Citrix Endpoint Management

FileVault 设备策略

macOS FileVault 完整磁盘加密 (FileVault 2) 功能通过加密系统卷的内容来保护系统卷。如果在 macOS 设备上启用了 FileVault,每次设备启动时,用户都将使用其帐户密码进行登录。如果用户丢失了自己的密码,可以通过恢复密钥来解锁磁盘并重置密码。

此设备策略将启用 FileVault 用户设置屏幕并配置恢复密钥等设置。有关 FileVault 的详细信息,请参阅 Apple 支持站点。

要添加 FileVault 策略,请转至配置 > 设备策略

macOS 设置

“设备策略”配置屏幕

  • 启用 FileVault: 如果设置为,则将在接下来的 N 次注销过程中提示用户启用 FileVault,如选项跳过 FileVault 设置的最大次数指定。如果设置为,将不显示 FileVault 密码提示。
  • Prompt for FileVault setup during logout(注销过程中提示进行 FileVault 设置):如果设置为,用户在注销时会看到一条提示,要求其启用 FileVault。
  • 跳过 FileVault 设置的最大次数: 用户可以跳过 FileVault 设置的最大次数。用户达到最大次数时,必须设置 FileVault 才能登录。如果设置为 0,用户必须在首次尝试登录过程中启用 FileVault。默认值为 0
  • 恢复密钥类型: 忘记了密码的用户可以键入恢复密钥以解锁磁盘并重置自己的密码。恢复密钥选项:

    • 个人恢复密钥: 个人恢复密钥对用户而言是唯一的。FileVault 设置过程中,用户将选择创建恢复密钥还是允许其 iCloud 帐户解锁磁盘。要在 FileVault 设置完成后向用户显示恢复密钥,请启用显示个人恢复密钥。显示该密钥将使用户能够录制该密钥以供将来使用。有关恢复密钥管理的信息,请参阅 Apple 支持站点。还可以通过安全操作轮换个人恢复密钥。有关轮换个人恢复密钥的详细信息,请参阅安全操作

    • 机构恢复密钥: 可以创建一个机构(或主)恢复密钥和 FileVault 证书,以后您将使用这些凭据来解锁用户设备。有关信息,请参阅 Apple 支持站点。使用 Endpoint Management 可将 FileVault 证书部署到设备。有关信息,请参阅证书和身份验证

    • 个人和机构恢复密钥: 一旦同时启用这两种类型的恢复密钥,则仅当用户丢失了自己的个人恢复密钥时才必须解锁用户设备。

  • Institutional recovery key certificate(机构恢复密钥证书):如果选择 Institutional recovery key(机构恢复密钥)或 Personal & Institutional recovery key(个人和机构恢复密钥)作为 Recovery key type(恢复密钥类型),请选择该密钥的恢复密钥证书。

  • Show personal recovery key(显示个人恢复密钥):如果设置为,用户设备将在设置 FileVault 后向用户显示个人恢复密钥。默认值为

FileVault 用户屏幕

  • Escrow personal recovery key(托管个人恢复密钥):存储每台设备的个人恢复密钥。可以从设备详细信息页面访问密钥。如果启用了此设置和 Display personal recovery key to user(向用户显示个人恢复密钥)设置,用户可以从自助服务门户查看其恢复密钥。有关自助服务门户的详细信息,请参阅在自助服务门户上启用注册模式。即使未启用 FileVault 设置,也可以启用 Escrow personal recovery key(托管个人恢复密钥)设置。

自助服务门户中显示的 FileVault 密钥

FileVault 设备策略