Citrix Endpoint Management

FileVault 设备策略

macOS FileVault 完整磁盘加密 (FileVault 2) 功能通过加密系统卷的内容来保护系统卷。用户在每次设备启动时都使用其帐户密码登录启用了 FileVault 的 macOS 设备。如果用户丢失了自己的密码,可以通过恢复密钥来解锁磁盘并重置密码。

此设备策略将启用 FileVault 用户设置屏幕并配置恢复密钥等设置。有关 FileVault 的详细信息,请参阅 Apple 支持站点。

要添加 FileVault 策略,请转至配置 > 设备策略

macOS 设置

“设备策略”配置屏幕

  • 启用 FileVault: 如果设置为,则将在接下来的 N 次注销过程中提示用户启用 FileVault,如选项跳过 FileVault 设置的最大次数指定。如果设置为 Off(关),用户不会收到启用 FileVault 的提示,但他们仍然可以自行启用 FileVault。
  • Prompt for FileVault setup during logout(注销过程中提示进行 FileVault 设置):如果设置为,用户在注销时会看到一条提示,要求其启用 FileVault。
  • 跳过 FileVault 设置的最大次数: 用户可以跳过 FileVault 设置的最大次数。用户达到最大次数时,必须设置 FileVault 才能登录。如果设置为 0,用户必须在首次尝试登录过程中启用 FileVault。默认值为 0
  • 恢复密钥类型: 忘记了密码的用户可以键入恢复密钥以解锁磁盘并重置自己的密码。恢复密钥选项:

    • 个人恢复密钥: 个人恢复密钥对用户而言是唯一的。FileVault 设置过程中,用户将选择创建恢复密钥还是允许其 iCloud 帐户解锁磁盘。要在 FileVault 设置完成后向用户显示恢复密钥,请启用显示个人恢复密钥。显示该密钥将使用户能够录制该密钥以供将来使用。要允许用户在丢失密钥时查找密钥,请启用 Escrow personal recovery key(托管个人恢复密钥)。

      您可以通过安全操作轮换个人恢复密钥。有关轮换个人恢复密钥的详细信息,请参阅安全操作

      有关恢复密钥管理的信息,请参阅 Apple 支持站点。

    • 机构恢复密钥: 可以创建一个机构(或主)恢复密钥和 FileVault 证书,以后您将使用这些凭据来解锁用户设备。有关信息,请参阅 Apple 支持站点。使用 Endpoint Management 可将 FileVault 证书部署到设备。有关信息,请参阅证书和身份验证

    • 个人和机构恢复密钥: 一旦同时启用这两种类型的恢复密钥,则仅当用户丢失了自己的个人恢复密钥时才必须解锁用户设备。

  • Institutional recovery key certificate(机构恢复密钥证书):如果选择 Institutional recovery key(机构恢复密钥)或 Personal & Institutional recovery key(个人和机构恢复密钥)作为 Recovery key type(恢复密钥类型),请选择该密钥的恢复密钥证书。

  • Show personal recovery key(显示个人恢复密钥):如果设置为,用户设备将在设置 FileVault 后向用户显示个人恢复密钥。默认值为

    FileVault 用户屏幕

  • Escrow personal recovery key(托管个人恢复密钥):启用后,用户可以使用 Endpoint Management 为每台设备存储个人恢复密钥的副本。

    FileVault 提示存储密钥

    要从 Endpoint Management 访问密钥,请转到 Manage(管理)> Devices(设备),选择 macOS 设备,然后单击 Edit(编辑)。然后,转到 Device details(设备详细信息)> General(常规) 并找到 Personal recovery Key(个人恢复密钥)。

    要允许用户从自助服务门户查看其恢复密钥,请启用 Escrow personal recovery key(托管个人恢复密钥)和 Display personal recovery key to user(向用户显示个人恢复密钥)。密钥将显示在自助服务门户的 Properties (属性)页面上的 Security information(安全信息)下。有关自助服务门户的详细信息,请参阅自助服务门户

    自助服务门户中显示的 FileVault 密钥

    即使未启用启用 FileVault 设置,也可以启用 Escrow personal recovery key(托管个人恢复密钥)设置。如果禁用 Enable FileVault(启用 FileVault)设置,用户仍然可以自行启用 FileVault。在这种情况下,启用 Escrow personal recovery key(托管个人恢复密钥)以允许用户使用 Endpoint Management 存储其密钥的副本。

    如果用户在将设备注册到 Endpoint Management 之前启用了 FileVault,Endpoint Management 不会存储其恢复密钥。设备在控制台中显示为已启用 FileVault。

FileVault 设备策略

在本文中