Zur Vorbereitung auf die Aktivierung von FileVault müssen Sie die Grundlagen der Funktionsweise von FileVault mit macOS Benutzeraccounts verstehen und sich für einen Wiederherstellungsschlüsseltyp entscheiden, den Sie in Ihrer Umgebung verwenden möchten. Wenn Sie einen organisationsweiten Wiederherstellungsschlüssel verwenden möchten, müssen Sie diesen erstellen und exportieren, bevor Sie FileVault Einstellungen auf Zielcomputern bereitstellen. Wenn Sie sich für die Verwendung eines persönlichen Wiederherstellungsschlüssels (auch als „individueller Wiederherstellungsschlüssel“ bezeichnet) entscheiden, erstellt jeder Computer einen eigenen eindeutigen Schlüssel, der während des Aktivierungsprozesses automatisch von Jamf Pro hinterlegt wird.
Sobald der Verschlüsselungsprozess eines Computervolumes abgeschlossen ist, ist ein Benutzer mit aktiviertem FileVault erforderlich, um den Bootvorgang abzuschließen und die Entschlüsselung vorzunehmen.
Der erste Benutzeraccount, der sich nach der Aktivierung von FileVault bei macOS authentifiziert, wird der erste Benutzer mit aktiviertem FileVault für diesen Computer.
Nur Benutzeraccounts mit aktiviertem FileVault können anderen Benutzeraccounts den Status „FileVault aktiviert“ gewähren.
Daher besteht bei jedem Bereitstellungsworkflow, bei dem ein macOS Benutzeraccount erstellt wird, der vorübergehend verwendet und dann gelöscht werden soll, die Gefahr, dass der einzige Benutzeraccount mit aktiviertem FileVault auf dem Computer gelöscht wird. In diesem Fall kann der verschlüsselte Datenträger des Computers weder aus der Ferne noch manuell entsperrt werden. Computer, die sich in diesem Zustand befinden, müssen gelöscht und neu bereitgestellt werden.
Weiterhin rät Jamf davon ab, den Jamf Pro Verwaltungsaccount als ersten Benutzeraccount mit aktiviertem FileVault auf Computern zu verwenden. In den meisten Fällen sollte stattdessen der macOS Account des Endbenutzers als der erste Benutzeraccount mit aktiviertem FileVault festgelegt werden.