Citrix Endpoint Management

FileVault 设备策略

macOS FileVault 完整磁盘加密 (FileVault 2) 功能通过加密系统卷的内容来保护系统卷。每次启动设备时,用户都会使用帐户密码登录启用了 FileVault 的 macOS 设备。如果用户丢失了自己的密码,可以通过恢复密钥来解锁磁盘并重置密码。

此设备策略将启用 FileVault 用户设置屏幕并配置恢复密钥等设置。有关 FileVault 的详细信息,请参阅 Apple 支持站点。

要添加 FileVault 策略,请转到 配置 > 设备策略。

macOS 设置

“设备策略”配置屏幕

  • 启用 FileVault: 如果设置为,则将在接下来的 N 次注销过程中提示用户启用 FileVault,如选项跳过 FileVault 设置的最大次数指定。如果 关闭,用户不会收到启用 FileVault 的提示,但他们仍然可以自行启用 FileVault。
  • Prompt for FileVault setup during logout(注销过程中提示进行 FileVault 设置):如果设置为,用户在注销时会看到一条提示,要求其启用 FileVault。
  • 跳过 FileVault 设置的最大次数: 用户可以跳过 FileVault 设置的最大次数。用户达到最大次数时,必须设置 FileVault 才能登录。如果设置为 0,用户必须在首次尝试登录过程中启用 FileVault。默认值为 0
  • 恢复密钥类型: 忘记了密码的用户可以键入恢复密钥以解锁磁盘并重置自己的密码。恢复密钥选项:

    • 个人恢复密钥: 个人恢复密钥对用户而言是唯一的。FileVault 设置过程中,用户将选择创建恢复密钥还是允许其 iCloud 帐户解锁磁盘。要在 FileVault 设置完成后向用户显示恢复密钥,请启用显示个人恢复密钥。显示该密钥将使用户能够录制该密钥以供将来使用。要允许用户在丢失密钥时查找密钥,请启用 Escrow个人恢复密钥

      您可以通过安全措施轮换个人恢复密钥。有关轮换个人恢复密钥的详细信息,请参阅安全操作

      有关恢复密钥管理的信息,请参阅 Apple 支持站点。

    • 机构恢复密钥: 您可以创建机构(或主)恢复密钥和 FileVault 证书,然后使用它们解锁用户设备。有关信息,请参阅 Apple 支持站点。使用 Endpoint Management 可将 FileVault 证书部署到设备。有关信息,请参阅证书和身份验证

    • 个人和机构恢复密钥: 一旦同时启用这两种类型的恢复密钥,则仅当用户丢失了自己的个人恢复密钥时才必须解锁用户设备。

  • Institutional recovery key certificate(机构恢复密钥证书):如果选择 Institutional recovery key(机构恢复密钥)或 Personal & Institutional recovery key(个人和机构恢复密钥)作为 Recovery key type(恢复密钥类型),请选择该密钥的恢复密钥证书。

  • Show personal recovery key(显示个人恢复密钥):如果设置为,用户设备将在设置 FileVault 后向用户显示个人恢复密钥。默认值为

    FileVault 用户屏幕

  • 托管个人恢复密钥: 启用后,用户可以使用 Endpoint Management 为每台设备存储个人恢复密钥的副本。

    FileVault 提示存储密钥

    要从 Endpoint Management 访问密钥,请转到 管理 > 设备,选择 macOS 设备,然后单击 编辑。然后,转到 设备详细信息 > 常规 并找到 个人恢复密钥

    要允许用户从自助门户查看他们的恢复密钥,请启用 托管个人恢复密钥向用户显示个人恢复密钥。密钥显示在 “自助门户” 中,位于 “ 属性 ” 页面上的 “ 安全信息” 下。有关自助服务门户的详细信息,请参阅在自助服务门户上启用注册安全模式

    自助服务门户中显示的 FileVault 密钥

    即使没有启用启用 FileVault 设置,也可以启用 托管个人恢复密钥 设置。如果禁用 启用 FileVault 设置,用户仍然可以自行启用 FileVault。在这种情况下,启用 托管个人恢复密钥 ,以允许用户使用 Endpoint Management 存储密钥副本。

    如果用户在将设备注册到 Endpoint Management 之前启用了 FileVault,则 Endpoint Management 不会存储他们的恢复密钥。该设备在控制台中显示为已启用 FileVault。

FileVault 设备策略