Konfigurieren von FileVault

Informationen zu FileVault - und Wiederherstellungsschlüsseln

 FileVault ist eine integrierte Funktion von macOS, die das Startlaufwerk verschlüsselt. Während des Setups generiert FileVault einen Wiederherstellungsschlüssel, der eine zusätzliche Zugriffsmethode auf das Laufwerk ermöglicht, falls alle FileVault aktivierten Benutzerkennwörter vergessen werden.

• Hier erfährst du mehr darüber, wie FileVault deine Mac-Geräte schützt und das Anmeldeverhalten ändert.

• Erfahren Sie, wie Sie die FileVault Recovery Key nutzen können, um das Kennwort eines Benutzers zurückzusetzen.

• Erfahren Sie mehr über die Benutzererfahrung mit FileVault.

Library Item: FileVault

Das FileVault 2- Library Item var erzwingt, dass alle registrierten macOS Geräte FileVault Datenträgerverschlüsselung aktivieren. Mac-Geräte werden beim Neustart aufgefordert, FileVault Einrichtung abzuschließen.

Library Item Optionen

1. FileVault Erzwingung: In dieser Dropdown-Liste stehen die folgenden zwei Auswahlmöglichkeiten zur Verfügung:

   1. Sofort bei der nächsten Anmeldung erzwingen (empfohlen)Wenn Sie diese Option auswählen, muss FileVault sofort bei der nächsten Anmeldung aktiviert werden. 

      1. Wenn Sie diese Option auswählen, wird eine zweite Option angezeigt, die während des Setup-Assistenten für die automatische Device Enrollment erzwingen angezeigt wird. Wenn diese Option ausgewählt ist, versuchen Kandji für macOS Sonoma und höher zu erzwingen, dass FileVault während des Setup-Assistenten für die automatisierte Device Enrollment aktiviert ist. Bei erfolgreichem Erfolg ist für den Benutzer kein Neustart erforderlich, sobald er zum Desktop gelangt ist.

   2. Benutzerverzögerung vor Erzwingung zulassen (nicht empfohlen). Wenn Sie diese Option auswählen, wird die Option Nach Neustart auffordern, wenn FileVault nicht aktiviert ist ausgeblendet und stattdessen eine  Dropdown-Liste Benutzerverzögerung angezeigt, in der Sie auswählen können, wie viele Anmeldeversuche unternommen werden können, bevor FileVault aktiviert ist.

2. Während des Setup-Assistenten für automatisierte Device Enrollment erzwingen (macOS 14+) (Empfohlen)Wenn Sie diese Option auswählen, wird versucht, FileVault während des Setup-Assistenten für Geräte mit macOS 14+ zu erzwingen, die sich mit der automatisierten Device Enrollment registrieren. Diese Auswahl ignoriert eine Einstellung zum Überspringen des Bildschirms FileVault im Automated Device Enrollment Library item.  

3. Neustart anfordern, wenn FileVault nicht aktiviert ist (Empfohlen)Wenn Sie diese Option auswählen, können Sie einen Neustart erzwingen oder anfordern, um FileVault zu aktivieren. Die folgenden zwei Optionen sind in der Dropdown-Liste verfügbar.

   1. Neustart erzwingen nach (Empfohlen)Wenn Sie diese Option auswählen, wird der Benutzer gezwungen, nach der angegebenen Zeit neu zu starten. Bei der nächsten Anmeldung wird der Benutzer gezwungen, FileVault zu aktivieren. 

   2. Erinnern Sie daran, jeden Neustart...  (Nicht empfohlen)Wenn Sie diese Option auswählen, können Sie den Endbenutzer alle x Minuten daran erinnern, den Mac neu zu starten. Bei der nächsten Anmeldung wird der Benutzer gezwungen, FileVault zu aktivieren.

4. Dropdown-Liste "Anzahl der Minuten": In dieser Dropdown-Liste können Sie festlegen, wie viele Minuten vergehen sollen, bevor ein Neustart erzwungen wird, oder wie oft ein Benutzer an einen Neustart erinnert werden soll, um FileVault zu aktivieren. 

5. Dem Benutzer den FileVault Wiederherstellungsschlüssel anzeigen, wenn er generiert wird:Wenn Sie diese Option auswählen, wird dem Endbenutzer der FileVault Wiederherstellungsschlüssel angezeigt, wenn er über das MDM Profil aktiviert wird. Oder immer dann, wenn der Kandji Agent erforderlich ist, um den Wiederherstellungsschlüssel neu zu generieren (z. B. wenn Sie ein zuvor FileVault aktiviertes Gerät von einer anderen MDM Lösung migrieren) Wenn Sie Ihre Wiederherstellungsschlüssel für Kandji speichern, empfehlen wir, diese Option aus Sicherheitsgründen zu deaktivieren.

6. Hinterlegung von Wiederherstellungsschlüsseln für Kandji:Wenn Sie diese Option auswählen, wird der FileVault Wiederherstellungsschlüssel automatisch hinterlegt. Beachten Sie, dass, wenn Sie diese Option aktivieren, der Kandji Agent den Endbenutzer auf jedem Gerät, für das bereits ein Wiederherstellungsschlüssel generiert wurde, automatisch auffordert, seinen Wiederherstellungsschlüssel neu zu generieren.

7. Schlüssel automatisch rotieren: Wenn Sie diese Option auswählen, können Sie festlegen, wie oft Kandji zugewiesene Geräte FileVault Wiederherstellungsschlüssel rotieren sollen, dies erfolgt über den Befehl RotateFileVaultKey MDM .  

Anzeigen FileVault Wiederherstellungsschlüssel

1. Navigieren Sie zum Gerätedatensatz.

2. Klicken Sie auf das Menü Geräteaktion.

3. Klicken Sie auf FileVault2-Wiederherstellungsschlüssel anzeigen. 

Sie können den Mac zwingen, einen neuen FileVault Wiederherstellungsschlüssel zu generieren, indem Sie den folgenden Befehl auf einem beliebigen Mac über Terminal ausführen. Kandji erfasst dann den neu generierten Schlüssel, wenn die Escrow-Option aktiviert ist.

sudo fdesetup changerecovery -personal

Parameter: Melden von Benutzerkonten mit FileVault Wiederherstellungsschlüsseln, die bei iCloud hinterlegt sind

macOS ermöglicht es Benutzern, Wiederherstellungsschlüssel mit ihrem iCloud Konto zu speichern. Dies wird für unternehmenseigene Mac-Geräte nicht empfohlen, da es möglich ist, dass Schlüssel von einer unbekannten Partei abgerufen werden können. Verwenden Sie diesen Parameter, um eine Warnung zu erhalten, wenn ein Wiederherstellungsschlüssel in iCloud gespeichert ist. Diese Warnung ist eine hilfreiche Erinnerung an den Benutzer, um den Wiederherstellungsschlüssel aus seinem iCloud Konto zu entfernen.

Status der Verschlüsselung

Bei APFS-Volumes werden nur die Daten-Volumes als Verschlüsselt: Ja im Abschnitt "Volumes" der Gerätedetails angezeigt. Dies ist das erwartete Verhalten.

Auf Mac-Computern mit dem Apple T2 Security Chip oder Apple Siliconwird die Startdiskette immer verschlüsselt, sodass FileVault Verschlüsselung fast sofort erfolgt. Auf anderen Mac-Computern kann FileVault Verschlüsselung je nach Datenmenge länger dauern, wird aber im Hintergrund fortgesetzt.

User Experience mit FileVault

Wenn Sie die Einstellung "Wiederherstellungsschlüssel für Kandjihinterlegen" in Ihrem FileVault Bibliotheksobjekt aktiviert haben, fordert jeder Mac, der sich bei Kandji registriert, für die zuvor FileVault aktiviert war, Ihre Endbenutzer automatisch auf, ihren FileVaultSchlüssel neu zu generieren, damit er hinterlegt werden kann.

Weitere Informationen finden Sie im Artikel Benutzererfahrung mit FileVault .