搭配使用macOS的FileVault磁碟加密與 Intune
使用 Microsoft Intune 來設定和管理 macOS FileVault 磁碟加密。 FileVault 是 macOS 隨附的全磁碟加密程式。 透過 Intune 您可以部署設定 FileVault 的原則,然後在執行 macOS 10.13 或更新版本的裝置上管理修復密鑰。
使用下列其中一種原則類型,在受管理的裝置上設定 FileVault:
macOS FileVault 的端點安全策略。 端點安全性的 FileVault 設定檔是專門用來設定 FileVault 的一組焦點設定。
macOS FileVault 端點保護的裝置組態配置檔。 FileVault 設定是 macOS 端點保護的其中一個可用設定類別。 如需使用裝置組態配置檔的詳細資訊,請參閱在 Intune 中建立裝置配置檔。
檢視裝置設定原則的 Endpoint Protection 配置檔中可用的 FileVault 設定。
macOS FileVault 的設定目錄設定檔。 FileVault 可以透過 Intune 設定目錄來設定,其中包含端點安全性和端點保護範本中無法使用的一些設定。
若要管理 Windows 10/11 的 BitLocker,請參閱管理 BitLocker 原則。
提示
Intune 提供內建的加密報告,可在您所有受管理的裝置上顯示裝置加密狀態的詳細資料。
建立原則以使用 FileVault 加密裝置之後,原則會套用至兩個階段的裝置。 首先,裝置已準備好讓 Intune 擷取和備份修復密鑰。 此動作稱為委付。 金鑰委付之後,磁碟加密就可以啟動。
除了使用 Intune 原則以 FileVault 加密裝置之外,您還可以將原則部署到受管理的裝置,讓 Intune 在使用者加密裝置時假設管理 FileVault。 此案例需要裝置從 Intune 接收 FileVault 原則,然後使用者將個人修復密鑰上傳至 Intune。
需要使用者核准的裝置註冊,FileVault 才能在裝置上運作。 用戶必須從系統喜好設定手動核准管理配置檔,才能將註冊視為使用者核准。
用來管理 FileVault 的角色型存取控制
若要在 Intune 中管理 FileVault,帳戶必須獲指派 Intune 角色型訪問控制 (RBAC) 角色,其中包含 [遠端工作] 許可權,並將 [輪替 FileVault 密鑰] 權限設定為 [是]:
您可以將此權限與權限新增至您自己的 自訂 RBAC 角色 ,或使用下列其中一個包含此權限 的內建 RBAC 角色 :
- 技術支援中心操作員
- 端點安全性系統管理員
建立 FileVault 的端點安全策略
選 取 [端點安全>性磁碟加密>建立原則]。
在 [ 基本] 頁面上,輸入下列屬性,然後選擇 [ 下一步]。
- 平臺:macOS
- 配置檔:FileVault
在 [ 組態設定] 頁面上:
- 將 [啟用 FileVault] 設定為 [是]。
- 針對 修復金鑰類型,僅支援 個人修復金鑰 。
- 設定其他設定以符合您的需求。
請考慮新增訊息,以協助引導用戶 瞭解如何擷取其裝置的修復密鑰 。 當您使用個人修復金鑰輪替設定時,這項資訊對您的使用者很有用,這會自動定期為裝置產生新的修復密鑰。
例如:若要擷取遺失或最近輪替的修復密鑰,請從任何裝置登入 Intune 公司入口網站 網站。 在入口網站中,移至 [裝置],然後選取已啟用 FileVault 的裝置,然後選 取 [取得修復密鑰]。 隨即顯示目前的修復金鑰。
完成設定後,選取 [下一步]。
在 [ 範圍 (標籤) ] 頁面上,選擇 [ 選取範圍卷標 ] 以開啟 [選取卷標] 窗格,將範圍卷標指派給配置檔。
選取 [下一步] 繼續。
在 [指派] 頁面上,選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。 選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
建立 FileVault 的設定目錄原則
選 取 [裝置>依據平臺>macOS>管理裝置>設定>] [建立>新原則]。
在 [建立配置檔] 頁面上,選取 [配置文件類型] 的 [設定目錄]。
在 [ 基本] 頁面上,輸入下列屬性:
名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔類型和平臺。
描述:輸入原則的描述。 這是選擇性設定,但建議進行。
在 [ 組態設定] 頁面上,選取 [+ 新增設定 ] 以開啟設定選擇器。 FileVault 設定位於 [完整磁碟加密 ] 類別之下:
若要啟用 FileVault,請從 [ 完整磁碟加密 ] 類別中選取並設定下列設定:
- FileVault >啟用 - 設定為 開啟
- FileVault 修復金鑰委付 >位置 - 指定修復金鑰委付位置的描述。 此文字會插入使用者在啟用 FileVault 時看到的訊息中。
提示
為執行 macOS 14 或更新版本的裝置設定加密時,您可以使用 macOS 設定助理,在使用者到達主畫面之前強制執行 FileVault 加密。 請參閱本文稍後 的透過設定助理啟用 FileVault 。
設定額外的 FileVault 設定 (開啟 Apple 的網站) 以符合您的商務需求,然後選取 [ 下一步]。
如果適用,請在 [ 範圍 (標籤) ] 頁面上,選擇 [ 選取範圍卷標 ] 以開啟 [ 選取卷標 ] 窗格,將範圍卷標指派給配置檔。 選取 [下一步] 繼續。
在 [ 指派] 頁面上,選取接收此配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。 選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上,選取 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
透過設定助理啟用 FileVault
對於執行 macOS 14 和更新版本的裝置,您的設定目錄原則也可以在使用者到達主畫面之前,透過 macOS 設定助理強制執行 FileVault 加密。 此目標需要額外的設定:
裝置的 Await 最終 設定功能必須設定為 [ 是]。 此設定可防止終端使用者存取受限制的內容或變更設定,直到適用 Intune 套用裝置設定原則為止。 如需此設定的資訊,請 參閱使用 Apple Business Manager 或 Apple School Manager 自動註冊 Mac。
使用將指派給設定目錄原則的 EnrollmentProfileName 屬性建立篩選。 這可確保當裝置第一次向 Intune 註冊時,將會指派 FileVault 原則。 如需設定篩選的詳細資訊,請參閱在 Microsoft Intune 中建立篩選。
當 裝置的 Await 最終 組態設定為 [是 ] 時,您可以在設定目錄設定檔中為 FileVault 新增下列完整磁碟加密設定
設定助理中的 FileVault > 強制啟用 – 設定為 [已啟用]。
下圖顯示使用核心設定所設定的設定類別目錄配置檔,以啟用 FileVault,並使用設定助理來強制執行加密。 在此範例中,[位置] 設定會使用我們網域的簡單名稱 Contoso:
重要事項
[延遲] 設定必須設定為 [已啟用],才能針對執行 macOS 14.4 的裝置在設定助理中成功啟用 FileVault。
建立 FileVault (已淘汰) 的裝置設定原則
在 [原則]索引>標籤上選取 [裝置>管理裝置>設定],選取 [+ 建立]。
在 [ 建立配置檔] 頁面上,設定下列選項,然後選取 [ 建立>新原則]:
- 平臺:macOS
- 配置檔類型:範本
- 範本名稱:已淘汰 (端點保護)
在 [ 基本] 頁面上,輸入下列屬性:
名稱: 輸入原則的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的原則名稱可能包含配置檔類型和平臺。
描述:輸入原則的描述。 這是選擇性設定,但建議進行。
在 [ 組態設定] 頁面上,選取 [FileVault ] 以展開可用的設定:
進行下列設定:
針對 [啟用 FileVault],選取 [ 是]。
針對 [修復金鑰類型],選取 [個人金鑰]。
如 需個人修復密鑰的委付位置描述,請新增訊息以協助引導用戶 瞭解如何擷取其裝置的修復密鑰 。 當您使用個人修復金鑰輪替設定時,這項資訊對您的使用者很有用,這會自動定期為裝置產生新的修復密鑰。
例如:若要擷取遺失或最近輪替的修復密鑰,請從任何裝置登入 Intune 公司入口網站 網站。 在入口網站中,移至 [ 裝置 ],然後選取已啟用 FileVault 的裝置,然後選 取 [取得修復密鑰]。 隨即顯示目前的修復金鑰。
設定其餘 的 FileVault 設定 以符合您的商務需求,然後選取 [ 下一步]。
如果適用,請在 [ 範圍 (標籤) ] 頁面上,選擇 [ 選取範圍卷標 ] 以開啟 [選取卷標] 窗格,將範圍卷標指派給配置檔。
選取 [下一步] 繼續。
在 [ 指派] 頁面上,選取要接收此配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。 選取 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
管理 FileVault
若要檢視接收 FileVault 原則之裝置的相關信息,請參閱 監視磁碟加密。
當 Intune 第一次使用 FileVault 加密 macOS 裝置時,會建立個人修復密鑰。 加密時,裝置會對裝置用戶顯示個人密鑰一次。
注意事項
報告錯誤碼 -2016341107 / 0x87d1138d 的裝置通常表示使用者尚未接受 FileVault 提示以開始加密。
對於受管理的裝置,Intune 可以委付個人修復密鑰的複本。 密鑰委付可讓 Intune 系統管理員輪替金鑰,以協助保護裝置,以及讓用戶復原遺失或旋轉的個人修復密鑰。
Intune 會在 Intune 原則加密裝置時,或在使用者上傳手動加密之裝置的修復密鑰之後,存取修復密鑰。
Intune 存取個人修復金鑰之後:
- 系統管理員可以使用 Intune 加密報告,來管理及輪替任何受管理 macOS 裝置的 FileVault 修復密鑰。
- 系統管理員只能檢視標記為 公司之受控macOS裝置的個人修復密鑰。 他們無法檢視個人裝置的修復密鑰。
- 用戶可以 從支援的位置檢視及擷取其個人修復密鑰。 例如,從 公司入口網站 網站中,用戶可以選擇取得修復密鑰作為遠端裝置動作。
假設在先前加密的裝置上管理 FileVault
Intune 無法在裝置使用者加密的 macOS 裝置上管理 FileVault 磁碟加密,除非您透過 Intune 套用 FileVault 原則。 您可以使用兩種方法,讓 Intune 在此案例中接管 FileVault 的管理:
- 將個人修復金鑰上傳至 Intune – 當使用者知道其個人修復密鑰時,請使用此方法。
- 使用者會在裝置上產生新的修復金鑰 – 如果使用者不知道個人修復金鑰,請使用此方法。
這兩種方法都需要裝置具有來自管理 FileVault 加密之 Intune 的使用中原則。 若要傳遞此原則,請使用 端點安全性磁碟加密配置檔。
上傳個人修復金鑰
若要讓 Intune 在先前加密的裝置上管理 FileVault,加密裝置的使用者可以使用 公司入口網站 網站,將裝置的個人修復密鑰上傳至 Intune。 上傳金鑰可讓 Intune 假設加密的管理。
上傳時,Intune 輪替密鑰以建立新的個人修復密鑰。 Intune 儲存新金鑰以供日後復原需求使用,並提供給裝置使用者使用。
必要條件:
加密的裝置必須具有磁碟加密的 Intune FileVault 原則。
在 Intune 可以假設使用者加密裝置的加密管理之前,該裝置必須收到 Intune的 FileVault 原則以進行磁碟加密。
使用 端點安全性磁碟加密配置檔,以 FileVault 加密裝置。
加密裝置的用戶必須能夠存取其裝置的個人修復密鑰,並將其上傳至 Intune。
Intune 不會警示用戶必須上傳其個人修復密鑰才能完成加密。 相反地,請使用一般IT通道來警示先前使用FileVault加密macOS裝置的使用者,他們必須將個人修復密鑰上傳至 Intune。
注意事項
根據您的合規性政策,裝置可能會遭到封鎖而無法存取公司資源,直到 Intune 成功假設在裝置上管理 FileVault 加密
將個人修復金鑰上傳至 Intune:
裝置收到 FileVault 配置檔之後,指示使用者使用 公司入口網站 網站。
在 公司入口網站 網站中,使用者會找出其加密的macOS裝置,並選取 [儲存修復金鑰] 選項。
用戶必須輸入其個人修復金鑰,然後 Intune 然後嘗試輪替密鑰以產生新的密鑰。
- 如果金鑰輪替成功,Intune 儲存新金鑰以供日後使用,並在使用者需要復原其裝置時,將密鑰提供給使用者使用。
- 如果密鑰輪替失敗,則裝置未處理 FileVault 原則,或輸入的密鑰對裝置而言不正確。
成功輪替之後,用戶可以 從支援的位置擷取新的個人修復密鑰。
如需詳細資訊,請參閱 上傳個人修復密鑰的用戶內容。
在裝置上產生新的修復金鑰
若要讓 Intune 在先前加密的裝置上管理 FileVault,加密裝置的使用者可以使用裝置上的終端機應用程式來輪替其個人修復密鑰。 如果裝置在輪替密鑰時有來自 Intune 的使用中 FileVault 原則,Intune 則會假設加密的管理。
必要條件:
加密的裝置必須具有磁碟加密的 Intune FileVault 原則。
在 Intune 可以假設使用者加密裝置的加密管理之前,該裝置必須收到 Intune的 FileVault 原則以進行磁碟加密。
使用 端點安全性磁碟加密配置檔 ,以 FileVault 加密裝置。
裝置用戶必須能夠存取加密裝置上的終端機應用程式。
使用終端機產生新的個人修復金鑰:
裝置收到 FileVault 配置檔之後,加密裝置的用戶必須登入裝置、開啟終端機,然後依序執行下列兩個命令:
cd /Applications/Utilities
sudo fdesetup changerecovery -personal
當此命令執行時,系統會提示使用者提供其裝置密碼。 提供密碼之後,裝置會輪替個人修復密鑰,並將新的個人修復密鑰提供給使用者。
錄製新的修復金鑰之後,請從 命令完成其餘提示。
命令提示字元完成之後,裝置上的個人修復密鑰已輪替。 如果裝置成功收到 FileVault 原則,Intune 會假設下次裝置使用 Intune 簽入時管理裝置的加密。
根據預設,裝置大約每隔八小時簽入一次。 若要加速裝置簽入,請使用下列其中一個選項:
- Intune 系統管理員可以登入 Microsoft Intune 系統管理中心,移至 [裝置],選取裝置,然後選取 [同步]。這會通知裝置立即簽入 Intune。
- 裝置使用者可以開啟 公司入口網站 應用程式,並移至 [設定>同步]。這會指示裝置立即檢查原則或配置檔更新。
在 Intune 假設管理加密之後,用戶可以從支援的位置擷取其新的個人修復密鑰。
如需詳細資訊,請參閱 上傳個人修復密鑰的用戶內容。
擷取個人修復金鑰
針對具有由 Intune 管理之 FileVault 加密的 macOS 裝置,使用者可以使用任何裝置,從下列位置擷取其個人修復密鑰 (FileVault 密鑰) :
- 公司入口網站 網站 (https://portal.manage.microsoft.com/)
- iOS/iPadOS 公司入口網站 應用程式
- Android 公司入口網站 應用程式
- Intune 應用程式
系統管理員可以檢視已加密macOS裝置的個人修復金鑰,這些裝置會標示為 公司 裝置。 他們無法檢視個人裝置的修復密鑰。
具有個人修復密鑰的裝置必須向 Intune 註冊,並透過 Intune 使用 FileVault 加密。 當裝置使用者使用 iOS 公司入口網站 應用程式、Android 公司入口網站 應用程式、Android Intune 應用程式或 公司入口網站 網站時,使用者可以看到存取其 Mac 裝置所需的 FileVault 修復密鑰。
裝置使用者可以選取 [已>加密和已註冊的 macOS 裝置][取得修復密鑰] 的 [裝置>]。 瀏覽器會顯示 Web 公司入口網站,並顯示修復金鑰。
輪替修復金鑰
Intune 支援多個選項來輪替和復原個人修復密鑰。 輪替金鑰的其中一個原因是目前的個人密鑰遺失或被視為有風險。
自動輪替:身為系統管理員,您可以設定 FileVault 設定個人修復密鑰輪替,以定期自動產生新的修復密鑰。 為裝置產生新的金鑰時,不會向使用者顯示金鑰。 相反地,用戶必須從系統管理員或使用公司入口網站應用程式取得密鑰。
手動輪替:身為系統管理員,您可以檢視使用 Intune 管理且使用 FileVault 加密之裝置的資訊。 然後,您可以選擇手動輪替公司裝置的修復密鑰。 您無法輪替個人裝置的修復金鑰。
若要輪替修復金鑰:
選 取 [裝置>][所有裝置]。
從裝置清單中,選取已加密的裝置,以及您要輪替其密鑰的裝置。 然後在 [監視] 底下,選取 [修復密鑰]。
在 [修復金鑰] 窗格上,選取 [輪替 FileVault 修復密鑰]。
下次裝置使用 Intune 簽入時,會輪替個人密鑰。 如有需要,使用者可以透過公司入口網站取得新密鑰。
復原修復金鑰
系統管理員:系統管理員無法檢視使用 FileVault 加密之裝置的個人修復密鑰。
終端使用者:用戶會從任何裝置使用 公司入口網站 網站,檢視其任何受管理裝置的目前個人修復密鑰。 您無法從 公司入口網站 應用程式檢視修復金鑰。
若要檢視修復金鑰:
從任何裝置登入 Intune 公司入口網站 網站。
在入口網站中,移至 [ 裝置 ],然後選取使用 FileVault 加密的 macOS 裝置。
選 取 [取得修復金鑰]。 隨即顯示目前的修復金鑰。