Citrix Endpoint Management

Stratégie FileVault

La fonctionnalité de cryptage intégral de disque FileVault de macOS (FileVault 2) protège le volume système en cryptant son contenu. Lorsque FileVault est activé sur un appareil macOS, un utilisateur se connecte avec son mot de passe de compte à chaque démarrage de l’appareil. Si l’utilisateur perd son mot de passe, une clé de récupération lui permet de déverrouiller le disque et de réinitialiser son mot de passe.

Cette stratégie active les écrans de configuration utilisateur de FileVault et configure les paramètres tels que les clés de récupération. Pour plus d’informations sur FileVault, consultez le site d’assistance Apple.

Pour ajouter la stratégie FileVault, accédez à Configurer > Stratégies d’appareil.

Paramètres macOS

Écran de configuration Stratégies d'appareil

  • Activer FileVault : si cette option est définie sur Activé, l’utilisateur est invité à activer FileVault au cours des N prochaines déconnexions, comme spécifié par l’option Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault. Si elle est définie sur Désactivé, l’invite de mot de passe FileVault ne s’affiche pas.
  • Exiger activation de FileVault durant la déconnexion : si cette option est définie sur Activé, l’utilisateur est invité à activer FileVault lorsqu’il se déconnecte.
  • Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault : nombre maximal de fois que l’utilisateur peut ignorer la configuration de FileVault. Lorsque l’utilisateur atteint le nombre maximal de fois défini, il doit configurer FileVault pour se connecter. Si la valeur est 0, l’utilisateur doit activer FileVault lors de sa première tentative de connexion. La valeur par défaut est 0.
  • Type de clé de secours : un utilisateur qui oublie son mot de passe peut taper une clé de secours pour déverrouiller le disque et réinitialiser son mot de passe. Options de clé de secours :

    • Clé de secours privée : une clé de secours privée est propre à un utilisateur. Lors de l’installation de FileVault, un utilisateur choisit de créer une clé de secours ou d’autoriser son compte iCloud à déverrouiller son disque. Pour afficher la clé de secours pour l’utilisateur après la configuration de FileVault, activez Afficher la clé de secours privée. L’affichage de la clé permet à l’utilisateur de noter la clé pour une utilisation ultérieure. Pour plus d’informations sur la gestion des clés de secours, consultez le site d’assistance Apple. Vous pouvez également alterner les clés de récupération privées via des actions de sécurité. Pour plus d’informations sur la rotation des clés de récupération privées, consultez la section Actions de sécurisation.

    • Clé de récupération institutionnelle : vous pouvez créer une clé de récupération institutionnelle (ou principale) et un certificat FileVault, que vous pouvez ensuite utiliser pour déverrouiller les appareils utilisateur. Pour plus d’informations, consultez le site d’assistance Apple. Utilisez Endpoint Management pour déployer le certificat FileVault sur les appareils. Pour de plus amples informations, consultez la section Certificats et authentification.

    • Clé de secours privée et institutionnelle : avec l’activation de ces deux types de clés de secours, vous devez déverrouiller un appareil utilisateur uniquement si l’utilisateur perd sa clé de secours privée.

  • Certificat de la clé de récupération institutionnelle : si vous sélectionnez Clé de récupération institutionnelle ou Clé de récupération privée et institutionnelle comme type de clé de récupération, sélectionnez le certificat de la clé de récupération associé à cette clé.

  • Afficher la clé de récupération privée : si cette option est définie sur Activé, l’appareil utilisateur affiche la clé de récupération privée une fois la configuration FileVault effectuée. La valeur par défaut est Désactivé.

Écran Utilisateur de FileVault

  • Dépôt de clé de récupération privée : cette option permet de stocker la clé de récupération privée pour chaque appareil. Vous pouvez accéder à la clé à partir de la page de détails de l’appareil. Les utilisateurs peuvent afficher leur clé de récupération à partir du portail en libre-service si vous activez ce paramètre, ainsi que le paramètre Afficher la clé de récupération privée. Pour plus d’informations sur le portail en libre-service, consultez la section Pour activer un mode d’inscription sur le portail en libre-service. Vous pouvez activer le paramètre Dépôt de clé de récupération privée même si vous n’activez pas le paramètre FileVault.

Clé FileVault affichée dans le portail en libre-service

Stratégie FileVault