FileVault 磁盘加密

FileVault 是 macOS 内置安全功能,用于加密启动磁盘上的所有数据,并防止未经授权访问您的信息。 通过 IBM® MaaS360® Portal ,您可以远程配置 FileVault ,并从运行 macOS 10.13 或更高版本的设备中检索恢复密钥。

配置 FileVault 概要文件

您可以使用 macOS MDM 策略在 macOS 设备上配置 (启用/禁用) FileVault 。 有关更多信息,请参阅 macOS FileVault 策略。

注意: 启用 FileVault 时,设备上会启动磁盘加密并生成恢复密钥。 加密后, FileVault 要求用户在每次设备启动时使用其帐户密码登录。

检索个人恢复密钥

如果启用了 FileVault ,那么用户必须使用其登录密码或恢复密钥登录才能访问其数据。 您可以使用设备操作来检索和备份恢复密钥。 如果用户忘记了自己的 Mac 登录密码,他们可以使用恢复密钥来解锁磁盘并重置密码。

请按照以下步骤操作,以允许 MaaS360 检索和备份 FileVault 恢复密钥。
  1. IBM MaaS360 Portal 主页,转到设备 > 清单
  2. 通过安全策略打开启用了 FileVault 加密的 macOS 设备。
  3. 单击 更多 > FileVault 恢复密钥

将检索恢复密钥并将其显示在屏幕上。

从先前加密的设备和重新注册的设备中找回个人恢复密钥

在以下情况下,管理员必须重新生成 FileVault 恢复密钥。
设备在注册前已加密
如果管理员注册了已加密的设备,则无法使用 FileVault 恢复密钥。 在这种情况下,管理员必须在找回个人恢复密钥之前,从先前加密的设备中接管 FileVault 的管理。
设备被清除或重新注册
当 macOS 设备注册时,设备会生成一个 FileVault 恢复密钥,该密钥可由 MaaS360 检索。 但是,如果 macOS 设备被擦除或重新注册,现有的 FileVault 恢复密钥就会失效。 管理员可以为恢复密钥过期的重新注册设备创建一个智能组,然后为这些设备重新生成恢复密钥。
先决条件
  • 必须在 Mac 设备上安装 macOS Agent V 2.43.000 或更高版本。
  • 必须将 FileVault 磁盘加密策略部署到 macOS 设备。

识别先前已加密的设备

管理员可以使用高级搜索进行筛选,并将符合以下条件的设备创建为智能组。

请按照以下步骤创建智能设备组。
  1. 转到设备 > 高级搜索
  2. 使用以下搜索标准。
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To No
识别重新注册的设备是否有过期的恢复密钥
  1. 转到设备 > 高级搜索
  2. 使用以下搜索标准。
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To Yes
一次从多个设备检索个人恢复密钥
  1. 从 MaaS360 Portal 主页,转到设备 >
  2. 将鼠标悬停在设备组下方的 更多 选项上,然后选择 Escrow FileVault Recovery Key
  3. 在 Escrow FileVault Recovery Key 窗口,单击 Continue( 继续 )。

    在 macOS 设备上, MaaS360 代理程序提示用户输入其密码,然后重新生成个人恢复密钥。

注: 在托管个人恢复密钥之后,管理员可以使用设备级操作 FileVault 恢复密钥 来查看个人恢复密钥。
从单个设备检索个人恢复密钥
  1. IBM MaaS360 Portal 主页,转到设备 > 清单
  2. 打开先前加密的 macOS 设备。
  3. 单击更多 > Escrow FileVault 恢复密钥

    MaaS360 代理程序提示用户输入密码,然后在设备上重新生成个人恢复密钥。

    注: 在托管个人恢复密钥之后,管理员可以使用设备级操作 FileVault 恢复密钥 来查看个人恢复密钥。