FileVault设备政策
macOS FileVault全盘加密(FileVault 2)特性通过加密系统卷的内容来保护系统卷。每次设备启动时,用户使用他们的帐户密码登录到支持filevault的macOS设备。如果用户丢失了他们的密码,一个恢复密钥使他们能够解锁磁盘和重置他们的密码。
该设备策略启用FileVault用户设置屏幕并配置恢复键等设置。有关FileVault的更多信息,请参阅苹果支持网站。
如果需要添加FileVault策略,请执行配置>设备策略.
macOS设置
- 启用FileVault:如果在,提示用户在接下来的N次注销期间启用FileVault,由该选项指定跳过FileVault设置的最大次数.如果从,用户不会收到启用FileVault的提示,但他们仍然可以自己启用FileVault。
- 注销时FileVault设置提示符:如果在时,用户会看到一个提示,要求他们在注销时启用FileVault。
- 跳过FileVault设置的最大次数:用户可以跳过FileVault设置的最大次数。当用户达到最大值时,用户必须设置FileVault才能登录。如果0,用户在第一次登录时必须启用FileVault。默认是0.
恢复密钥类型:忘记密码的用户可以键入恢复密钥来解锁磁盘并重置密码。复苏的关键选项:
个人复苏的关键:个人恢复密钥对用户是唯一的。在FileVault设置期间,用户可以选择是创建恢复密钥还是允许其iCloud帐户解锁磁盘。要在FileVault设置完成后向用户显示恢复密钥,请启用显示个人恢复关键.显示该键使用户可以记录该键以备将来使用。要允许用户在丢失密钥时查找密钥,请启用托管个人恢复密钥.
您可以通过安全操作来轮换个人恢复密钥。有关旋转个人恢复密钥的更多信息,请参见安全的行为.
有关恢复密钥管理的信息,请参阅苹果支持网站。
机构恢复关键:您可以创建一个机构(或主)恢复密钥和FileVault证书,然后使用它们解锁用户设备。有关信息,请参阅苹果支持网站。使用Endpoint Management将FileVault证书部署到设备。信息,请参阅证书和认证.
个人和机构恢复关键:通过启用这两种类型的恢复密钥,只有在用户丢失个人恢复密钥时才能解锁用户设备。
机构恢复密钥证书:如果您选择机构复苏的关键或个人和机构恢复关键随着恢复密钥类型,选择该密钥的恢复密钥证书。
显示个人恢复钥匙:如果在,设置FileVault后,用户设备向用户显示个人恢复密钥。默认为从.
托管个人恢复密钥:启用后,用户可以使用端点管理存储每个设备的个人恢复密钥的副本。
要从端点管理访问密钥,请转到管理>设备,选择macOS设备,单击编辑.然后,去设备详细信息>通用和定位个人复苏的关键.
要允许用户从自助门户查看他们的恢复密钥,请启用托管个人恢复密钥而且显示个人恢复密钥给用户.该键出现在上的自助门户中属性页面下安全信息.有关自助门户的更多信息,请参见自助门户.
您可以启用托管个人恢复密钥设置,即使您没有启用使FileVault设置。如果您禁用使FileVault设置时,用户仍然可以自行启用FileVault。在这种情况下,启用托管个人恢复密钥允许用户使用端点管理存储密钥的副本。
如果用户在将设备注册到端点管理之前启用了FileVault,端点管理不会存储他们的恢复密钥。设备在控制台中显示为启用了filevault。
