Gérer FileVault avec la gestion des appareils
Les organisations peuvent gérer le chiffrement complet du disque FireVault à l’aide d’un service de gestion des appareils ou, pour certains déploiements et certaines configurations avancés, de l’outil de ligne de commande fdesetup. La gestion de FileVault via un service de gestion des appareils est appelée activation différée et requiert un événement de déconnexion ou de connexion de l’utilisateur. Un service de gestion des appareils peut également personnaliser des options telles que :
Le nombre de fois qu’un utilisateur peut reporter l’activation de FileVault
Le fait dʼinviter ou non lʼutilisateur à se déconnecter en plus de se connecter
Le fait de montrer ou non une clé de récupération à lʼutilisateur
Quel certificat utiliser pour chiffrer asymétriquement la clé de secours destinée à l’autorité de séquestre auprès du service de gestion des appareils.
Pour qu’un utilisateur puisse déverrouiller le stockage sur les volumes APFS, il doit posséder un jeton sécurisé et, sur un Mac doté dʼune puce Apple, il doit être propriétaire du volume. Pour en savoir plus sur les jetons sécurisés et la propriété de volume, consultez la page Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements. Des informations concernant la manière et le moment où les utilisateurs reçoivent un jeton sécurisé au cours de processus spécifiques sont détaillées ci-dessous.
Application de FileVault dans Assistant réglages
À l’aide de la clé ForceEnableInSetupAssistant, les ordinateurs Mac peuvent exiger l’activation de FileVault lors de l’utilisation d’Assistant réglages. Cela garantit que le stockage interne des ordinateurs Mac gérés est toujours chiffré avant l’utilisation. Les organisations peuvent décider d’afficher ou non la clé de secours FileVault à l’utilisateur ou de confier la clé de secours personnelle à une autorité de séquestre. Pour utiliser cette fonctionnalité, veillez à définir await_device_configured.
Remarque : avant macOS 14.4, cette fonctionnalité nécessitait que le compte utilisateur créé de manière interactive durant Assistant réglages ait le rôle d’administrateur.
Configuration d’un Mac par un utilisateur
Remarque : le service de gestion des appareils doit prendre en charge des fonctionnalités spécifiques pour que les jetons sécurisés et les jetons d’amorçage puissent fonctionner avec un Mac.
Lorsqu’un utilisateur configure lui-même un Mac, les services informatiques n’effectuent aucune tâche d’approvisionnement sur l’appareil proprement dit. Vous fournissez toutes les règles et configurations à l’aide d’un service de gestion des appareils ou d’outils de gestion de la configuration. Assistant réglages crée le compte local initial et attribue un jeton sécurisé à l’utilisateur. Le Mac génère un jeton d’amorçage et l’envoie à l’autorité de séquestre du service de gestion des appareils.
Si le Mac est inscrit à un service de gestion des appareils, le compte initial peut ne pas être un compte administrateur local, mais plutôt un compte utilisateur standard local. Si vous rétrogradez l’utilisateur en utilisateur standard à l’aide d’un service, celui-ci reçoit automatiquement un jeton sécurisé. Sur les Mac dotés de macOS 10.15.4 ou ultérieur, si vous rétrogradez l’utilisateur, macOS génère automatiquement un jeton d’amorçage et l’envoie à l’autorité de séquestre du service de gestion des appareils.
Si vous ignorez la création d’un compte utilisateur local dans Assistant réglages et utilisez à la place un service d’annuaire avec des comptes mobiles, le service attribue un jeton sécurisé à l’utilisateur du compte mobile pendant l’ouverture de session. Sur les Mac dotés de macOS 10.15.4 ou ultérieur, après l’activation de l’utilisateur avec un compte mobile, macOS génère automatiquement un jeton d’amorçage lors de la deuxième ouverture de session de l’utilisateur et l’envoie à l’autorité de séquestre du service de gestion des appareils.
Si un service de gestion des appareils ignore la création d’un compte utilisateur local dans Assistant réglages et utilise à la place un service d’annuaire avec des comptes mobiles, le service de gestion des appareils attribue un jeton sécurisé à l’utilisateur lors de son ouverture de session. Sur les Mac dotés de macOS 10.15.4 ou ultérieur, si l’utilisateur mobile possède un jeton sécurisé, macOS génère automatiquement un jeton d’amorçage et l’envoie à l’autorité de séquestre du service de gestion des appareils.
Dans n’importe lequel des scénarios ci-dessus, puisqu’un jeton sécurisé est attribué à l’utilisateur premier et principal, celui-ci peut activer FileVault à l’aide d’un report d’activation, qui vous permet d’activer FileVault, mais de retarder cette activation jusqu’à ce qu’un utilisateur ouvre ou ferme une session sur un Mac. Vous pouvez également choisir si l’utilisateur peut ignorer ou non l’activation de FileVault (et de personnaliser le nombre de fois). Cela permet à l’utilisateur principal du Mac, qu’il soit un utilisateur local de tout type ou un compte mobile, de déverrouiller le volume FileVault.
Sur les Mac où macOS génère un jeton d’amorçage et l’entierce auprès d’un service de gestion des appareils, si un autre utilisateur ouvre une session sur le Mac à l’avenir, macOS utilise le jeton d’amorçage pour lui attribuer automatiquement un jeton sécurisé. Cela signifie que le compte est également activé pour FileVault et peut déverrouiller le volume FileVault. Pour retirer à un utilisateur la possibilité de déverrouiller le périphérique de stockage, utilisez fdesetup remove -user.
Lorsqu’une organisation approvisionne un Mac
Lorsqu’une organisation approvisionne un Mac avant de le fournir à un utilisateur, le service informatique configure l’appareil. Vous utilisez le compte administrateur local, que vous créez soit dans Assistant réglages, soit en en approvisionnant un avec un service de gestion des appareils, pour approvisionner ou configurer le Mac, et le système d’exploitation lui attribue le premier jeton sécurisé lors de l’ouverture de session. Si le service prend en charge la fonctionnalité de jeton d’amorçage, le système d’exploitation génère également un jeton d’amorçage et l’envoie à l’autorité de séquestre.
Si le Mac est associé à un service d’annuaire et configuré de façon à créer des comptes mobiles et qu’il n’y a pas de jeton d’amorçage, il est demandé aux utilisateurs de service d’annuaire lors de leur première ouverture de session d’indiquer un nom d’utilisateur et un mot de passe administrateur pour un jeton sécurisé existant, afin d’attribuer un jeton sécurisé à leur compte. Ils doivent saisir les informations d’identification d’un administrateur local ayant obtenu son jeton sécurisé. Si un jeton sécurisé n’est pas requis, l’utilisateur peut cliquer sur Ignorer. Pour les Mac dotés de macOS 10.13.5 ou ultérieur, il est possible de ne pas afficher du tout la zone de dialogue du jeton sécurisé si vous n’allez pas utiliser FileVault avec les comptes mobiles. Pour ne pas afficher la zone de dialogue jeton sécurisé, appliquez un profil de configuration des réglages personnalisé depuis le service de gestion des appareils avec les clés et les valeurs suivantes :
Réglage | Valeur | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domaine | com.apple.MCX | ||||||||||
Clé | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valeur | Vrai | ||||||||||
Si le service de gestion des appareils prend en charge la fonctionnalité de jeton d’amorçage et qu’un jeton est généré par le Mac et envoyé à lʼautorité de séquestre du service, les utilisateurs de comptes mobiles ne verront pas cette invite. À la place, macOS leur attribue automatiquement un jeton sécurisé lors de l’ouverture de session.
Si des utilisateurs locaux supplémentaires sont requis sur ce Mac au lieu de comptes utilisateurs depuis un service d’annuaire, macOS leur attribue automatiquement un jeton sécurisé lorsqu’un administrateur disposant d’un jeton sécurisé les crée dans « Utilisateurs et groupes » (de « Réglages Système » sur macOS 13 ou de « Préférences Système » sur macOS 12.0.1 ou antérieur). Lors de la création d’utilisateurs locaux à l’aide de la ligne de commande, l’administrateur peut utiliser l’outil de ligne de commande sysadminctl et, éventuellement, activer la génération de jetons sécurisés. Sur les Mac dotés de macOS 11 ou ultérieur, si macOS ne se voit pas attribuer de jeton sécurisé lors de la création et si un jeton d’amorçage est mis à disposition par le service de gestion des appareils, ce dernier attribue un jeton sécurisé à l’utilisateur local lors de l’ouverture de session.
Avec ces réglages, les utilisateurs suivants peuvent déverrouiller le volume chiffré avec FileVault :
L’administrateur local d’origine utilisé pour l’approvisionnement
Tous les utilisateurs de service d’annuaire supplémentaires qui ont reçu un jeton sécurisé lors du processus d’ouverture de session que ce soit de façon interactive à l’aide de l’invite de la zone de dialogue ou automatique avec le jeton d’amorçage
Tout nouvel utilisateur local
Pour retirer à un utilisateur la possibilité de déverrouiller le périphérique de stockage, utilisez fdesetup remove -user.
Lorsque vous utilisez l’un des processus décrits ci-dessus, un jeton sécurisé est géré par macOS sans qu’aucune configuration supplémentaire ni aucun script ne soit nécessaire. Il devient un détail d’implémentation et non quelque chose qui doit être activement géré ou manipulé.
Outil de ligne de commande fdesetup
Vous pouvez utiliser des configurations de gestion d’appareil ou l’outil de ligne de commande fdesetup pour configurer FileVault. Pour les Mac dotés de macOS 10.15 ou ultérieur, l’utilisation de fdesetup pour activer FileVault en fournissant le nom d’utilisateur et le mot de passe est obsolète et ne sera plus disponible dans une version à venir. La commande continue de fonctionner, mais demeure obsolète sous macOS 11 et macOS 12.0.1. Il est préférable d’utiliser l’activation différée d’un service de gestion des appareils. Pour en savoir plus sur l’outil de ligne de commande fdesetup, lancez l’app Terminal et saisissez man fdesetup ou fdesetup help.
Clés de secours institutionnelles et clés de secours personnelles
Pour CoreStorage et pour les volumes APFS, FileVault prend en charge lʼutilisation dʼune clé de secours institutionnelle (IRK, appelée auparavant identité principale FileVault) pour déverrouiller le volume. Bien quʼune IRK soit utile pour les opérations de ligne de commande pour déverrouiller un volume ou désactiver complètement FileVault, son utilité pour les organisations est limitée, en particulier dans les versions récentes de macOS. Et sur un Mac doté d’une puce Apple, les IRK n’apportent aucune valeur fonctionnelle pour deux raisons principales : Premièrement, parce que les IRK ne peuvent pas être utilisées pour accéder au système d’exploitation de secours et deuxièmement, étant donné que le mode disque cible nʼest plus pris en charge, le volume ne peut pas être déverrouillé en connectant un autre Mac. Pour ces raisons, entre autres, lʼutilisation dʼune IRK nʼest plus recommandée pour la gestion institutionnelle de FileVault sur les ordinateurs Mac. À la place, il est recommandé d’utiliser une clé de secours personnelle (PRK). Une PRK fournit :
un mécanisme de récupération et dʼaccès au système dʼexploitation extrêmement robuste,
un chiffrement unique par volume,
Séquestre auprès du service de gestion des appareils
une rotation simple de la clé après son utilisation.
Pour les Mac dotés d’une puce Apple et exécutant macOS 12.0.1 ou ultérieur, un PRK peut être utilisé dans recoveryOS ou pour démarrer un Mac chiffré ou directement dans macOS. Dans le système d’exploitation de secours, la PRK peut être utilisée si lʼAssistant de récupération le propose, ou avec lʼoption « Mots de passe oubliés », pour accéder à lʼenvironnement de récupération, ce qui déverrouillera également le volume. Lorsque vous utilisez lʼoption « Mots de passe oubliés », il nʼest pas nécessaire de réinitialiser le mot de passe pour un utilisateur ; vous pouvez cliquer sur le bouton de sortie à tout moment pour démarrer avec le système d’exploitation de secours. Pour démarrer macOS directement sur un ordinateur Mac à processeur Intel, cliquez sur le point dʼinterrogation en face du champ de mot de passe, puis sélectionnez lʼoption pour le « réinitialiser à lʼaide de votre clé de secours ». Saisissez la PRK, puis appuyez sur Retour ou cliquez sur la flèche. Après le démarrage de macOS, appuyez sur Annuler dans la zone de dialogue de changement de mot de passe.
Aussi, sur un Mac doté dʼune puce Apple exécutant macOS 12.0.1 ou ultérieur, appuyez sur Option+Maj+Retour pour révéler le champ de saisie de la PRK, puis appuyez sur Retour (ou cliquez sur la flèche).
Il ne peut y avoir qu’une seule PRK par volume chiffré, et pendant l’activation de FileVault à partir d’un service de gestion des appareils, vous pouvez éventuellement la masquer pour que l’utilisateur ne la voie pas. Lorsquʼelle est configurée pour envoyer les clés à lʼautorité de séquestre, le service de gestion des appareils fournit une clé publique sous forme de certificat à un Mac, qui l’utilise ensuite pour chiffrer asymétriquement la PRK sous forme d’enveloppe CMS. La PRK chiffrée est renvoyée au service dans la requête dʼinformation de sécurité qui peut ensuite être déchiffrée pour être consultée par une organisation. Étant donné que le chiffrement est asymétrique, le service lui-même peut ne pas être en mesure de déchiffrer la PRK (ce qui peut nécessiter des étapes supplémentaires de la part d’un administrateur). Néanmoins, de nombreux développeurs de services de gestion des appareils offrent la possibilité de gérer ces clés pour pouvoir les consulter directement dans leurs produits. Le service de gestion des appareils peut également faire pivoter les PRK aussi souvent que nécessaire pour maintenir une posture de sécurité robuste ; par exemple, après avoir utilisé une PRK pour déverrouiller un volume.
Une PRK peut être utilisée en mode disque cible sur les ordinateurs Mac dépourvus de puce Apple afin de déverrouiller un volume :
1. Connectez le Mac dans le mode disque cible à un autre Mac exécutant la même ou une version plus récente de macOS.
2. Ouvrez Terminal, puis exécutez la commande suivante et recherchez le nom du volume (généralement « Macintosh HD »). Cela devrait afficher « Point de montage : Non monté » et « FileVault : Oui (Verrouillé) ». Prenez note de lʼidentifiant de disque du volume APFS pour ce volume, qui ressemble à disk3s2, mais probablement avec des chiffres différents, par exemple, disk4s5.
diskutil apfs list3. Exécutez la commande suivante, puis recherchez lʼutilisateur de la clé de récupération personnelle, et notez les UUID répertoriés :
diskutil apfs listUsers /dev/<diskXsN>4. Exécutez cette commande :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Lorsque vous êtes invité à indiquer votre phrase secrète, collez ou saisissez le PRK, puis appuyez sur Retour. Le volume est monté dans le Finder.