Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne MDM: Impostazioni di crittografia per macOS

Argomento

Questo articolo spiega come configurare le impostazioni di crittografia a livello di policy per i dispositivi Apple macOS registrati in NinjaOne Mobile Device Management (MDM). 

Ambiente

  • NinjaOne Mobile Device Management (MDM)
  • Apple macOS

Descrizione

La sezione Crittografia della pagina di configurazione delle politiche per i dispositivi macOS registrati in MDM consente di gestire le impostazioni di crittografia FileVault. Quando si abilita la crittografia FileVault a livello di politica, NinjaOne distribuirà il profilo FileVault appropriato ai dispositivi gestiti. 

È possibile accedere alla pagina Crittografia da una politica macOS dell'agente espandendo il menu MDM , oppure tramite una politica MDM.

agent or mdm policies.png
Figura 1: Impostazioni di crittografia disponibili nelle politiche dell'agente macOS o MDM

Quando si abilitano queste impostazioni, tutti i dispositivi appena registrati tramite la registrazione automatica dei dispositivi (ADE) abiliteranno automaticamente FileVault durante la fase dell'Assistente di configurazione.

Se hai già crittografato il tuo dispositivo prima di registrarlo in NinjaOne MDM, NinjaOne non sarà in grado di depositare automaticamente la chiave di ripristino iniziale. Devi invece ruotare la chiave localmente sul dispositivo, quindi registrarlo in modo che NinjaOne possa depositare la nuova chiave. Utilizza il seguente comando in Terminale per ruotare la chiave di ripristino FileVault sul dispositivo: sudo /usr/bin/fdesetup changerecovery -personal

mdm_mac policy_encryption.png
Figura 2: Gestisci le impostazioni di crittografia FileVault per (clicca per ingrandire)

La tabella seguente fornisce una descrizione di ciascuna impostazione: 

Impostazione di crittografia FileVaultDescrizione o scopo
Richiedi crittografiaRichiede che il dispositivo abiliti la crittografia FileVault durante la configurazione o l'accesso. Se questa impostazione non è abilitata, le altre impostazioni saranno disattivate. 
Chiave di ripristino in depositoSe abilitata, il dispositivo invierà la chiave di ripristino a NinjaOne, dove la memorizzeremo e gestiremo per ogni dispositivo. È possibile trovare la chiave nella dashboard del dispositivo nella scheda Dettagli .
Abilita forzatamente nell'Assistente di configurazioneCrittografa il dispositivo durante la fase dell'Assistente di configurazione per le nuove registrazioni.
Mostra chiave di ripristinoRendi visibile la chiave di ripristino al termine della crittografia. Verrà visualizzata solo una volta per l'utente finale; successivamente, se la chiave di ripristino Escrow è abilitata, potrai trovare la chiave nella dashboard del dispositivo nella scheda Dettagli.
Numero di rinvii consentitiImposta il numero consentito di tentativi di bypass. Se il valore è impostato su 0, il sistema chiederà all'utente di abilitare FileVault al prossimo accesso. Imposta questo valore su -1 per abilitare rinvii illimitati. L'intervallo valido va da -1 a 9999.

Una volta applicata la politica al dispositivo, FileVault verrà abilitato dopo che un utente si sarà disconnesso e avrà effettuato nuovamente l'accesso al proprio account locale, oppure durante la registrazione automatica del dispositivo.

Una volta abilitato FileVault, potrebbero essere necessarie fino a un'ora prima che il dispositivo confermi lo stato di crittografia e che la chiave di ripristino venga visualizzata inizialmente in NinjaOne.

È possibile verificare se le chiavi sono state memorizzate correttamente accedendo alla dashboard del dispositivo in NinjaOne e aprendo la scheda Dettagli → MDM per controllare le seguenti informazioni nella sezione Sicurezza :

  • Lo stato di crittografia deve essere impostato su "Crittografato".
  • La chiave di ripristino dovrebbe avere il collegamento ipertestuale Visualizza chiave di ripristino.
  • Facendo clic su Visualizza chiave di ripristino dovrebbe aprirsi una finestra modale che mostra la chiave di ripristino corrente.
  • Il campo Ultimo aggiornamento della chiave dovrebbe visualizzare un timestamp valido.
filevault encryption example.png
Figura 3: Esempio di stato di crittografia FileVault

Rotazione della chiave di ripristino

Quando si abilitano le impostazioni di crittografia FileVault a livello di policy, è possibile richiedere la rotazione della chiave di ripristino dopo aver cliccato sul collegamento ipertestuale Visualizza chiave di ripristino nella dashboard del dispositivo in Dettagli → MDM

Si consiglia di ruotare la chiave di ripristino ogni volta che un utente finale la utilizza, ad esempio per sbloccare il dispositivo dopo averne perso l'accesso. 

Se l'impostazione " Chiave di ripristino in deposito " viene successivamente disattivata nella politica, i dispositivi già crittografati e che hanno precedentemente segnalato la loro chiave di ripristino non la segnaleranno più. Se questi dispositivi cambiano la loro chiave di ripristino per qualsiasi motivo, NinjaOne non ne verrà informato a meno che non si proceda a una nuova registrazione del dispositivo.

Per accedere a questa funzione, i tecnici devono disporre almeno delle autorizzazioni "Visualizza, Aggiorna" per Dispositivi → Accesso predefinito
encryption_request recovery rotation.png
Figura 4: Richiesta di rotazione della chiave di recupero della crittografia

Risorse aggiuntive

Fare riferimento a NinjaOne MDM: Catalogo delle risorse per ulteriori informazioni su NinjaOne MDM.

Domande frequenti

Passi successivi