使用 Microsoft Intune 在 macOS 设备上配置和管理 FileVault 磁盘加密。 FileVault 是 macOS 附带的全磁盘加密程序,它使用 XTS-AES 128 位加密。 本文介绍企业环境的综合 FileVault 部署、管理和恢复方案。
FileVault 磁盘加密在运行 macOS 10.13 或更高版本 的设备上可用,并提供完整磁盘加密来保护丢失、被盗或泄露设备上的数据。
注意
FileVault 使用由 Apple macOS 实现的 XTS-AES 128 位加密。 此加密标准是固定的,无法通过Intune或 macOS 设置更改为 256 位。 Apple 认为 XTS-AES 128 位加密足以满足企业安全要求。
提示
Intune提供了一个内置加密报告,其中提供有关所有托管设备的加密状态的详细信息。 Intune使用 FileVault 加密 macOS 设备后,可以通过加密报告查看和管理 FileVault 恢复密钥。
FileVault 加密方案
Intune支持多种部署 FileVault 的方法,这些方法可适应不同的组织需求:
- Standard FileVault 加密 - 具有提示和延迟选项的用户交互式部署。
- 设置助手强制实施 - 在初始设备设置期间自动加密 (macOS 14+) 。
- 假设现有加密 - 管理用户加密的设备。
- 恢复密钥管理 - 全面的密钥轮换和恢复方案。
FileVault 部署过程
创建策略以使用 FileVault 加密设备后,该策略将分两个阶段应用于设备:
- 密钥托管准备 - 设备已准备好启用Intune来检索和备份恢复密钥。 此操作称为“托管”。
- 磁盘加密启动 - 在托管密钥后,磁盘加密可以启动。
Intune 首次使用 FileVault 加密 macOS 设备时,会创建个人恢复密钥。 加密时,设备一次性向设备用户显示个人密钥。
注意
可通过 Intune提供的 FileVault 设置涵盖核心 macOS 加密功能,但不公开每个 FileVault 功能。 只能通过 MDM 配置Intune的模板或设置目录中提供的选项。 可能无法通过Intune策略配置 macOS 中直接提供的高级 FileVault 设置。
先决条件
许可和 macOS 版本
FileVault 加密管理需要:
- 用于基本 FileVault 功能的 macOS 10.13 或更高版本。
- 适用于设置助理强制功能的 macOS 14 或更高版本。
- 用户批准的 MDM 注册 - 用户必须从系统首选项手动批准管理配置文件。
基于角色的访问控制
若要在 Intune 中管理 FileVault,必须为帐户分配基于Intune角色的访问控制 (RBAC) 角色,该角色包含“远程任务”权限,并将“轮换 FileVault 密钥”权限设置为“是”。
可以将此权限添加到自己的 自定义 RBAC 角色 ,也可以使用以下 内置 RBAC 角色之一:
- 技术支持操作员
- 终结点安全管理员
Apple Business Manager 注意事项
对于设置助手强制实施方案,请确保:
- 设备通过 Apple Business Manager 或 Apple School Manager 注册。
- Await 最终配置 已正确配置为自动部署。
- 注册配置文件配置为进行监督式设备管理。
FileVault 加密的策略类型
从以下Intune策略类型中进行选择,以根据部署需求配置 FileVault 加密:
终结点安全策略
最适合:使用简化的配置Standard FileVault 部署。
终结点安全 磁盘加密 策略提供重点、特定于安全性的 FileVault 配置:
- FileVault 配置文件 - 使用全面的恢复选项配置 FileVault 加密的专用设置。
- 侧重于安全要求的简化配置。
- 与 Intune 的加密监视和报告集成。
- 简化了大多数 FileVault 方案的设置。
设置目录策略
最适合: 需要强制实施设置助理或综合配置选项的高级部署。
设置目录提供了最全面的 FileVault 配置选项:
- 访问通过 fileVault Intune 提供的所有设置
- (macOS 14+) 的设置助手强制实施功能 - 设置目录独一无二
- 模板中不可用的高级配置选项
- 对用户体验和安全设置的精细控制
- 复杂部署方案的最大灵活性
设备配置策略 (已弃用)
设备配置>终结点保护模板将 FileVault 作为更广泛的终结点保护的一部分。
创建终结点安全策略
Standard FileVault 部署
选择“终结点安全”>“磁盘加密”>“创建策略”。
设置下列选项:
- 平台:macOS
- 配置文件:MacOS FileVault
在 “配置设置” 页上,配置核心 FileVault 设置:
所需设置:
- for FileVault:在 (上启用 = 以启用 FileVault)
- 使用恢复密钥 = 启用
恢复密钥管理:
- 恢复密钥轮换(月份) = 设置轮换间隔
- 位置 = 输入一些 描述性指南 以指导用户检索密钥。
用户体验设置:
- 允许延迟到注销 = 根据组织需求进行配置
- 延迟不要在用户注销时询问 = 配置用户交互首选项
- 在用户登录时延迟强制最大绕过尝试次数 = 设置强制严格性
在“ 作用域 (标记) ”页上,为组织的管理结构分配适当的范围标记。
在 “分配” 页上,选择接收此配置文件的组。 建议改为:
- 公司拥有的设备的设备组
- BYOD 方案的用户组
- 初始测试的试点组
选择“ 创建 ”以部署策略。
托管位置指南
配置有用的托管位置说明,以指导用户如何检索其恢复密钥。 使用个人恢复密钥轮换设置时,此信息非常有用,该设置可以定期为设备自动生成新的恢复密钥。
消息示例:
To retrieve a lost or recently rotated recovery key, sign in to the Intune Company Portal website from any device. In the portal, go to Devices and select the device that has FileVault enabled, and then select 'Get recovery key'. The current recovery key is displayed.
其他配置注意事项:
- 包括组织的支持联系人信息。
- 参考内部 IT 过程进行设备恢复。
- 提供非技术用户可以理解的清晰、简单的语言。
创建设置目录策略
设置目录提供最全面的 FileVault 配置选项,包括设置助理强制实施。
Standard设置目录部署
选择“ 设备>按平台>macOS>管理设备>配置>创建新>策略”。
为配置文件类型选择“设置目录”。
在 “配置设置 ”页上,选择“ + 添加设置” ,然后导航到 “完整磁盘加密”。
配置以下核心 FileVault 设置:
FileVault:
- 使 = 上
- 推迟 = 启用 成功 FileVault 应用程序) 所需的 (
FileVault 恢复密钥托管:
- 位置 = 输入一些 描述性指南 以指导用户检索密钥。
根据需要 (高级选项) : (所有选项位于 FileVault)
- 显示恢复密钥 = 配置加密期间的可见性
- 延迟 不要在用户注销时询问 = 控制提示计时
- 在用户登录时延迟强制最大绕过尝试次数 = 设置强制限制
- 恢复密钥轮换(月份) = 配置自动轮换
按照标准Intune过程完成策略分配和部署。
设置助手强制实施 (macOS 14+)
重要
设置助理强制实施需要特定的注册和配置先决条件。 在部署之前,请验证环境是否满足这些要求。
提示
macOS 14.4 添加了 适用于设置助理的优化。 在 macOS 14.4 之前,设置助理要求在设置助理期间以交互方式创建的用户帐户具有管理员角色。
对于在设备设置期间自动启用 FileVault:
设置助手的先决条件:
- macOS 14 或更高版本
- Apple Business Manager 或 Apple School Manager 注册
- 等待最终配置 = 注册 配置文件中的是
- 使用 EnrollmentProfileName 属性的设备筛选器
其他设置目录配置: 在 FileVault) 下找到 (
FileVault>在设置助手 = 中强制启用启用
FileVault>推迟 = 启用
重要
必须将 “延迟 ”设置配置为 “已启用” ,才能在设置助理中为运行 macOS 14.4 的设备成功启用 FileVault。
注册配置文件配置:
- 使用 Await 最终配置 = 配置注册配置文件是。
- 为目标部署创建设备筛选器。
- 将设置目录策略分配给筛选的设备。
FileVault 加密过程
了解 FileVault 加密过程有助于进行部署规划和故障排除:
加密阶段
FileVault 部署分为两个不同的阶段:
- 密钥托管准备 - Intune准备设备以将恢复密钥备份到Microsoft云服务
- 磁盘加密启动 - 成功托管密钥后,FileVault 加密开始
用户体验注意事项
Standard部署用户体验:
- 用户可能会看到 FileVault 启用提示 (,具体取决于配置)
- 恢复密钥在加密过程中显示一次
- 应将用户定向到记录恢复密钥信息
- 初始设置后,加密在后台继续
设置助理用户体验:
- 在设备设置过程中自动进行加密
- 无需用户交互即可启动加密
- 恢复密钥会自动托管到Intune
- 用户使用加密设备完成设置
监视和管理 FileVault
查看加密状态
若要查看有关接收 FileVault 策略的设备的信息,请参阅监视磁盘加密。
通过多个Intune接口监视 FileVault 部署:
加密报告 - 导航到 “设备>监视>设备加密状态”:
- 查看所有托管设备的加密状态
- 访问加密设备的恢复密钥信息
- 监视策略部署和符合性
特定于设备的监视 - 选择要查看的单个设备:
- FileVault 启用状态
- 恢复密钥可用性
- 加密策略分配详细信息
FileVault 密钥托管和管理
对于受管理设备,Intune 可以托管个人恢复密钥的副本。 通过对密钥进行托管,Intune 管理员可以轮换密钥以帮助保护设备,并且用户可以恢复丢失或轮换的个人恢复密钥。
在出现如下情况时,Intune托管恢复密钥:
- Intune策略加密设备
- 用户上传其手动加密设备的恢复密钥
Intune 托管个人恢复密钥后:
- 管理员可以使用Intune加密报告管理和轮换任何托管 macOS 设备的 FileVault 恢复密钥。
- 管理员只能查看标记为 “公司”的托管 macOS 设备的个人恢复密钥。 他们无法查看个人设备的恢复密钥。
- 用户可以从支持的位置查看和检索其个人恢复密钥。
恢复密钥管理
Intune为 FileVault 加密的设备提供全面的恢复密钥管理:
查看恢复密钥
重要
管理员访问限制:管理员只能查看和管理标记为 “公司”的设备的文件保管库恢复密钥。 管理员无法访问 个人 (BYOD) 设备的恢复密钥,从而确保用户隐私。 这种区别对于管理员的期望和故障排除至关重要。
对于管理员:
- 标记为“仅限 公司” 的设备访问恢复密钥
- 无法 查看 个人/BYOD 设备的恢复密钥
- 导航到设备详细信息 >监视>恢复密钥
- 选择“ 显示恢复密钥 (生成审核日志条目)
所需权限:
- Intune具有远程任务权限的 RBAC 角色
- 将 FileVault 密钥 向右旋转设置为 “是”
恢复密钥访问位置
最终用户可以从以下项检索恢复密钥:
- 公司门户网站 (portal.manage.microsoft.com) - 主要和最可靠的方法
- iOS/iPadOS 公司门户应用 - 显示适用于 Mac 设备的 FileVault 恢复密钥
- Android 公司门户 应用 - 显示适用于 Mac 设备的 FileVault 恢复密钥
- Intune移动应用 - 显示适用于 Mac 设备的 FileVault 恢复密钥
重要
设备必须使用 Intune 进行注册,并通过 Intune 使用 FileVault 进行加密。 虽然可以通过移动公司门户应用获取恢复密钥,但公司门户网站是可靠恢复密钥检索的主要方法。
恢复密钥检索过程:
使用公司门户网站 (建议) :
- 从任何设备 () https://portal.manage.microsoft.com/ 登录到公司门户网站。
- 导航到 “设备 ”,然后选择使用 FileVault 加密的 macOS 设备。
- 选择“ 获取恢复密钥 - 显示当前恢复密钥”。
使用移动公司门户应用:
- 打开 iOS/iPadOS 公司门户应用、Android 公司门户 应用或Intune移动应用。
- 导航到 “设备 ”,然后选择已加密和已注册的 macOS 设备。
- 选择“获取恢复密钥 - 浏览器显示 Web 公司门户并显示恢复密钥。
恢复密钥轮换
Intune支持自动和手动恢复密钥轮换:
自动轮换
在 FileVault 策略中配置自动密钥轮换:
- 个人恢复密钥轮换 = 设置间隔 (1-12 个月)
- 自动生成并托管新密钥
- 成功轮换后,以前的密钥将变为无效
- 用户必须通过公司门户检索新密钥
手动轮换
管理员可以手动轮换恢复密钥:
- 登录到 Microsoft Intune 管理中心
- 选择 “设备>”“所有设备”
- 选择加密的设备
- 在“监视器”下,选择“恢复密钥”
- 选择“轮换 FileVault 恢复密钥”
注意
手动轮换仅适用于 公司 设备。 个人设备使用策略中配置的自动轮换。
假设管理现有的 FileVault 加密
Intune可以假设管理用户在接收 fileVault 策略之前加密的设备Intune。 此方案支持对以前加密的设备进行集中恢复密钥管理。
管理假设的先决条件
- 设备必须从 Intune 接收活动 FileVault 策略
- 用户必须有权访问当前恢复密钥或能够生成新密钥
这两种方法都需要通过 Intune 部署的活动 FileVault 策略。 使用 终结点安全磁盘加密配置文件 进行策略传递。
方法 1:上传现有恢复密钥
何时使用: 用户知道其当前个人恢复密钥。
过程:
- 将 FileVault 策略部署到以前加密的设备。
- 将用户定向到公司门户网站 (portal.manage.microsoft.com) 。
- 用户选择加密设备并选择 “存储恢复密钥”。
- 用户输入当前个人恢复密钥。
- Intune验证密钥并轮换到新的恢复密钥。
- 新密钥已托管,可通过公司门户使用。
用户通信:
通知用户必须上传恢复密钥才能启用Intune管理。 考虑实施合规性策略以确保完成。
方法 2:在设备上生成新的恢复密钥
何时使用: 用户不知道当前恢复密钥,但有权访问设备。
过程:
- 将 FileVault 策略部署到以前加密的设备。
- 用户在加密设备上打开终端应用。
- 执行密钥轮换命令:
cd /Applications/Utilities sudo fdesetup changerecovery -personal - 出现提示时,用户提供设备密码。
- 系统生成并显示新的恢复密钥。
- 假定设备签入Intune和管理。
加快设备检查:
- 管理员:设备>选择设备>同步
- 用户:公司门户应用>设置>同步
验证管理假设
在任一方法之后,请验证成功的管理假设:
- 检查Intune加密报告中的设备加密状态。
- 在设备详细信息中确认恢复密钥可用性。
- 通过 公司门户 测试恢复密钥检索。
FileVault 部署疑难解答
常见部署问题
| 问题 | 解决方案 | 验证 |
|---|---|---|
| FileVault 启用失败 | 验证用户批准的 MDM 注册状态 | 检查系统首选项 > 配置文件 |
| 恢复密钥托管失败 | 确保设备网络连接 | 检查托管状态的加密报告 |
| 设置助理强制 (macOS 14+) 不起作用 | 验证“设置目录中的延迟”设置是否已启用 | 检查 注册配置文件,了解 Await 最终配置 |
| 用户无法检索恢复密钥 | 检查设备所有权类型和用户权限 | 在 Intune 中验证公司设备指定 |
| 管理员无法访问恢复密钥 | 标记为 个人/BYOD 的设备 (预期行为) | 验证设备所有权类型 - 个人设备保护用户隐私 |
错误代码参考
错误 -2016341107 / 0x87d1138d: 用户尚未接受 FileVault 启用提示。
- 分辨率: 有关接受 FileVault 提示的用户教育。
- 预防: 请考虑强制执行设置助手进行自动部署。
策略冲突解决
使用Intune的策略冲突检测来识别:
- 重叠的 FileVault 策略
- 冲突的终结点保护设置
- 合规性策略交互
安全注意事项
恢复密钥安全性
密钥保护:
- 恢复密钥在传输中和静态加密
- 密钥安全地存储在Microsoft云服务中
- 访问通过Intune RBAC 权限进行控制
审核日志记录:
- 所有恢复密钥访问都记录在审核日志Microsoft Entra
- 日志包括用户标识、时间戳和密钥 ID
- 定期查看日志,了解未经授权的访问尝试
公司与个人设备
注意
设备所有权类型 (公司与个人) 确定管理员对 FileVault 恢复密钥的访问权限。 这是一个基本的安全和隐私设计。
公司设备:
- 完全管理访问权限:管理员可以查看、轮换和管理恢复密钥
- 通过Intune管理中心完成恢复密钥管理功能
- 适用于公司自有设备,其中需要完全 IT 控制
- 审核日志记录跟踪所有管理恢复密钥访问
(BYOD) 的个人设备:
- 无管理访问权限:管理员无法查看或直接管理恢复密钥
- 用户通过自助服务公司门户访问保持完全控制
- 平衡组织安全需求与员工隐私要求
- 密钥仍托管到 Microsoft 云中,以便进行用户自助恢复
- 自动轮换仍可基于策略配置运行
合规性集成
FileVault 加密与Intune合规性策略集成:
- 在合规性策略中设置 “要求对数据存储进行加密 ”
- 在启用加密之前阻止对公司资源的访问
- 通过设备符合性报告监视合规性