Citrix Endpoint Management

Directiva de FileVault

En macOS, la funcionalidad de cifrado de disco completo (FileVault 2) protege el volumen del sistema cifrando su contenido. Con FileVault habilitado en un dispositivo macOS, el usuario debe iniciar sesión con su contraseña de cuenta cada vez que se inicia el dispositivo. Si el usuario pierde la contraseña, una clave de recuperación le permite desbloquear el disco y restablecerla.

Esta directiva de dispositivo permite al usuario de FileVault configurar pantallas y definir parámetros, como claves de recuperación. Para obtener más información acerca de FileVault, consulte el artículo de asistencia de Apple.

Para agregar la directiva de FileVault, vaya a Configurar > Directivas de dispositivo.

Parámetros de macOS

Pantalla de configuración de directivas de dispositivo

  • Habilitar FileVault: Si el valor es , se pide al usuario que habilite FileVault una vez pasados los cierres de sesión indicados en la opción Máximo de veces que se puede omitir la configuración de FileVault. Cuando el valor es No, no aparece la solicitud de contraseña de FileVault.
  • Solicitar la configuración de FileVault durante el cierre de sesión: Si el valor es , se presentará un mensaje a los usuarios en el que se les pide que habiliten FileVault cuando cierren la sesión.
  • Máximo de veces que se puede omitir la configuración de FileVault: La cantidad máxima de veces que el usuario puede omitir la configuración de FileVault. Cuando el usuario alcanza ese máximo, debe configurar FileVault para iniciar sesión. Si es 0, el usuario debe habilitar FileVault durante el primero intento de inicio de sesión. El valor predeterminado es 0.
  • Tipo de clave de recuperación: Un usuario que olvide la contraseña puede escribir una clave de recuperación para desbloquear el disco y poder restablecerla. Opciones de la clave de recuperación:

    • Clave de recuperación personal: Una clave de recuperación personal es única para cada usuario. Durante la configuración de FileVault, un usuario elige si crear una clave de recuperación o permitir que su cuenta de iCloud desbloquee el disco. Para mostrar la clave de recuperación al usuario una vez completada la configuración de FileVault, active Mostrar clave de recuperación personal. Al mostrar la clave, el usuario puede anotarla para usarla en el futuro. Para obtener más información acerca de la administración de claves de recuperación, consulte el sitio de asistencia de Apple. También puede rotar claves personales de recuperación mediante acciones de seguridad. Para obtener más información sobre la rotación de claves personales de recuperación, consulte Acciones de seguridad.

    • Clave de recuperación institucional: Puede crear una clave de recuperación institucional (o maestra) y un certificado de FileVault, que podrá utilizar para desbloquear los dispositivos de los usuarios. Para obtener más información, consulte la página de asistencia de Apple. Utilice Endpoint Management para implementar el certificado de FileVault en los dispositivos. Para obtener información, consulte Certificados y autenticación.

    • Clave de recuperación personal e institucional: Cuando activa ambos tipos de claves de recuperación, solo deberá desbloquear un dispositivo si el usuario pierde su clave de recuperación personal.

  • Certificado de clave de recuperación institucional: Si selecciona Clave de recuperación institucional o Clave de recuperación personal e institucional como Tipo de clave de recuperación, deberá seleccionar el certificado de clave de recuperación para esa clave.

  • Mostrar clave de recuperación personal: Si el valor es , el dispositivo del usuario muestra la clave de recuperación personal al usuario después de configurar FileVault. Está desactivado de forma predeterminada.

Pantalla de usuario de FileVault

  • Clave de recuperación personal de custodia: Almacena la clave personal de recuperación de cada dispositivo. Puede acceder a la clave desde la página de detalles del dispositivo. Si habilita este parámetro y el parámetro Mostrar clave de recuperación personal al usuario, los usuarios pueden ver su clave de recuperación desde Self Help Portal. Para obtener más información acerca de Self Help Portal, consulte Para habilitar un modo de inscripción en el portal Self-Help Portal. Puede habilitar el parámetro Clave de recuperación personal de depósito de garantía incluso si no habilita el parámetro FileVault.

Clave de FileVault que se muestra en Self Help Portal

Directiva de FileVault