Citrix Endpoint Management

Directiva de FileVault

En macOS, la funcionalidad de cifrado de disco completo (FileVault 2) protege el volumen del sistema cifrando su contenido. El usuario inicia sesión en un dispositivo macOS con FileVault habilitado con su contraseña de cuenta cada vez que se inicia el dispositivo. Si el usuario pierde la contraseña, una clave de recuperación le permite desbloquear el disco y restablecerla.

Esta directiva de dispositivo permite al usuario de FileVault configurar pantallas y definir parámetros, como claves de recuperación. Para obtener más información acerca de FileVault, consulte el artículo de asistencia de Apple.

Para agregar la directiva de FileVault, vaya a Configurar > Directivas de dispositivo.

Parámetros de macOS

Pantalla de configuración Directivas de dispositivo

  • Habilitar FileVault: Si está activado, se pide al usuario que habilite FileVault una vez pasados los cierres de sesión indicados en la opción Máximo de veces que se puede omitir la configuración de FileVault. Si está desactivado, los usuarios no reciben ningún mensaje para habilitar FileVault, pero aún pueden habilitar FileVault ellos mismos.
  • Solicitar la configuración de FileVault durante el cierre de sesión: Si el valor es , se presentará un mensaje a los usuarios en el que se les pide que habiliten FileVault cuando cierren la sesión.
  • Máximo de veces que se puede omitir la configuración de FileVault: La cantidad máxima de veces que el usuario puede omitir la configuración de FileVault. Cuando el usuario alcanza ese máximo, debe configurar FileVault para iniciar sesión. Si es 0, el usuario debe habilitar FileVault durante el primero intento de inicio de sesión. El valor predeterminado es 0.
  • Tipo de clave de recuperación: Un usuario que olvide la contraseña puede escribir una clave de recuperación para desbloquear el disco y poder restablecerla. Opciones de la clave de recuperación:

    • Clave de recuperación personal: Una clave de recuperación personal es única para cada usuario. Durante la configuración de FileVault, un usuario elige si crear una clave de recuperación o permitir que su cuenta de iCloud desbloquee el disco. Para mostrar la clave de recuperación al usuario una vez completada la configuración de FileVault, active Mostrar clave de recuperación personal. Al mostrar la clave, el usuario puede anotarla para usarla en el futuro. Para permitir a los usuarios buscar su clave si la pierden, habilite Clave de recuperación personal de custodia.

      Puede rotar claves personales de recuperación mediante acciones de seguridad. Para obtener más información sobre la rotación de claves personales de recuperación, consulte Acciones de seguridad.

      Para obtener más información acerca de la administración de claves de recuperación, consulte el sitio de asistencia de Apple.

    • Clave de recuperación institucional: Puede crear una clave de recuperación institucional (o principal) y un certificado de FileVault, que podrá utilizar para desbloquear los dispositivos de los usuarios. Para obtener más información, consulte la página de asistencia de Apple. Utilice Endpoint Management para implementar el certificado de FileVault en los dispositivos. Para obtener información, consulte Certificados y autenticación.

    • Clave de recuperación personal e institucional: Cuando activa ambos tipos de claves de recuperación, solo deberá desbloquear un dispositivo si el usuario pierde su clave de recuperación personal.

  • Certificado de clave de recuperación institucional: Si selecciona Clave de recuperación institucional o Clave de recuperación personal e institucional como Tipo de clave de recuperación, deberá seleccionar el certificado de clave de recuperación para esa clave.

  • Mostrar clave de recuperación personal: Si el valor es , el dispositivo del usuario muestra la clave de recuperación personal al usuario después de configurar FileVault. Está desactivado de forma predeterminada.

    Pantalla de usuario de FileVault

  • Clave de recuperación personal de custodia: Cuando está habilitada esta opción, los usuarios pueden almacenar una copia de la clave de recuperación personal para cada dispositivo con Endpoint Management.

    Solicitud de FileVault para almacenar la clave

    Para acceder a la clave desde Endpoint Management, vaya a Administrar > Dispositivos, seleccione el dispositivo macOS y haga clic en Modificar. A continuación, vaya a Datos del dispositivo > General y busque la Clave de recuperación personal.

    Para permitir a los usuarios ver su clave de recuperación desde Self Help Portal, habilite Clave de recuperación personal de custodia y Mostrar clave de recuperación personal al usuario. La clave aparece en Self Help Portal en la página Propiedades, en Información de seguridad. Para obtener más información acerca de Self Help Portal, consulte Self Help Portal.

    Clave de FileVault que se muestra en Self Help Portal

    Puede habilitar el parámetro Clave de recuperación personal de depósito de garantía incluso si no activa el parámetro Habilitar FileVault. Si inhabilita el parámetro Habilitar FileVault, los usuarios aún pueden habilitar FileVault por su cuenta. En este caso, habilite Clave de recuperación personal de custodia para que los usuarios puedan almacenar una copia de su clave con Endpoint Management.

    Si un usuario habilita FileVault antes de inscribir el dispositivo en Endpoint Management, Endpoint Management no almacena su clave de recuperación. El dispositivo aparece con FileVault habilitado en la consola.

Directiva de FileVault