Uso del cifrado de disco de FileVault para macOS con Intune

Use Microsoft Intune para configurar y administrar el cifrado de disco de FileVault de macOS. FileVault es un programa de cifrado de disco completo que se incluye con macOS. Con Intune puede implementar directivas que configuren FileVault y, a continuación, administrar claves de recuperación en dispositivos que ejecutan macOS 10.13 o posterior.

Use alguno de los siguientes tipos de directiva para configurar FileVault en los dispositivos administrados:

• Directiva de seguridad de puntos de conexión para FileVault de macOS. El perfil de FileVault de Seguridad de los puntos de conexión es un grupo prioritario de opciones dedicado a la configuración de FileVault.

  Vea las Opciones de FileVault disponibles en los perfiles de la directiva de cifrado de discos.

• Perfil de configuración de dispositivos para la protección de puntos de conexión para FileVault de macOS. La configuración de FileVault es una de las categorías de configuración disponibles para la protección de punto de conexión de macOS. Para obtener más información sobre el uso de un perfil de configuración de dispositivos, consulte Creación de un perfil de dispositivo en Microsoft Intune.

  Vea las opciones de FileVault disponibles en los perfiles de protección de puntos de conexión de la directiva de configuración de dispositivos.

• Perfil de catálogo de configuración para macOS FileVault. FileVault se puede configurar a través del catálogo de configuración de Intune, que incluye algunas opciones de configuración que no están disponibles en las plantillas de seguridad de puntos de conexión y protección de puntos de conexión.

Para administrar BitLocker para Windows 10/11, vea Directiva de administración de BitLocker.

Sugerencia

Intune proporciona un informe de cifrado integrado que presenta los detalles sobre el estado de cifrado de los dispositivos en todos los dispositivos administrados.

Después de crear una directiva para cifrar dispositivos con FileVault, la directiva se aplica a los dispositivos en dos fases. En primer lugar, el dispositivo se prepara para habilitar a Intune a recuperar y hacer una copia de seguridad de la clave de recuperación. Esta acción se denomina custodia. Una vez que se ha custodiado la clave, se puede iniciar el cifrado de disco.

Además de usar Intune directiva para cifrar un dispositivo con FileVault, puede implementar la directiva en un dispositivo administrado para permitir que Intune asuma la administración de FileVault cuando el usuario cifra el dispositivo. Este escenario requiere que el dispositivo reciba la directiva de FileVault de Intune y, después, que el usuario cargue su clave de recuperación personal en Intune.

La inscripción de dispositivos aprobados por el usuario es necesaria para que FileVault funcione en un dispositivo. El usuario debe aprobar manualmente el perfil de administración en las preferencias del sistema para que la inscripción se considere aprobada por el usuario.

Permisos para administrar FileVault

Para administrar FileVault en Intune, la cuenta debe tener los permisos de control de acceso basado en roles (RBAC) de Intune aplicables.

A continuación se muestran los permisos de FileVault, que forman parte de la categoría Tareas remotas y los roles de RBAC integrados que conceden el permiso:

• Obtener la clave de FileVault:

  • Operador del Servicio de asistencia
  • Administrador de seguridad de puntos de conexión

• Rotar la clave de FileVault

  • Operador del Servicio de asistencia

Creación de una directiva de configuración de dispositivos para FileVault

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. SeleccioneConfiguración de>dispositivos> En la pestaña Directivas, seleccione + Crear.

3. En la página Crear un perfil , establezca las siguientes opciones y, a continuación, seleccione Crear:

   • Plataforma: macOS
   • Tipo de perfil: Plantillas
   • Nombre de plantilla: Endpoint Protection

   

4. En la página Aspectos básicos, especifique las siguientes propiedades:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un nombre de directiva adecuado podría incluir el tipo de perfil y la plataforma.

   • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

5. En la página Opciones de configuración, seleccione FileVault para expandir las opciones disponibles:

   

6. Configure las siguientes opciones:

   • En Habilitar FileVault, seleccione Sí.

   • En Tipo de clave de recuperación, seleccione Clave personal.

   • En Descripción de la ubicación secundaria de la clave de recuperación personal, agregue un mensaje para que los usuarios sepan cómo obtener la clave de recuperación de sus dispositivos. Esta información puede ser útil para los usuarios cuando se usa la opción Rotación de clave de recuperación personal, que puede generar automáticamente una nueva clave de recuperación para un dispositivo de forma periódica.

     Por ejemplo: para recuperar una clave de recuperación perdida o girada recientemente, inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo. En el portal, vaya a Dispositivos, seleccione el dispositivo que tiene habilitado FileVault y, después, seleccione Obtener clave de recuperación. Se muestra la clave de recuperación actual.

   Configure el resto de valores de FileVault para satisfacer con sus necesidades empresariales y, luego, seleccione Siguiente.

7. Si procede, en la página Ámbito (etiquetas), elija Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil.

   Seleccione Siguiente para continuar.

8. En la página Asignaciones , seleccione los grupos para recibir este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

9. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Creación de una directiva de seguridad de los puntos de conexión para FileVault

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad de los puntos de conexión>Cifrado de disco>Crear directiva.

3. En la página Aspectos básicos, especifique las siguientes propiedades y seleccione Siguiente.

• Plataforma: macOS

• Perfil: FileVault

  

4. En la página Opciones de configuración:

   1. Establezca Habilitar FileVault en Sí.
   2. En Tipo de clave de recuperación solo se admite Clave de recuperación personal.
   3. Configure opciones adicionales para satisfacer sus requisitos.

   Considere la posibilidad de agregar un mensaje para que los usuarios sepan cómo obtener la clave de recuperación de sus dispositivos. Esta información puede ser útil para los usuarios cuando se usa la opción Rotación de clave de recuperación personal, que puede generar automáticamente una nueva clave de recuperación para un dispositivo de forma periódica.

   Por ejemplo: para recuperar una clave de recuperación perdida o girada recientemente, inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo. En el portal, vaya a Dispositivos, seleccione el dispositivo que tiene habilitado FileVault y luego Obtener clave de recuperación. Se muestra la clave de recuperación actual.

5. Cuando haya finalizado la configuración, seleccione Siguiente.

6. En la página Ámbito (etiquetas), seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas a fin de asignar etiquetas de ámbito al perfil.

   Seleccione Siguiente para continuar.

7. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

8. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Crear directiva de catálogo de configuración para FileVault

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Dispositivos>macOS>Perfiles de configuración>Crear>nueva directiva.

3. En la página Crear un perfil , seleccione Catálogo de configuración para tipo de perfil.

4. En la página Aspectos básicos, especifique las siguientes propiedades:

   • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un nombre de directiva adecuado podría incluir el tipo de perfil y la plataforma.

   • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

5. En la página Configuración , seleccione + Agregar configuración para abrir el selector de configuración. La configuración de FileVault se encuentra en la categoría Cifrado de disco completo :

   

   Para habilitar FileVault, seleccione y configure los siguientes valores en la categoría Cifrado de disco completo :

   • Habilitación de FileVault>: se establece en Activado
   • Ubicación de custodia > de la clave de recuperación de FileVault: especifique una descripción de la ubicación en la que se almacena la clave de recuperación. Este texto se inserta en el mensaje que el usuario ve al habilitar FileVault.

   Sugerencia

   Al configurar el cifrado para dispositivos que ejecutan macOS 14 o posterior, puede usar el Asistente para la instalación de macOS para aplicar el cifrado fileVault antes de que un usuario llegue a la pantalla principal. Consulte Habilitar FileVault a través del Asistente para la instalación más adelante en este artículo.

6. Configure opciones adicionales de FileVault(abre el sitio web de Apple) para satisfacer sus necesidades empresariales y, a continuación, seleccione Siguiente.

7. Si procede, en la página Ámbito (etiquetas), elija Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil. Seleccione Siguiente para continuar.

8. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

9. En la página Revisar y crear, cuando hayas terminado, selecciona Crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Habilitación de FileVault mediante el Asistente para la instalación

En el caso de los dispositivos que ejecutan macOS 14 y versiones posteriores, la directiva de catálogo de configuración también puede aplicar el cifrado de FileVault a través del Asistente para la instalación de macOS, antes de que un usuario llegue a la pantalla principal. Este objetivo requiere configuraciones adicionales:

• La característica await final configuration del dispositivo debe establecerse en Sí. Esta configuración impide que los usuarios finales accedan a contenido restringido o cambien la configuración hasta que se apliquen las directivas de configuración de dispositivo Intune aplicables. Para obtener información sobre esta configuración, consulte Inscripción automática de Equipos Mac con Apple Business Manager o Apple School Manager.

• Cree un filtro con el atributo EnrollmentProfileName que se asignará a la directiva de catálogo de configuración. Esto garantiza que se asignará la directiva de FileVault cuando el dispositivo se inscriba por primera vez con Intune. Para obtener más información sobre cómo configurar filtros, vea Crear filtros en Microsoft Intune.

• Cuando Await final Configuration se establece en Sí para un dispositivo, puede agregar la siguiente configuración de cifrado de disco completo para FileVault en el perfil de catálogo de configuración.

• Habilitación de la fuerza de FileVault >en el Asistente para la instalación : se establece en Habilitado.

  En la imagen siguiente se muestra el perfil de catálogo de configuración configurado con la configuración principal para habilitar FileVault y usar el Asistente para la configuración para aplicar el cifrado. En este ejemplo, la configuración ubicación usa el nombre simple de nuestro dominio, Contoso:

  Importante

  La opción Aplazar debe configurarse en Habilitado para habilitar correctamente FileVault en el Asistente para la instalación de dispositivos que ejecutan macOS 14.4.

  

Administrar FileVault

Para ver información sobre los dispositivos que reciben la directiva de FileVault, vea Supervisión de cifrado de discos.

Cuando Intune cifra por primera vez un dispositivo macOS con FileVault, se crea una clave de recuperación personal. Tras el cifrado, el dispositivo muestra la clave personal una sola vez al usuario del dispositivo.

Nota:

Un dispositivo que notifica el código de error -2016341107/0x87d1138d generalmente significa que el usuario final no ha aceptado la solicitud de FileVault para iniciar el cifrado.

En el caso de los dispositivos administrados, Intune puede custodiar una copia de la clave de recuperación personal. La custodia de las claves habilita a los administradores de Intune para girar claves con el fin de ayudar a proteger los dispositivos y a los usuarios para recuperar una clave de recuperación personal perdida o girada.

Intune custodia una clave de recuperación cuando la directiva de Intune cifra un dispositivo o después de que un usuario cargue su clave de recuperación para un dispositivo cifrado manualmente.

Después de que Intune custodie la clave de recuperación personal:

• Los administradores pueden administrar y rotar las claves de recuperación de FileVault para cualquier dispositivo macOS administrado mediante el informe de cifrado de Intune.
• Los administradores solo pueden ver la clave de recuperación personal correspondiente a dispositivos macOS administrados que estén marcados como corporativos. No pueden ver la clave de recuperación de los dispositivos personales.
• Los usuarios pueden ver y obtener su clave de recuperación personal desde una ubicación admitida. Por ejemplo, desde el sitio web del Portal de empresa, el usuario puede elegir Obtener clave de recuperación como acción disponible para un dispositivo remoto.

Asumir la administración de FileVault en dispositivos cifrados previamente

Intune no puede administrar el cifrado de disco de FileVault en un dispositivo macOS cifrado por un usuario de dispositivo a menos que aplique la directiva de FileVault a través de Intune. Puede usar dos métodos para habilitar Intune, a fin de que Intune se ocupe de la administración de FileVault en este escenario:

• Cargar una clave de recuperación personal en Intune: use este método cuando el usuario conozca su clave de recuperación personal.
• El usuario genera una nueva clave de recuperación en el dispositivo: use este método si el usuario no conoce la clave de recuperación personal.

Ambos métodos requieren que el dispositivo tenga una directiva activa de Intune que administra el cifrado FileVault. Para entregar esta directiva, puede usar un perfil de cifrado de disco de seguridad de punto de conexión o un perfil de protección de punto de conexión de configuración de dispositivos para cifrar dispositivos con FileVault.

Cargar una clave de recuperación personal

Para permitir que Intune administre FileVault en un dispositivo cifrado previamente, el usuario que cifró el dispositivo puede usar el sitio web del Portal de empresa para cargar su clave de recuperación personal del dispositivo en Intune. La carga de la clave permite a Intune asumir la administración del cifrado.

Tras la carga, Intune la rotará para crear otra clave de recuperación personal. Intune almacena la nueva clave para futuras necesidades de recuperación y la pone a disposición del usuario del dispositivo.

Requisitos previos:

• El dispositivo cifrado debe tener una directiva de FileVault de Intune para el cifrado de disco.

  Para que Intune pueda asumir la administración del cifrado de un dispositivo cifrado por el usuario, ese dispositivo debe recibir una directiva de FileVault de Intune para el cifrado de disco.

  Use un perfil de cifrado de disco de seguridad de punto de conexión o un perfil de protección de punto de conexión de configuración de dispositivos para cifrar dispositivos con FileVault.

• El usuario que ha cifrado el dispositivo debe tener acceso a su clave de recuperación personal para el dispositivo y se le debe dirigir para cargarlo en Intune.

  Intune no avisa a los usuarios de que deben cargar su clave de recuperación personal para completar el cifrado. En su lugar, use los canales de comunicación de TI habituales para indicar a los usuarios que hayan cifrado previamente su dispositivo macOS con FileVault que deben cargar su clave de recuperación personal en Intune.

  Nota:

  En función de la directiva de cumplimiento, es posible que se bloquee el acceso de los dispositivos a los recursos corporativos hasta que Intune asuma correctamente la administración del cifrado FileVault en el dispositivo.

Cargar una clave de recuperación personal en Intune:

1. Una vez que el dispositivo recibe el perfil de FileVault, dirija al usuario a que use el sitio web del Portal de empresa.

2. En el sitio web del Portal de empresa, el usuario debe localizar su dispositivo macOS cifrado y seleccionar la opción pertinente para Almacenar la clave de recuperación.

3. El usuario debe escribir su clave de recuperación personal, e Intune intentará rotar la clave para generar una nueva.

   • Si la rotación de claves se realiza correctamente, Intune almacena la nueva clave para su uso futuro y pone la clave a disposición del usuario en caso de que este necesite recuperar su dispositivo.
   • Si se produce un error en la rotación de la clave, significa que el dispositivo no ha procesado la directiva de FileVault o que la clave especificada no es la precisa para el dispositivo.

4. Tras una rotación correcta, un usuario puede obtener su nueva clave de recuperación personal desde una ubicación admitida.

Para más información, vea el contenido para el usuario final relativo a la carga de la clave de recuperación personal.

Generación de una nueva clave de recuperación en el dispositivo

Para permitir que Intune administre FileVault en un dispositivo cifrado previamente, el usuario que cifró el dispositivo puede usar la aplicación Terminal en el dispositivo para rotar su clave de recuperación personal. Si el dispositivo tiene una directiva de FileVault activa de Intune cuando se rota la clave, Intune asume la administración del cifrado.

Requisitos previos:

• El dispositivo cifrado debe tener una directiva de FileVault de Intune para el cifrado de disco.

  Para que Intune pueda asumir la administración del cifrado de un dispositivo cifrado por el usuario, ese dispositivo debe recibir una directiva de FileVault de Intune para el cifrado de disco.

  Use un perfil de cifrado de disco de seguridad de punto de conexión o un perfil de protección de punto de conexión de configuración de dispositivos para cifrar dispositivos con FileVault.

• El usuario del dispositivo debe tener acceso a la aplicación Terminal en el dispositivo cifrado.

Use Terminal para generar una nueva clave de recuperación personal:

1. Una vez que el dispositivo recibe el perfil de FileVault, el usuario que ha cifrado el dispositivo debe iniciar sesión en el dispositivo, abrir Terminal y ejecutar los dos comandos siguientes, en orden:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Cuando se ejecuta este comando, se solicita al usuario que proporcione la contraseña del dispositivo. Una vez proporcionada la contraseña, el dispositivo rota la clave de recuperación personal y presenta la nueva al usuario.

      Una vez registrada la nueva clave de recuperación, complete las demás solicitudes del comando.

2. Una vez completadas las solicitudes del comando, se ha rotado la clave de recuperación personal en el dispositivo. Si el dispositivo recibió correctamente la directiva de FileVault, Intune asume la administración del cifrado del dispositivo la próxima vez que el dispositivo se registra con Intune.

   De forma predeterminada, el dispositivo se registra cada ocho horas aproximadamente. Para acelerar el registro del dispositivo, use una de las siguientes opciones:

   • Un administrador de Intune puede iniciar sesión en Microsoft Intune centro de administración, ir a Dispositivos, seleccionar el dispositivo y, a continuación, seleccionar Sincronizar. Esto notifica al dispositivo que realice la comprobación inmediata con Intune.
   • El usuario del dispositivo puede abrir la aplicación Portal de empresa e ir a Configuración>Sincronizar. De esta forma, el dispositivo comprueba inmediatamente las actualizaciones de directivas o perfiles.

3. Una vez que Intune asume la administración del cifrado, un usuario puede recuperar su nueva clave de recuperación personal desde una ubicación admitida.

Para más información, vea el contenido para el usuario final relativo a la carga de la clave de recuperación personal.

Recuperación de una clave de recuperación personal

En el caso de un dispositivo macOS cuyo cifrado de FileVault esté administrado por Intune, los usuarios finales podrán recuperar su clave de recuperación personal (clave de FileVault) desde las siguientes ubicaciones, con cualquier dispositivo:

• Portal de empresa sitio web (https://portal.manage.microsoft.com/)
• Aplicación Portal de empresa de iOS/iPadOS
• Aplicación Portal de empresa de Android
• Aplicación de Intune

Los administradores pueden ver las claves de recuperación personales de los dispositivos macOS cifrados marcados como corporativo. No pueden ver la clave de recuperación de un dispositivo personal.

El dispositivo que tiene la clave de recuperación personal se debe inscribir en Intune y cifrar con FileVault a través de Intune. Cuando un usuario de dispositivo usa la aplicación de Portal de empresa de iOS, la aplicación de Portal de empresa De Android, la aplicación android Intune o el sitio web de Portal de empresa, el usuario puede ver la clave de recuperación de FileVault necesaria para acceder a sus dispositivos Mac.

Los usuarios de dispositivos pueden seleccionar Dispositivos>el dispositivo macOS cifrado e inscrito>Obtener clave de recuperación. El explorador muestra el Portal de empresa web y muestra la clave de recuperación.

Giro de claves de recuperación

Intune admite varias opciones para girar y recuperar claves de recuperación personales. Un motivo para girar una clave es si la clave personal actual se pierde o se considera que está en riesgo.

• Rotación automático: como administrador, puede configurar el valor de la opción Giro de clave de recuperación personal de FileVault para que genere de forma automática nuevas claves de recuperación periódicamente. Cuando se genera una nueva clave para un dispositivo, esta clave no se muestra al usuario. En lugar de eso, el usuario debe obtener la clave desde un administrador o mediante la aplicación de Portal de empresa.

• Rotación manual: como administrador, puede ver información de un dispositivo que administra con Intune y que se cifra con FileVault. Luego, puede optar por girar manualmente la clave de recuperación de los dispositivos corporativos. No es posible girar las claves de recuperación de dispositivos personales.

  Para girar una clave de recuperación, realice lo siguiente:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Todos los dispositivos.

  3. En la lista de dispositivos, seleccione el dispositivo que está cifrado y para el que quiere girar la clave. A continuación, en Supervisión, seleccione Claves de recuperación.

  4. En el panel Claves de recuperación, seleccione Girar clave de recuperación de FileVault.

     La próxima vez que el dispositivo se registre con Intune, se girará la clave personal. Cuando sea necesario, el usuario puede obtener la nueva clave a través del Portal de empresa.

Recuperación de claves de recuperación

• Administrador: los administradores no pueden ver las claves de recuperación personales de los dispositivos cifrados con FileVault.

• Usuario final: los usuarios finales usan el sitio web de Portal de empresa desde cualquier dispositivo para ver la clave de recuperación personal actual de cualquiera de sus dispositivos administrados. No puede ver las claves de recuperación en la aplicación Portal de empresa.

  Para ver una clave de recuperación, realice lo siguiente:

  1. Inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo.

  2. En el portal, vaya a Dispositivos y seleccione el dispositivo macOS cifrado con FileVault.

  3. Seleccione Obtener clave de recuperación. Se muestra la clave de recuperación actual.

Siguientes pasos

Administrar directiva de BitLocker

Supervisión del cifrado de disco