Usar a criptografia de disco FileVault para macOS com o Intune

O Intune dá suporte à criptografia de disco macOS FileVault. O FileVault é um programa de criptografia de disco completo incluído no macOS. Você pode usar o Intune para configurar o FileVault em dispositivos que executam o macOS 10.13 ou posterior.

Use um dos seguintes tipos de política para configurar o FileVault em seus dispositivos gerenciados:

Para gerenciar o BitLocker para Windows 10, confira Gerenciar a política do BitLocker.

Dica

O Intune fornece um relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados.

Depois que você criar uma política para criptografar dispositivos com o FileVault, a política será aplicada aos dispositivos em dois estágios. Primeiro, o dispositivo é preparado para habilitar o Intune, a fim de recuperar e fazer backup da chave de recuperação. Essa ação é chamada de caução. Depois que a chave for habilitada para caução, a criptografia de disco poderá ser iniciada.

Além de usar a política do Intune para criptografar um dispositivo com o FileVault, você pode implantar a política em um dispositivo gerenciado para permitir que o Intune assuma o gerenciamento do FileVault quando o dispositivo for criptografado pelo usuário. Esse cenário requer que o dispositivo receba a política do FileVault do Intune e que o usuário carregue sua chave de recuperação pessoal no Intune.

O registro de dispositivo aprovado pelo usuário é necessário para que o FileVault funcione em um dispositivo. O usuário precisará aprovar manualmente o perfil de gerenciamento nas preferências do sistema para que o registro seja considerado aprovado pelo usuário.

Permissões para gerenciar o FileVault

Para gerenciar o FileVault no Intune, a conta precisa ter as permissões de RBAC (controle de acesso baseado em função) do Intune aplicáveis.

As seguintes são permissões do FileVault, que fazem parte da categoria Tarefas remotas, bem como as funções RBAC internas que concedem a permissão:

  • Obter chave do FileVault:

    • Operador de suporte técnico
    • Gerenciador de segurança do ponto de extremidade
  • Trocar chave do FileVault

    • Operador de suporte técnico

Criar política de configuração de dispositivo para FileVault

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.

  3. Na página Criar um perfil, defina as seguintes opções e clique em Criar:

    • Plataforma: macOS
    • Tipo de perfil: modelos
    • Nome do modelo: proteção do ponto de extremidade

    Selecionar o perfil de Proteção do ponto de extremidade.

  4. Na página Noções Básicas, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para a política. Nomeie suas políticas para que você possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política pode incluir o tipo de perfil e a plataforma.

    • Descrição: Insira uma descrição para a política. Essa configuração é opcional, mas recomendada.

  5. Na página Definições de configuração, selecione FileVault para expandir as configurações disponíveis:

    Configurações do FileVault.

  6. Defina as seguintes configurações:

    • Para Habilitar o FileVault, selecione Sim.

    • Para Tipo de chave de recuperação, selecione Chave pessoal.

    • Em Descrição da localização do caução da chave de recuperação pessoal, adicione uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação do dispositivo. Essas informações poderão ser úteis para os usuários quando você usar a configuração para rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

      Por exemplo: Para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

    Defina as Configurações do FileVault restantes de acordo com suas necessidades de negócios e selecione Próximo.

  7. Na página Escopo (Marcas) , escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

    Selecione Avançar para continuar.

  8. Na página Atribuições, escolha os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

  9. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar política de segurança de ponto de extremidade para FileVault

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Segurança do ponto de extremidade > Criptografia de disco > Criar Política.

  3. Na página Noções Básicas, insira as propriedades a seguir e escolha Avançar.

    • Plataforma: macOS
    • Perfil: FileVault

    Selecione o perfil FileVault

  4. Na página Definições de configuração:

    1. Defina Habilitar FileVault como Sim.
    2. Para Tipo de chave de recuperação, só há suporte para Chave de Recuperação Pessoal.
    3. Defina configurações adicionais para atender às suas necessidades.

    Considere adicionar uma mensagem para ajudar a orientar os usuários sobre como recuperar a chave de recuperação para seus dispositivos. Essas informações poderão ser úteis para os usuários quando você usar a configuração para rotação de chave de recuperação pessoal, que pode gerar automaticamente uma nova chave de recuperação para um dispositivo periodicamente.

    Por exemplo: Para recuperar uma chave de recuperação perdida ou recentemente girada, entre no site do Portal da Empresa do Intune em qualquer dispositivo. No portal, acesse Dispositivos e selecione o dispositivo que tem o FileVault habilitado e, em seguida, selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

  5. Quando terminar de definir as configurações, escolha Avançar.

  6. Na página Escopo (Marcas) , escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

    Selecione Avançar para continuar.

  7. Na página Atribuições, escolha os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo. Selecione Avançar.

  8. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Gerenciar o FileVault

Para exibir informações sobre dispositivos que recebem a política FileVault, confira Monitorar criptografia de disco.

Quando o Intune criptografa um dispositivo macOS com o FileVault pela primeira vez, uma chave de recuperação pessoal é criada. Após a criptografia, o dispositivo exibe a chave pessoal uma única vez para o usuário do dispositivo.

Para os dispositivos gerenciados, o Intune pode habilitar a caução de uma cópia da chave de recuperação pessoal. A caução de chaves permite que os administradores do Intune girem as chaves para ajudar a proteger os dispositivos e que os usuários recuperem uma chave de recuperação pessoal perdida ou girada.

O Intune efetua o caução de uma chave de recuperação quando a política do Intune criptografa um dispositivo ou depois que um usuário carrega sua chave de recuperação do dispositivo que ele criptografou manualmente.

Após o Intune efetuar o caução da chave de recuperação pessoal:

  • Os administradores podem gerenciar e girar as chaves de recuperação do FileVault para qualquer dispositivo macOS gerenciado usando o relatório de criptografia do Intune.
  • Os administradores podem exibir a chave de recuperação pessoal somente para dispositivos macOS gerenciados marcados como corporativos. Eles não podem exibir a chave de recuperação de dispositivos pessoais.
  • Os usuários podem exibir e recuperar sua chave de recuperação pessoal de um local com suporte. Por exemplo, no site Portal da Empresa, o usuário pode optar por Obter a chave de recuperação como uma ação de dispositivo remoto.

Assumir o gerenciamento do FileVault em dispositivos criptografados anteriormente

O Intune não pode gerenciar a criptografia de disco FileVault em um dispositivo macOS que foi criptografado por um usuário de dispositivo, a menos que a política do FileVault seja aplicada por meio do Intune. Há dois métodos que você pode usar para permitir que o Intune assuma o gerenciamento do FileVault neste cenário:

Os dois métodos exigem que o dispositivo tenha uma política ativa do Intune que gerencie a criptografia FileVault. Para implementar esta política, é possível usar um perfil de criptografia de disco de segurança do ponto de extremidade ou um perfil de proteção do ponto de extremidade de configuração de dispositivo para criptografar dispositivos com o FileVault.

Carregar uma chave de recuperação pessoal

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o site do Portal da Empresa para carregar sua chave de recuperação pessoal do dispositivo no Intune. O upload da chave habilita o Intune a assumir o gerenciamento da criptografia.

Após o upload, o Intune alterna a chave para criar uma nova chave de recuperação pessoal. O Intune armazena a nova chave para futuras necessidades de recuperação e a disponibiliza para o usuário do dispositivo.

Pré-requisitos:

  • O dispositivo criptografado deve ter uma política do Intune FileVault para criptografia de disco.

    Antes que o Intune possa assumir o gerenciamento da criptografia de um dispositivo criptografado pelo usuário, esse dispositivo deve receber uma política do Intune FileVault para criptografia de disco.

    Use um perfil de criptografia de disco de segurança do ponto de extremidade ou um perfil de proteção do ponto de extremidade de configuração de dispositivo para criptografar dispositivos com o FileVault.

  • O usuário que criptografou o dispositivo deve ter acesso à sua chave de recuperação pessoal do dispositivo e ser direcionado para carregá-la no Intune.

    O Intune não alerta os usuários de que eles precisam carregar a chave de recuperação pessoal para concluir a criptografia. Em vez disso, use os canais de comunicação de TI comuns para informar os usuários que já criptografaram seus dispositivos macOS com o FileVault de que eles precisam carregar sua chave de recuperação pessoal no Intune.

    Observação

    Com base em sua política de conformidade, os dispositivos podem ser impedidos de acessar recursos corporativos até que o Intune assuma com êxito o gerenciamento da criptografia do FileVault no dispositivo

Carregar uma chave de recuperação pessoal no Intune:

  1. Depois que o dispositivo receber o perfil FileVault, direcione o usuário para usar o site do Portal da Empresa.

  2. No site Portal da Empresa, o usuário localiza seu dispositivo macOS criptografado e seleciona a opção Armazenar chave de recuperação.

  3. O usuário deve inserir sua chave de recuperação pessoal e o Intune tenta alternar a chave para gerar uma nova chave.

    • Se a alternação de chave for bem-sucedida, o Intune armazenará a nova chave para uso futuro e disponibilizará a chave para o usuário caso o usuário precise recuperar seu dispositivo.
    • Se o processo de alternar a chave falhou, o dispositivo não processou a política do FileVault ou a chave inserida não é a chave correta para o dispositivo.
  4. Após a chave ser girada com êxito, o usuário pode recuperar a nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Gerar uma nova chave de recuperação no dispositivo

Para habilitar o Intune a gerenciar o FileVault em um dispositivo já criptografado, o usuário que criptografou o dispositivo pode usar o aplicativo do Terminal no dispositivo para alternar sua chave de recuperação pessoal. Se o dispositivo tiver uma política de FileVault ativa do Intune quando a chave for alternada, o Intune assumirá o gerenciamento da criptografia.

Pré-requisitos:

Use o terminal para gerar uma nova chave de recuperação pessoal:

  1. Depois que o dispositivo recebe o perfil FileVault, o usuário que criptografou o dispositivo deve entrar no dispositivo, abrir o terminal e executar os dois comandos a seguir, na ordem:

    1. cd /Applications/Utilities

    2. sudo fdesetup changerecovery -personal

      Quando esse comando é executado, o usuário recebe uma solicitação para fornecer a senha do dispositivo. Depois que a senha é fornecida, o dispositivo alterna a chave de recuperação pessoal e apresenta a nova chave de recuperação pessoal para o usuário.

      Depois de registrar a nova chave de recuperação, conclua as solicitações restantes do comando.

  2. Depois que as solicitações de comando forem concluídas, a chave de recuperação pessoal será alternada no dispositivo. Se o dispositivo receber a política FileVault com êxito, o Intune assumirá o gerenciamento da criptografia do dispositivo na próxima vez que o dispositivo fizer check-in com o Intune.

    Por padrão, o dispositivo faz check-in a cada oito horas. Para agilizar o check-in do dispositivo, use uma das seguintes opções:

    • Um administrador do Intune pode entrar no centro de administração do Microsoft Endpoint Manager, acessar Dispositivos, selecionar o dispositivo e, em seguida, selecionar Sincronizar. O dispositivo será notificado para fazer check-in imediatamente com o Intune.
    • O usuário do dispositivo pode abrir o aplicativo do Portal da Empresa e acessar configurações > sincronização. O dispositivo será direcionado para verificar imediatamente se há atualizações de política ou perfil.
  3. Depois que o Intune assumir o gerenciamento da criptografia, um usuário poderá recuperar sua nova chave de recuperação pessoal de um local com suporte.

Para obter informações adicionais, consulte conteúdo do usuário final para carregar a chave de recuperação pessoal.

Recuperar uma chave de recuperação pessoal

Para um dispositivo macOS cuja criptografia do FileVault é gerenciada pelo Intune, os usuários finais podem recuperar a chave de recuperação pessoal (chave do FileVault) dos seguintes locais, usando qualquer dispositivo:

Os administradores podem exibir as chaves de recuperação pessoal para dispositivos macOS criptografados marcados como dispositivos corporativos. Eles não podem exibir a chave de recuperação de um dispositivo pessoal.

O dispositivo com a chave de recuperação pessoal deve ser registrado com o Intune e criptografado com o FileVault pelo Intune. No aplicativo Portal da Empresa do iOS, Portal da Empresa do Android e Intune para Android ou no site do Portal da Empresa, o usuário pode ver a chave de recuperação do FileVault necessária para acessar dispositivos Mac.

Os usuários do dispositivo podem selecionar Dispositivos > o dispositivo macOS criptografado e registrado > Obter chave de recuperação. O navegador mostrará o Portal da Empresa da Web e exibirá a chave de recuperação.

Girar as chaves de recuperação

O Intune dá suporte a várias opções para girar e recuperar chaves de recuperação pessoal. Um motivo para girar uma chave é se a chave pessoal atual for perdida ou se for considerada em risco.

  • Rotação automática: Como administrador, você pode configurar o FileVault definindo a rotação de chave de recuperação pessoal para gerar de forma automática novas chaves de recuperação periodicamente. Quando uma nova chave é gerada para um dispositivo, a chave não é exibida para o usuário. Em vez disso, o usuário precisa obter a chave de um administrador ou usando o aplicativo Portal da Empresa.

  • Rotação manual: como administrador, você pode exibir informações de um dispositivo gerenciado com o Intune, e isso é criptografado com o FileVault. Você pode optar por girar manualmente a chave de recuperação para dispositivos corporativos. Não é possível girar as chaves de recuperação para dispositivos pessoais.

    Para girar uma chave de recuperação:

    1. Entre no Centro de Administração do Microsoft Endpoint Manager.

    2. Selecione Dispositivos > Todos os dispositivos.

    3. Na lista de dispositivos, selecione o dispositivo que está criptografado e para o qual você deseja girar sua chave. Em seguida, em Monitor, selecione Chaves de recuperação.

    4. No painel Chaves de recuperação, selecione Girar chave de recuperação do FileVault.

      Na próxima vez que o dispositivo fizer check-in no Intune, a chave pessoal será girada. Quando necessário, a nova chave pode ser obtida pelo usuário por meio do Portal da Empresa.

Recuperar chaves de recuperação

  • Administrador: Os administradores não podem exibir chaves de recuperação pessoal de dispositivos que são criptografados com o FileVault.

  • Usuário final: Os usuários finais usam o site do Portal da Empresa em qualquer dispositivo para exibir a chave de recuperação pessoal atual de um de seus dispositivos gerenciados. Não é possível exibir as chaves de recuperação no aplicativo Portal da Empresa.

    Para exibir uma chave de recuperação:

    1. Entre no site do Portal da Empresa do Intune em qualquer dispositivo.

    2. No portal, acesse Dispositivos e selecione o dispositivo macOS que está criptografado com o FileVault.

    3. Selecione Obter chave de recuperação. A chave de recuperação atual será exibida.

Próximas etapas

Gerenciar a política do BitLocker

Monitorar a criptografia de disco