• Cloud, Guide, Microsoft 365, Sicurezza, Sistemi Operativi, Tecnologia
• 21 Dicembre 2020

FileVault 2, funzionalità disponibile dalla versione OS X Lion o successive, permette di crittografare i volumi dei dispositivi macOS tramite algoritmo XTS-AES-128.

Come per Bitlocker su dispositivi Windows 10, FileVault ha come obiettivo principale la protezione del dispositivo. In caso di smarrimento o furto del device, la funzionalità impedisce accessi non autorizzati ai dati.

Microsoft Intune supporta la gestione di FileVault sui dispositivi macOS dalla versione 10.13 o successive.

Per gestire FileVault con Microsoft Endpoint Manager, sono necessari i seguenti permessi:

• Recupero della chiave FileVault:
  • Help Desk Operator;
  • Endpoint security manager.
• Rotazione della chiave FileVault:
  • Help Desk Operator.

Configurazione del profilo FileVault in Microsoft Endpoint Manager admin center

Accedete al portale Microsoft Endpoint Manager Admin Center https://endpoint.microsoft.com e create un nuovo profilo in Devices -> Configuration profiles:

• Platform: macOS;
• Profile: Endpoint protection.

Figura 1 – Creazione profilo FileVault per macOS in Microsoft Endpoint Manager admin center

Indicate un nome al nuovo profilo (Es. macOS – FileVault):

Figura 2 – Nome profilo FileVault in MEM admin center

Nella pagina successiva, selezionate la voce FileVault per visualizzare le impostazioni disponibili. Nel mio caso, ho applicato i seguenti criteri:

• Enable FileVault: Yes;
• Recovery key type: Personal key;
• Escrow location description of personal recovery key: Inserite una breve descrizione per indicare all’utente finale dove poter recuperare, in caso di problemi, la chiave di ripristino;
• Personal recovery key rotation: 3 months. Se abilitata, questa opzione forza la generazione in FileVault di una nuova chiave di ripristino in base alle tempistiche indicate ed in modo automatico;
• Hide recovery key: Yes (consigliato). Durante la fase di inizializzazione di FileVault sul dispositivo macOS, l’opzione consente di visualizzare o meno la chiave di ripristino.
• Disable prompt at sign out: Yes (consigliato). Disabilita la richiesta di crittografia FileVault nel caso in cui l’utente proceda con il sign out dal device;
  
• Number of times allowed to bypass: 3.
  Questa opzione offre all’utente la possibilità di bypassare il processo di crittografia per N volte.
  

Figura 3 – Configurazione impostazioni FileVault in Microsoft Endpoint Manager admin center

Una volta terminate le modifiche, assegnate il profilo FileVault ai dispositivi interessati.

Consiglio: Prima di assegnare il profilo a tutti i dispositivi, procedete con la creazione di un gruppo Pilot sul quale testare la funzionalità.

Figura 4 – Assegnazione profilo FileVault ai dispositivi interessati

Riepilogo della configurazione del profilo FileVault:

Figura 5 – Riepilogo della configurazione del profilo FileVault

N.B. Per consentire a Microsoft Intune di gestire un dispositivo precedentemente crittografato, è necessario che l’utente “proprietario” del dispositivo acceda sul portale web Company Portal, individui il dispositivo macOS interessato e selezioni l’opzione Store recovery key.

Abilitazione FileVault sul dispositivo macOS

Non appena il dispositivo riceverà il nuovo profilo da Intune e l’utente effettuerà un nuovo login, apparirà una notifica per abilitare FileVault:

Figura 6 – Notifica abilitazione FileVault

Figura 7 – Notifica abilitazione FileVault 2

Recupero chiave di ripristino FileVault in modalità self-service da portale web Company Portal

Gli utenti finali possono recuperare le chiavi di ripristino sia dall’app Company Portal (disponibile per iOS, iPadOS,Android e Windows) che dal portale web Company Portal.

Una volta eseguito l’accesso al portale web https://portal.manage.microsoft.com con le credenziali dell’organizzazione, selezionate il dispositivo interessato come da seguente immagine.

Figura 8 – Selezione del dispositivo per recupero chiave di ripristino FileVault

Selezionate la voce Ottieni la chiave di ripristino:

Figura 9 – Recupero chiave di ripristino FileVault

Figura 10 – Chiave di ripristino FileVault recuperata da portale web Company Portal

Recupero chiave di ripristino FileVault da parte degli amministratori di sistema tramite Microsoft Endpoint Manager admin center

Sul portale Microsoft Endpoint Manager admin center, gli amministratori possono visualizzare le chiavi di ripristino solo per i dispositivi macOS contrassegnati come corporate (aziendali).

Per l’ownership corporate, le organizzazioni devono associare i propri devices all’Apple Business Manager. Maggiori informazioni sono disponibili nell’articolo ufficiale: Enroll macOS devices – Apple Business Manager or Apple School Manager | Microsoft Docs

Nell’esempio seguente abbiamo a disposizione un dispositivo macOS con ownership corporate al quale ho applicato il profilo FileVault creato in precedenza.

Selezionate la voce Recovery keys per accedere alla sezione dedicata a FileVault.

Figura 11 – Dispositivo macOS con ownership corporate

In questa pagina è possibile recuperare la chiave di ripristino di FileVault ed eventualmente forzarne la rotazione.

Figura 12 – Recupero chiave di ripristino FileVault da Microsoft Endpoint Manager admin center

Gestione FileVault su dispositivo macOS personale con Microsoft Endpoint Manager admin center

Su dispositivi macOS gestiti in modalità BYOD (Bring Your Own Device) con Microsoft Intune, di cui ho trattato nell’articolo Microsoft Intune – Gestione dei dispositivi BYOD Apple macOS – ICT Power, gli amministratori di sistema possono “forzare” la crittografia del device con FileVault ma non possono visualizzare la chiave di ripristino in Microsoft Endpoint Manager admin center.

Di seguito un esempio su dispositivo macOS con ownership Personal:

Figura 13 – Dispositivo macOS personal in MEM

Figura 14 – Chiave di ripristino non visibile in MEM admin center per dispositivi personali

Conclusioni

Come abbiamo visto nell’articolo, l’implementazione di FileVault su macOS con Microsoft Intune non è particolarmente complessa. Come abbiamo visto gli scenari di gestione di FileVault cambiano in base all’ownership del dispositivo e quindi vi consiglio di valutare con molta attenzione l’utilizzo di questa funzionalità.

Per ulteriori dettagli potete consultare l’articolo ufficiale: Encrypt macOS devices with FileVault disk encryption with Intune – Microsoft Intune | Microsoft Docs