Configuración de FileVault

Acerca de FileVault y claves de recuperación

 FileVault es una función integrada de macOS que encripta la unidad de arranque. Durante la configuración, FileVault genera una clave de recuperación, lo que permite un método adicional de acceso a la unidad en caso de que se olviden todas las contraseñas de los usuarios habilitados para FileVault.

• Obtén más información sobre cómo FileVault protege tus dispositivos Mac y cambia el comportamiento de inicio de sesión.

• Obtén información sobre cómo aprovechar la FileVault Recovery Key para restablecer la contraseña de un usuario.

• Más información sobre la experiencia del usuario con FileVault.

Library Item: FileVault

El elemento de biblioteca FileVault 2 aplicará todos los dispositivos macOS inscritos para habilitar el cifrado de disco FileVault . Se les pedirá a los dispositivos Mac que completen FileVault configuración al reiniciar.

Library Item opciones

1. FileVault Cumplimiento: Este menú desplegable ofrece las dos selecciones siguientes

   1. Aplicar inmediatamente después del próximo inicio de sesión (Recomendado)Al seleccionar esta opción, FileVault deberá habilitarse inmediatamente en el próximo inicio de sesión. 

      1. Al seleccionar esta opción, aparecerá una segunda opción para Aplicar durante el Asistente de configuración para Device Enrollmentautomatizados . Cuando se selecciona esta opción, para macOS Sonoma y posteriores, Kandji intentará forzar que FileVault esté activado durante el Asistente de configuración para Device Enrollmentautomatizado . Si se realiza correctamente, el usuario no requerirá reiniciar una vez que llegue al escritorio.

   2. Permitir el aplazamiento del usuario antes de aplicar (No recomendado)Al seleccionar esta opción, se ocultará la opción Solicitar reinicio si FileVault no está habilitada y, en su lugar, se mostrará un menú desplegable Aplazamiento del usuario , lo que le permite seleccionar cuántos intentos de inicio de sesión se pueden realizar antes de que FileVault esté habilitado.

2. Aplicar durante el Asistente de configuración para Device Enrollment automatizado (macOS 14+) (Recomendado)Al seleccionar esta opción, se intentará aplicar FileVault durante el Asistente de configuración para los dispositivos que se ejecutan macOS 14+ que se inscriben mediante Device Enrollmentautomatizado . Esta selección ignorará una configuración de FileVault de saltar pantalla en el Automated Device Enrollment Library item.  

3. Solicitar el reinicio si FileVault no está habilitado (Recomendado)Al seleccionar esta opción, podrá forzar o solicitar un reinicio para habilitar FileVault. Las dos opciones siguientes están disponibles en el menú desplegable.

   1. Forzar un reinicio después de (Recomendado)Al seleccionar esta opción, el usuario deberá reiniciar después del período de tiempo especificado. En el próximo inicio de sesión, el usuario se verá obligado a habilitar FileVault. 

   2. Recuerde reiniciar cada...  (No recomendado)Seleccionar esta opción le permitirá recordarle al usuario final cada x minutos que reinicie la Mac. En el próximo inicio de sesión, el usuario se verá obligado a habilitar FileVault.

4. Menú desplegable Número de minutos: este menú desplegable le permite especificar cuántos minutos deben pasar antes de forzar un reinicio, o con qué frecuencia se debe recordar a un usuario que reinicie para habilitar FileVault. 

5. Mostrar al usuario la clave de recuperación FileVault cuando se genere: Al seleccionar esta opción, se mostrará al usuario final la clave de recuperación FileVault cuando esté habilitada a través del perfil de MDM . O en cualquier momento en que se requiera el Kandji Agent para volver a generar la clave de recuperación (por ejemplo, al migrar un dispositivo habilitado previamente FileVault desde otra solución MDM ) Si está depositando sus claves de recuperación en Kandji, le recomendamos que deshabilite esta opción por motivos de seguridad.

6. Claves de recuperación de custodia para Kandji: Al seleccionar esta opción, se depositará automáticamente la clave de recuperación FileVault . Tenga en cuenta que si habilita esta opción, el Kandji Agent solicitará automáticamente al usuario final en cualquier dispositivo que ya tenga una clave de recuperación generada que regenere su clave.

7. Rotar automáticamente las claves: Seleccionar esta opción le permitirá especificar la frecuencia con la Kandji deben rotar los dispositivos asignados FileVault las claves de recuperación, esto se hace a través del comando de MDM RotateFileVaultKey.  

Ver FileVault claves de recuperación

1. Navegue hasta el registro del dispositivo.

2. Haga clic en el menú Acción del dispositivo.

3. Haga clic en Ver clave de recuperación de FileVault2. 

Puede forzar al Mac a generar una nueva clave de recuperación de FileVault ejecutando el siguiente comando en cualquier Mac a través de Terminal. A continuación, Kandji capturará la clave recién generada si la opción de depósito en garantía está habilitada.

sudo fdesetup changerecovery -personal

Parameter: Informar de las cuentas de usuario con FileVault claves de recuperación custodiadas a iCloud

macOS permite a los usuarios almacenar claves de recuperación con su cuenta iCloud . Esto no se recomienda para dispositivos Mac propiedad de la empresa, ya que es posible que una parte desconocida pueda recuperar las claves. Utilice este parámetro para recibir una alerta si se almacena una clave de recuperación en iCloud. Esta alerta es un recordatorio útil para emparejarse con el usuario para eliminar la clave de recuperación de su cuenta de iCloud .

Estado de encriptación

Con los volúmenes APFS, solo los volúmenes de datos se mostrarán como Cifrado: Sí en la sección Volúmenes de los Detalles del dispositivo. Este es el comportamiento esperado.

El disco de inicio siempre está encriptado en las computadoras Mac con Apple T2 Security Chip o Apple Silicon, por lo que FileVault cifrado es casi inmediato. En otras computadoras Mac, FileVault cifrado puede llevar más tiempo dependiendo de la cantidad de datos, pero continúa en segundo plano.

Experiencia de usuario con FileVault

Si has activado la opción Claves de recuperación de custodia para Kandji en tu elemento de la biblioteca de FileVault, cualquier Mac que se inscriba en Kandji que FileVault haya activado anteriormente solicitará automáticamente a los usuarios finales que regeneren su clave de FileVault para que se pueda custodiar.

Visite el artículo Experiencia del usuario con FileVault para obtener más información.