Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne MDM: Verschlüsselungseinstellungen für macOS

Thema

In diesem Artikel wird erläutert, wie Sie Verschlüsselungseinstellungen auf Richtlinienebene für Apple macOS-Geräte konfigurieren, die bei NinjaOne Mobile Device Management (MDM) registriert sind. 

Umgebung

  • NinjaOne Mobile Device Management (MDM)
  • Apple macOS

Beschreibung

Im Abschnitt „Verschlüsselung“ der Richtlinienkonfigurationsseite für MDM-registrierte macOS-Geräte können Sie die FileVault-Verschlüsselungseinstellungen verwalten. Wenn Sie die FileVault-Verschlüsselung auf Richtlinienebene aktivieren, stellt NinjaOne das entsprechende FileVault-Profil auf den verwalteten Geräten bereit. 

Sie können die Seite „Verschlüsselung“ über eine macOS-Agent-Richtlinie aufrufen, indem Sie das MDM-Menü erweitern, oder über eine MDM-Richtlinie.

agent or mdm policies.png
Abbildung 1: Verschlüsselungseinstellungen, die in macOS-Agent- oder MDM-Richtlinien verfügbar sind

Wenn Sie diese Einstellungen aktivieren, wird auf allen Geräten, die neu über die automatische Geräteregistrierung (ADE) registriert werden, FileVault automatisch während der Setup-Assistent-Phase aktiviert.

Wenn Sie Ihr Gerät bereits vor der Registrierung bei NinjaOne MDM verschlüsselt haben, kann NinjaOne den ursprünglichen Wiederherstellungsschlüssel nicht automatisch hinterlegen. Stattdessen müssen Sie den Schlüssel lokal auf dem Gerät rotieren und das Gerät dann registrieren, damit NinjaOne den neuen Schlüssel hinterlegen kann. Verwenden Sie den folgenden Befehl im Terminal, um den FileVault-Wiederherstellungsschlüssel auf dem Gerät zu rotieren: sudo /usr/bin/fdesetup changerecovery -personal

mdm_mac policy_encryption.png
Abbildung 2: FileVault-Verschlüsselungseinstellungen verwalten (zum Vergrößern anklicken)

Die folgende Tabelle enthält eine Beschreibung der einzelnen Einstellungen: 

FileVault-Verschlüsselungseinstellung Beschreibung oder Zweck
Verschlüsselung erforderlich Verlangt, dass das Gerät die FileVault-Verschlüsselung während der Einrichtung oder Anmeldung aktiviert. Wenn diese Einstellung nicht aktiviert ist, werden die anderen Einstellungen deaktiviert. 
Wiederherstellungsschlüssel hinterlegen Wenn diese Option aktiviert ist, sendet das Gerät den Wiederherstellungsschlüssel an NinjaOne, wo wir ihn für jedes Gerät speichern und verwalten. Sie finden den Schlüssel auf dem Geräte-Dashboard auf der Registerkarte „Details “.
Erzwingen Sie die Aktivierung im Einrichtungsassistenten Verschlüsseln Sie das Gerät während der Setup-Assistent-Phase bei neuen Registrierungen.
Wiederherstellungsschlüssel anzeigen Machen Sie den Wiederherstellungsschlüssel nach Abschluss der Verschlüsselung sichtbar. Er wird dem Endbenutzer nur einmal angezeigt; danach finden Sie den Schlüssel, sofern der Escrow-Wiederherstellungsschlüssel aktiviert ist, auf dem Geräte-Dashboard auf der Registerkarte „Details“.
Anzahl der zulässigen Aufschübe Legen Sie die zulässige Anzahl von Umgehungsversuchen fest. Wenn der Wert auf 0 gesetzt ist, fordert das System den Benutzer bei seiner nächsten Anmeldung auf, FileVault zu aktivieren. Setzen Sie diesen Wert auf -1, um unbegrenzte Aufschübe zu ermöglichen. Der gültige Bereich liegt zwischen -1 und 9999.

Sobald die Richtlinie auf das Gerät angewendet wurde, wird FileVault aktiviert, nachdem sich ein Benutzer abgemeldet und wieder bei seinem lokalen Konto angemeldet hat, oder während der automatisierten Geräteregistrierung.

Sobald Sie FileVault aktivieren, kann es bis zu einer Stunde dauern, bis das Gerät den Verschlüsselungsstatus bestätigt und der Wiederherstellungsschlüssel erstmals in NinjaOne angezeigt wird.

Sie können überprüfen, ob die Schlüssel korrekt gespeichert sind, indem Sie in NinjaOne zum Geräte-Dashboard navigieren und die Registerkarte „Details → MDM“ öffnen, um die folgenden Informationen im Abschnitt „Sicherheit“ zu überprüfen:

  • Der Verschlüsselungsstatus sollte auf „Verschlüsselt“ gesetzt sein.
  • Der Wiederherstellungsschlüssel sollte den Hyperlink „Wiederherstellungsschlüssel anzeigen“ enthalten.
  • Ein Klick auf „Wiederherstellungsschlüssel anzeigen“ sollte ein Modalfenster öffnen, in dem der aktuelle Wiederherstellungsschlüssel angezeigt wird.
  • Das Feld „Zuletzt aktualisiert “ sollte einen gültigen Zeitstempel anzeigen.
filevault encryption example.png
Abbildung 3: Beispiel für den FileVault-Verschlüsselungsstatus

Wiederherstellungsschlüssel rotieren

Wenn Sie die FileVault-Verschlüsselungseinstellungen auf Richtlinienebene aktivieren, können Sie die Rotation des Wiederherstellungsschlüssels anfordern, indem Sie im Geräte-Dashboard unter „Details“ → „MDM“ auf den Hyperlink „Wiederherstellungsschlüssel anzeigen“ klicken. 

Wir empfehlen, den Wiederherstellungsschlüssel jedes Mal zu rotieren, wenn ein Endbenutzer ihn verwendet, beispielsweise um das Gerät nach einem Zugriffsverlust zu entsperren. 

Wenn die Einstellung „Escrow-Wiederherstellungsschlüssel“ später in der Richtlinie deaktiviert wird, melden Geräte, die bereits verschlüsselt sind und ihren Wiederherstellungsschlüssel zuvor gemeldet haben, diesen nicht mehr. Wenn diese Geräte ihren Wiederherstellungsschlüssel aus irgendeinem Grund ändern, wird NinjaOne nicht benachrichtigt, es sei denn, Sie registrieren das Gerät erneut.

Um auf diese Funktion zugreifen zu können, müssen Techniker mindestens über die Berechtigungen „Anzeigen, Aktualisieren“ für Geräte → Standardzugriff verfügen. 
encryption_request recovery rotation.png
Abbildung 4: Rotation des Verschlüsselungs-Wiederherstellungsschlüssels anfordern

Weitere Ressourcen

Weitere Informationen zu NinjaOne MDM finden Sie unter NinjaOne MDM: Ressourcenkatalog.

FAQ

Nächste Schritte