcione num dispositivo. O utilizador deve aprovar manualmente o perfil de gestão das preferências do sistema para que a inscrição seja considerada aprovada pelo utilizador.

Permissões para gerir o FileVault

Para gerir o FileVault em Intune, a sua conta deve ter as permissões de controlo de acesso (RBAC) baseadas em funções aplicáveis.

Seguem-se as permissões FileVault, que fazem parte da categoria de tarefas remotas, e as funções RBAC incorporadas que concedem a permissão:

• Obtenha a tecla FileVault:

  • Operador de mesa de ajuda
  • Gestor de segurança endpoint

• Girar a tecla FileVault

  • Operador de mesa de ajuda

Criar política de configuração de dispositivos para FileVault

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione perfis > de configuração de dispositivos > Criar perfil.

3. Na página 'Criar' de perfil, definir as seguintes opções e, em seguida, clicar em Criar:

   • Plataforma: macOS
   • Tipo de perfil: Modelos
   • Nome do modelo: Proteção de ponto final

   

4. Na página Basics, insira as seguintes propriedades:

   • Nome: Introduza um nome descritivo para a apólice. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

   • Descrição: Introduza uma descrição para a apólice. Esta definição é opcional, mas recomendada.

5. Na página de definições de configuração, selecione FileVault para expandir as definições disponíveis:

   

6. Configure as seguintes definições:

   • Para ativar o FileVault, selecione Sim.

   • Para o tipo de chave de recuperação, selecione a tecla pessoal.

   • Para obter a descrição da localização da chave de recuperação pessoal, adicione uma mensagem para ajudar os utilizadores a orientar os utilizadores sobre como recuperar a chave de recuperação do seu dispositivo. Estas informações podem ser úteis para os seus utilizadores quando utilizar a definição para rotação da chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

     Por exemplo: Para recuperar uma chave de recuperação perdida ou recentemente rotativa, inscreva-se no website Portal da Empresa do Intune a partir de qualquer dispositivo. No portal, vá aos Dispositivos e selecione o dispositivo que tem o FileVault ativado e, em seguida, selecione Obter a tecla de recuperação. A tecla de recuperação atual é apresentada.

   Configure as definições restantes do FileVault para satisfazer as necessidades do seu negócio e, em seguida, selecione Next.

7. Na página Âmbito (Tags), escolha Selecionar as etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.

   Selecione Seguinte para continuar.

8. Na página Atribuições, selecione os grupos que receberão este perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição. Selecione Seguinte.

9. Na página 'Rever + criar', quando terminar, escolha Criar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.

Criar política de segurança de ponto final para FileVault

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione encriptação de disco de segurança endpoint > > Criar Política.

3. Na página Basics, insira as seguintes propriedades e, em seguida, escolha Seguinte.

   • Plataforma: macOS
   • Perfil: FileVault

   

4. Na página de definições de configuração:

   1. Definir Ativar o FileVault para Sim.
   2. Para o tipo de chave de recuperação, apenas a Chave de Recuperação Pessoal é suportada.
   3. Configure configurações adicionais para satisfazer os seus requisitos.

   Considere adicionar uma mensagem para ajudar os utilizadores a orientar os utilizadores sobre como recuperar a chave de recuperação do seu dispositivo. Estas informações podem ser úteis para os seus utilizadores quando utilizar a definição para rotação da chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

   Por exemplo: Para recuperar uma chave de recuperação perdida ou recentemente rotativa, inscreva-se no website Portal da Empresa do Intune a partir de qualquer dispositivo. No portal, vá aos Dispositivos e selecione o dispositivo que tem o FileVault ativado e, em seguida, selecione Obter a tecla de recuperação. A tecla de recuperação atual é apresentada.

5. Quando terminar as definições, selecione Seguinte.

6. Na página Âmbito (Tags), escolha Selecionar as etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.

   Selecione Seguinte para continuar.

7. Na página Atribuições, selecione os grupos que receberão este perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição. Selecione Seguinte.

8. Na página 'Rever + criar', quando terminar, escolha Criar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.

Gerir o FileVault

Para visualizar informações sobre dispositivos que recebem a política do FileVault, consulte a encriptação do disco monitor.

Quando o Intune encripta pela primeira vez um dispositivo macOS com o FileVault, é criada uma chave de recuperação pessoal. Após a encriptação, o dispositivo exibe a chave pessoal uma única vez para o utilizador do dispositivo.

Para dispositivos geridos, o Intune pode caucionar uma cópia da chave de recuperação pessoal. A caução das teclas permite aos administradores da Intune rodar as chaves para ajudar a proteger os dispositivos e os utilizadores recuperarem uma chave de recuperação pessoal perdida ou rotativa.

Intune fornece uma chave de recuperação quando a política do Intune encripta um dispositivo, ou depois de um utilizador carregar a sua chave de recuperação para o dispositivo que eles encriptaram manualmente.

Depois de Intune, a chave de recuperação pessoal:

• Os administradores podem gerir e rodar as teclas de recuperação Do FicheiroVault para qualquer dispositivo macOS gerido, utilizando o relatório de encriptação Intune.
• Os administradores podem ver a chave de recuperação pessoal apenas para dispositivos macOS geridos que são marcados como corporativos. Não conseguem ver a chave de recuperação de dispositivos pessoais.
• Os utilizadores podem ver e recuperar a sua chave de recuperação pessoal a partir de um local suportado. Por exemplo, a partir do website Portal da Empresa, o utilizador pode optar por obter a chave de recuperação como uma ação remota do dispositivo.

Assuma a gestão do FileVault em dispositivos previamente encriptados

A Intune não consegue gerir a encriptação do disco FileVault num dispositivo macOS que foi encriptado por um utilizador do dispositivo, a menos que aplique a política do FileVault através do Intune. Existem dois métodos que pode utilizar que permitem ao Intune assumir a gestão do FileVault neste cenário:

• Faça o upload de uma chave de recuperação pessoal para Intune – Utilize este método quando o utilizador souber da sua chave de recuperação pessoal.
• O utilizador gera uma nova chave de recuperação no dispositivo – Utilize este método se a chave de recuperação pessoal não for conhecida pelo utilizador.

Ambos os métodos requerem que o dispositivo tenha uma política ativa do Intune que gere a encriptação FileVault. Para entregar esta política, pode utilizar um perfil de encriptação de disco de segurança de ponto finalou um perfil de proteção de ponto final de configuração do dispositivo para encriptar dispositivos com FileVault.

Faça upload de uma chave de recuperação pessoal

Para permitir ao Intune gerir o FileVault num dispositivo previamente encriptado, o utilizador que encriptou o dispositivo pode utilizar o Portal da Empresa website para enviar a sua chave de recuperação pessoal para o Dispositivo para o Intune. O upload da chave permite ao Intune assumir a gestão da encriptação.

Após o upload, Intune roda a chave para criar uma nova chave de recuperação pessoal. A Intune armazena a nova chave para futuras necessidades de recuperação e disponibiliza-a ao utilizador do dispositivo.

Pré-requisitos:

• O dispositivo encriptado deve ter uma política Intune FileVault para encriptação de disco.

  Antes que o Intune possa assumir a gestão da encriptação de um dispositivo encriptado pelo utilizador, esse dispositivo deve receber uma política Intune FileVault para encriptação de discos.

  Utilize um perfil de encriptação do disco de segurança de ponto finalou um perfil de proteção de ponto final de configuração do dispositivo para encriptar dispositivos com FileVault.

• O utilizador que encriptou o dispositivo deve ter acesso à sua chave de recuperação pessoal para o dispositivo e ser direcionado para o upload para o Intune.

  A Intune não alerta os utilizadores de que devem carregar a sua chave de recuperação pessoal para completar a encriptação. Em vez disso, utilize os seus canais normais de comunicação de TI para alertar os utilizadores que já encriptaram previamente o seu dispositivo macOS com o FileVault que devem enviar a sua chave de recuperação pessoal para o Intune.

  Nota

  Com base na sua política de conformidade, os dispositivos podem ser bloqueados de aceder a recursos corporativos até que a Intune assuma com sucesso a gestão da encriptação FileVault no dispositivo

Faça o upload de uma chave de recuperação pessoal para Intune:

1. Depois de o dispositivo receber o perfil FileVault, direcione o utilizador para a utilização do website Portal da Empresa.

2. No Portal da Empresa website, o utilizador localiza o seu dispositivo macOS encriptado e seleciona a chave de recuperação da loja de opções .

3. O utilizador deve introduzir a sua chave de recuperação pessoal e o Intune tenta então rodar a chave para gerar uma nova chave.

   • Se a rotação da chave for bem sucedida, a Intune armazena a nova chave para utilização futura e disponibiliza a chave ao utilizador caso o utilizador precise de recuperar o seu dispositivo.
   • Se a rotação da chave falhar, ou o dispositivo não processou a política do FileVault, ou a chave que é inserida não é exata para o dispositivo.

4. Após uma rotação bem sucedida, um utilizador pode recuperar a sua nova chave de recuperação pessoal a partir de um local suportado.

Para obter mais informações, consulte o conteúdo do utilizador final para fazer o upload da chave de recuperação pessoal.

Gere uma nova chave de recuperação no dispositivo

Para permitir ao Intune gerir o FileVault num dispositivo previamente encriptado, o utilizador que encriptou o dispositivo pode utilizar a aplicação Terminal no dispositivo para rodar a sua chave de recuperação pessoal. Se o dispositivo tiver uma política de FileVault ativa do Intune quando a tecla estiver rodada, o Intune assume então a gestão da encriptação.

Pré-requisitos:

• O dispositivo encriptado deve ter uma política Intune FileVault para encriptação de disco.

  Antes que o Intune possa assumir a gestão da encriptação de um dispositivo encriptado pelo utilizador, esse dispositivo deve receber uma política Intune FileVault para encriptação de discos.

  Utilize um perfil de encriptação do disco de segurança de ponto finalou um perfil de proteção de ponto final de configuração do dispositivo para encriptar dispositivos com FileVault.

• O utilizador do dispositivo deve ter acesso à aplicação Terminal no dispositivo encriptado.

Utilize o Terminal para gerar uma nova chave de recuperação pessoal:

1. Depois de o dispositivo receber o perfil FileVault, o utilizador que encriptou o dispositivo deve iniciar sessão no dispositivo, abrir o Terminal e executar os dois comandos seguintes, por ordem:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Quando este comando é executado, o utilizador é solicitado a fornecer a sua senha do dispositivo. Após a disponibilização da palavra-passe, o dispositivo roda a chave de recuperação pessoal e apresenta a nova chave de recuperação pessoal para o utilizador.

      Depois de gravar a nova chave de recuperação, complete as restantes indicações do comando.

2. Após a conclusão das indicações de comando, a chave de recuperação pessoal do dispositivo foi rodada. Se o dispositivo recebeu com sucesso a política Do FicheiroVault, a Intune assume a gestão da encriptação do dispositivo da próxima vez que o dispositivo fizer o check-in com o Intune.

   Por predefinição, o dispositivo verifica-se em cerca de oito em oito horas. Para acelerar o check-in do dispositivo, utilize uma das seguintes opções:

   • Um administrador Intune pode iniciar súmido para Microsoft Endpoint Manager centro de administração, ir a Dispositivos, selecionar o dispositivo e, em seguida, selecionar Sync. Isto notifica o dispositivo para fazer o check-in imediatamente com o Intune.
   • O utilizador do dispositivo pode abrir a aplicação Portal da Empresa e ir para Definições > Sync. Isto direciona o dispositivo para verificar imediatamente se há atualizações de política ou de perfil.

3. Depois de a Intune assumir a gestão da encriptação, um utilizador pode recuperar a sua nova chave de recuperação pessoal a partir de um local suportado.

Para obter informações adicionais, consulte o conteúdo do utilizador final para fazer o upload da chave de recuperação pessoal.

Recuperar uma chave de recuperação pessoal

Para um dispositivo macOS que tenha a sua encriptação FileVault gerida pela Intune, os utilizadores finais podem recuperar a sua chave de recuperação pessoal (chave FileVault) a partir dos seguintes locais, utilizando qualquer dispositivo:

• Portal da Empresa website (https://portal.manage.microsoft.com/)
• aplicação Portal da Empresa iOS/iPadOS
• Aplicação do Portal da Empresa para Android
• App Intune

Os administradores podem ver chaves de recuperação pessoal para dispositivos macOS encriptados que são marcados como um dispositivo corporativo. Não conseguem ver a chave de recuperação de um dispositivo pessoal.

O dispositivo que tem a chave de recuperação pessoal deve ser matriculado com Intune e encriptado com FileVault através do Intune. Utilizando a aplicação Portal da Empresa iOS, a aplicação Android Portal da Empresa, a aplicação Android Intune ou o website Portal da Empresa, o utilizador pode ver a chave de recuperação do FileVault necessária para aceder aos seus dispositivos Mac.

Os utilizadores do dispositivo podem selecionar dispositivos > o dispositivo macOS encriptado e inscrito Obtenha a chave de > recuperação. O navegador mostrará a web Portal da Empresa e exibirá a chave de recuperação.

Rode teclas de recuperação rotativas

Intune suporta múltiplas opções para rodar e recuperar chaves de recuperação pessoal. Uma das razões para rodar uma chave é se a chave pessoal atual está perdida ou pensa-se estar em risco.

• Rotação automática: Como administrador, pode configurar a definição de chave de recuperação pessoal para gerar automaticamente a nova chave de recuperação periódica. Quando uma nova chave é gerada para um dispositivo, a chave não é apresentada ao utilizador. Em vez disso, o utilizador deve obter a chave seja de um administrador ou através da aplicação do portal da empresa.

• Rotação manual: Como administrador, pode ver informações para um dispositivo que gere com o Intune e que está encriptado com o FileVault. Em seguida, pode optar por rodar manualmente a chave de recuperação para dispositivos corporativos. Não é possível rodar chaves de recuperação para dispositivos pessoais.

  Para rodar uma chave de recuperação:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos   > Todos os dispositivos.

  3. A partir da lista de dispositivos, selecione o dispositivo que está encriptado e para o qual pretende rodar a sua chave. Em seguida, no Monitor, selecione as teclas de recuperação.

  4. No painel de chaves de recuperação, selecione a chave de recuperação do Ficheiro Rotativo .

     Da próxima vez que o dispositivo entrar com o Intune, a chave pessoal é girada. Quando necessário, a nova chave pode ser obtida pelo utilizador através do portal da empresa.

Recuperar chaves de recuperação

• Administrador: Os administradores não podem ver as chaves de recuperação pessoal para dispositivos encriptados com o FileVault.

• Utilizador final: Os utilizadores finais utilizam o website Portal da Empresa a partir de qualquer dispositivo para visualizar a atual chave de recuperação pessoal para qualquer um dos seus dispositivos geridos. Não é possível ver as chaves de recuperação da aplicação Portal da Empresa.

  Para ver uma chave de recuperação:

  1. Inscreva-se no site Portal da Empresa do Intune a partir de qualquer dispositivo.

  2. No portal, vá aos Dispositivos e selecione o dispositivo macOS que está encriptado com o FileVault.

  3. Selecione Obter a chave de recuperação. A tecla de recuperação atual é apresentada.

Passos seguintes

Gerir a política BitLocker

Monitorizar encriptação de discos