Citrix Endpoint Management

FileVault 设备策略

macOS FileVault 完整磁盘加密 (FileVault 2) 功能通过加密系统卷的内容来保护系统卷。每次启动设备时,用户都会使用帐户密码登录启用了 FileVault 的 macOS 设备。如果用户丢失了自己的密码,可以通过恢复密钥来解锁磁盘并重置密码。

此设备策略将启用 FileVault 用户设置屏幕并配置恢复密钥等设置。有关 FileVault 的详细信息,请参阅 Apple 支持站点。

要添加 FileVault 策略,请转至配置 > 设备策略

macOS 设置

“设备策略”配置屏幕

  • 启用 FileVault: 如果设置为,则将在接下来的 N 次注销过程中提示用户启用 FileVault,如选项跳过 FileVault 设置的最大次数指定。如果 关闭,用户不会收到启用 FileVault 的提示,但他们仍然可以自行启用 FileVault。
  • Prompt for FileVault setup during logout(注销过程中提示进行 FileVault 设置):如果设置为,用户在注销时会看到一条提示,要求其启用 FileVault。
  • 跳过 FileVault 设置的最大次数: 用户可以跳过 FileVault 设置的最大次数。用户达到最大次数时,必须设置 FileVault 才能登录。如果设置为 0,用户必须在首次尝试登录过程中启用 FileVault。默认值为 0
  • 恢复密钥类型: 忘记了密码的用户可以键入恢复密钥以解锁磁盘并重置自己的密码。恢复密钥选项:

    • 个人恢复密钥: 个人恢复密钥对用户而言是唯一的。FileVault 设置过程中,用户将选择创建恢复密钥还是允许其 iCloud 帐户解锁磁盘。要在 FileVault 设置完成后向用户显示恢复密钥,请启用显示个人恢复密钥。显示该密钥将使用户能够录制该密钥以供将来使用。要允许用户在丢失密钥时查找密钥,请启用 Escrow个人恢复密钥

      您可以通过安全措施轮换个人恢复密钥。有关轮换个人恢复密钥的更多信息,请参阅 安全操作

      有关恢复密钥管理的信息,请参阅 Apple 支持站点。

    • 机构恢复密钥: 您可以创建机构(或主)恢复密钥和 FileVault 证书,然后使用它们解锁用户设备。有关信息,请参阅 Apple 支持站点。使用 Citrix Endpoint Management 将 FileVault 证书部署到设备。有关信息,请参阅证书和身份验证

    • 个人和机构恢复密钥: 一旦同时启用这两种类型的恢复密钥,则仅当用户丢失了自己的个人恢复密钥时才必须解锁用户设备。

  • Institutional recovery key certificate(机构恢复密钥证书):如果选择 Institutional recovery key(机构恢复密钥)或 Personal & Institutional recovery key(个人和机构恢复密钥)作为 Recovery key type(恢复密钥类型),请选择该密钥的恢复密钥证书。

  • Show personal recovery key(显示个人恢复密钥):如果设置为,用户设备将在设置 FileVault 后向用户显示个人恢复密钥。默认值为

    FileVault 用户屏幕

  • 托管个人恢复密钥: 启用后,用户可以使用 Citrix Endpoint Management 存储每台设备的个人恢复密钥副本。

    FileVault 提示存储密钥

    要从 Citrix Endpoint Management 访问密钥,请前往“管理”“设备”,选择 macOS 设备,然后单击“编辑”。然后,转到 设备详细信息 > 常规 并找到 个人恢复密钥

    要允许用户从自助门户查看他们的恢复密钥,请启用 托管个人恢复密钥向用户显示个人恢复密钥。密钥显示在“自助门户”中,位于“属性”页面上的“安全信息”下。有关自助门户的详细信息,请参阅 自助门户

    自助服务门户中显示的 FileVault 密钥

    即使没有启用启用 FileVault 设置,也可以启用 托管个人恢复密钥 设置。如果禁用 启用 FileVault 设置,用户仍然可以自行启用 FileVault。在这种情况下,启用 托管个人恢复密钥 以允许用户使用 Citrix Endpoint Management 存储其密钥副本。

    如果用户在将设备注册到 Citrix Endpoint Management 之前启用了 FileVault,则 Citrix Endpoint Management 不会存储他们的恢复密钥。该设备在控制台中显示为已启用 FileVault。

FileVault 设备策略