Contenu
Cet article explique comment configurer les paramètres de chiffrement au niveau de la stratégie pour les appareils Apple macOS inscrits dans NinjaOne Mobile Device Management (MDM).
Environnement
NinjaOne MDM
Apple macOS
Description
La section MDM → Chiffrement de la page de configuration des stratégies pour les appareils macOS enrôlés dans MDM permet de gérer les paramètres de chiffrement FileVault. Lorsque le chiffrement FileVault est activé au niveau de la politique, NinjaOne déploie le profil FileVault approprié sur les périphériques gérés.
Lorsque vous activez ces paramètres, tous les périphériques nouvellement inscrits via Automated Device Enrollment (ADE) activeront automatiquement FileVault lors de l'étape de l'assistant d'installation.
Si vous avez déjà crypté votre appareil avant de l'enregistrer dans NinjaOne MDM, NinjaOne ne sera pas en mesure de séquestrer automatiquement la clé de récupération initiale. Au lieu de cela, vous devez faire pivoter la clé localement sur l'appareil, puis vous inscrire pour que NinjaOne puisse enregistrer la nouvelle clé. Utilisez la commande suivante dans Terminal pour changer la clé de récupération FileVault sur l'appareil : sudo /usr/bin/fdesetup changerecovery -personal
Le tableau suivant fournit une description de chaque paramètre :
| Paramétrage du cryptage FileVault | Description ou objectif |
|---|---|
| Exiger le cryptage | Exiger que l'appareil active le cryptage FileVault lors de la configuration ou de la connexion. Si ce paramètre n'est pas activé, les autres paramètres seront désactivés. |
| Clé de recouvrement de l'escrow | Si cette option est activée, l'appareil enverra la clé de récupération à NinjaOne, où nous la stockerons et la gérerons pour chaque appareil. Vous trouverez la clé sur le tableau de bord de l'appareil, dans l'onglet Détails. |
| Forcer l'activation dans l'assistant d'installation | Crypter l'appareil pendant l'assistant de configuration pour les nouvelles inscriptions. |
| Afficher la clé de recouvrement | Rendre la clé de récupération visible une fois le cryptage terminé. Elle ne s'affichera qu'une seule fois pour l'utilisateur final ; par la suite, si la clé de récupération Escrow est activée, vous pourrez trouver la clé sur le tableau de bord de l'appareil, dans l'onglet Détails. |
| Nombre de reports autorisés | Définir le nombre autorisé de tentatives de contournement. Si la valeur est fixée à 0, le système demandera à l'utilisateur d'activer FileVault lors de sa prochaine connexion. Réglez cette touche sur -1 pour permettre des reports illimités. La plage de validité est comprise entre -1 et 9999. |
Une fois la politique appliquée à l'appareil, FileVault sera activé lorsqu'un utilisateur se déconnecte et se reconnecte à son compte local, ou pendant l'assistant d'installation d'un nouvel appareil inscrit par le biais d'Automated Device Enrollment (ADE).
Une fois FileVault activé, il peut s'écouler jusqu'à une heure avant que l'appareil ne confirme l'état du chiffrement et que la clé de récupération ne s'affiche initialement dans NinjaOne.
Vous pouvez confirmer que les clés sont correctement stockées en accédant au tableau de bord de l'appareil dans NinjaOne et en ouvrant l'onglet Détails → MDM pour vérifier les informations suivantes dans la section Sécurité :
- L'état du chiffrement doit être réglé sur "Chiffré"
- La clé de recouvrement doit comporter le lien hypertexte Afficher la clé de recouvrement.
- En cliquant sur Afficher la clé de récupération , une fenêtre modale s'affiche avec la clé de récupération actuelle.
- Le champ Clé dernière mise à jour doit afficher un horodatage valide.
Tourner la clé de récupération
Lorsque les paramètres de chiffrement FileVault sont activés au niveau de la stratégie, vous pouvez demander la rotation de la clé de récupération en cliquant sur le lien hypertexte Afficher la clé de récupération dans le tableau de bord de l'appareil, sous Détails → MDM.
Si le paramètre " Escrow recovery key" est désactivé ultérieurement dans la politique, les dispositifs déjà cryptés et qui ont déjà communiqué leur clé de récupération ne continueront plus à le faire. Si ces appareils changent de clé de récupération pour une raison quelconque, NinjaOne n'en sera pas informé à moins que vous ne réinscriviez l'appareil.
Ressources supplémentaires
Consultez la ressource suivante pour en savoir plus sur NinjaOne MDM : NinjaOne MDM : Catalogue de ressources.