Citrix Endpoint Management

Stratégie FileVault

La fonctionnalité de cryptage intégral de disque FileVault de macOS (FileVault 2) protège le volume système en cryptant son contenu. Un utilisateur se connecte à un appareil macOS sur lequel FileVault est activé avec son mot de passe de compte à chaque démarrage de l’appareil. Si l’utilisateur perd son mot de passe, une clé de récupération (également appelée « clé de secours ») lui permet de déverrouiller le disque et de réinitialiser son mot de passe.

Cette stratégie active les écrans de configuration utilisateur de FileVault et configure les paramètres tels que les clés de récupération. Pour plus d’informations sur FileVault, consultez le site d’assistance Apple.

Pour ajouter la stratégie FileVault, accédez à Configurer > Stratégies d’appareil.

Paramètres macOS

Écran de configuration Stratégies d'appareil

  • Activer FileVault : si cette option est définie sur Activé, l’utilisateur est invité à activer FileVault au cours des N prochaines déconnexions, comme spécifié par l’option Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault. Si cette option est définie sur Désactivé, les utilisateurs ne reçoivent pas d’invite pour activer FileVault, mais ils peuvent toujours activer FileVault par eux-mêmes.
  • Exiger activation de FileVault durant la déconnexion : si cette option est définie sur Activé, l’utilisateur est invité à activer FileVault lorsqu’il se déconnecte.
  • Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault : nombre maximal de fois que l’utilisateur peut ignorer la configuration de FileVault. Lorsque l’utilisateur atteint le nombre maximal de fois défini, il doit configurer FileVault pour se connecter. Si la valeur est 0, l’utilisateur doit activer FileVault lors de sa première tentative de connexion. La valeur par défaut est 0.
  • Type de clé de récupération : un utilisateur qui oublie son mot de passe peut entrer une clé de récupération pour déverrouiller le disque et réinitialiser son mot de passe. Options de clé de récupération :

    • Clé de récupération privée : une clé de récupération privée est propre à un utilisateur. Lors de l’installation de FileVault, un utilisateur choisit de créer une clé de récupération ou d’autoriser son compte iCloud à déverrouiller son disque. Pour afficher la clé de récupération pour l’utilisateur après la configuration de FileVault, activez Afficher la clé de récupération privée. L’affichage de la clé permet à l’utilisateur de noter la clé pour une utilisation ultérieure. Pour permettre aux utilisateurs de rechercher leur clé s’ils la perdent, activez Dépôt de clé de secours privée.

      Vous pouvez alterner les clés de récupération privées via des actions de sécurité. Pour plus d’informations sur la rotation des clés de récupération privées, consultez la section Actions de sécurisation.

      Pour plus d’informations sur la gestion des clés de récupération, consultez le site d’assistance Apple.

    • Clé de récupération institutionnelle : vous pouvez créer une clé de récupération institutionnelle (ou principale) et un certificat FileVault, que vous pouvez ensuite utiliser pour déverrouiller les appareils utilisateur. Pour plus d’informations, consultez le site d’assistance Apple. Utilisez Citrix Endpoint Management pour déployer le certificat FileVault sur les appareils. Pour de plus amples informations, consultez Certificats et authentification.

    • Clé de récupération privée et institutionnelle : avec l’activation de ces deux types de clés de récupération, vous devez déverrouiller un appareil utilisateur uniquement si l’utilisateur perd sa clé de récupération privée.

  • Certificat de la clé de récupération institutionnelle : si vous sélectionnez Clé de récupération institutionnelle ou Clé de récupération privée et institutionnelle comme Type de clé de récupération, sélectionnez le certificat de la clé de récupération associé à cette clé.

  • Afficher la clé de récupération privée : si cette option est définie sur Activé, l’appareil utilisateur affiche la clé de récupération privée une fois la configuration FileVault effectuée. La valeur par défaut est Désactivé.

    Écran utilisateur de FileVault

  • Dépôt de clé de secours privée : lorsque cette option est activée, les utilisateurs peuvent stocker une copie de la clé de récupération privée pour chaque appareil avec Citrix Endpoint Management.

    Invite FileVault à enregistrer la clé

    Pour accéder à la clé depuis Citrix Endpoint Management, accédez à Gérer > Appareils, sélectionnez l’appareil macOS et cliquez sur Modifier. Ensuite, accédez à Détails de l’appareil > Général et recherchez la clé de récupération privée.

    Pour permettre aux utilisateurs d’afficher leur clé de récupération sur le portail utilisateur, activez Dépôt de clé de secours privée et Afficher la clé de récupération privée. La clé apparaît dans le portail utilisateur sur la page Propriétés sous Informations de sécurité. Pour plus d’informations sur le portail en libre-service, voir Portail en libre-service.

    Clé FileVault affichée dans le portail utilisateur

    Vous pouvez activer le paramètre Dépôt de clé de récupération privée même si vous n’activez pas le paramètre Activer FileVault. Si vous désactivez le paramètre Activer FileVault, les utilisateurs peuvent toujours activer FileVault par eux-mêmes. Dans ce cas, activez l’option Dépôt de clé de secours privée pour permettre aux utilisateurs de stocker une copie de leur clé avec Citrix Endpoint Management.

    Si un utilisateur active FileVault avant d’inscrire l’appareil à Citrix Endpoint Management, Citrix Endpoint Management ne stocke pas sa clé de récupération. L’appareil apparaît comme « FileVault activé » dans la console.

Stratégie FileVault

Dans cet article