Tema
Este artículo explica cómo configurar los ajustes de cifrado a nivel de política para los dispositivos macOS de Apple inscritos en NinjaOne Mobile Device Management (MDM).
Entorno
NinjaOne MDM
Apple macOS
Descripción
La sección MDM → Cifrado de la página de configuración de políticas para dispositivos macOS inscritos en MDM permite administrar la configuración de cifrado de FileVault. Cuando se habilita el cifrado de FileVault a nivel de política, NinjaOne desplegará el perfil FileVault apropiado en los dispositivos administrados.
Al activar esta configuración, todos los dispositivos recién inscritos a través de Automated Device Enrollment (ADE) activarán automáticamente FileVault durante la etapa Setup Assistant.
Si ya ha cifrado su dispositivo antes de inscribirlo en NinjaOne MDM, NinjaOne no será capaz de custodiar la clave de recuperación inicial de forma automática. En su lugar, debe rotar la clave localmente en el dispositivo, y luego inscribirse para que NinjaOne pueda depositar la nueva clave. Utilice el siguiente comando en Terminal para rotar la clave de recuperación de FileVault en el dispositivo: sudo /usr/bin/fdesetup changerecovery -personal
La siguiente tabla proporciona una descripción de cada ajuste:
| Configuración del cifrado de FileVault | Descripción o finalidad |
|---|---|
| Exigir encriptación | Requiere que el dispositivo active el cifrado FileVault durante la configuración o el inicio de sesión. Si este ajuste no está activado, se desactivarán los demás ajustes. |
| Clave de recuperación de custodia | Si está activada, el dispositivo enviará la clave de recuperación a NinjaOne, donde la almacenaremos y gestionaremos para cada dispositivo. Encontrará la clave en el panel de control del dispositivo, en la pestaña Detalles . |
| Forzar la activación en el Asistente de Configuración | Cifrar el dispositivo durante el asistente de configuración para nuevas inscripciones. |
| Mostrar clave de recuperación | Hacer visible la clave de recuperación una vez finalizado el cifrado. Sólo se mostrará al usuario final una vez; después, si la clave de recuperación Escrow está activada, podrá encontrar la clave en el panel del dispositivo, en la pestaña Detalles. |
| Número de aplazamientos permitidos | Establece el número permitido de intentos de bypass. Si el valor es 0, el sistema pedirá al usuario que active FileVault en su próximo inicio de sesión. Establezca esta tecla en -1 para permitir aplazamientos ilimitados. El rango válido es de -1 a 9999. |
Una vez aplicada la política al dispositivo, FileVault se activará después de que un usuario cierre la sesión y vuelva a iniciarla con su cuenta local, o durante el Asistente de Configuración para un nuevo dispositivo inscrito a través de la Inscripción Automatizada de Dispositivos (ADE).
Una vez activado FileVault, el dispositivo puede tardar hasta una hora en confirmar el estado de cifrado y en mostrar inicialmente la clave de recuperación en NinjaOne.
Puede confirmar si las claves se almacenan con precisión navegando al panel del dispositivo en NinjaOne y abriendo la pestaña Detalles → MDM para verificar la siguiente información en la sección Seguridad :
- El estado de cifrado debe ser "Cifrado"
- La clave de recuperación debe tener el hipervínculo Ver clave de recuperación.
- Al hacer clic en Ver clave de recuperación debería aparecer un modal con la clave de recuperación actual.
- El campo Última actualización de la clave debe mostrar una fecha y hora válidas.
Gire la llave de recuperación
Cuando la configuración de cifrado de FileVault está habilitada en el nivel de política, puede solicitar la rotación de la clave de recuperación después de hacer clic en el hipervínculo Ver clave de recuperación en el panel del dispositivo en Detalles → MDM.
Si la configuración de la clave de recuperación Escrow se desactiva posteriormente en la política, los dispositivos que ya estén cifrados y hayan informado previamente de su clave de recuperación ya no seguirán haciéndolo. Si estos dispositivos cambian su clave de recuperación por cualquier razón, NinjaOne no será notificado a menos que vuelva a inscribir el dispositivo.
Recursos adicionales
Consulte el siguiente recurso para obtener más información sobre NinjaOne MDM: NinjaOne MDM: Catálogo de recursos.