Argomento
Questo articolo spiega come configurare le impostazioni di crittografia a livello di criterio per i dispositivi Apple macOS iscritti a NinjaOne Mobile Device Management (MDM).
Ambiente
NinjaOne MDM
Apple macOS
Descrizione
La sezione MDM → Crittografia della pagina di configurazione dei criteri per i dispositivi macOS iscritti a MDM consente di gestire le impostazioni di crittografia FileVault. Quando la crittografia FileVault è abilitata a livello di criterio, NinjaOne distribuisce il profilo FileVault appropriato ai dispositivi gestiti.
Quando si attivano queste impostazioni, tutti i dispositivi appena registrati tramite ADE (Automated Device Enrollment) abiliteranno automaticamente FileVault durante la fase di Setup Assistant.
Se il dispositivo è già stato crittografato prima dell'iscrizione a NinjaOne MDM, NinjaOne non sarà in grado di depositare automaticamente la chiave di ripristino iniziale. È invece necessario ruotare la chiave localmente sul dispositivo, quindi iscriversi per consentire a NinjaOne di depositare la nuova chiave. Utilizzare il seguente comando nel Terminale per ruotare la chiave di recupero FileVault sul dispositivo: sudo /usr/bin/fdesetup changerecovery -personal
La tabella seguente fornisce una descrizione di ciascuna impostazione:
| Impostazione della crittografia di FileVault | Descrizione o scopo |
|---|---|
| Richiedere la crittografia | Richiedere al dispositivo di abilitare la crittografia FileVault durante la configurazione o l'accesso. Se questa impostazione non è attivata, le altre impostazioni saranno disattivate. |
| Chiave di recupero per il deposito | Se abilitato, il dispositivo invierà la chiave di recupero a NinjaOne, che la memorizzerà e la gestirà per ogni dispositivo. La chiave si trova nella dashboard del dispositivo, nella scheda Dettagli . |
| Abilitazione forzata nell'Assistente di configurazione | Crittografare il dispositivo durante la procedura guidata di configurazione per le nuove iscrizioni. |
| Mostra la chiave di recupero | Rendere visibile la chiave di recupero al termine della crittografia. Verrà visualizzata solo una volta per l'utente finale; in seguito, se la chiave di recupero Escrow è abilitata, sarà possibile trovare la chiave nella dashboard del dispositivo nella scheda Dettagli. |
| Numero di rinvii consentiti | Impostare il numero consentito di tentativi di bypass. Se il valore è impostato su 0, il sistema chiederà all'utente di abilitare FileVault al successivo accesso. Impostate questo tasto su -1 per abilitare i rinvii illimitati. L'intervallo valido va da -1 a 9999. |
Una volta applicato il criterio al dispositivo, FileVault verrà abilitato dopo che l'utente si sarà disconnesso e avrà effettuato nuovamente l'accesso al proprio account locale, oppure durante l'Assistente di configurazione per un nuovo dispositivo registrato tramite l'ADE (Automated Device Enrollment).
Una volta abilitato FileVault, potrebbe essere necessaria fino a un'ora perché il dispositivo confermi lo stato di crittografia e perché la chiave di recupero venga inizialmente visualizzata in NinjaOne.
Per verificare se le chiavi sono memorizzate in modo accurato, è possibile navigare nella dashboard del dispositivo in NinjaOne e aprire la scheda Dettagli → MDM per verificare le seguenti informazioni nella sezione Sicurezza :
- Lo stato di crittografia deve essere impostato su "Crittografato"
- La chiave di recupero deve avere il collegamento ipertestuale Visualizza chiave di recupero.
- Facendo clic su Visualizza chiave di ripristino , viene visualizzata una finestra di dialogo con la chiave di ripristino corrente.
- Il campo Chiave ultimo aggiornamento deve riportare un timestamp valido.
Ruotare il tasto di ripristino
Quando le impostazioni di crittografia FileVault sono abilitate a livello di criterio, è possibile richiedere la rotazione della chiave di ripristino dopo aver fatto clic sul collegamento ipertestuale Visualizza chiave di ripristino nella dashboard del dispositivo in Dettagli → MDM.
Se l'impostazione Escrow recovery key viene disattivata in un secondo momento nel criterio, i dispositivi già crittografati e che hanno precedentemente segnalato la loro chiave di recupero non continueranno più a farlo. Se questi dispositivi cambiano la loro chiave di recupero per qualsiasi motivo, NinjaOne non riceverà alcuna notifica a meno che non si iscriva nuovamente il dispositivo.
Risorse aggiuntive
Per saperne di più su NinjaOne MDM, consultare la seguente risorsa: NinjaOne MDM: Catalogo delle risorse.