将 fileVault 磁盘加密用于 macOS 和 Intune

使用 Microsoft Intune 配置和管理 macOS FileVault 磁盘加密。 FileVault 是 macOS 附带的整盘加密程序。 使用 Intune可以部署配置 FileVault 的策略，然后在运行 macOS 10.13 或更高版本的设备上管理恢复密钥。

使用以下策略类型之一配置托管设备上的 FileVault：

• macOS FileVault 的终结点安全策略。 终结点安全中的 FileVault 配置文件是专用于配置 FileVault 的一组集中设置。

  查看用于磁盘加密策略的配置文件中可用的 FileVault 设置。

• 用于 macOS FileVault 终结点保护的设备配置文件。 FileVault 设置是 macOS Endpoint Protection 的可用设置类别之一。 有关使用设备配置文件的详细信息，请参阅在 Intune 中创建设备配置文件。

  查看用于设备配置策略的终结点保护配置文件中可用的 FileVault 设置。

• macOS FileVault 的设置目录配置文件。 可以通过 Intune 设置目录配置 FileVault，其中包括终结点安全性和终结点保护模板中不可用的某些设置。

若要管理 Windows 10/11 的 BitLocker，请参阅管理 BitLocker 策略。

提示

Intune 提供内置的加密报告，其中提供了有关所有受管理设备中的设备加密状态的详细信息。

创建使用 FileVault 加密设备的策略后，策略将分两个阶段应用于设备。 首先，准备好设备，以启用 Intune 检索和备份恢复密钥。 此操作称为“托管”。 托管密钥后，磁盘加密便可启动。

除了使用 Intune 策略通过 FileVault 加密设备外，还可以将策略部署到托管设备，使Intune能够在用户加密设备时承担对 FileVault 的管理。 此方案要求设备从 Intune 接收 FileVault 策略，然后用户将其个人恢复密钥上传到 Intune。

若要使 FileVault 在设备上运行，需要进行用户批准的设备注册。 用户必须手动批准系统首选项中的管理配置文件，才能将注册视为用户批准。

用于管理 FileVault 的权限

若要在 Intune 中管理 FileVault，你的帐户必须具有适用的 Intune 基于角色的访问控制 (RBAC) 权限。

下面是 FileVault 权限（“远程任务”类别的一部分）和授予权限的内置 RBAC 角色：

• 获取 FileVault 密钥：

  • 技术支持操作员
  • 终结点安全管理器

• 轮换 FileVault 密钥

  • 技术支持操作员

为 FileVault 创建设备配置策略

1. 登录到Microsoft Intune管理中心。

2. 选择“ 设备>配置> ”，在“ 策略 ”选项卡上，选择“ + 创建”。

3. 在 “创建配置文件 ”页上，设置以下选项，然后选择“ 创建”：

   • 平台：macOS
   • 配置文件类型：模板
   • 模板名称：Endpoint Protection

   

4. 在“基本信息”页上，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，好的策略名称可包括配置文件类型和平台。

   • 说明：输入策略的说明。 此设置是可选的，但建议进行。

5. 在“配置设置”页上，选择“FileVault”，以展开可用设置：

   

6. 配置以下设置：

   • 对于“启用 FileVault”，选择“是”。

   • 对于“恢复密钥类型”，选择“个人密钥”。

   • 对于“个人恢复密钥的托管位置说明”，请添加有助于指导用户如何为设备检索恢复密钥的消息。 使用个人恢复密钥轮换设置时，此信息对用户非常有用。通过该设置，可以定期自动为设备生成新的恢复密钥。

     例如：若要检索丢失或最近轮换的恢复密钥，请从任意设备登录 Intune 公司门户网站。 在门户中，转到“设备”并选择已启用 FileVault 的设备，然后选择“获取恢复密钥”。 系统会显示当前恢复密钥。

   配置其余 FileVault 设置来满足业务需求，然后选择“下一步”。

7. 如果适用，请在“ 作用域 (标记) ”页上，选择 “选择范围标记 ”，打开“选择标记”窗格，将范围标记分配给配置文件。

   选择“下一步”以继续。

8. 在 “分配” 页上，选择要接收此配置文件的组。 有关分配配置文件的详细信息，请参阅“分配用户和设备配置文件”。 选择 下一步。

9. 完成后，在“查看 + 创建”页上，选择“创建”。 为创建的配置文件选择策略类型时，新配置文件将显示在列表中。

为 FileVault 创建终结点安全策略

1. 登录到Microsoft Intune管理中心。

2. 选择“终结点安全”>“磁盘加密”>“创建策略”。

3. 在“基本信息”页上，输入以下属性，然后选择“下一步”。

• 平台：macOS

• 配置文件：FileVault

  

4. 在“配置设置”页上：

   1. 将“启用 FileVault”设置为“是”。
   2. 对于“恢复密钥类型”，仅支持“个人恢复密钥”。
   3. 配置其他设置以满足你的要求。

   请考虑添加一条消息，以帮助指导用户如何检索其设备的恢复密钥。 使用个人恢复密钥轮换设置时，此信息对用户非常有用。通过该设置，可以定期自动为设备生成新的恢复密钥。

   例如：若要检索丢失或最近轮换的恢复密钥，请从任意设备登录 Intune 公司门户网站。 在门户中，转到“设备”并选择已启用 FileVault 的设备，然后选择“获取恢复密钥”。 系统会显示当前恢复密钥。

5. 完成配置设置后，选择“下一步”。

6. 在“作用域标记”页上，选择“选择作用域标记”打开“选择标记”窗格，将作用域标记分配给配置文件。

   选择“下一步”以继续。

7. 在“分配”页上，选择将接收此配置文件的组。 有关分配配置文件的详细信息，请参阅“分配用户和设备配置文件”。 选择 下一步。

8. 完成后，在“查看 + 创建”页上，选择“创建”。 为创建的配置文件选择策略类型时，新配置文件将显示在列表中。

为 FileVault 创建设置目录策略

1. 登录到Microsoft Intune管理中心。

2. 选择 “设备>”“macOS>配置文件”>“创建新>策略”。

3. 在“创建配置文件”页上，为“配置文件类型”选择“设置目录”。

4. 在“基本信息”页上，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，好的策略名称可包括配置文件类型和平台。

   • 说明：输入策略的说明。 此设置是可选的，但建议进行。

5. 在 “配置设置” 页上，选择“ + 添加设置” 以打开设置选取器。 FileVault 设置位于 “完整磁盘加密 ”类别下：

   

   若要启用 FileVault，请从 “完整磁盘加密 ”类别中选择并配置以下设置：

   • FileVault >启用 - 设置为 “开”
   • FileVault 恢复密钥托管 >位置 - 指定恢复密钥托管位置的说明。 此文本将插入到用户启用 FileVault 时看到的消息中。

   提示

   为运行 macOS 14 或更高版本的设备配置加密时，可以使用 macOS 设置助理在用户到达主屏幕之前强制实施 FileVault 加密。 请参阅本文后面的 通过设置助理启用 FileVault 。

6. 配置其他 FileVault 设置 (打开 Apple 网站) 以满足业务需求，然后选择“ 下一步”。

7. 如果适用，请在“ 作用域 (标记) ”页上，选择 “选择范围标记 ”，打开“ 选择标记 ”窗格，将范围标记分配给配置文件。 选择“下一步”以继续。

8. 在“分配”页上，选择将接收此配置文件的组。 有关分配配置文件的详细信息，请参阅“分配用户和设备配置文件”。 选择“下一步”。

9. 完成后，在“查看 + 创建”页面上选择“创建”。 为创建的配置文件选择策略类型时，新配置文件将显示在列表中。

通过设置助手启用 FileVault

对于运行 macOS 14 及更高版本的设备，设置目录策略还可以在用户到达主屏幕之前通过 macOS 设置助理强制实施 FileVault 加密。 此目标需要其他配置：

• 设备的 Await 最终配置 功能必须设置为 “是”。 此配置可防止最终用户访问受限内容或更改设置，直到适用Intune设备配置策略。 有关此配置的信息，请参阅 使用 Apple Business Manager 或 Apple School Manager 自动注册 Mac。

• 使用 EnrollmentProfileName 属性创建筛选器，该属性将分配给设置目录策略。 这可确保在设备首次使用 Intune 注册时分配 FileVault 策略。 有关配置筛选器的详细信息，请参阅在 Microsoft Intune 中创建筛选器。

• 当 某设备的 Await 最终配置 设置为 “是 ”时，可以在设置目录配置文件中为 FileVault 添加以下完整磁盘加密设置

• 设置助手中的 FileVault > 强制启用 – 设置为“已启用”。

  下图显示了使用核心设置配置的设置目录配置文件，以启用 FileVault 并使用设置助理强制加密。 在此示例中，“位置”设置使用域的简单名称 Contoso：

  重要

  必须将 “延迟 ”设置配置为 “已启用” ，才能在设置助理中为运行 macOS 14.4 的设备成功启用 FileVault。

  

管理 FileVault

若要查看有关接收 FileVault 策略的设备的信息，请参阅监视磁盘加密。

Intune 首次使用 FileVault 加密 macOS 设备时，会创建个人恢复密钥。 加密时，设备一次性向设备用户显示个人密钥。

注意

报告错误代码 -2016341107/0x87d1138d的设备通常意味着最终用户未接受 FileVault 提示以开始加密。

对于受管理设备，Intune 可以托管个人恢复密钥的副本。 通过对密钥进行托管，Intune 管理员可以轮换密钥以帮助保护设备，并且用户可以恢复丢失或轮换的个人恢复密钥。

当 Intune 策略加密设备时，或在用户上传手动加密的设备恢复密钥后，Intune 会托管恢复密钥。

Intune 托管个人恢复密钥后：

• 管理员可以使用 Intune 加密报告管理和轮换任何托管 macOS 设备的 FileVault 恢复密钥。
• 管理员只能查看标记为“公司”的托管的 macOS 设备的个人恢复密钥。 他们无法查看个人设备的恢复密钥。
• 用户可以查看和从受支持的位置检索其个人恢复密钥。 例如，从公司门户网站，用户可以选择“获取恢复密钥”作为远程设备操作。

在以前加密的设备上承担 FileVault 的管理

Intune无法在设备用户加密的 macOS 设备上管理 FileVault 磁盘加密，除非通过 Intune 应用 FileVault 策略。 在此方案中，可采用两种方法来使 Intune 接管 FileVault：

• 将个人恢复密钥上传到 Intune – 如果用户知道个人恢复密钥，请使用此方法。
• 用户在设备上生成新的恢复密钥 – 如果用户不知道个人恢复密钥，则使用此方法。

这两种方法都要求设备从 Intune 获得管理 FileVault 加密的活动策略。 若要提供此项策略，可以使用终结点安全磁盘加密配置文件或设备配置终结点保护配置文件，以通过 FileVault 加密设备。

上传个人恢复密钥

若要使 Intune 能够管理先前加密设备上的 FileVault，加密该设备的用户应可使用公司门户网站将该设备的个人恢复密钥上传到 Intune。 上传密钥可使 Intune 实现加密管理。

上传后，Intune 会轮换密钥以创建新的个人恢复密钥。 Intune 会存储此新密钥以供将来恢复之用，并确保其可供设备用户使用。

先决条件：

• 加密设备必须具有用于磁盘加密的 Intune FileVault 策略。

  在 Intune 能够实现用户加密设备的加密管理之前，该设备必须接收用于磁盘加密的 Intune FileVault 策略。

  用户可使用终结点安全磁盘加密配置文件或设备配置终结点保护配置文件，以通过 FileVault 加密设备。

• 加密该设备的用户必须能够访问该设备的个人恢复密钥，并接受指示将密钥上传到 Intune。

  Intune 不会警示用户必须上传其个人恢复密钥才能完成加密。 而是使用普通 IT 通信通道向以前使用 FileVault 加密 macOS 设备的用户发出警报，他们必须将其个人恢复密钥上传到 Intune。

  注意

  根据用户的合规性策略，Intune 在成功管理设备上的 FileVault 加密之前，可能会阻止设备访问公司资源

将个人恢复密钥上传到 Intune：

1. 设备接收到 FileVault 配置文件后，请指示用户使用公司门户网站。

2. 在公司门户网站中，用户找到其加密的 macOS 设备并选择“存储恢复密钥”选项。

3. 用户必须输入其个人恢复密钥，之后 Intune 才会尝试轮换密钥来生成新密钥。

   • 如果密钥轮换成功，Intune 会存储新密钥以供将来使用，并确保用户在需要恢复其设备时可以使用该密钥。
   • 如果密钥轮换失败，可能是因为设备未处理 FileVault 策略，或者输入的密钥不正确。

4. 成功轮换后，用户可以从受支持的位置检索其新的个人恢复密钥。

若要了解详细信息，请参阅用于上传个人恢复密钥的最终用户内容。

在设备上生成新的恢复密钥

若要使 Intune 能够管理先前加密设备上的 FileVault，加密该设备的用户应可使用设备上的终端应用来轮换其个人恢复密钥。 如果设备在轮换密钥时具有来自 Intune 的活跃 FileVault 策略，Intune 就可以实现加密管理。

先决条件：

• 加密设备必须具有用于磁盘加密的 Intune FileVault 策略。

  在 Intune 能够实现用户加密设备的加密管理之前，该设备必须接收用于磁盘加密的 Intune FileVault 策略。

  用户可使用终结点安全磁盘加密配置文件或设备配置终结点保护配置文件，以通过 FileVault 加密设备。

• 设备用户必须有权访问加密设备上的终端应用。

使用终端生成新的个人恢复密钥：

1. 设备接收到 FileVault 配置文件后，加密该设备的用户必须登录该设备，打开终端，并按顺序运行以下两行命令：

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      运行此命令时，系统将提示用户提供其设备密码。 提供密码后，设备会轮换个人恢复密钥，并向用户提供新的个人恢复密钥。

      录制新的恢复密钥后，请完成命令中的剩余提示。

2. 完成命令提示后，设备上的个人恢复密钥即完成轮换。 如果设备成功接收到 FileVault 策略，则设备下次通过 Intune 签入时，Intune 将可实现对设备加密的管理。

   默认情况下，设备大约每隔 8 小时签入一次。 若要加快设备签入，可使用下列选项之一：

   • Intune管理员可以登录到Microsoft Intune管理中心，转到“设备”，选择设备，然后选择“同步”。这会通知设备立即使用Intune检查。
   • 设备用户可以打开公司门户应用，然后转到“设置”>“同步”。此操作会指示设备立即检查策略或配置文件更新。

3. 在 Intune 实现密管理后，用户可以从支持的位置检索其新的个人恢复密钥。

若要了解详细信息，请参阅用于上传个人恢复密钥的最终用户内容。

检索个人恢复密钥

对于由 Intune 管理其 FileVault 加密的 macOS 设备，最终用户可以使用任何设备从以下位置检索其个人恢复密钥（FileVault 密钥）：

• 公司门户网站 (https://portal.manage.microsoft.com/)
• iOS/iPadOS 公司门户应用
• Android 公司门户应用
• Intune 应用

管理员可以查看标记为“公司”设备的加密 macOS 设备的个人恢复密钥。 他们无法查看个人设备的恢复密钥。

拥有个人恢复密钥的设备必须已注册 Intune，并且通过 Intune 使用 FileVault 加密。 当设备用户使用 iOS 公司门户应用、Android 公司门户应用、Android Intune应用或公司门户网站时，用户可以看到访问其 Mac 设备所需的 FileVault 恢复密钥。

设备用户可以选择“设备”>“加密并注册的 macOS 设备”>“获取恢复密钥”。 浏览器显示 Web 公司门户并显示恢复密钥。

轮换恢复密钥

Intune 支持多种选项来轮换和恢复个人恢复密钥。 轮换密钥的一个原因是，当前个人密钥丢失或被认为存在风险。

• 自动轮换：管理员可以配置 FileVault 设置个人恢复密钥轮换以定期自动生成新的恢复密钥。 为设备生成新密钥时，不会向用户显示密钥。 相反，用户必须从管理员或使用公司门户应用获取密钥。

• 手动轮换：管理员可以查看自己使用 Intune 管理且使用 FileVault 加密的设备的相关信息。 然后，可以选择手动轮换企业设备的恢复密钥。 不能轮换个人设备的恢复密钥。

  轮换恢复密钥：

  1. 登录到Microsoft Intune管理中心。

  2. 选择“设备”>“所有设备”。

  3. 从设备列表中，选择已加密且要为其轮换密钥的设备。 然后在“监视”下，选择“ 恢复密钥”。

  4. 在“恢复密钥”窗格中，选择“轮换 FileVault 恢复密钥”。

     设备下次使用 Intune 签入时，系统将轮换个人密钥。 需要时，用户可以通过公司门户获取新密钥。

恢复恢复密钥

• 管理员：管理员无法查看使用 FileVault 加密的设备的个人恢复密钥。

• 最终用户：最终用户可以从任何设备使用公司门户网站查看其任何受管理设备的当前个人恢复密钥。 无法从公司门户应用中查看恢复密钥。

  查看恢复密钥：

  1. 从任意设备登录 Intune 公司门户网站。

  2. 在门户中，转到“设备”，然后选择使用 FileVault 加密的 macOS 设备。

  3. 选择“获取恢复密钥”。 系统会显示当前恢复密钥。

后续步骤

管理 BitLocker 策略

监视磁盘加密