Konfigurieren von FileVault

Informationen zu FileVault - und Wiederherstellungsschlüsseln

 FileVault ist eine integrierte Funktion von macOS, die das Startlaufwerk verschlüsselt. Während des Setups generiert FileVault einen Wiederherstellungsschlüssel, der eine zusätzliche Zugriffsmethode auf das Laufwerk ermöglicht, falls alle FileVault aktivierten Benutzerkennwörter vergessen werden.

• Hier erfährst du mehr darüber, wie FileVault deine Mac-Geräte schützt und das Anmeldeverhalten ändert.

• Erfahren Sie, wie Sie die FileVault Recovery Key nutzen können, um das Kennwort eines Benutzers zurückzusetzen.

• Erfahren Sie mehr über die Benutzererfahrung mit FileVault.

Library Item: FileVault

Der FileVault 2 Library Item erzwingt, dass alle registrierten macOS Geräte die FileVault Festplattenverschlüsselung aktivieren. Mac-Geräte werden beim Neustart aufgefordert, FileVault Einrichtung abzuschließen.

Library Item Optionen

1. FileVault Durchsetzung: In dieser Dropdown-Liste stehen die folgenden zwei Auswahlmöglichkeiten zur Verfügung:

   1. Sofort bei der nächsten Anmeldung erzwingen (empfohlen)Wenn Sie diese Option auswählen, muss FileVault sofort bei der nächsten Anmeldung aktiviert werden. 

      1. Wenn Sie diese Option auswählen, wird eine zweite Option angezeigt, die während des Setup-Assistenten für die automatische Device Enrollmenterzwingen angezeigt wird. Wenn diese Option ausgewählt ist, versuchen Kandji für macOS Sonoma und höher zu erzwingen, dass FileVault während des Setup-Assistenten für die automatisierte Device Enrollmentaktiviert ist. Bei erfolgreichem Erfolg ist für den Benutzer kein Neustart erforderlich, sobald er zum Desktop gelangt ist.

   2. Benutzerverzögerung vor Erzwingung zulassen (nicht empfohlen)Wenn Sie diese Option auswählen, wird die Option Nach Neustart auffordern, wenn FileVault nicht aktiviert ist ) ausgeblendet und stattdessen eine  Dropdown-Liste Benutzerverzögerung angezeigt, in der Sie auswählen können, wie viele Anmeldeversuche unternommen werden können, bevor FileVault aktiviert ist.

2. Während des Setup-Assistenten für automatisierte Device Enrollment erzwingen (macOS 14+) (Empfohlen)Wenn Sie diese Option auswählen, wird versucht, FileVault während des Setup-Assistenten für Geräte mit macOS 14+ zu erzwingen, die sich mit der automatisierten Device Enrollmentregistrieren. Diese Auswahl ignoriert FileVault eine Einstellung zum Überspringen des Bildschirms in der Automated Device Enrollment Library item.  

3. Neustart anfordern, wenn FileVault nicht aktiviert ist (empfohlen)Wenn Sie diese Option auswählen, können Sie einen Neustart erzwingen oder anfordern, um FileVaultzu aktivieren. Die folgenden zwei Optionen sind in der Dropdown-Liste verfügbar.

   1. Neustart erzwingen nach (Empfohlen)Wenn Sie diese Option auswählen, wird der Benutzer gezwungen, nach der angegebenen Zeit neu zu starten. Bei der nächsten Anmeldung wird der Benutzer gezwungen, FileVaultzu aktivieren. 

   2. Erinnern Sie daran, jeden Neustart...  (Nicht empfohlen)Wenn Sie diese Option auswählen, können Sie den Endbenutzer alle x Minuten daran erinnern, den Mac neu zu starten. Bei der nächsten Anmeldung wird der Benutzer gezwungen, FileVaultzu aktivieren.

4. Dropdown-Menü "Anzahl der Minuten": In dieser Dropdown-Liste können Sie festlegen, wie viele Minuten vergehen sollen, bevor ein Neustart erzwungen wird, oder wie oft ein Benutzer an einen Neustart erinnert werden soll, um FileVaultzu aktivieren. 

5. Dem Benutzer den FileVault Wiederherstellungsschlüssel anzeigen, wenn er generiert wird:Wenn Sie diese Option auswählen, wird dem Endbenutzer der FileVault Wiederherstellungsschlüssel angezeigt, wenn er über das MDM Profil aktiviert wird. Oder immer dann, wenn der Kandji Agent erforderlich ist, um den Wiederherstellungsschlüssel neu zu generieren (z. B. wenn Sie ein zuvor FileVault aktiviertes Gerät von einer anderen MDM Lösung migrieren) Wenn Sie Ihre Wiederherstellungsschlüssel an Kandjiübergeben, empfehlen wir, diese Option aus Sicherheitsgründen zu deaktivieren.

6. Hinterlegung von Wiederherstellungsschlüsseln für Kandji: Wenn Sie diese Option auswählen, wird der FileVault Wiederherstellungsschlüssel automatisch hinterlegt. Beachten Sie, dass, wenn Sie diese Option aktivieren, der Kandji Agent den Endbenutzer auf jedem Gerät, für das bereits ein Wiederherstellungsschlüssel generiert wurde, automatisch auffordert, seinen Wiederherstellungsschlüssel neu zu generieren.

7. Schlüssel automatisch rotieren: Wenn Sie diese Option auswählen, können Sie festlegen, wie oft Kandji zugewiesene Geräte FileVault Wiederherstellungsschlüssel rotieren sollen, dies erfolgt über den Befehl RotateFileVaultKey MDM .  

Anzeigen FileVault Wiederherstellungsschlüssel

1. Navigieren Sie zum Gerätedatensatz.

2. Klicken Sie auf das Menü Geräteaktion.

3. Klicken Sie auf FileVault2-Wiederherstellungsschlüssel anzeigen. 

Sie können den Mac zwingen, einen neuen FileVault Wiederherstellungsschlüssel zu generieren, indem Sie den folgenden Befehl auf einem beliebigen Mac über Terminal ausführen. Kandji erfasst dann den neu generierten Schlüssel, wenn die Escrow-Option aktiviert ist.

sudo fdesetup changerecovery -personal

Parameter: Melden von Benutzerkonten mit FileVault Wiederherstellungsschlüsseln, die bei iCloud hinterlegt sind

macOS ermöglicht es Benutzern, Wiederherstellungsschlüssel mit ihrem iCloud Konto zu speichern. Dies wird für unternehmenseigene Mac-Geräte nicht empfohlen, da es möglich ist, dass Schlüssel von einer unbekannten Partei abgerufen werden können. Verwenden Sie diesen Parameter, um eine Warnung zu erhalten, wenn ein Wiederherstellungsschlüssel in iCloudgespeichert ist. Diese Warnung ist eine hilfreiche Erinnerung an den Benutzer, um den Wiederherstellungsschlüssel aus seinem iCloud Konto zu entfernen.

Status der Verschlüsselung

Bei APFS-Volumes werden nur die Daten-Volumes als Verschlüsselt: Ja im Abschnitt "Volumes" der Gerätedetails angezeigt. Dies ist das erwartete Verhalten.

Auf Mac-Computern mit dem Apple T2 Security Chip oder Apple Siliconwird die Startdiskette immer verschlüsselt, sodass FileVault Verschlüsselung fast sofort erfolgt. Auf anderen Mac-Computern kann FileVault Verschlüsselung je nach Datenmenge länger dauern, wird aber im Hintergrund fortgesetzt.

Benutzererfahrung mit FileVault

Wenn Sie die Einstellung "Wiederherstellungsschlüssel für Kandjihinterlegen" in Ihrem FileVault Library Itemaktiviert haben, fordert jeder Mac, der sich bei Kandji registriert, für FileVault zuvor aktiviert war, Ihre Endbenutzer automatisch auf, ihren FileVaultSchlüssel neu zu generieren, damit er hinterlegt werden kann.

Wenn FileVault auf Schlüssel automatisch rotieren eingestellt ist und für das Passcode-Profil die Option Maximales Passcode-Alter aktiviert ist, läuft ein Passwort ab, das älter als das maximale Alter ist, und der Benutzer muss ein neues Passwort erstellen, bevor er seinen FileVault-Wiederherstellungsschlüssel rotieren und hinterlegen kann.

Weitere Informationen finden Sie im Artikel Benutzererfahrung mit FileVault .