Configuración de FileVault

  • EF
  • CW
 Prev Next

Acerca de FileVault & Claves de recuperación

 FileVault es una función integrada de macOS que cifra la unidad de arranque. Durante la configuración, FileVault genera una clave de recuperación, lo que permite un método adicional de acceso a la unidad en caso de FileVaultque se olviden todas las contraseñas de los usuarios habilitados.

  • Obtén más información sobre cómo protege FileVault tus dispositivos Mac y cambia el comportamiento de inicio de sesión.

  • Aprende a aprovechar el FileVault Recovery Key para restablecer la contraseña de un usuario.

  • Más información sobre la experiencia del usuario con FileVault.

Library Item: FileVault

El Library Item FileVault 2 aplicará todos los dispositivos macOS inscritos para habilitar el cifrado de disco FileVault. Se les pedirá a los dispositivos Mac que completen FileVault configuración al reiniciar.

Para agregar este Library Item a su Library en Kandji, siga los pasos descritos en el artículo Descripción general de la Library.

Library Item opciones

  1. Cumplimiento de FileVault: este menú desplegable ofrece las dos selecciones siguientes

    1. Aplicar inmediatamente después del próximo inicio de sesión (recomendado)Al seleccionar esta opción, FileVault deberá habilitarse inmediatamente en el próximo inicio de sesión. 

      1. Al seleccionar esta opción, aparecerá una segunda opción para Aplicar durante el Asistente de configuración para Device Enrollmentautomatizado. Cuando se selecciona esta opción, para macOS Sonoma y posteriores, Kandji intentará aplicar que FileVault esté activado durante el Asistente de configuración para Device Enrollmentautomatizado . Si se realiza correctamente, el usuario no requerirá ningún reinicio una vez que llegue al escritorio.

    2. Permitir aplazamiento de usuarios antes de aplicar (no recomendado)Al seleccionar esta opción, se ocultará la opción Solicitar reinicio si no está habilitada y, FileVault en su lugar, se mostrará un menú desplegable Aplazamiento de usuarios , lo que le permitirá seleccionar cuántos intentos de inicio de sesión se pueden realizar antes de habilitar FileVault .

  2. Aplicar durante el Asistente de configuración para Device Enrollment automatizado (macOS 14+) (Recomendado)Al seleccionar esta opción, se intentará aplicar FileVault durante el Asistente de configuración para los dispositivos que ejecutan macOS 14+ que se inscriben mediante Device Enrollmentautomatizados. Esta selección ignorará una configuración de FileVault omitir pantalla en el Automated Device Enrollment Library item 

  3. Solicitar reinicio si FileVault no está habilitado (recomendado)Al seleccionar esta opción, podrá forzar o solicitar un reinicio para habilitar FileVault. Las siguientes dos opciones están disponibles en el menú desplegable.

    1. Forzar un reinicio después de (recomendado)Al seleccionar esta opción, el usuario deberá reiniciar después del período de tiempo especificado. En el próximo inicio de sesión, el usuario se verá obligado a habilitar FileVault

    2. Recuerde reiniciar cada...  (No recomendado)Seleccionar esta opción le permitirá recordarle al usuario final cada x minutos que reinicie la Mac. En el siguiente inicio de sesión, el usuario se verá obligado a habilitar FileVault.

  4. Menú desplegable Número de minutos: Este menú desplegable le permite especificar cuántos minutos deben pasar antes de forzar un reinicio o con qué frecuencia se debe recordar a un usuario que reinicie para habilitar FileVault

  5. Mostrar al usuario la clave de recuperación de FileVault cuando se genere: al seleccionar esta opción, se mostrará al usuario final la clave de recuperación FileVault cuando se habilite a través del perfil de MDM . O cada vez que se requiera que el Kandji Agent vuelva a generar la clave de recuperación (por ejemplo, al migrar un dispositivo habilitado para FileVault anteriormente desde otra solución MDM ) Si está custodiando sus claves de recuperación en Kandji, le recomendamos que deshabilite esta opción por motivos de seguridad.

  6. Claves de recuperación de custodia para Kandji: Al seleccionar esta opción, se depositará automáticamente la clave de recuperación FileVault . Tenga en cuenta que si habilita esta opción, el Kandji Agent solicitará automáticamente al usuario final en cualquier dispositivo que ya tenga una clave de recuperación generada que vuelva a generar su clave de recuperación.

  7. Rotar claves automáticamente: Seleccionar esta opción le permitirá especificar con qué frecuencia Kandji deben rotar los dispositivos asignados FileVault las claves de recuperación, esto se hace a través del comando RotateFileVaultKey MDM .  

Ver FileVault claves de recuperación

  1. Navegue hasta el registro del dispositivo.

  2. Haga clic en el menú de acciones del dispositivo.

  3. Haga clic en Ver clave de recuperación de FileVault2

Puede forzar a la Mac a generar una nueva clave de recuperación de FileVault ejecutando el siguiente comando en cualquier Mac a través de Terminal. Kandji capturará la clave recién generada si la opción de custodia está habilitada.

sudo fdesetup changerecovery -personal

Parameter: Informar cuentas de usuario con FileVault claves de recuperación custodiadas a iCloud

macOS permite a los usuarios almacenar claves de recuperación con su cuenta iCloud . Esto no se recomienda para dispositivos Mac propiedad de empresas, ya que es posible que una persona desconocida pueda recuperar las claves. Utilice este parámetro para recibir una alerta si se almacena una clave de recuperación en iCloud. Esta alerta es un recordatorio útil para emparejarse con el usuario para eliminar la clave de recuperación de su cuenta de iCloud .

Estado de cifrado

Con los volúmenes APFS, solo los volúmenes de datos se mostrarán como Cifrado: Sí en la sección Volúmenes de los detalles del dispositivo. Este es el comportamiento esperado.

El disco de inicio siempre está encriptado en computadoras Mac con Apple T2 Security Chip o Apple Silicon, por lo que FileVault cifrado es casi inmediato. En otras computadoras Mac, el cifrado de FileVault puede demorar más dependiendo de la cantidad de datos, pero continúa en segundo plano.

Experiencia de usuario con FileVault

Si has activado la opción Claves de recuperación de custodia para Kandji en tu FileVault Library Item, cualquier Mac que se inscriba en Kandji que FileVault haya habilitado anteriormente solicitará automáticamente a los usuarios finales que vuelvan a generar su clave de FileVault para que se pueda custodiar.

Cuando FileVault está configurado en Rotar claves automáticamente y el perfil de código de acceso tiene habilitada la opción Antigüedad máxima del código , una contraseña anterior a la antigüedad máxima caducará y el usuario deberá crear una nueva contraseña antes de poder rotar y custodiar su clave de recuperación de FileVault.

Visite el artículo Experiencia del usuario con FileVault para obtener más información.