Thema
Dieser Artikel erklärt, wie man Verschlüsselungseinstellungen auf Richtlinienebene für Apple macOS Geräte, die in NinjaOne Mobile Device Management (MDM) angemeldet sind, konfiguriert.
Umgebung
NinjaOne MDM
Apple macOS
Beschreibung
Im Abschnitt MDM → Verschlüsselung der Richtlinienkonfigurationsseite für MDM-registrierte macOS-Geräte können Sie die FileVault-Verschlüsselungseinstellungen verwalten. Wenn die FileVault-Verschlüsselung auf der Richtlinienebene aktiviert ist, wird NinjaOne das entsprechende FileVault-Profil auf den verwalteten Geräten einsetzen.
Wenn Sie diese Einstellungen aktivieren, werden alle Geräte, die über Automated Device Enrollment (ADE) neu angemeldet werden, während der Setup-Assistent-Phase automatisch FileVault aktivieren.
Wenn Sie Ihr Gerät bereits verschlüsselt haben, bevor Sie es in NinjaOne MDM angemeldet haben, kann NinjaOne den ursprünglichen Wiederherstellungsschlüssel nicht automatisch hinterlegen. Stattdessen müssen Sie den Schlüssel lokal auf dem Gerät drehen und sich dann anmelden, damit NinjaOne den neuen Schlüssel hinterlegen kann. Verwenden Sie den folgenden Befehl im Terminal, um den FileVault-Wiederherstellungsschlüssel auf dem Gerät zu drehen: sudo /usr/bin/fdesetup changerecovery -personal
In der folgenden Tabelle finden Sie eine Beschreibung der einzelnen Einstellungen:
| FileVault-Verschlüsselungseinstellung | Beschreibung oder Zweck |
|---|---|
| Verschlüsselung verlangen | Erfordern Sie, dass das Gerät bei der Einrichtung oder Anmeldung die FileVault-Verschlüsselung aktiviert. Wenn diese Einstellung nicht aktiviert ist, werden die anderen Einstellungen deaktiviert. |
| Escrow-Wiederherstellungsschlüssel | Wenn aktiviert, sendet das Gerät den Wiederherstellungsschlüssel an NinjaOne, wo wir ihn für jedes Gerät speichern und verwalten. Sie finden den Schlüssel auf dem Dashboard des Geräts auf der Registerkarte Details . |
| Aktivierung im Setup-Assistenten erzwingen | Verschlüsseln Sie das Gerät während des Einrichtungsassistenten für neue Anmeldungen. |
| Wiederherstellungsschlüssel anzeigen | Machen Sie den Wiederherstellungsschlüssel nach Abschluss der Verschlüsselung sichtbar. Er wird dem Endbenutzer nur einmal angezeigt. Wenn der Escrow-Wiederherstellungsschlüssel aktiviert ist, finden Sie den Schlüssel anschließend auf dem Geräte-Dashboard auf der Registerkarte Details. |
| Anzahl der zulässigen Aufschübe | Legen Sie die zulässige Anzahl der Umgehungsversuche fest. Wenn der Wert auf 0 gesetzt ist, fordert das System den Benutzer bei der nächsten Anmeldung auf, FileVault zu aktivieren. Setzen Sie diesen Schlüssel auf -1, um unbegrenzte Aufschübe zu ermöglichen. Der gültige Bereich reicht von -1 bis 9999. |
Sobald die Richtlinie auf das Gerät angewendet wurde, wird FileVault aktiviert, nachdem sich ein Benutzer abgemeldet und wieder bei seinem lokalen Konto angemeldet hat, oder während des Setup-Assistenten für ein neues Gerät, das über Automated Device Enrollment (ADE) angemeldet wurde.
Sobald FileVault aktiviert ist, kann es bis zu einer Stunde dauern, bis das Gerät den Verschlüsselungsstatus bestätigt und der Wiederherstellungsschlüssel erstmals in NinjaOne angezeigt wird.
Sie können überprüfen, ob die Schlüssel korrekt gespeichert sind, indem Sie zum Geräte-Dashboard in NinjaOne navigieren und die Registerkarte Details → MDM öffnen, um die folgenden Informationen im Abschnitt Sicherheit zu überprüfen:
- Der Verschlüsselungsstatus sollte auf "Verschlüsselt" gesetzt werden
- Der Wiederherstellungsschlüssel sollte den Hyperlink Wiederherstellungsschlüssel anzeigen enthalten.
- Wenn Sie auf Wiederherstellungsschlüssel anzeigen klicken, sollte ein Modal mit dem aktuellen Wiederherstellungsschlüssel angezeigt werden.
- Das Feld Schlüssel zuletzt aktualisiert sollte einen gültigen Zeitstempel enthalten.
Drehen Sie den Wiederherstellungsschlüssel
Wenn FileVault-Verschlüsselungseinstellungen auf Richtlinienebene aktiviert sind, können Sie die Rotation des Wiederherstellungsschlüssels anfordern, nachdem Sie auf dem Geräte-Dashboard unter Details → MDM auf den Hyperlink Wiederherstellungsschlüssel anzeigengeklickt haben.
Wenn die Einstellung "Escrow-Wiederherstellungsschlüssel" später in der Richtlinie deaktiviert wird, werden Geräte, die bereits verschlüsselt sind und zuvor ihren Wiederherstellungsschlüssel gemeldet haben, dies nicht mehr tun. Wenn diese Geräte ihren Wiederherstellungsschlüssel aus irgendeinem Grund ändern, wird NinjaOne nicht benachrichtigt, es sei denn, Sie melden das Gerät erneut an.
Zusätzliche Ressourcen
In der folgenden Ressource erfahren Sie mehr über NinjaOne MDM: NinjaOne MDM: Ressourcen-Katalog.