Vous pouvez utiliser Jamf Connect pour activer le chiffrement FileVault sur les ordinateurs Mac des comptes locaux. Vous pouvez également stocker la clé de secours personnelle (PRK) de l’utilisateur dans un chemin spécifique.
Ce workflow est basé sur l’hypothèse que le premier utilisateur créé dans Jamf Connect est également le premier utilisateur à recevoir des privilèges de cryptographie via les jetons sécurisés macOS, et ce workflow ne doit être déployé que lorsque Jamf Connect provisionne le premier compte utilisateur sur l’ordinateur.
Dans Jamf Pro, créez un profil de configuration PPPC. Celui-ci se déploie en cochant la case Jamf Connect dans les réglages Sécurité de Jamf Pro pour FileVault qui déclenche des évènements d’ouverture et de fermeture de session afin d’inviter l’utilisateur et de mettre sous séquestre le PRK lors de la prochaine mise à jour de l’inventaire.
Dans Jamf Connect, utilisez la clé
EnableFDEdans le profil de configuration. Vous pouvez exclure la cléLAPSUserobsolète, car elle ne s’applique qu’à macOS 10.15 et est indiquée comme étant supprimée dans les exigences.- Déployez un profil de configuration pour la clé de mise sous séquestre FileVault afin d’empêcher les utilisateurs de désactiver FileVault en suivant les instructions suivantes :
Définissez le profil de sorte qu’il n’active pas FileVault.
Utilisez les exemples de profils Jamf Pro pour configurer les réglages de sorte à mettre sous séquestre la clé de secours personnelle et empêcher les utilisateurs de la désactiver.
Pour les solutions MDM autres que Jamf Pro, vous pouvez utiliser un profil de mise sous séquestre FileVault et, si nécessaire, déployer un profil avec l’entité des options FileVault et la clé
DontAllowFDEDisable.
Si vous utilisez Jamf Pro, procédez comme suit :
Dans Jamf Pro, créez un profil de configuration PPPC. Celui-ci se déploie en cochant la case Jamf Connect dans les réglages Sécurité de Jamf Pro pour FileVault qui déclenche des évènements d’ouverture et de fermeture de session afin d’inviter l’utilisateur et de mettre sous séquestre le PRK lors de la prochaine mise à jour de l’inventaire.
Remarque :Pour activer FileVault, Jamf Connect requiert un profil de configuration Contrôle de politique de préférences Confidentialité (PPPC) sur les ordinateurs avec macOS 12 ou version ultérieure.
Si la fenêtre d’ouverture de session Jamf Connect est activée sur les ordinateurs, le comportement d’ouverture de session automatique macOS par défaut avec FileVault peut empêcher le chargement de la fenêtre d’ouverture de session Jamf Connect et son invite pour l’authentification réseau. Vous pouvez télécharger ce profil de configuration depuis le référentiel jamf / JamfPrivacyPreferencePolicyControlProfiles (GitHub) de la Communauté Open Source Jamf ou le configurer et le déployer avec Jamf.
Si vous ne disposez pas d’une licence Jamf Pro, téléchargez le fichier de configuration PPPC depuis le référentiel jamf / jamfconnect (GitHub), avant de le déployer.
Dans l’entité Jamf Pro Sécurité et confidentialité, effectuez les actions suivantes :
- Sélectionnez Activez FileVault.
- Dans la section Événement invitant à l’activation de FileVault, sélectionnez À la fermeture de session ou À l’ouverture de session.
- Dans la section Mise sous séquestre de la clé de secours personnelle, sélectionnez Mettre la clé de secours personnelle sous séquestre.
- Sélectionnez Empêcher les utilisateurs de désactiver FileVault.
- Sélectionnez Mettre la clé de secours personnelle sous séquestre.