Utiliser le chiffrement de disque FileVault pour macOS avec Intune

Utilisez Microsoft Intune pour configurer et gérer le chiffrement de disque FileVault macOS. FileVault est un programme de chiffrement de disque complet inclus avec macOS. Avec Intune vous pouvez déployer des stratégies qui configurent FileVault, puis gérer les clés de récupération sur les appareils qui exécutent macOS 10.13 ou version ultérieure.

Utilisez l’un des types de stratégie suivants pour configurer FileVault sur vos appareils gérés :

Pour gérer BitLocker pour Windows 10/11, consultez Gérer la stratégie BitLocker.

Conseil

Intune fournit un rapport de chiffrement intégré qui présente des informations détaillées sur l’état de chiffrement des appareils pour l’ensemble de vos appareils gérés.

Une fois que vous avez créé une stratégie pour chiffrer des appareils avec FileVault, la stratégie est appliquée aux appareils en deux étapes. D’abord, l’appareil est préparé pour permettre à Intune de récupérer et de sauvegarder la clé de récupération. Cette action est désignée sous le nom de « mise en dépôt ». Une fois la clé mise en dépôt, le chiffrement de disque peut démarrer.

En plus d’utiliser Intune stratégie pour chiffrer un appareil avec FileVault, vous pouvez déployer une stratégie sur un appareil géré pour permettre à Intune d’assumer la gestion de FileVault lorsque l’appareil que l’utilisateur a chiffré. Ce scénario nécessite que l’appareil reçoive la stratégie FileVault à partir d’Intune, puis que l’utilisateur charge sa clé de récupération personnelle sur Intune.

L’inscription d’appareils approuvés par l’utilisateur est nécessaire pour que FileVault fonctionne sur un appareil. L’utilisateur doit approuver manuellement le profil de gestion à partir des préférences système pour que l’inscription soit considérée comme approuvée par l’utilisateur.

Contrôles d’accès en fonction du rôle pour gérer FileVault

Pour gérer FileVault dans Intune, un compte doit se voir attribuer un rôle de contrôle d’accès en fonction du rôle (RBAC) Intune qui inclut l’autorisation Tâches distantes avec le droit Rotation de la clé FileVault défini sur Oui :

Vous pouvez ajouter cette autorisation et ce droit à vos propres rôles RBAC personnalisés ou utiliser l’un des rôles RBAC intégrés suivants qui incluent ce droit :

  • Opérateur du support technique
  • Administrateur de la sécurité des points de terminaison

Créer une stratégie de sécurité des points de terminaison pour FileVault

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité des points de terminaison>Chiffrement de disque>Créer une stratégie.

  3. Dans la page Fonctions de base, entrez les propriétés suivantes, puis choisissez Suivant.

    • Plateforme : macOS
    • Profil: FileVault

    Sélectionner le profil FileVault

  4. Dans la page Paramètres de configuration :

    1. Définissez Activer FileVault sur Oui.
    2. Pour Type de clé de récupération, seule la valeur Clé de récupération personnelle est prise en charge.
    3. Configurez d’autres paramètres pour répondre à vos besoins.

    Envisagez d’ajouter un message pour guider les utilisateurs quant à la manière de récupérer la clé de récupération pour leur appareil. Ces informations peuvent être utiles pour les utilisateurs quand vous utilisez le paramètre Rotation de la clé de récupération personnelle, qui peut générer automatiquement, à intervalles réguliers, une nouvelle clé de récupération pour un appareil.

    Par exemple: Pour récupérer une clé de récupération perdue ou ayant récemment fait l’objet d’une rotation, connectez-vous au site web Portail d’entreprise Intune à partir de n’importe quel appareil. Dans le portail, accédez à Appareils, sélectionnez l’appareil pour lequel FileVault est activé, puis sélectionnez Obtenir la clé de récupération. La clé de récupération actuelle est affichée.

  5. Quand vous avez terminé de configurer les paramètres, sélectionnez Suivant.

  6. Dans la page Étendue (balises), choisissez Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des balises afin d’affecter des balises d’étendue au profil.

    Sélectionnez Suivant pour continuer.

  7. Dans la page Affectations, sélectionnez les groupes qui recevront ce profil. Pour plus d’informations sur l’affectation de profils, consultez Attribuer des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

  8. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

Créer une stratégie de catalogue de paramètres pour FileVault

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Par plateforme>macOS> Gérer laconfiguration>des appareils>Créer une>stratégie.

  3. Dans la page Créer un profil , sélectionnez Catalogue de paramètres pour type de profil.

  4. Dans la page Fonctions de base, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un nom de stratégie correct peut inclure le type de profil et la plateforme.

    • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

  5. Dans la page Paramètres de configuration , sélectionnez + Ajouter des paramètres pour ouvrir le sélecteur de paramètres. Les paramètres FileVault se trouvent sous la catégorie Chiffrement de disque complet :

    Image des options FileVault dans la catégorie Chiffrement de disque complet du sélecteur Paramètres.

    Pour activer FileVault, sélectionnez et configurez les paramètres suivants dans la catégorie Chiffrement de disque complet :

    • Activer FileVault > - Défini sur Activé
    • Emplacement de l’extraction > de la clé de récupération FileVault : spécifiez une description de l’emplacement où la clé de récupération est bloquée. Ce texte est inséré dans le message que l’utilisateur voit lors de l’activation de FileVault.

    Conseil

    Lors de la configuration du chiffrement pour les appareils qui exécutent macOS 14 ou version ultérieure, vous pouvez utiliser l’Assistant Installation de macOS pour appliquer le chiffrement FileVault avant qu’un utilisateur arrive à l’écran d’accueil. Consultez Activer FileVault via l’Assistant Configuration plus loin dans cet article.

  6. Configurez des paramètres FileVault supplémentaires (ouvre le site web d’Apple) pour répondre aux besoins de votre entreprise, puis sélectionnez Suivant.

  7. Le cas échéant, dans la page Étendue (Balises), choisissez Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des balises afin d’affecter des balises d’étendue au profil. Sélectionnez Suivant pour continuer.

  8. Dans la page Affectations , sélectionnez les groupes qui reçoivent ce profil. Pour plus d’informations sur l’affectation de profils, consultez Attribuer des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

  9. Dans la page Vérifier + créer , lorsque vous avez terminé, sélectionnez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

Activer FileVault via l’Assistant Configuration

Pour les appareils qui exécutent macOS 14 et versions ultérieures, votre stratégie de catalogue de paramètres peut également appliquer le chiffrement FileVault via l’Assistant Configuration macOS, avant qu’un utilisateur n’arrive à l’écran d’accueil. Cet objectif nécessite des configurations supplémentaires :

  • La fonctionnalité de configuration finale Await pour l’appareil doit être définie sur Oui. Cette configuration empêche les utilisateurs finaux d’accéder au contenu restreint ou de modifier les paramètres tant que les stratégies de configuration d’appareil Intune applicables ne s’appliquent pas. Pour plus d’informations sur cette configuration, consultez Inscrire automatiquement des Mac avec Apple Business Manager ou Apple School Manager.

  • Créez un filtre à l’aide de l’attribut EnrollmentProfileName qui sera affecté à la stratégie de catalogue de paramètres. Cela garantit que la stratégie FileVault est affectée lorsque l’appareil s’inscrit pour la première fois avec Intune. Pour plus d’informations sur la configuration des filtres, consultez Créer des filtres dans Microsoft Intune.

  • Quand Await final Configuration est défini sur Oui pour un appareil, vous pouvez ajouter le paramètre Chiffrement de disque complet suivant pour FileVault dans votre profil de catalogue de paramètres

  • Forcer l’activation de FileVault >dans l’Assistant Configuration : définissez sur Activé.

    L’image suivante montre le profil de catalogue de paramètres configuré avec les paramètres de base pour activer FileVault et utiliser l’Assistant Configuration pour appliquer le chiffrement. Dans cet exemple, le paramètre Emplacement utilise le nom simple de notre domaine, Contoso :

    Importante

    Le paramètre Différer doit être configuré sur Activé pour activer correctement FileVault dans l’Assistant Installation pour les appareils exécutant macOS 14.4.

    Capture d’écran des paramètres nécessaires à l’activation du coffre de fichiers dans l’Assistant Installation.

Créer une stratégie de configuration d’appareil pour FileVault (déconseillé)

Remarque

Le modèle macOS pour Endpoint Protection est déconseillé et ne prend plus en charge la création de nouveaux profils. Utilisez plutôt la sécurité des points de terminaison ou le catalogue de paramètres pour configurer et gérer les nouveaux profils FileVault.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils> Gérer laconfiguration>des appareils> Sous l’onglet Stratégies, sélectionnez + Créer.

  3. Dans la page Créer un profil , définissez les options suivantes, puis sélectionnez Créer une>stratégie :

    • Plateforme : macOS
    • Type de profil : Modèles
    • Nom du modèle : Endpoint Protection (déconseillé)

    Capture d’écran qui affiche le profil Endpoint Protection.

  4. Dans la page Fonctions de base, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif à la stratégie. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un nom de stratégie correct peut inclure le type de profil et la plateforme.

    • Description : entrez une description pour la stratégie. Ce paramètre est facultatif, mais recommandé.

  5. Dans la page Paramètres de configuration, sélectionnez FileVault pour développer les paramètres disponibles :

    Capture d’écran qui affiche les paramètres FileVault.

  6. Configurez les paramètres suivants :

    • Pour Activer FileVault, sélectionnez Oui.

    • Pour Type de clé de récupération, sélectionnez Clé personnelle.

    • Pour Description de l’emplacement Escrow de la clé de récupération personnelle, ajoutez un message destiné à aider les utilisateurs à récupérer la clé de récupération de leur appareil. Ces informations peuvent être utiles pour les utilisateurs quand vous utilisez le paramètre Rotation de la clé de récupération personnelle, qui peut générer automatiquement, à intervalles réguliers, une nouvelle clé de récupération pour un appareil.

      Par exemple: Pour récupérer une clé de récupération perdue ou ayant récemment fait l’objet d’une rotation, connectez-vous au site web Portail d’entreprise Intune à partir de n’importe quel appareil. Par exemple: Dans le portail, accédez à Appareils, sélectionnez l’appareil où FileVault est activé, puis sélectionnez Obtenir la clé de récupération. La clé de récupération actuelle est affichée.

    Configurez les paramètres FileVault selon vos besoins métier, puis sélectionnez Suivant.

  7. Le cas échéant, dans la page Étendue (Balises), choisissez Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des balises afin d’affecter des balises d’étendue au profil.

    Sélectionnez Suivant pour continuer.

  8. Dans la page Affectations , sélectionnez les groupes pour recevoir ce profil. Pour plus d’informations sur l’affectation de profils, consultez Attribuer des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

  9. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

Gérer FileVault

Pour afficher des informations sur les appareils qui reçoivent la stratégie FileVault, consultez Superviser le chiffrement de disque.

Quand Intune chiffre un appareil macOS avec FileVault pour la première fois, une clé de récupération personnelle est créée. Lors du chiffrement, l’appareil affiche une seule fois la clé personnelle à l’utilisateur de l’appareil.

Remarque

Un appareil qui signale le code d’erreur -2016341107 / 0x87d1138d signifie généralement que l’utilisateur final n’a pas accepté l’invite FileVault pour commencer le chiffrement.

Pour les appareils gérés, Intune peut mettre en dépôt une copie de la clé de récupération personnelle. La mise en dépôt de clés permet aux administrateurs Intune d’effectuer une rotation des clés de façon à mieux protéger les appareils, et à faciliter la récupération par les utilisateurs d’une clé de récupération personnelle perdue ou ayant fait l’objet d’une rotation.

Intune met en dépôt une clé de récupération lorsque la stratégie Intune chiffre un appareil ou après qu’un utilisateur ait chargé sa clé de récupération pour l’appareil qu’il a chiffré manuellement.

Après la mise en dépôt de la clé de récupération personnelle par Intune :

  • Les administrateurs peuvent gérer et effectuer la rotation des clés de récupération FileVault pour n’importe quel appareil macOS managé, à l’aide du rapport de chiffrement Intune.
  • Les administrateurs ne peuvent afficher la clé de récupération personnelle que pour les appareils macOS managés marqués comme appartenant à l’entreprise. Ils ne peuvent pas afficher la clé de récupération pour les appareils personnels.
  • Les utilisateurs peuvent afficher et récupérer leur clé de récupération personnelle à partir d’un emplacement pris en charge. Par exemple, à partir du site web Portail d’entreprise, l’utilisateur peut choisir l’option Obtenir la clé de récupération en tant qu’action sur l’appareil à distance.

Prendre le contrôle de la gestion de FileVault sur les appareils préalablement chiffrés

Intune ne pouvez pas gérer le chiffrement de disque FileVault sur un appareil macOS chiffré par un utilisateur d’appareil, sauf si vous appliquez la stratégie FileVault via Intune. Deux solutions sont possibles pour permettre à Intune de prendre en charge la gestion de FileVault dans ce cas de figure :

Dans les deux cas, l’appareil doit disposer d’une stratégie active d’Intune qui gère le chiffrement FileVault. Pour fournir cette stratégie, utilisez un profil de chiffrement de disque de sécurité de point de terminaison.

Charger une clé de récupération personnelle

Pour permettre à Intune de gérer FileVault sur un appareil déjà chiffré, l’utilisateur qui a effectué le chiffrement peut utiliser le site web Portail d’entreprise afin de charger sur Intune sa clé de récupération personnelle pour l’appareil. Intune peut alors assumer la gestion du chiffrement.

Après le chargement, Intune renouvelle la clé de récupération personnelle. La nouvelle clé est stockée à des fins de récupération et mise à la disposition de l’utilisateur de l’appareil.

Configuration requise:

  • L’appareil chiffré doit disposer d’une stratégie FileVault Intune pour le chiffrement de disque.

    Pour qu’Intune puisse assumer la gestion du chiffrement d’un appareil chiffré par l’utilisateur, il faut que ce dernier reçoive une stratégie FileVault Intune pour le chiffrement de disque.

    Utilisez un profil de chiffrement de disque de sécurité de point de terminaison pour chiffrer des appareils avec FileVault.

  • L’utilisateur qui a chiffré l’appareil doit avoir accès à sa clé de récupération personnelle pour l’appareil et être invité à la charger sur Intune.

    Intune ne signale pas aux utilisateurs qu’ils doivent charger leur clé de récupération personnelle pour terminer le chiffrement. À la place, utilisez vos canaux de communication informatiques habituels pour alerter les utilisateurs qui ont déjà chiffré leur appareil macOS avec FileVault qu’ils doivent charger leur clé de récupération personnelle sur Intune.

    Remarque

    En fonction de votre stratégie de conformité, il peut arriver que les appareils ne puissent pas accéder aux ressources de l’entreprise tant qu’Intune n’assume pas la gestion du chiffrement FileVault sur l’appareil.

Charger une clé de récupération personnelle sur Intune :

  1. Une fois que l’appareil a reçu le profil FileVault, demandez à l’utilisateur d’utiliser le site web Portail d’entreprise.

  2. Sur le site web Portail d’entreprise, l’utilisateur localise son appareil macOS chiffré et sélectionne l’option Stocker la clé de récupération.

  3. L’utilisateur doit entrer sa clé de récupération personnelle. Intune tente alors de la renouveler pour en générer une nouvelle.

    • Si le renouvellement de la clé réussit, Intune stocke la nouvelle clé pour une utilisation ultérieure et la met à la disposition de l’utilisateur au cas où celui-ci ait besoin de récupérer son appareil.
    • Si le renouvellement de la clé échoue, cela signifie que l’appareil n’a pas traité la stratégie FileVault ou que la clé entrée n’est pas correcte pour l’appareil.
  4. Après une rotation réussie, un utilisateur peut récupérer sa nouvelle clé de récupération personnelle à partir d’un emplacement pris en charge.

Pour plus d’informations, consultez Contenu destiné à l’utilisateur final pour le chargement de la clé de récupération personnelle.

Génération d’une nouvelle clé de récupération sur l’appareil

Pour permettre à Intune de gérer FileVault sur un appareil déjà chiffré, l’utilisateur qui a effectué le chiffrement peut utiliser l’application Terminal sur l’appareil pour renouveler sa clé de récupération personnelle. Si l’appareil dispose d’une stratégie FileVault active provenant d’Intune lors du renouvellement de la clé, Intune assume la gestion du chiffrement.

Configuration requise:

  • L’appareil chiffré doit disposer d’une stratégie FileVault Intune pour le chiffrement de disque.

    Pour qu’Intune puisse assumer la gestion du chiffrement d’un appareil chiffré par l’utilisateur, il faut que ce dernier reçoive une stratégie FileVault Intune pour le chiffrement de disque.

    Utilisez un profil de chiffrement de disque de sécurité de point de terminaison pour chiffrer les appareils avec FileVault.

  • L’utilisateur de l’appareil doit avoir accès à l’application Terminal sur l’appareil chiffré.

Génération d’une nouvelle clé de récupération personnelle avec Terminal

  1. Une fois que l’appareil a reçu le profil FileVault, l’utilisateur qui a chiffré l’appareil doit se connecter à l’appareil, ouvrir Terminal et exécuter les deux commandes suivantes dans l’ordre :

    1. cd /Applications/Utilities

    2. sudo fdesetup changerecovery -personal

      Lorsque cette commande est exécutée, l’utilisateur est invité à indiquer le mot de passe de son appareil. Une fois le mot de passe saisi, l’appareil renouvelle la clé de récupération personnelle et présente la nouvelle clé à l’utilisateur.

      Après avoir enregistré la nouvelle clé de récupération, l’utilisateur suit les invites restantes de la commande.

  2. Une fois les invites de commande suivies, la clé de récupération personnelle est renouvelée sur l’appareil. Si l’appareil a reçu la stratégie FileVault, Intune assume la gestion du chiffrement de l’appareil lors du prochain check-in de l’appareil auprès d’Intune.

    Par défaut, l’appareil effectue un check-in toutes les huit heures environ. Pour accélérer le check-in de l’appareil, deux solutions existent :

    • Un administrateur Intune peut se connecter à Microsoft Intune centre d’administration, accéder à Appareils, sélectionner l’appareil, puis synchroniser. Cela avertit l’appareil de case activée immédiatement avec Intune.
    • L’utilisateur de l’appareil peut ouvrir l’application Portail d’entreprise et accéder à Paramètres>Synchronisation pour indiquer à l’appareil de vérifier immédiatement s’il existe des mises à jour de stratégie ou de profil.
  3. Dès lors qu’Intune assume la gestion du chiffrement, l’utilisateur peut récupérer sa nouvelle clé de récupération personnelle à partir d’un emplacement pris en charge.

Pour plus d’informations, consultez Contenu destiné à l’utilisateur final pour le chargement de la clé de récupération personnelle.

Récupérer une clé de récupération personnelle

Pour un appareil macOS dont le chiffrement FileVault est managé par Intune, les utilisateurs finaux peuvent récupérer leur clé de récupération personnelle (clé FileVault) à partir des emplacements suivants, à l’aide de n’importe quel appareil :

Les administrateurs peuvent afficher les clés de récupération personnelles pour les appareils macOS chiffrés marqués comme appartenant à l’entreprise. Ils ne peuvent pas afficher la clé de récupération pour un appareil personnel.

L’appareil qui a la clé de récupération personnelle doit être inscrit auprès d’Intune et chiffré avec FileVault via Intune. Lorsqu’un utilisateur d’appareil utilise l’application iOS Portail d'entreprise, l’application Android Portail d'entreprise, l’application Android Intune ou le site web Portail d'entreprise, l’utilisateur peut voir la clé de récupération FileVault nécessaire pour accéder à ses appareils Mac.

Les utilisateurs d’appareil peuvent sélectionner Appareils>l’appareil macOS chiffré et inscrit>Obtenir la clé de récupération. Le navigateur affiche la Portail d'entreprise web et affiche la clé de récupération.

Effectuer une rotation des clés de récupération

Intune prend en charge plusieurs options pour la rotation et la récupération des clés de récupération personnelles. Une des raisons pour effectuer une rotation de clé est que la clé personnelle actuelle est perdue ou qu’elle est considérée comme présentant un risque.

  • Rotation automatique: En tant qu'administrateur, vous pouvez configurer le paramètre FileVault « Rotation de la clé de récupération personnelle » pour générer automatiquement de nouvelles clés de récupération à intervalles réguliers. Lorsqu'une nouvelle clé est générée pour un appareil, elle n'est pas présentée à l'utilisateur. Au lieu de cela, l’utilisateur doit obtenir la clé auprès d’un administrateur ou en utilisant l’application Portail d’entreprise.

  • Manuel de rotation: En tant qu'administrateur, vous pouvez consulter les informations relatives à un appareil que vous gérez avec Intune et qui est chiffré avec FileVault. Vous pouvez ensuite choisir d’effectuer manuellement une rotation de cette clé de récupération pour les appareils d’entreprise. Vous ne pouvez pas effectuer de rotation des clés de récupération pour les appareils personnels.

    Pour effectuer une rotation d’une clé de récupération :

    1. Connectez-vous au Centre d’administration Microsoft Intune.

    2. Sélectionnez Appareils>Tous les appareils.

    3. Dans la liste des appareils, sélectionnez l’appareil qui est chiffré et pour lequel vous voulez effectuer une rotation de sa clé. Ensuite, sous Surveiller, sélectionnez Clés de récupération.

    4. Dans le volet Clés de récupération, sélectionnez Faire tourner la clé de récupération FileVault.

      La prochaine fois que l’appareil effectue un check-in avec Intune, la clé personnelle fait l’objet d’une rotation. Quand cela est nécessaire, la nouvelle clé peut être obtenue par l’utilisateur via le portail d’entreprise.

Récupérer les clés de récupération

  • Administrateurs: Les administrateurs ne peuvent pas voir les clés de récupération personnelles pour les appareils qui sont chiffrés avec FileVault.

  • Utilisateur final: Les utilisateurs finaux utilisent le site web Portail d’entreprise à partir de n’importe quel appareil pour voir la clé de récupération personnelle actuelle d’un de leurs appareils gérés. Vous ne pouvez pas voir les clés de récupération à partir de l’application Portail d’entreprise.

    Pour voir une clé de récupération :

    1. Connectez-vous au site web Portail d’entreprise Intune à partir de n’importe quel appareil.

    2. Dans le portail, accédez à Appareils, puis sélectionnez l’appareil macOS qui est chiffré avec FileVault.

    3. Sélectionnez Obtenir la clé de récupération. La clé de récupération actuelle est affichée.

Prochaines étapes

Gérer la stratégie BitLocker

Surveiller le chiffrement de disque