Gérer FileVault avec la gestion des appareils mobiles
Le chiffrement complet du disque FileVault peut être géré dans les organisations utilisant une solution de gestion des appareils mobiles (MDM) ou, pour certains déploiements et certaines configurations, lʼoutil de ligne de commande fdesetup. Gérer FileVault à lʼaide dʼune solution MDM est parfois appelé report dʼactivation et nécessite une connexion ou une déconnexion de la part de lʼutilisateur. La solution MDM peut personnaliser des options telles que :
Le nombre de fois qu’un utilisateur peut reporter l’activation de FileVault
Le fait dʼinviter ou non lʼutilisateur à se déconnecter en plus de se connecter
Le fait de montrer ou non une clé de récupération à lʼutilisateur
Le certificat utilisé pour chiffrer de manière asymétrique la clé de récupération pour lʼenvoyer à lʼautorité de séquestre de la solution MDM
Pour qu’un utilisateur puisse déverrouiller le stockage sur les volumes APFS, il doit posséder un jeton sécurisé et, sur un Mac doté dʼune puce Apple, il doit être propriétaire du volume. Pour en savoir plus sur les jetons sécurisés et la propriété de volume, consultez la page Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements. Des informations concernant la manière et le moment où les utilisateurs reçoivent un jeton sécurisé au cours de processus spécifiques sont détaillées ci-dessous.
Application de FileVault dans Assistant réglages
À l’aide de la clé ForceEnableInSetupAssistant, les ordinateurs Mac peuvent exiger l’activation de FileVault lors de l’utilisation d’Assistant réglages. Cela garantit que le stockage interne des ordinateurs Mac gérés est toujours chiffré avant l’utilisation. Les organisations peuvent décider d’afficher ou non la clé de secours FileVault à l’utilisateur ou de confier la clé de secours personnelle à une autorité de séquestre. Pour utiliser cette fonctionnalité, veillez à définir await_device_configured.
Remarque : Avant macOS 14.4, cette fonctionnalité requiert que le compte utilisateur créé de manière interactive durant Assistant réglages ait le rôle d’administrateur.
Configuration d’un Mac par un utilisateur
Lorsqu’un utilisateur configure lui-même un Mac, les services informatiques n’effectuent aucune tâche d’approvisionnement sur l’appareil proprement dit. Toutes les règles et les configurations sont fournies à l’aide d’une solution MDM ou d’outils de gestion de la configuration. « Assistant réglages » est utilisé pour créer le compte local initial et un jeton sécurisé est attribué à l’utilisateur. Si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et informe le Mac pendant l’inscription au service MDM, un jeton d’amorçage est généré par le Mac et envoyé à lʼautorité de séquestre de la solution MDM.
Si le Mac est inscrit à une solution MDM, le compte initial peut ne pas être un compte administrateur local, mais plutôt un compte utilisateur standard local. Si l’utilisateur est rétrogradé à un utilisateur standard à l’aide d’une solution MDM, un jeton sécurisé est automatiquement attribué à l’utilisateur. Si l’utilisateur est rétrogradé, sous macOS 10.15.4 ou ultérieur, un jeton d’amorçage est automatiquement généré et envoyé à lʼautorité de séquestre de la solution MDM, si la fonctionnalité est prise en charge.
Si une solution MDM ignore toute la création d’un compte utilisateur local dans « Assistant réglages », afin d’utiliser à la place un service d’annuaire avec des comptes mobiles, un jeton sécurisé est attribué à l’utilisateur du compte mobile pendant l’ouverture de session. Avec un compte mobile, une fois que l’utilisateur a reçu son jeton sécurisé, sous macOS 10.15.4 ou ultérieur, un jeton d’amorçage est automatiquement généré lors de la deuxième ouverture de session de l’utilisateur et entiercé à la solution MDM, si la fonctionnalité est prise en charge.
Dans n’importe lequel des scénarios ci-dessus, puisqu’un jeton sécurisé est attribué à l’utilisateur premier et principal, il peut être activé pour FileVault à l’aide d’un report d’activation. Le report d’activation permet à l’organisation d’activer FileVault, mais retarde cette activation jusqu’à ce qu’un utilisateur ouvre ou ferme une session sur le Mac. Il est également possible de choisir si l’utilisateur peut ignorer ou non l’activation de FileVault (et de personnaliser le nombre de fois). Au final, qu’il soit un utilisateur local de tout type ou un compte mobile, l’utilisateur principal du Mac peut déverrouiller le périphérique de stockage lorsque celui-ci est chiffré par FileVault.
Sur les ordinateurs Mac où un jeton d’amorçage a été généré et entiercé à une solution MDM, si un autre utilisateur ouvre une session sur le Mac à l’avenir, le jeton d’amorçage est utilisé pour attribuer automatiquement un jeton sécurisé. Cela signifie que le compte est également activé pour FileVault et peut déverrouiller le volume FileVault. Pour retirer à un utilisateur la possibilité de déverrouiller le périphérique de stockage, utilisez fdesetup remove -user.
Mac approvisionné par une organisation
Lorsqu’un Mac est approvisionné par une organisation avant d’être fourni à un utilisateur, le service informatique configure l’appareil. Le compte administrateur local, créé soit dans Assistant réglages, soit par approvisionnement à l’aide d’une solution MDM, est utilisé pour approvisionner ou configurer le Mac et se voit attribuer le premier jeton sécurisé lors de l’ouverture de session. Si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage, un jeton d’amorçage est également généré et envoyé à lʼautorité de séquestre de la solution MDM.
Si le Mac est associé à un service d’annuaire et configuré de façon à créer des comptes mobiles et qu’il n’y a pas de jeton d’amorçage, il est demandé aux utilisateurs de service d’annuaire lors de leur première ouverture de session d’indiquer un nom d’utilisateur et un mot de passe administrateur pour un jeton sécurisé existant, afin d’attribuer un jeton sécurisé à leur compte. Les informations d’identification d’un administrateur local ayant obtenu son jeton sécurisé doivent être saisies. Si le jeton sécurisé n’est pas requis, l’utilisateur peut cliquer sur Ignorer. Sous macOS 10.13.5 ou ultérieur, il est possible de ne pas afficher du tout la zone de dialogue jeton sécurisé si FileVault ne sera pas utilisé avec des comptes mobiles. Pour ne pas afficher la zone de dialogue jeton sécurisé, appliquez un profil de configuration des réglages personnalisé depuis la solution MDM avec les clés et les valeurs suivantes :
Réglage | Valeur | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domaine | com.apple.MCX | ||||||||||
Clé | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valeur | Vrai | ||||||||||
Si la solution MDM prend en charge la fonctionnalité de jeton d’amorçage et qu’un jeton a été généré par le Mac et envoyé à lʼautorité de séquestre de la solution MDM, les utilisateurs de comptes mobiles ne verront pas cette invite. Au lieu de cela, un jeton sécurisé leur est automatiquement attribué pendant l’ouverture de session.
Si des utilisateurs locaux supplémentaires sont requis sur ce Mac au lieu de comptes utilisateurs depuis un service d’annuaire, un jeton sécurisé est automatiquement attribué à ces utilisateurs locaux lorsqu’ils sont créés dans « Utilisateurs et groupes » (de « Réglages Système » sur macOS 13 ou de « Préférences Système » sur macOS 12.0.1 ou antérieur) par un administrateur disposant d’un jeton sécurisé. Lors de la création d’utilisateurs locaux à l’aide de la ligne de commande, il est possible d’utiliser l’outil de ligne de commande sysadminctl et, éventuellement, d’activer la génération de jetons sécurisés. Même s’il ne se voit pas attribuer un jeton sécurisé au moment de la création, sous macOS 11 ou ultérieur, un utilisateur local qui ouvre une session sur un Mac reçoit un jeton sécurisé lors de l’ouverture de session si un jeton d’amorçage est mis à disposition par une solution MDM.
Avec ces réglages, les utilisateurs suivants peuvent déverrouiller le volume chiffré avec FileVault :
L’administrateur local d’origine utilisé pour l’approvisionnement
Tous les utilisateurs de service d’annuaire supplémentaires qui ont reçu un jeton sécurisé lors du processus d’ouverture de session que ce soit de façon interactive à l’aide de l’invite de la zone de dialogue ou automatique avec le jeton d’amorçage
Tout nouvel utilisateur local
Pour retirer à un utilisateur la possibilité de déverrouiller le périphérique de stockage, utilisez fdesetup remove -user.
Lorsque vous utilisez l’un des processus décrits ci-dessus, un jeton sécurisé est géré par macOS sans qu’aucune configuration supplémentaire ni aucun script ne soit nécessaire. Il devient un détail d’implémentation et non quelque chose qui doit être activement géré ou manipulé.
Outil de ligne de commande fdesetup
Vous pouvez utiliser des configurations MDM ou l’outil de ligne de commande fdesetup pour configurer FileVault. Dans macOS 10.15 ou ultérieur, l’utilisation de fdesetup pour activer FileVault en fournissant le nom d’utilisateur et le mot de passe est obsolète et ne sera plus reconnue dans une version à venir. La commande continue de fonctionner, mais demeure obsolète sous macOS 11 et macOS 12.0.1. Envisagez d’utiliser plutôt le report d’activation avec la solution MDM. Pour en savoir plus sur l’outil de ligne de commande fdesetup, lancez l’app Terminal et saisissez man fdesetup ou fdesetup help.
Clés de secours institutionnelles et clés de secours personnelles
Pour CoreStorage et pour les volumes APFS, FileVault prend en charge lʼutilisation dʼune clé de secours institutionnelle (IRK, appelée auparavant identité principale FileVault) pour déverrouiller le volume. Bien quʼune IRK soit utile pour les opérations de ligne de commande pour déverrouiller un volume ou désactiver complètement FileVault, son utilité pour les organisations est limitée, en particulier dans les versions récentes de macOS. Et sur un Mac doté d’une puce Apple, les IRK n’apportent aucune valeur fonctionnelle pour deux raisons principales : Premièrement, parce que les IRK ne peuvent pas être utilisées pour accéder au système d’exploitation de secours et deuxièmement, étant donné que le mode disque cible nʼest plus pris en charge, le volume ne peut pas être déverrouillé en connectant un autre Mac. Pour ces raisons, entre autres, lʼutilisation dʼune IRK nʼest plus recommandée pour la gestion institutionnelle de FileVault sur les ordinateurs Mac. À la place, il est recommandé d’utiliser une clé de secours personnelle (PRK). Une PRK fournit :
un mécanisme de récupération et dʼaccès au système dʼexploitation extrêmement robuste,
un chiffrement unique par volume,
l’envoi à lʼautorité de séquestre de la solution MDM,
une rotation simple de la clé après son utilisation.
Une PRK peut être utilisée soit dans le système dʼexploitation de secours, ou pour démarrer un Mac chiffré sur macOS directement (requiert macOS 12.0.1 ou ultérieur pour un Mac doté dʼune puce Apple). Dans le système d’exploitation de secours, la PRK peut être utilisée si lʼAssistant de récupération le propose, ou avec lʼoption « Mots de passe oubliés », pour accéder à lʼenvironnement de récupération, ce qui déverrouillera également le volume. Lorsque vous utilisez lʼoption « Mots de passe oubliés », il nʼest pas nécessaire de réinitialiser le mot de passe pour un utilisateur ; vous pouvez cliquer sur le bouton de sortie à tout moment pour démarrer avec le système d’exploitation de secours. Pour démarrer macOS directement sur un ordinateur Mac à processeur Intel, cliquez sur le point dʼinterrogation en face du champ de mot de passe, puis sélectionnez lʼoption pour le « réinitialiser à lʼaide de votre clé de secours ». Saisissez la PRK, puis appuyez sur Retour ou cliquez sur la flèche. Après le démarrage de macOS, appuyez sur Annuler dans la zone de dialogue de changement de mot de passe. Sur un Mac doté dʼune puce Apple exécutant macOS 12.0.1 ou ultérieur, appuyez sur Option+Maj+Retour pour révéler le champ de saisie de la PRK, puis appuyez sur Retour (ou cliquez sur la flèche). macOS démarre.
Il ne peut y avoir qu’une seule PRK par volume crypté, et pendant l’activation de FileVault à partir de la solution MDM, elle peut éventuellement être masquée pour que l’utilisateur ne la voie pas. Lorsquʼelle est configurée pour envoyer les clés à lʼautorité de séquestre, la solution MDM fournit une clé publique au Mac sous la forme dʼun certificat qui est alors utilisé pour chiffrer de façon non symétrique la PRK dans un format dʼenveloppe CMS. La PRK chiffrée est renvoyée à la solution MDM dans la requête dʼinformation de sécurité qui peut ensuite être déchiffrée pour être consultée par une organisation. Le chiffrement étant non symétrique, il se peut que la solution MDM ne soit pas en mesure de déchiffrer la PRK (ce qui nécessiterait des interventions supplémentaires de la part dʼun administrateur). Néanmoins, de nombreux fournisseurs de solution MDM offrent la possibilité de gérer ces clés pour pouvoir les consulter directement dans leurs produits. La solution MDM peut également tourner les PRK autant que nécessaire afin de maintenir un niveau de sécurité élevé - par exemple, après avoir utilisé une PRK pour déverrouiller un volume.
Une PRK peut être utilisée en mode disque cible sur les ordinateurs Mac dépourvus de puce Apple afin de déverrouiller un volume :
1. Connectez le Mac dans le mode disque cible à un autre Mac exécutant la même ou une version plus récente de macOS.
2. Ouvrez Terminal, puis exécutez la commande suivante et recherchez le nom du volume (généralement « Macintosh HD »). Cela devrait afficher « Point de montage : Non monté » et « FileVault : Oui (Verrouillé) ». Prenez note de lʼidentifiant de disque du volume APFS pour ce volume, qui ressemble à disk3s2, mais probablement avec des chiffres différents, par exemple, disk4s5.
diskutil apfs list3. Exécutez la commande suivante, puis recherchez lʼutilisateur de la clé de récupération personnelle, et notez les UUID répertoriés :
diskutil apfs listUsers /dev/<diskXsN>4. Exécutez cette commande :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Lorsque vous êtes invité à indiquer votre phrase secrète, collez ou saisissez le PRK, puis appuyez sur Retour. Le volume est monté dans le Finder.