Créer une configuration FileVault dans Apple Business
FileVault est une fonctionnalité de chiffrement intégrée qui permet de sécuriser toutes les données au repos, et vous pouvez imposer l’utilisation de FileVault pour sécuriser les informations sur Mac.
FileVault chiffre les données sur un Mac, afin que les utilisateurs non autorisés ne puissent accéder à aucune information sans un mot de passe d’utilisateur. Si un utilisateur ou une utilisatrice oublie son mot de passe ou n’est pas disponible et que vous devez accéder au Mac, vous pouvez utiliser une clé spéciale, appelée clé de secours, à la place du mot de passe de l’utilisateur. Avant que la configuration FileVault puisse être appliquée aux ordinateurs Mac, vous devez télécharger un certificat utilisé pour chiffrer la clé de secours stockée pour chaque Mac. Les clés de secours chiffrées sont stockées et accessibles par n’importe quel utilisateur ayant un rôle Administrateur dans Apple Business.
Une fois FileVault activé pour un Mac, les informations d’identification de l’utilisateur sont requises lors du processus de démarrage. FileVault, associé à la sécurité matérielle de l’ordinateur Mac, permet d’atteindre quatre objectifs principaux :
Nécessite le mot de passe d’un utilisateur pour le déchiffrement
Protège le système d’exploitation d’une attaque par force brute directement contre les supports de stockage supprimés du Mac
Fournit une méthode rapide et sécurisée pour effacer le contenu via la suppression du matériel cryptographique nécessaire
Permet aux utilisateurs de changer leur mot de passe (et, par conséquent, les clés cryptographiques utilisées pour protéger leurs fichiers) sans avoir besoin de rechiffrer le volume entier
Apple Business utilise un chiffrement asymétrique pour garantir la confidentialité de vos clés de secours FileVault et chiffre la clé de secours de chaque appareil à l’aide d’un certificat de chiffrement que vous générez. Après avoir généré le certificat, vous devez le téléverser sur Apple Business.
Un certificat de chiffrement et sa clé privée forment une paire assortie. Lorsqu’un nouveau certificat de chiffrement est généré, seule la clé privée produite avec lui fonctionne pour déchiffrer les clés de secours utilisées pour chiffrer. Si d’autres Utilisateurs de votre équipe ayant le rôle Administrateur ont besoin d’accéder aux clés de secours stockées dans Apple Business, essayez d’utiliser un gestionnaire de mots de passe pour stocker et partager en toute sécurité la clé privée nécessaire pour les déchiffrer. Si vous générez une nouvelle paire et téléversez son certificat de chiffrement, le précédent cesse d’être utilisé pour chiffrer les nouvelles clés de secours. Cependant, la clé privée précédente est toujours nécessaire pour déchiffrer les clés de secours qui ont été chiffrées avec son certificat correspondant.
Remarque : Si vous choisissez de créer votre propre certificat de chiffrement au lieu d’utiliser la tâche ci-dessous pour en créer un, le fichier doit être un certificat codé PEM avec une clé publique RSA d’au moins 2048 bits.
Créer un certificat de chiffrement
L’ID généré dans les noms correspond et aide à distinguer quelle clé privée correspond à quel certificat.
Remarque : Vous pouvez en créer plusieurs.
Sur le Mac, lancez l’app Terminal
, collez le texte ci-dessous, puis appuyez sur Retour.(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)Ces commandes génèrent deux fichiers dans votre dossier Documents. Ouvrez-le et vérifiez qu’il contient désormais :
Un certificat de chiffrement : dans un fichier nommé
FileVaultKeyEncryptionCert_[id].pemUne clé privée RSA : dans un fichier nommé
FileVaultKeyEncryptionPrivateKey_[id].pem
Important : Gardez chaque clé privée RSA en lieu sûr. Si vous perdez un fichier de clé privée, vous ne pourrez pas déchiffrer les clés de récupération chiffrées par son certificat et ne pourrez donc pas utiliser ces clés de récupération pour déverrouiller leurs appareils correspondants au cas où un utilisateur perdrait son mot de passe.
Télécharger un certificat de chiffrement
Dans Apple Business, connectez-vous avec un utilisateur ayant le rôle d’Administrateur d’organisation.
Dans votre navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Système de gestion d’appareils intégré, sélectionnez Téléverser le fichier et sélectionnez le fichier
FileVaultKeyEncryptionCert_[id].pemcréé ci-dessus, puis sélectionnez Téléverser.Sélectionnez Enregistrer.
Si une configuration FileVault a été attribuée à des utilisateurs, utilisatrices ou appareils par l’entremise d’un Schéma avant le téléversement de votre premier certificat de chiffrement, la configuration s’applique désormais à tous les utilisateurs, utilisatrices et ordinateurs Mac affecté·es.
Remplacer un certificat de chiffrement
Important : Les certificats de chiffrement chiffrent uniquement les clés de secours stockées dans Apple Business après le téléversement du certificat. Les clés de secours précédemment chiffrées ne sont pas rechiffrées avec le nouveau certificat de chiffrement.
Dans Apple Business, connectez-vous avec un utilisateur ayant le rôle d’Administrateur d’organisation.
Dans votre navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Système de gestion d’appareils intégré, sélectionnez Remplacer le certificat et sélectionnez le nouveau fichier de certificat de chiffrement que vous souhaitez utiliser, puis sélectionnez Téléverser.
Sélectionnez Enregistrer.
Télécharger une clé de récupération FileVault pour un seul appareil
Pour vous offrir une sécurité optimale, vos clés de secours FileVault ne sont pas visibles par Apple Business. Pour afficher les clés de secours, vous devez d’abord télécharger la clé de secours chiffrée.
Pour télécharger la clé de secours d’un seul appareil chiffré avec FileVault via Apple Business :
Dans Apple Business, connectez-vous avec un utilisateur ayant le rôle d’Administrateur d’organisation.
Dans votre navigateur, choisissez Appareils > Inventaire.
Si nécessaire, trouvez l’appareil dans la boîte de recherche. Consultez la rubrique Comment effectuer une recherche.
Sélectionnez l’appareil, faites défiler jusqu’à la section FileVault, puis sélectionnez Télécharger la clé.
Un fichier de valeurs séparées par des virgules (
.csv) nomméFileVaultRecoveryKeysEncrypted.csvest téléchargé sur votre ordinateur. Il contient votre clé chiffrée, ainsi que l’appareil correspondant et le certificat de chiffrement.Remarque : Si un appareil a déjà été chiffré avec FileVault avant l’attribution de FileVault dans Apple Business, la clé de secours ne sera pas visible sur la page de l’appareil tant que la clé de secours n’aura pas été tournée.
Tourner une clé de récupération et la rendre visible
Dans Apple Business, connectez-vous avec un utilisateur ayant le rôle d’Administrateur d’organisation.
Sur le Mac, lancez l’app Terminal
, puis collez-y ce qui suit :sudo /usr/bin/fdesetup changerecovery -personalLorsque vous y êtes invité, saisissez le mot de passe de l’administrateur connecté localement pour exécuter la commande (le mot de passe ne sera pas visible).
Lorsque vous y êtes à nouveau invité, saisissez une seconde fois le nom d’utilisateur et le mot de passe de l’administrateur connecté localement.
Lorsque le processus est terminé, le Mac dispose d’une nouvelle clé de secours disponible dans Apple Business.
Télécharger les clés de récupération FileVault pour tous les appareils
Pour télécharger les clés de secours pour tous les appareils chiffrés avec FileVault via Apple Business :
Dans Apple Business, connectez-vous avec un utilisateur ayant le rôle d’Administrateur d’organisation.
Dans votre navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Système de gestion d’appareils intégré, puis Télécharger les clés de secours.
Un fichier de valeurs séparées par des virgules (
.csv) nomméFileVaultRecoveryKeysEncrypted.csvest téléchargé sur votre ordinateur. Il contient toutes vos clés chiffrées, ainsi que l’appareil correspondant et le certificat de chiffrement.
Afficher une clé de récupération FileVault
Vous visualisez une clé de secours FileVault en la déchiffrant à partir du fichier téléchargé de valeurs séparées par des virgules (.csv).
Ouvrir
FileVaultRecoveryKeysEncrypted.csv.Localisez la ligne avec le numéro de série de l’appareil pour lequel vous voulez la clé de secours. Copiez la deuxième cellule de cette ligne, qui se trouve dans une colonne nommée Clé de secours chiffrée. La cellule doit présenter un contenu qui ressemble à du texte aléatoire.
Ouvrez TextEdit et créez un nouveau fichier texte brut.
Vous devrez peut-être appuyer sur Maj-Commande-T si votre TextEdit utilise par défaut des fichiers texte enrichi. Collez la cellule copiée ci-dessus et enregistrez le fichier dans le dossier contenant votre clé privée associée à votre certificat de chiffrement.
Sur Mac, ouvrez l’app Terminal
, accédez au dossier contenant le nouveau fichier texte et la clé privée, puis collez les commandes ci-dessous. Remplacez YourTextFileetYourPrivateKeypar vos noms de fichiers respectifs, puis appuyez sur Entrée.base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txtVotre clé de secours déchiffrée est écrite dans un fichier nommé
FileVaultRecoveryKey.txtdans le même dossier que votre clé privée.