Uso del cifrado de discos FileVault para macOS con Intune

  • Artículo
  • Tiempo de lectura: 15 minutos

Intune es compatible con el cifrado de discos FileVault de macOS. FileVault es un programa de cifrado de disco completo que se incluye con macOS. Puede usar Intune para configurar FileVault en dispositivos que ejecuten macOS 10.13 o versiones posteriores.

Use alguno de los siguientes tipos de directiva para configurar FileVault en los dispositivos administrados:

Para administrar BitLocker para Windows 10/11, vea Directiva de administración de BitLocker.

Sugerencia

Intune proporciona un informe de cifrado integrado que presenta los detalles sobre el estado de cifrado de los dispositivos en todos los dispositivos administrados.

Después de crear una directiva para cifrar dispositivos con FileVault, la directiva se aplica a los dispositivos en dos fases. En primer lugar, el dispositivo se prepara para habilitar a Intune a recuperar y hacer una copia de seguridad de la clave de recuperación. Esta acción se denomina custodia. Una vez que se ha custodiado la clave, se puede iniciar el cifrado de disco.

Además de usar la directiva de Intune para cifrar un dispositivo con FileVault, puede implementar la directiva en un dispositivo administrado para permitir que Intune asuma la administración de FileVault cuando el usuario haya cifrado el dispositivo. Este escenario requiere que el dispositivo reciba la directiva de FileVault de Intune y, después, que el usuario cargue su clave de recuperación personal en Intune.

La inscripción de dispositivos aprobados por el usuario es necesaria para que FileVault funcione en un dispositivo. El usuario debe aprobar manualmente el perfil de administración en las preferencias del sistema para que la inscripción se considere aprobada por el usuario.

Permisos para administrar FileVault

Para administrar FileVault en Intune, la cuenta debe tener los permisos de control de acceso basado en roles (RBAC) de Intune aplicables.

A continuación se muestran los permisos de FileVault, que forman parte de la categoría Tareas remotas y los roles de RBAC integrados que conceden el permiso:

  • Obtener la clave de FileVault:

    • Operador del Servicio de asistencia
    • Administrador de seguridad de puntos de conexión

  • Rotar la clave de FileVault

    • Operador del Servicio de asistencia

Creación de una directiva de configuración de dispositivos para FileVault

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.

  3. En la página Crear un perfil, establezca las siguientes opciones y, luego, haga clic en Crear:

    • Plataforma: macOS
    • Tipo de perfil: Plantillas
    • Nombre de plantilla: Endpoint Protection

    Selección del perfil de Endpoint Protection

  4. En la página Aspectos básicos, especifique las siguientes propiedades:

    • Nombre: escriba un nombre descriptivo para la directiva. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un nombre de directiva adecuado podría incluir el tipo de perfil y la plataforma.

    • Descripción: escriba una descripción para la directiva. Esta configuración es opcional pero recomendada.

  5. En la página Opciones de configuración, seleccione FileVault para expandir las opciones disponibles:

    Configuración de FileVault

  6. Configure las siguientes opciones:

    • En Habilitar FileVault, seleccione .

    • En Tipo de clave de recuperación, seleccione Clave personal.

    • En Descripción de la ubicación secundaria de la clave de recuperación personal, agregue un mensaje para que los usuarios sepan cómo obtener la clave de recuperación de sus dispositivos. Esta información puede ser útil para los usuarios cuando se usa la opción Rotación de clave de recuperación personal, que puede generar automáticamente una nueva clave de recuperación para un dispositivo de forma periódica.

      Por ejemplo: para recuperar una clave de recuperación perdida o girada recientemente, inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo. En el portal, vaya a Dispositivos, seleccione el dispositivo que tiene habilitado FileVault y, después, seleccione Obtener clave de recuperación. Se muestra la clave de recuperación actual.

    Configure el resto de valores de FileVault para satisfacer con sus necesidades empresariales y, luego, seleccione Siguiente.

  7. En la página Ámbito (etiquetas), seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas a fin de asignar etiquetas de ámbito al perfil.

    Seleccione Siguiente para continuar.

  8. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

  9. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Creación de una directiva de seguridad de los puntos de conexión para FileVault

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Seguridad de los puntos de conexión > Cifrado de disco > Crear directiva.

  3. En la página Aspectos básicos, especifique las siguientes propiedades y seleccione Siguiente.

    • Plataforma: macOS
    • Perfil: FileVault

    Selección del perfil de FileVault

  4. En la página Opciones de configuración:

    1. Establezca Habilitar FileVault en .
    2. En Tipo de clave de recuperación solo se admite Clave de recuperación personal.
    3. Configure opciones adicionales para satisfacer sus requisitos.

    Considere la posibilidad de agregar un mensaje para que los usuarios sepan cómo obtener la clave de recuperación de sus dispositivos. Esta información puede ser útil para los usuarios cuando se usa la opción Rotación de clave de recuperación personal, que puede generar automáticamente una nueva clave de recuperación para un dispositivo de forma periódica.

    Por ejemplo: para recuperar una clave de recuperación perdida o girada recientemente, inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo. En el portal, vaya a Dispositivos, seleccione el dispositivo que tiene habilitado FileVault y luego Obtener clave de recuperación. Se muestra la clave de recuperación actual.

  5. Cuando haya finalizado la configuración, seleccione Siguiente.

  6. En la página Ámbito (etiquetas), seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas a fin de asignar etiquetas de ámbito al perfil.

    Seleccione Siguiente para continuar.

  7. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

  8. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Administrar FileVault

Para ver información sobre los dispositivos que reciben la directiva de FileVault, vea Supervisión de cifrado de discos.

Cuando Intune cifra por primera vez un dispositivo macOS con FileVault, se crea una clave de recuperación personal. Tras el cifrado, el dispositivo muestra la clave personal una sola vez al usuario del dispositivo.

En el caso de los dispositivos administrados, Intune puede custodiar una copia de la clave de recuperación personal. La custodia de las claves habilita a los administradores de Intune para girar claves con el fin de ayudar a proteger los dispositivos y a los usuarios para recuperar una clave de recuperación personal perdida o girada.

Intune custodia una clave de recuperación cuando la directiva de Intune cifra un dispositivo o después de que un usuario cargue su clave de recuperación para un dispositivo cifrado manualmente.

Después de que Intune custodie la clave de recuperación personal:

  • Los administradores pueden administrar y rotar las claves de recuperación de FileVault para cualquier dispositivo macOS administrado mediante el informe de cifrado de Intune.
  • Los administradores solo pueden ver la clave de recuperación personal correspondiente a dispositivos macOS administrados que estén marcados como corporativos. No pueden ver la clave de recuperación de los dispositivos personales.
  • Los usuarios pueden ver y obtener su clave de recuperación personal desde una ubicación admitida. Por ejemplo, desde el sitio web del Portal de empresa, el usuario puede elegir Obtener clave de recuperación como acción disponible para un dispositivo remoto.

Asumir la administración de FileVault en dispositivos cifrados previamente

Intune no puede administrar el cifrado de disco de FileVault en un dispositivo macOS cifrado por un usuario del dispositivo, a menos que aplique la directiva de FileVault a través de Intune. Puede usar dos métodos para habilitar Intune, a fin de que Intune se ocupe de la administración de FileVault en este escenario:

Ambos métodos requieren que el dispositivo tenga una directiva activa de Intune que administra el cifrado FileVault. Para entregar esta directiva, puede usar un perfil de cifrado de disco de seguridad de punto de conexión o un perfil de protección de punto de conexión de configuración de dispositivos para cifrar dispositivos con FileVault.

Cargar una clave de recuperación personal

Para permitir que Intune administre FileVault en un dispositivo cifrado previamente, el usuario que cifró el dispositivo puede usar el sitio web del Portal de empresa para cargar su clave de recuperación personal del dispositivo en Intune. La carga de la clave permite a Intune asumir la administración del cifrado.

Tras la carga, Intune la rotará para crear otra clave de recuperación personal. Intune almacena la nueva clave para futuras necesidades de recuperación y la pone a disposición del usuario del dispositivo.

Requisitos previos:

  • El dispositivo cifrado debe tener una directiva de FileVault de Intune para el cifrado de disco.

    Para que Intune pueda asumir la administración del cifrado de un dispositivo cifrado por el usuario, ese dispositivo debe recibir una directiva de FileVault de Intune para el cifrado de disco.

    Use un perfil de cifrado de disco de seguridad de punto de conexión o un perfil de protección de punto de conexión de configuración de dispositivos para cifrar dispositivos con FileVault.

  • El usuario que ha cifrado el dispositivo debe tener acceso a su clave de recuperación personal para el dispositivo y se le debe dirigir para cargarlo en Intune.

    Intune no avisa a los usuarios de que deben cargar su clave de recuperación personal para completar el cifrado. En su lugar, use los canales de comunicación de TI habituales para indicar a los usuarios que hayan cifrado previamente su dispositivo macOS con FileVault que deben cargar su clave de recuperación personal en Intune.

    Nota

    En función de la directiva de cumplimiento, es posible que se bloquee el acceso de los dispositivos a los recursos corporativos hasta que Intune asuma correctamente la administración del cifrado FileVault en el dispositivo.

Cargar una clave de recuperación personal en Intune:

  1. Una vez que el dispositivo recibe el perfil de FileVault, dirija al usuario a que use el sitio web del Portal de empresa.

  2. En el sitio web del Portal de empresa, el usuario debe localizar su dispositivo macOS cifrado y seleccionar la opción pertinente para Almacenar la clave de recuperación.

  3. El usuario debe escribir su clave de recuperación personal, e Intune intentará rotar la clave para generar una nueva.

    • Si la rotación de claves se realiza correctamente, Intune almacena la nueva clave para su uso futuro y pone la clave a disposición del usuario en caso de que este necesite recuperar su dispositivo.
    • Si se produce un error en la rotación de la clave, significa que el dispositivo no ha procesado la directiva de FileVault o que la clave especificada no es la precisa para el dispositivo.

  4. Tras una rotación correcta, un usuario puede obtener su nueva clave de recuperación personal desde una ubicación admitida.

Para más información, vea el contenido para el usuario final relativo a la carga de la clave de recuperación personal.

Generación de una nueva clave de recuperación en el dispositivo

Para permitir que Intune administre FileVault en un dispositivo cifrado previamente, el usuario que cifró el dispositivo puede usar la aplicación Terminal en el dispositivo para rotar su clave de recuperación personal. Si el dispositivo tiene una directiva de FileVault activa de Intune cuando se rota la clave, Intune asume la administración del cifrado.

Requisitos previos:

Use Terminal para generar una nueva clave de recuperación personal:

  1. Una vez que el dispositivo recibe el perfil de FileVault, el usuario que ha cifrado el dispositivo debe iniciar sesión en el dispositivo, abrir Terminal y ejecutar los dos comandos siguientes, en orden:

    1. cd /Applications/Utilities

    2. sudo fdesetup changerecovery -personal

      Cuando se ejecuta este comando, se solicita al usuario que proporcione la contraseña del dispositivo. Una vez proporcionada la contraseña, el dispositivo rota la clave de recuperación personal y presenta la nueva al usuario.

      Una vez registrada la nueva clave de recuperación, complete las demás solicitudes del comando.

  2. Una vez completadas las solicitudes del comando, se ha rotado la clave de recuperación personal en el dispositivo. Si el dispositivo recibió correctamente la directiva de FileVault, Intune asume la administración del cifrado del dispositivo la próxima vez que el dispositivo se registra con Intune.

    De forma predeterminada, el dispositivo se registra cada ocho horas aproximadamente. Para acelerar el registro del dispositivo, use una de las siguientes opciones:

    • Un administrador de Intune puede iniciar sesión en el Centro de administración de Microsoft Endpoint Manager, ir a Dispositivos, seleccionar el dispositivo y, a continuación, seleccionar Sincronizar. De esta forma, se notifica al dispositivo que se registre inmediatamente con Intune.
    • El usuario del dispositivo puede abrir la aplicación Portal de empresa e ir a Configuración > Sincronizar. De esta forma, el dispositivo comprueba inmediatamente las actualizaciones de directivas o perfiles.

  3. Una vez que Intune asume la administración del cifrado, un usuario puede recuperar su nueva clave de recuperación personal desde una ubicación admitida.

Para más información, vea el contenido para el usuario final relativo a la carga de la clave de recuperación personal.

Recuperación de una clave de recuperación personal

En el caso de un dispositivo macOS cuyo cifrado de FileVault esté administrado por Intune, los usuarios finales podrán recuperar su clave de recuperación personal (clave de FileVault) desde las siguientes ubicaciones, con cualquier dispositivo:

  • Sitio web del Portal de empresa (https://portal.manage.microsoft.com/))
  • Aplicación Portal de empresa de iOS/iPadOS
  • Aplicación Portal de empresa de Android
  • Aplicación de Intune

Los administradores pueden ver las claves de recuperación personales de los dispositivos macOS cifrados marcados como corporativo. No pueden ver la clave de recuperación de un dispositivo personal.

El dispositivo que tiene la clave de recuperación personal se debe inscribir en Intune y cifrar con FileVault a través de Intune. Con la aplicación Portal de empresa de iOS, la aplicación Portal de empresa de Android, la aplicación Intune para Android o el sitio web Portal de empresa, el usuario puede ver la clave de recuperación de FileVault necesaria para acceder a sus dispositivos Mac.

Los usuarios de dispositivos pueden seleccionar Dispositivos > el dispositivo macOS cifrado e inscrito > Obtener clave de recuperación. El explorador mostrará el Portal de empresa web y se verá la clave de recuperación.

Giro de claves de recuperación

Intune admite varias opciones para girar y recuperar claves de recuperación personales. Un motivo para girar una clave es si la clave personal actual se pierde o se considera que está en riesgo.

  • Rotación automático: como administrador, puede configurar el valor de la opción Giro de clave de recuperación personal de FileVault para que genere de forma automática nuevas claves de recuperación periódicamente. Cuando se genera una nueva clave para un dispositivo, esta clave no se muestra al usuario. En lugar de eso, el usuario debe obtener la clave desde un administrador o mediante la aplicación de Portal de empresa.

  • Rotación manual: como administrador, puede ver información de un dispositivo que administra con Intune y que se cifra con FileVault. Luego, puede optar por girar manualmente la clave de recuperación de los dispositivos corporativos. No es posible girar las claves de recuperación de dispositivos personales.

    Para girar una clave de recuperación, realice lo siguiente:

    1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

    2. Seleccione Dispositivos > Todos los dispositivos.

    3. En la lista de dispositivos, seleccione el dispositivo que está cifrado y para el que quiere girar la clave. Luego, en Supervisar, seleccione  Claves de recuperación.

    4. En el panel Claves de recuperación, seleccione Girar clave de recuperación de FileVault.

      La próxima vez que el dispositivo se registre con Intune, se girará la clave personal. Cuando sea necesario, el usuario puede obtener la nueva clave a través del Portal de empresa.

Recuperación de claves de recuperación

  • Administrador: los administradores no pueden ver las claves de recuperación personales de los dispositivos cifrados con FileVault.

  • Usuario final: los usuarios finales usan el sitio web de Portal de empresa desde cualquier dispositivo para ver la clave de recuperación personal actual de cualquiera de sus dispositivos administrados. No puede ver las claves de recuperación en la aplicación Portal de empresa.

    Para ver una clave de recuperación, realice lo siguiente:

    1. Inicie sesión en el sitio web Portal de empresa de Intune desde cualquier dispositivo.

    2. En el portal, vaya a Dispositivos y seleccione el dispositivo macOS cifrado con FileVault.

    3. Seleccione Obtener clave de recuperación. Se muestra la clave de recuperación actual.

Siguientes pasos

Administrar directiva de BitLocker

Supervisión del cifrado de disco