Använda FileVault-diskkryptering för macOS med Intune

Använd Microsoft Intune för att konfigurera och hantera macOS FileVault-diskkryptering. FileVault är ett krypteringsprogram för hela diskar som ingår i macOS. Med Intune kan du distribuera principer som konfigurerar FileVault och sedan hantera återställningsnycklar på enheter som kör macOS 10.13 eller senare.

Använd någon av följande principtyper för att konfigurera FileVault på dina hanterade enheter:

• Slutpunktssäkerhetsprincip för macOS FileVault. FileVault-profilen i Slutpunktssäkerhet är en prioriterad grupp med inställningar som är dedikerade för att konfigurera FileVault.

  Visa FileVault-inställningarna som är tillgängliga i profiler för diskkrypteringsprincipen.

• Enhetskonfigurationsprofil för slutpunktsskydd för macOS FileVault. FileVault-inställningar är en av de tillgängliga inställningskategorierna för macOS-slutpunktsskydd. Mer information om hur du använder en enhetskonfigurationsprofil finns i Skapa en enhetsprofil i Intune.

  Visa De FileVault-inställningar som är tillgängliga i endpoint protection-profiler för enhetskonfigurationsprincipen.

• Inställningar katalogprofil för macOS FileVault. FileVault kan konfigureras via Intune-inställningskatalogen, som innehåller vissa inställningar som inte är tillgängliga i mallarna för slutpunktssäkerhet och slutpunktsskydd.

Information om hur du hanterar BitLocker för Windows 10/11 finns i Hantera BitLocker-princip.

Tips

Intune innehåller en inbyggd krypteringsrapport som visar information om krypteringsstatus för enheter på alla dina hanterade enheter.

När du har skapat en princip för att kryptera enheter med FileVault tillämpas principen på enheter i två steg. Först förbereds enheten för att aktivera Intune för att hämta och säkerhetskopiera återställningsnyckeln. Den här åtgärden kallas deposition. När nyckeln har deponerats kan diskkryptering starta.

Förutom att använda Intune princip för att kryptera en enhet med FileVault kan du distribuera principer till en hanterad enhet för att göra det möjligt för Intune att ta hantering av FileVault när enheten krypteras av användaren. Det här scenariot kräver att enheten tar emot FileVault-principen från Intune, följt av att användaren laddar upp sin personliga återställningsnyckel till Intune.

Användargodkänd enhetsregistrering krävs för att FileVault ska fungera på en enhet. Användaren måste godkänna hanteringsprofilen manuellt från systeminställningarna för att registreringen ska betraktas som användargodkänd.

Behörigheter för att hantera FileVault

Om du vill hantera FileVault i Intune måste ditt konto ha tillämpliga Intune rbac-behörigheter (rollbaserad åtkomstkontroll).

Följande är FileVault-behörigheterna, som ingår i kategorin Fjärruppgifter och de inbyggda RBAC-roller som beviljar behörigheten:

• Hämta FileVault-nyckel:

  • Supportansvarig
  • Endpoint Security Manager

• Rotera FileVault-nyckel

  • Supportansvarig

Skapa en enhetskonfigurationsprincip för FileVault

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enhetskonfiguration>> På fliken Principer väljer du + Skapa.

3. På sidan Skapa en profil anger du följande alternativ och väljer sedan Skapa:

   • Plattform: macOS
   • Profiltyp: Mallar
   • Mallnamn: Endpoint Protection

   

4. På sidan Grundläggande anger du följande egenskaper:

   • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn kan till exempel innehålla profiltypen och plattformen.

   • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.

5. På sidan Konfigurationsinställningar väljer du FileVault för att expandera de tillgängliga inställningarna:

   

6. Konfigurera följande inställningar:

   • För Aktivera FileVault väljer du Ja.

   • För Typ av återställningsnyckel väljer du Personlig nyckel.

   • För Beskrivning av depositionsplats för personlig återställningsnyckel lägger du till ett meddelande som hjälper användarna att hämta återställningsnyckeln för sin enhet. Den här informationen kan vara användbar för användarna när du använder inställningen för rotation av personlig återställningsnyckel, som automatiskt kan generera en ny återställningsnyckel för en enhet med jämna mellanrum.

     Exempel: Om du vill hämta en förlorad eller nyligen roterad återställningsnyckel loggar du in på Intune-företagsportal webbplats från valfri enhet. I portalen går du till Enheter och väljer den enhet som har FileVault aktiverat och väljer sedan Hämta återställningsnyckel. Den aktuella återställningsnyckeln visas.

   Konfigurera de återstående FileVault-inställningarna så att de uppfyller dina affärsbehov och välj sedan Nästa.

7. Om det är tillämpligt går du till sidan Omfång (taggar) och väljer Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.

   Gå vidare genom att klicka på Nästa.

8. På sidan Tilldelningar väljer du grupper för att ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

9. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Skapa en slutpunktssäkerhetsprincip för FileVault

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Slutpunktssäkerhet>Diskkryptering>Skapa princip.

3. På sidan Grundläggande anger du följande egenskaper och väljer sedan Nästa.

• Plattform: macOS

• Profil: FileVault

  

4. På sidan Konfigurationsinställningar :

   1. Ställ in Aktivera FileVault på Ja.
   2. För typ av återställningsnyckel stöds endast personlig återställningsnyckel .
   3. Konfigurera ytterligare inställningar för att uppfylla dina krav.

   Överväg att lägga till ett meddelande som hjälper användarna att hämta återställningsnyckeln för sin enhet. Den här informationen kan vara användbar för användarna när du använder inställningen för rotation av personlig återställningsnyckel, som automatiskt kan generera en ny återställningsnyckel för en enhet med jämna mellanrum.

   Exempel: Om du vill hämta en förlorad eller nyligen roterad återställningsnyckel loggar du in på Intune-företagsportal webbplats från valfri enhet. I portalen går du till Enheter och väljer den enhet som har FileVault aktiverat och väljer sedan Hämta återställningsnyckel. Den aktuella återställningsnyckeln visas.

5. När du har konfigurerat inställningarna väljer du Nästa.

6. På sidan Omfång (taggar) väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.

   Gå vidare genom att klicka på Nästa.

7. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

8. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Skapa inställningskatalogprincip för FileVault

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>macOS>Konfigurationsprofiler>Skapa>ny princip.

3. På sidan Skapa en profil väljer du Inställningskatalog som Profiltyp.

4. På sidan Grundläggande anger du följande egenskaper:

   • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn kan till exempel innehålla profiltypen och plattformen.

   • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.

5. På sidan Konfigurationsinställningar väljer du + Lägg till inställningar för att öppna inställningsväljaren. FileVault-inställningarna finns under kategorin Fullständig diskkryptering :

   

   Om du vill aktivera FileVault väljer du och konfigurerar följande inställningar från kategorin Fullständig diskkryptering :

   • FileVault >Enable – Ange till På
   • FileVault Recovery Key Escrow >Location – Ange en beskrivning av platsen där återställningsnyckeln är depositionerad. Den här texten infogas i meddelandet som användaren ser när han/hon aktiverar FileVault.

   Tips

   När du konfigurerar kryptering för enheter som kör macOS 14 eller senare kan du använda installationsassistenten för macOS för att framtvinga FileVault-kryptering innan en användare kommer till startskärmen. Se Aktivera FileVault via installationsassistenten senare i den här artikeln.

6. Konfigurera ytterligare FileVault-inställningar(öppnar Apples webbplats) för att uppfylla dina affärsbehov och välj sedan Nästa.

7. Om det är tillämpligt går du till sidan Omfång (taggar) och väljer Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen. Gå vidare genom att klicka på Nästa.

8. På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

9. På sidan Granska + skapa väljer du Skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Aktivera FileVault via installationsassistenten

För enheter som kör macOS 14 och senare kan din inställningskatalogprincip även framtvinga FileVault-kryptering via macOS-installationsassistenten innan en användare kommer till startskärmen. Det här målet kräver ytterligare konfigurationer:

• Den slutgiltiga konfigurationsfunktionen för Await för enheten måste vara inställd på Ja. Den här konfigurationen hindrar slutanvändare från att komma åt begränsat innehåll eller ändra inställningar tills tillämpliga Intune enhetskonfigurationsprinciper tillämpas. Information om den här konfigurationen finns i Registrera Mac-datorer automatiskt med Apple Business Manager eller Apple School Manager.

• Skapa ett filter med attributet EnrollmentProfileName som ska tilldelas till inställningskatalogprincipen. Detta säkerställer att FileVault-principen tilldelas när enheten först registreras med Intune. Mer information om hur du konfigurerar filter finns i Skapa filter i Microsoft Intune.

• När Await final Configuration har angetts till Ja för en enhet kan du lägga till följande inställning för fullständig diskkryptering för FileVault i din inställningskatalogprofil

• FileVault >Framtvinga aktivering i installationsassistenten – Ange till Aktiverad.

  Följande bild visar inställningskatalogprofilen som konfigurerats med kärninställningarna för att aktivera FileVault och använda installationsassistenten för att framtvinga kryptering. I det här exemplet använder inställningen Plats det enkla namnet på vår domän, Contoso:

  Viktigt

  Inställningen Skjut upp måste konfigureras till Aktiverad för att aktivera FileVault i installationsassistenten för enheter som kör macOS 14.4.

  

Hantera FileVault

Information om enheter som tar emot FileVault-princip finns i Övervaka diskkryptering.

När Intune först krypterar en macOS-enhet med FileVault skapas en personlig återställningsnyckel. Vid kryptering visar enheten den personliga nyckeln en gång för enhetsanvändaren.

Obs!

En enhet som rapporterar felkoden -2016341107/0x87d1138d innebär vanligtvis att slutanvändaren inte har accepterat FileVault-prompten för att påbörja krypteringen.

För hanterade enheter kan Intune deponera en kopia av den personliga återställningsnyckeln. Deposition av nycklar gör det möjligt för Intune administratörer att rotera nycklar för att skydda enheter och användare att återställa en förlorad eller roterad personlig återställningsnyckel.

Intune deponerar en återställningsnyckel när Intune princip krypterar en enhet, eller när en användare laddar upp sin återställningsnyckel för en enhet som de krypterade manuellt.

När Intune deponerar den personliga återställningsnyckeln:

• Administratörer kan hantera och rotera FileVault-återställningsnycklarna för alla hanterade macOS-enheter med hjälp av Intune krypteringsrapport.
• Administratörer kan visa den personliga återställningsnyckeln för endast hanterade macOS-enheter som har markerats som företagsenheter. De kan inte visa återställningsnyckeln för personliga enheter.
• Användare kan visa och hämta sin personliga återställningsnyckel från en plats som stöds. Från Företagsportal webbplats kan användaren till exempel välja att Hämta återställningsnyckel som en fjärrenhetsåtgärd.

Anta hantering av FileVault på tidigare krypterade enheter

Intune kan inte hantera FileVault-diskkryptering på en macOS-enhet som krypteras av en enhetsanvändare om du inte tillämpar FileVault-princip via Intune. Det finns två metoder som du kan använda för att aktivera Intune för att ta över hanteringen av FileVault i det här scenariot:

• Ladda upp en personlig återställningsnyckel till Intune – Använd den här metoden när användaren känner till sin personliga återställningsnyckel.
• Användaren genererar en ny återställningsnyckel på enheten – Använd den här metoden om den personliga återställningsnyckeln inte är känd av användaren.

Båda metoderna kräver att enheten har en aktiv princip från Intune som hanterar FileVault-kryptering. För att leverera den här principen kan du använda en diskkrypteringsprofil för slutpunktssäkerhet eller en endpoint protection-profil för enhetskonfiguration för att kryptera enheter med FileVault.

Ladda upp en personlig återställningsnyckel

För att göra det möjligt för Intune att hantera FileVault på en tidigare krypterad enhet kan användaren som krypterade enheten använda Företagsportal webbplats för att ladda upp sin personliga återställningsnyckel för enheten till Intune. Genom att ladda upp nyckeln kan Intune ta över hanteringen av krypteringen.

Vid uppladdning roterar Intune nyckeln för att skapa en ny personlig återställningsnyckel. Intune lagrar den nya nyckeln för framtida återställningsbehov och gör den tillgänglig för enhetsanvändaren.

Förutsättningar:

• Den krypterade enheten måste ha en Intune FileVault-princip för diskkryptering.

  Innan Intune kan förutsätta hantering av kryptering av en användarkrypterad enhet måste enheten ta emot en Intune FileVault-princip för diskkryptering.

  Använd antingen en diskkrypteringsprofil för slutpunktssäkerhet eller en endpoint protection-profil för enhetskonfiguration för att kryptera enheter med FileVault.

• Användaren som krypterade enheten måste ha åtkomst till sin personliga återställningsnyckel för enheten och uppmanas att ladda upp den till Intune.

  Intune varnar inte användarna om att de måste ladda upp sin personliga återställningsnyckel för att slutföra krypteringen. Använd i stället dina vanliga IT-kommunikationskanaler för att varna användare som tidigare har krypterat sin macOS-enhet med FileVault om att de måste ladda upp sin personliga återställningsnyckel till Intune.

  Obs!

  Baserat på din efterlevnadsprincip kan enheter blockeras från att komma åt företagsresurser tills Intune har tagit över hanteringen av FileVault-kryptering på enheten

Ladda upp en personlig återställningsnyckel till Intune:

1. När enheten har tagit emot FileVault-profilen uppmanar du användaren att använda Företagsportal webbplats.

2. På Företagsportal webbplats letar användaren upp sin krypterade macOS-enhet och väljer alternativet Lagra återställningsnyckel.

3. Användaren måste ange sin personliga återställningsnyckel och Intune försöker sedan rotera nyckeln för att generera en ny nyckel.

   • Om nyckelrotationen lyckas lagrar Intune den nya nyckeln för framtida användning och gör nyckeln tillgänglig för användaren om användaren behöver återställa sin enhet.
   • Om nyckelrotationen misslyckas har enheten antingen inte bearbetat FileVault-principen eller så är nyckeln som anges inte korrekt för enheten.

4. Efter en lyckad rotation kan en användare hämta sin nya personliga återställningsnyckel från en plats som stöds.

Mer information finns i slutanvändarinnehåll för uppladdning av den personliga återställningsnyckeln.

Generera en ny återställningsnyckel på enheten

Om du vill aktivera Intune för att hantera FileVault på en tidigare krypterad enhet kan användaren som krypterade enheten använda terminalappen på enheten för att rotera sin personliga återställningsnyckel. Om enheten har en aktiv FileVault-princip från Intune när nyckeln roteras Intune sedan förutsätter hantering av krypteringen.

Förutsättningar:

• Den krypterade enheten måste ha en Intune FileVault-princip för diskkryptering.

  Innan Intune kan förutsätta hantering av kryptering av en användarkrypterad enhet måste enheten ta emot en Intune FileVault-princip för diskkryptering.

  Använd antingen en diskkrypteringsprofil för slutpunktssäkerhet eller en endpoint protection-profil för enhetskonfiguration för att kryptera enheter med FileVault.

• Enhetsanvändaren måste ha åtkomst till terminalappen på den krypterade enheten.

Använd Terminal för att generera en ny personlig återställningsnyckel:

1. När enheten har tagit emot FileVault-profilen måste användaren som krypterade enheten logga in på enheten, öppna Terminal och köra följande två kommandon i ordning:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      När det här kommandot körs uppmanas användaren att ange sitt enhetslösenord. När lösenordet har angetts roterar enheten den personliga återställningsnyckeln och visar den nya personliga återställningsnyckeln för användaren.

      När du har spelat in den nya återställningsnyckeln slutför du de återstående prompterna från kommandot.

2. När kommandotolken har slutförts har den personliga återställningsnyckeln på enheten roterats. Om enheten har tagit emot FileVault-principen förutsätter Intune hantering av enhetens kryptering nästa gång enheten checkar in med Intune.

   Som standard checkar enheten in ungefär var åttonde timme. Om du vill påskynda enhetskontrollen använder du något av följande alternativ:

   • En Intune administratör kan logga in på Microsoft Intune administrationscenter, gå till Enheter, välja enheten och sedan välja Synkronisera. Detta meddelar enheten att omedelbart checka in med Intune.
   • Enhetsanvändaren kan öppna Företagsportal-appen och gå till Synkronisering av inställningar>. Detta instruerar enheten att omedelbart söka efter princip- eller profiluppdateringar.

3. När Intune förutsätter hantering av krypteringen kan en användare hämta sin nya personliga återställningsnyckel från en plats som stöds.

Mer information finns i slutanvändarinnehåll för uppladdning av den personliga återställningsnyckeln.

Hämta en personlig återställningsnyckel

För en macOS-enhet som har sin FileVault-kryptering som hanteras av Intune kan slutanvändarna hämta sin personliga återställningsnyckel (FileVault-nyckel) från följande platser med valfri enhet:

• Företagsportal webbplats (https://portal.manage.microsoft.com/)
• iOS/iPadOS Företagsportal app
• Android Företagsportal-app
• Intune app

Administratörer kan visa personliga återställningsnycklar för krypterade macOS-enheter som är markerade som en företagsenhet . De kan inte visa återställningsnyckeln för en personlig enhet.

Enheten som har den personliga återställningsnyckeln måste registreras med Intune och krypteras med FileVault via Intune. När en enhetsanvändare använder iOS-Företagsportal-appen, Android Företagsportal-appen, Android-Intune-appen eller Företagsportal webbplats kan användaren se den FileVault-återställningsnyckel som behövs för att få åtkomst till deras Mac-enheter.

Enhetsanvändare kan välja Enheter>den krypterade och registrerade macOS-enheten>Hämta återställningsnyckel. Webbläsaren visar Företagsportal och visar återställningsnyckeln.

Rotera återställningsnycklar

Intune stöder flera alternativ för att rotera och återställa personliga återställningsnycklar. En anledning till att rotera en nyckel är om den aktuella personliga nyckeln går förlorad eller tros vara i riskzonen.

• Automatisk rotation: Som administratör kan du konfigurera FileVault-inställningen Rotering av personlig återställningsnyckel så att den automatiskt genererar nya återställningsnycklar med jämna mellanrum. När en ny nyckel genereras för en enhet visas inte nyckeln för användaren. I stället måste användaren hämta nyckeln antingen från en administratör eller genom att använda företagsportalappen.

• Manuell rotation: Som administratör kan du visa information för en enhet som du hanterar med Intune och som är krypterad med FileVault. Du kan sedan välja att manuellt rotera återställningsnyckeln för företagsenheter. Du kan inte rotera återställningsnycklar för personliga enheter.

  Så här roterar du en återställningsnyckel:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Alla enheter.

  3. I listan över enheter väljer du den enhet som är krypterad och som du vill rotera dess nyckel för. Under Övervaka väljer du återställningsnycklar.

  4. I fönstret Återställningsnycklar väljer du Rotera fileVault-återställningsnyckel.

     Nästa gång enheten checkar in med Intune roteras den personliga nyckeln. Vid behov kan den nya nyckeln hämtas av användaren via företagsportalen.

Återställa återställningsnycklar

• Administratör: Administratörer kan inte visa personliga återställningsnycklar för enheter som är krypterade med FileVault.

• Slutanvändare: Slutanvändare använder Företagsportal webbplats från valfri enhet för att visa den aktuella personliga återställningsnyckeln för någon av sina hanterade enheter. Du kan inte visa återställningsnycklar från Företagsportal-appen.

  Så här visar du en återställningsnyckel:

  1. Logga in på Intune-företagsportal webbplats från valfri enhet.

  2. I portalen går du till Enheter och väljer den macOS-enhet som är krypterad med FileVault.

  3. Välj Hämta återställningsnyckel. Den aktuella återställningsnyckeln visas.

Nästa steg

Hantera BitLocker-princip

Övervaka diskkryptering