FileVault-Festplattenverschlüsselung

FileVault ist ein eingebautes MacOS-Sicherheitsfeature, das alle Daten auf der Standardfestplatte verschlüsselt und den unberechtigten Zugriff auf Ihre Informationen verhindert. Über das IBM® MaaS360® Portal können Sie aus der Ferne FileVault konfigurieren und die Wiederherstellungsschlüssel von den Geräten abrufen, auf denen macOS 10.13 oder höher ausgeführt wird.

Konfigurieren des FileVault-Profils

Sie können macOS-MDM-Richtlinien verwenden, um FileVault auf macOS-Geräten zu konfigurieren (enable/disable). Weitere Informationen finden Sie in der Richtlinie macOS FileVault .

Hinweis: Wenn FileVault aktiviert ist, beginnt die Festplattenverschlüsselung auf dem Gerät, und der Wiederherstellungsschlüssel wird generiert. Nach der Verschlüsselung setzt FileVault voraus, dass sich die Benutzer bei jedem Start der Geräte mit ihrem Kontokennwort anmelden müssen.

Abrufen eines persönlichen Wiederherstellungsschlüssels

Wenn FileVault aktiviert ist, müssen sich Benutzer mit ihrem Anmeldekennwort oder einem Wiederherstellungsschlüssel anmelden, um auf ihre Daten zugreifen zu können. Sie können Geräteaktionen verwenden, um den Wiederherstellungsschlüssel abzurufen und zu sichern. Wenn Benutzer ihr Mac-Anmeldekennwort vergessen, können sie den Wiederherstellungsschlüssel verwenden, um die Platte zu entsperren und ihr Kennwort zurückzusetzen.

Führen Sie die folgenden Schritte aus, damit MaaS360 den Wiederherstellungsschlüssel FileVault abrufen und sichern kann.
  1. Gehen Sie auf der Startseite des Portals IBM MaaS360 zu Geräte > Inventar.
  2. Öffnen Sie das macOS-Gerät, das mit der FileVault-Verschlüsselung über die Sicherheitsrichtlinien aktiviert ist.
  3. Klicken Sie auf Mehr > FileVault Wiederherstellungsschlüssel.

Der Wiederherstellungsschlüssel wird abgerufen und auf dem Bildschirm angezeigt.

Abrufen von persönlichen Wiederherstellungsschlüsseln von zuvor verschlüsselten Geräten und neu registrierten Geräten

In den folgenden Szenarien müssen die Administratoren die Wiederherstellungsschlüssel von FileVault neu generieren.
Geräte werden bereits vor der Registrierung verschlüsselt
Die FileVault-Wiederherstellungsschlüssel sind nicht verfügbar, wenn Administratoren bereits verschlüsselte Geräte registrieren. In diesem Fall müssen die Administratoren die Verwaltung von FileVault von den zuvor verschlüsselten Geräten übernehmen, bevor sie die persönlichen Wiederherstellungsschlüssel abrufen können.
Geräte werden gelöscht oder neu registriert
Wenn ein macOS Gerät angemeldet wird, erzeugt das Gerät einen FileVault Wiederherstellungsschlüssel, der von MaaS360 abgerufen wird. Wenn jedoch das Gerät macOS gelöscht oder neu registriert wird, wird der vorhandene Wiederherstellungsschlüssel FileVault ungültig. Administratoren können eine intelligente Gruppe von neu registrierten Geräten mit veralteten Wiederherstellungsschlüsseln erstellen und dann den Wiederherstellungsschlüssel für diese Geräte neu generieren.
Voraussetzungen
  • macOS-Agent Version 2.43.000 oder höher muss auf dem Mac-Gerät installiert sein.
  • Die FileVault-Festplattenverschlüsselungsrichtlinien müssen auf macOS-Einheiten implementiert werden.

Zuvor verschlüsselte Geräte identifizieren

Administratoren können die erweiterte Suche verwenden, um Geräte zu filtern und eine intelligente Gruppe mit Geräten zu erstellen, die die folgenden Bedingungen erfüllen.

Gehen Sie folgendermaßen vor, um eine Smart Device-Gruppe zu erstellen.
  1. Gehen Sie zu Geräte > Erweiterte Suche.
  2. Verwenden Sie die folgenden Suchkriterien.
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To No
Identifizierung der neu registrierten Geräte, die veraltete Wiederherstellungsschlüssel haben
  1. Gehen Sie zu Geräte > Erweiterte Suche.
  2. Verwenden Sie die folgenden Suchkriterien.
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To Yes
Persönliche Wiederherstellungsschlüssel von mehreren Einheiten gleichzeitig abrufen
  1. Gehen Sie auf der Startseite des MaaS360 Portals zu Geräte > Gruppen.
  2. Bewegen Sie den Mauszeiger über die Option Mehr unter der Gerätegruppe und wählen Sie dann Escrow FileVault-Wiederherstellungsschlüssel aus.
  3. Klicken Sie im Fenster Escrow FileVault Recovery Key auf Continue.

    Auf dem macOS-Gerät fordert MaaS360 Agent den Benutzer zur Eingabe seines Kennworts auf und generiert dann den persönlichen Wiederherstellungsschlüssel neu.

Anmerkung: Nach der Verarbeitung des persönlichen Wiederherstellungsschlüssels können Administratoren die Aktion auf Einheitenebene FileVault Wiederherstellungsschlüssel verwenden, um den persönlichen Wiederherstellungsschlüssel anzuzeigen.
Persönlichen Wiederherstellungsschlüssel von einer einzelnen Einheit abrufen
  1. Gehen Sie auf der Startseite des Portals IBM MaaS360 zu Geräte > Inventar.
  2. Öffnen Sie das zuvor verschlüsselte macOS-Gerät.
  3. Klicken Sie auf Mehr > Escrow FileVault Wiederherstellungsschlüssel.

    Der MaaS360-Agent fordert den Benutzer zur Eingabe seines Kennworts auf und generiert anschließend den persönlichen Wiederherstellungsschlüssel auf dem Gerät neu.

    Anmerkung: Nach der Verarbeitung des persönlichen Wiederherstellungsschlüssels können Administratoren die Aktion auf Einheitenebene FileVault Wiederherstellungsschlüssel verwenden, um den persönlichen Wiederherstellungsschlüssel anzuzeigen.