Gestion de FileVault avec la gestion des appareils
Les organisations peuvent gérer le chiffrement complet du disque FireVault à l’aide d’un service de gestion des appareils ou, pour certains déploiements et certaines configurations avancés, l’outil de ligne de commande fdesetup. La gestion de FileVault au moyen d’un service de gestion des appareils est appelée activation différée. Elle exige un événement de déconnexion ou de connexion de l’utilisateur. Un service de gestion des appareils peut également personnaliser les options telles que :
le nombre de fois que l’utilisateur peut reporter l’activation de FileVault;
s’il faut inviter l’utilisateur à activer FileVault lors de la fermeture de session en plus de le faire à l’ouverture de la session;
s’il faut montrer la clé de secours à l’utilisateur;
le certificat utilisé afin de chiffrer de façon asymétrique la clé de secours pour sa mise sous séquestre dans le service de gestion des appareils.
Pour autoriser un utilisateur à déverrouiller le stockage sur les volumes APFS, cet utilisateur doit disposer d’un jeton sécurisé et, sur un Mac avec puce Apple, être un propriétaire de volume. Pour en savoir plus sur les jetons sécurisés et la propriété de volume, consultez la rubrique Utilisation des jetons sécurisés et d’amorçage, et de la propriété de volume dans les déploiements. Vous trouverez ci-dessous des renseignements sur la façon dont les utilisateurs obtiennent un jeton sécurisé dans le cadre de processus donnés et le moment de l’octroi.
Imposition de FileVault dans Assistant réglages
Avec la clé ForceEnableInSetupAssistant, les Mac peuvent exiger l’activation de FileVault lors de l’utilisation d’Assistant réglages. Le stockage interne des ordinateurs Mac gérés est ainsi toujours chiffré avant d’être utilisé. Les organisations peuvent décider de présenter la clé de secours FileVault à l’utilisateur ou de la mettre sous séquestre. Pour utiliser cette fonctionnalité, vérifiez que le réglage await_device_configured est configuré.
Remarque : Avant macOS 14.4, cette fonction exigeait que le compte utilisateur créé interactivement dans l’Assistant réglages ait le rôle d’administrateur.
Lorsqu’un utilisateur configure un Mac lui-même
Remarque : Le service de gestion des appareils doit prendre en charge des fonctionnalités spécifiques pour que les jetons sécurisés et les jetons d’amorçage fonctionnent avec un Mac.
Lorsqu’un utilisateur configure un Mac lui-même, les services informatiques n’effectuent aucune tâche de provisionnement sur l’appareil en question. Vous fournissez toutes les règles et configurations à l’aide d’un service de gestion des appareils ou d’outils de gestion des configurations. L’assistant réglages crée le compte local initial et attribue à l’utilisateur un jeton sécurisé. Le Mac génère un jeton d’amorçage et le met sous séquestre dans le service de gestion des appareils.
Si le Mac s’inscrit à un service de gestion des appareils, le compte initial peut ne pas être un compte administrateur local, mais plutôt un compte utilisateur standard local. Si vous déclassez l’utilisateur au rang d’utilisateur standard à l’aide d’un service, celui-ci lui attribue automatiquement un jeton sécurisé. Sur un Mac sous macOS 10.15.4 ou une version ultérieure, si vous déclassez l’utilisateur, macOS génère automatiquement un jeton d’amorçage et le met sous séquestre dans le service de gestion des appareils.
Si la création d’un compte utilisateur local dans Assistant réglages est ignorée à l’aide d’un service de gestion des appareils et qu’un service de répertoire avec des comptes mobiles est utilisé à la place, le service attribue à l’utilisateur du compte mobile un jeton sécurisé lors de la connexion. Sur un Mac sous macOS 10.15.4 ou une version ultérieure, après avoir activé l’utilisateur avec un compte mobile, macOS génère automatiquement un jeton d’amorçage lors de la deuxième connexion de l’utilisateur et le met sous séquestre dans le service de gestion des appareils.
Si un service de gestion des appareils ignore la création d’un compte utilisateur local dans l’Assistant réglages et utilise à la place un service de répertoire avec des comptes mobiles, le service de gestion des appareils attribue un jeton sécurisé à l’utilisateur lorsqu’il se connecte. Sur un Mac sous macOS 10.15.4 ou une version ultérieure, si l’utilisateur mobile dispose d’un jeton sécurisé, macOS génère automatiquement un jeton d’amorçage et le met sous séquestre dans le service de gestion des appareils.
Dans tous les scénarios ci-dessus, macOS attribuant un jeton sécurisé au premier et principal utilisateur, celui-ci peut activer FileVault à l’aide de l’activation différée, qui vous permet d’activer FileVault, mais de reporter son activation jusqu’à la connexion ou la déconnexion d’un utilisateur sur un Mac. Vous pouvez aussi choisir si l’utilisateur peut ignorer l’activation de FileVault (en option, un nombre défini de fois). Le principal utilisateur du Mac, qu’il s’agisse d’un utilisateur local de tout type ou d’un compte mobile, peut ainsi déverrouiller le volume FileVault.
Sur un Mac où macOS génère un jeton d’amorçage et le met sous séquestre dans un service de gestion des appareils, si un autre utilisateur se connecte au Mac à l’avenir, macOS utilise le jeton d’amorçage pour lui attribuer automatiquement un jeton sécurisé. Cela signifie que le compte est également capable d’utiliser FileVault et de déverrouiller le volume FileVault. Pour supprimer la capacité d’un utilisateur à déverrouiller le dispositif de stockage, utilisez fdesetup remove -user.
Lorsqu’une organisation provisionne un Mac
Lorsqu’une organisation provisionne un Mac avant de le remettre à l’utilisateur, le service informatique configure l’appareil. Vous utilisez le compte administratif local, que vous créez soit dans Assistant réglages, soit en le fournissant avec un service de gestion des appareils, pour fournir ou configurer le Mac, et le système d’exploitation lui octroie le premier jeton sécurisé lors de la connexion. Si le service prend en charge la fonctionnalité de jeton d’amorçage, le système d’exploitation génère également un jeton d’amorçage et le met sous séquestre.
Si le Mac est joint à un service de répertoire et configuré pour créer des comptes mobiles et qu’il n’y a pas de jeton d’amorçage, les utilisateurs du service de répertoire sont invités lors de la première connexion à saisir le nom d’utilisateur et le mot de passe d’un administrateur avec un jeton sécurisé existant pour attribuer un jeton sécurisé à leur compte. Les informations d’identification d’un administrateur local avec jeton sécurisé doivent être entrées. Si aucun jeton sécurisé n’est requis, l’utilisateur peut cliquer sur Ignorer. Sur un Mac sous macOS 10.13.5 ou une version ultérieure, il est possible de supprimer entièrement la boîte de dialogue du jeton sécurisé si FileVault n’est pas utilisé avec les comptes mobiles. Pour supprimer la boîte de dialogue du jeton sécurisé, appliquez un profil personnalisé de configuration des réglages du service de gestion des appareils contenant les clés et les valeurs suivantes :
Réglage | Valeur | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domaine | com.apple.MCX | ||||||||||
Clé | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valeur | True | ||||||||||
Si le service de gestion des appareils prend en charge la fonctionnalité de jeton d’amorçage et que le Mac en génère un et le met sous séquestre dans le service, les utilisateurs de comptes mobiles ne voient pas cette invite. macOS leur attribue plutôt automatiquement un jeton sécurisé pendant la connexion.
Si d’autres utilisateurs locaux sont requis sur le Mac au lieu de comptes d’utilisateurs d’un service de répertoire, macOS leur attribue automatiquement un jeton sécurisé lorsqu’un administrateur pour lequel un jeton sécurisé est activé crée ces utilisateurs locaux dans Utilisateurs et groupes (dans Réglages système sous macOS 13 ou une version ultérieure, ou Préférences Système sous macOS 12.0.1 ou une version antérieure). Lorsque des utilisateurs locaux sont créés à l’aide d’une ligne de commande, l’administrateur peut utiliser l’outil de ligne de commande sysadminctl et leur permettre d’utiliser un jeton sécurisé. Sur les Mac sous macOS 11 ou une version ultérieure, si macOS n’accorde pas de jeton sécurisé lors de la création et si un jeton d’amorçage est accessible à partir du service de gestion des appareils, il accorde un jeton sécurisé à l’utilisateur local lorsqu’il se connecte.
Dans ces scénarios, les utilisateurs suivants peuvent déverrouiller le volume chiffré par FileVault :
l’administrateur local d’origine utilisé pour le provisionnement;
tout utilisateur du service de répertoire supplémentaire ayant reçu un jeton sécurisé pendant le processus de connexion que ce soit par la boîte de dialogue ou automatiquement à l’aide du jeton d’amorçage;
tout nouvel utilisateur local.
Pour supprimer la capacité d’un utilisateur à déverrouiller le dispositif de stockage, utilisez fdesetup remove -user.
Lors de l’utilisation d’un des processus décrits ci-dessus, un jeton sécurisé est géré par macOS sans configuration ou script supplémentaire. Il devient un détail de l’implémentation et non un élément à gérer ou à manipuler activement.
Outil de ligne de commande fdesetup
Vous pouvez utiliser les configurations de gestion des appareils ou l’outil de ligne de commande fdesetup pour configurer FileVault. Sur les Mac sous macOS 10.15 ou ultérieur, l’utilisation de fdesetup pour activer FileVault en fournissant le nom d’utilisateur et le mot de passe est désuète et ne sera plus accessible dans une version ultérieure. La commande continue de fonctionner, mais reste désuète sous macOS 11 et macOS 12.0.1. Envisagez d’utiliser plutôt l’activation différée à partir d’un service de gestion des appareils. Pour en savoir plus sur l’outil de ligne de commande fdesetup, lancez l’app Terminal et entrez man fdesetup ou fdesetup help.
Clés de secours institutionnelles et personnelles
FileVault sur les volumes CoreStorage et APFS prend en charge l’utilisation d’une clé de secours institutionnelle (autrefois appelée identité maître FileVault) pour déverrouiller le volume. Même si la clé de secours institutionnelle est pratique pour les opérations de ligne de commande visant à déverrouiller un volume ou à simplement désactiver FileVault, son utilité est limitée pour les organisations, particulièrement dans les versions récentes de macOS. De plus, sur un Mac avec puce Apple, les clés de secours institutionnelles n’offrent aucune valeur fonctionnelle pour deux raisons principales : Tout d’abord, elles ne peuvent pas être utilisées pour accéder à recoveryOS. Ensuite, comme le mode disque cible n’est plus pris en charge, le volume ne peut pas être déverrouillé en le connectant à un autre Mac. C’est donc entre autres pour ces raisons que l’utilisation d’une clé de secours institutionnelle n’est plus recommandée pour la gestion institutionnelle de FileVault sur les ordinateurs Mac. Utilisez plutôt une clé de secours personnelle. La clé de secours personnelle offre :
un mécanisme très robuste d’accès à la récupération et au système d’exploitation;
un chiffrement unique pour chaque volume;
une mise sous séquestre au service de gestion d’appareils;
une rotation des clés facile après leur utilisation.
Sur un Mac doté d’une puce Apple sous macOS 12.0.1 ou une version ultérieure, une clé de secours personnelle peut être utilisée soit dans recoveryOS, soit pour démarrer un Mac chiffré directement dans macOS. Dans recoveryOS, la clé de secours personnelle peut être utilisée si Assistant de récupération la demande, ou avec l’option « Vous avez oublié tous les mots de passes? », pour avoir accès à l’environnement de récupération qui déverrouillera ensuite le volume. Lors de l’utilisation de l’option « Vous avez oublié tous les mots de passe? », la réinitialisation du mot de passe d’un utilisateur n’est pas requise. Vous pouvez cliquer sur le bouton Quitter pour démarrer directement recoveryOS. Pour démarrer macOS directement sur un ordinateur Mac avec processeur Intel, cliquez sur le point d’interrogation à côté du champ de mot de passe, puis choisissez l’option « réinitialiser à l’aide de votre clé de secours ». Saisissez la clé de secours personnelle, puis appuyez sur Retour ou cliquez sur la flèche. Après le démarrage de macOS, appuyez sur Annuler dans la boîte de dialogue concernant la modification du mot de passe.
Également, sur un Mac avec puce Apple sous macOS 12.0.1 ou ultérieur, appuyez sur Option + Maj + Retour pour révéler le champ d’entrée de la clé de secours personnelle, puis appuyez sur Entrée (ou cliquez sur la flèche).
Il n’existe qu’une seule clé de secours personnelle par volume chiffré et lors de l’activation de FileVault par le service de gestion des appareils, vous pouvez éventuellement la cacher à l’utilisateur. Lors de sa configuration pour être mise sous séquestre dans le service de gestion des appareils, ce dernier fournit au Mac une clé publique sous la forme d’un certificat, qu’il utilise ensuite pour chiffrer de façon asymétrique la clé de secours personnelle dans un format d’enveloppe CMS. La clé de secours personnelle chiffrée retourne au service dans la requête des informations de sécurité. Une organisation peut ensuite la déchiffrer pour la consulter. Parce que le chiffrement est asymétrique, le service pourrait être incapable de déchiffrer la clé de secours personnelle (un administrateur pourrait alors suivre des étapes supplémentaires). Par contre, plusieurs développeurs du service de gestion des appareils offrent l’option de gérer ces clés pour autoriser leur visionnement directement dans leurs produits. Le service de gestion des appareils peut aussi effectuer une rotation des clés de secours personnelles aussi fréquemment que nécessaire afin de maintenir une sécurité solide (par exemple, après l’utilisation d’une clé de secours personnelle pour déverrouiller un volume).
Une clé de secours personnelle peut être utilisée en mode disque cible sur les ordinateurs Mac sans puce Apple afin de déverrouiller un volume :
1. Connectez le Mac en mode disque cible à un autre Mac utilisant la même version de macOS ou une version plus récente.
2. Ouvrez Terminal, puis exécutez la commande suivante avant de rechercher le nom du volume (habituellement « Macintosh HD »). Le résultat prévu est « Mount Point: Not Mounted » et « FileVault: Yes (Locked) ». Notez l’identifiant de volume APFS pour le volume en question, qui devrait ressembler à « disk3s2 » avec des chiffres potentiellement différents (p. ex. « disk4s5 »).
diskutil apfs list3. Exécutez la commande suivante, puis recherchez l’utilisateur de la clé de secours personnelle et notez l’UUID indiqué :
diskutil apfs listUsers /dev/<diskXsN>4. Exécutez cette commande :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Lorsqu’on vous invite à saisir la phrase secrète, collez ou entrez la clé de secours personnelle, puis appuyez sur Retour. Le volume est monté dans le Finder.