Créer une configuration FileVault dans Apple Business
FileVault est un système de chiffrement intégré qui assure la sécurité de toutes les données au repos ; vous pouvez y recourir sur un Mac pour sécuriser vos informations.
FileVault chiffre les données sur un Mac, afin que les personnes non autorisées ne puissent accéder à aucune information sans le mot de passe du profil utilisateur. Si un utilisateur oublie son mot de passe ou n’est pas disponible lorsque vous devez accéder au Mac, vous pouvez utiliser une clé spéciale, appelée clé de récupération, à la place du mot de passe. Avant que le réglage FileVault puisse être appliqué aux ordinateurs Mac, vous devez télécharger un certificat utilisé qui sert à chiffrer la clé de récupération stockée pour chaque Mac. Tout profil utilisateur disposant du rôle Administrateur d’organisation peut stocker les clés de récupération chiffrées et y accéder dans Apple Business.
Une fois FileVault activé pour un Mac, les informations d’identification de l’utilisateur sont requises lors du processus de démarrage. FileVault, associé à la sécurité matérielle de l’ordinateur Mac, permet d’atteindre quatre objectifs principaux :
Nécessite le mot de passe d’un utilisateur pour le déchiffrement
Protège le système d’exploitation d’une attaque par force brute directement contre les supports de stockage supprimés du Mac
Fournit une méthode rapide et sécurisée pour effacer le contenu via la suppression du matériel cryptographique nécessaire
Permet aux utilisateurs de changer leur mot de passe (et, par conséquent, les clés cryptographiques utilisées pour protéger leurs fichiers) sans avoir besoin de rechiffrer le volume entier
Apple Business utilise un chiffrement asymétrique pour garantir la confidentialité de vos clés de récupération FileVault, et chiffre la clé de récupération de chaque appareil à l’aide d’un certificat de chiffrement que vous générez. Après avoir généré le certificat, vous devez le télécharger sur Apple Business.
Un certificat de chiffrement et sa clé privée forment une paire assortie. Lorsqu’un nouveau certificat de chiffrement est généré, seule la clé privée produite avec lui fonctionnera pour déchiffrer les clés de récupération utilisées pour chiffrer. Si d’autres profils administrateurs de votre équipe ont besoin d’accéder aux clés de récupération stockées dans Apple Business, essayez d’utiliser un gestionnaire de mots de passe pour stocker et partager en toute sécurité la clé privée nécessaire pour les déchiffrer. Si vous générez une nouvelle paire et chargez son certificat de chiffrement, le précédent cessera d’être utilisé pour chiffrer les nouvelles clés de récupération. Cependant, la clé privée précédente sera toujours nécessaire pour déchiffrer les clés de récupération qui ont été chiffrées avec son certificat correspondant.
Remarque : Si vous choisissez de créer votre propre certificat de chiffrement au lieu d’utiliser la tâche ci‑dessous pour en créer un, le fichier doit être un certificat codé PEM avec une clé publique RSA d’au moins 2 048 bits.
Créer un certificat de cryptage
L’ID généré dans les noms correspondra et servira à relier chaque clé privée à son certificat.
Remarque : Vous pouvez en créer plusieurs.
Sur le Mac, ouvrez l’app Terminal
, collez le texte ci‑dessous, puis appuyez sur Retour.(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)Ces commandes génèrent deux fichiers dans votre dossier Documents. Ouvrez‑le et vérifiez qu’il contient désormais :
Un certificat de chiffrement : dans un fichier nommé
FileVaultKeyEncryptionCert_[id].pemUne clé privée RSA : dans un fichier nommé
FileVaultKeyEncryptionPrivateKey_[id].pem
Important : Gardez chaque clé privée RSA en lieu sûr. Si vous perdez un fichier de clé privée, vous ne pourrez pas décrypter les clés de récupération chiffrées par son certificat et ne pourrez donc pas utiliser ces clés de récupération pour déverrouiller leurs appareils correspondants au cas où un utilisateur perdrait son mot de passe.
Télécharger un certificat de cryptage
Dans Apple Business, connectez-vous avec un profil utilisateur ayant le rôle d’administrateur de l’organisation.
Dans votre Navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Gestion des appareils intégrés, sélectionnez Charger un fichier, puis le fichier
FileVaultKeyEncryptionCert_[id].pemcréé ci-dessus. Ensuite, sélectionnez Charger.Sélectionnez Enregistrer.
Si une configuration FileVault a été attribuée à des comptes ou à des appareils via un schéma avant le téléchargement de votre premier certificat de chiffrement, la configuration s’appliquera désormais à tous les comptes utilisateurs et appareils attribués.
Remplacer un certificat de cryptage
Important : Les certificats de chiffrement chiffrent uniquement les clés de récupération enregistrées dans Apple Business après le chargement du certificat. Les clés de récupération précédemment chiffrées ne sont pas rechiffrées avec le nouveau certificat de chiffrement.
Dans Apple Business, connectez-vous avec un profil utilisateur ayant le rôle d’administrateur de l’organisation.
Dans votre Navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Gestion des appareils intégrés, Remplacer le certificat et sélectionnez le nouveau fichier de certificat de chiffrement que vous souhaitez utiliser. Ensuite, sélectionnez Télécharger.
Sélectionnez Enregistrer.
Télécharger une clé de récupération FileVault pour un seul appareil
Pour vous offrir une sécurité optimale, vos clés de récupération FileVault ne sont pas visibles par Apple Business. Pour afficher les clés de récupération, vous devez d’abord télécharger la clé de récupération chiffrée.
Pour télécharger la clé de récupération d’un seul appareil chiffré avec FileVault via Apple Business :
Dans Apple Business, connectez-vous avec un profil utilisateur ayant le rôle d’administrateur de l’organisation.
Dans votre Navigateur, sélectionnez Appareils > Inventaire.
Si nécessaire, recherchez l’appareil dans le champ de recherche. Consultez la rubrique Recherche.
Sélectionnez l’appareil, faites défiler jusqu’à la section FileVault, puis sélectionnez Télécharger la clé.
Un fichier de valeurs séparées par des virgules (
.csv) nomméFileVaultRecoveryKeysEncrypted.csvest téléchargé sur votre ordinateur. Il contient votre clé chiffrée, ainsi que l’appareil correspondant et le certificat de chiffrement.Remarque : Si un appareil a déjà été chiffré avec FileVault avant l’attribution de ce dernier dans Apple Business, la clé de récupération ne sera visible sur la page de l’appareil que lorsqu’une nouvelle clé aura été générée.
Générer une nouvelle clé de récupération et la rendre visible
Dans Apple Business, connectez-vous avec un profil utilisateur ayant le rôle d’administrateur de l’organisation.
Sur le Mac, ouvrez l’app Terminal
, puis collez le texte ci‑dessous :sudo /usr/bin/fdesetup changerecovery -personalLorsque vous y êtes invité, saisissez le mot de passe de l’administrateur connecté en local pour exécuter la commande (le mot de passe ne sera pas visible).
Lorsque vous y êtes invité, saisissez une seconde fois le nom d’utilisateur et le mot de passe de l’administrateur connecté en local.
Une fois le processus terminé, le Mac dispose d’une nouvelle clé de récupération disponible dans Apple Business.
Télécharger les clés de récupération FileVault pour tous les appareils
Pour télécharger les clés de récupération pour tous les appareils chiffrés avec FileVault via Apple Business :
Dans Apple Business, connectez-vous avec un profil utilisateur ayant le rôle d’administrateur de l’organisation.
Dans votre Navigateur, sélectionnez Appareils > Services de gestion.
Sélectionnez Gestion des appareils intégrés, puis Télécharger les clés de récupération.
Un fichier de valeurs séparées par des virgules (
.csv) nomméFileVaultRecoveryKeysEncrypted.csvest téléchargé sur votre ordinateur. Il contient toutes vos clés chiffrées, ainsi que l’appareil correspondant et le certificat de chiffrement.
Afficher une clé de récupération FileVault
Vous affichez une clé de récupération FileVault en la déchiffrant à partir du fichier de valeurs séparées par des virgules (.csv) téléchargé.
Ouvrez
FileVaultRecoveryKeysEncrypted.csv.Localisez la ligne avec le numéro de série de l’appareil pour lequel vous souhaitez la clé de récupération. Copiez la deuxième cellule de cette ligne, qui se trouve dans une colonne « Clé de récupération chiffrée ». La cellule doit présenter un contenu qui ressemble à du texte aléatoire.
Ouvrez TextEdit et créez un nouveau fichier texte brut.
Vous devrez peut‑être appuyer sur Maj-Commande-T si votre TextEdit utilise par défaut des fichiers texte enrichi. Collez la cellule copiée ci‑dessus et enregistrez le fichier dans le dossier contenant votre clé privée associée à votre certificat de cryptage.
Sur Mac, lancez l’app Terminal
, accédez au dossier contenant le nouveau fichier texte et la clé privée, puis collez les commandes ci-dessous. Remplacez YourTextFileetYourPrivateKeypar vos noms de fichiers respectifs, puis appuyez sur Entrée.base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txtVotre clé de récupération déchiffrée est écrite dans un fichier nommé
FileVaultRecoveryKey.txtdans le même dossier que votre clé privée.