La préparation de l’activation de FileVault implique de comprendre les bases du fonctionnement de FileVault avec les comptes utilisateur macOS et de décider du type de clé de secours à utiliser dans votre environnement. Si vous choisissez d’utiliser une clé de secours institutionnelle, vous devrez la créer et l’exporter avant de déployer les réglages de FileVault sur les ordinateurs cibles. Si vous choisissez d’utiliser une clé de secours personnelle (également appelée « clé de secours individuelle »), chaque ordinateur créera sa propre clé unique, qui sera automatiquement placée sous séquestre par Jamf Pro au cours du processus d’activation.
Une fois qu’un volume a terminé le processus de chiffrement, il a besoin d’un utilisateur activé dans FileVault pour terminer le processus de démarrage et être déchiffré.
Le premier compte utilisateur à s’authentifier sur macOS après l’activation de FileVault deviendra le premier utilisateur activé dans FileVault pour cet ordinateur.
Seuls les comptes utilisateur activés dans FileVault peuvent accorder le statut « activé dans FileVault » à d’autres comptes utilisateur.
Par conséquent, tout workflow de provisionnement qui crée un compte utilisateur macOS à utiliser temporairement puis à supprimer peut courir le risque de supprimer le seul compte utilisateur activé dans FileVault sur l’ordinateur. Si cela se produit, le disque chiffré de l’ordinateur ne pourra être déverrouillé ni à distance, ni manuellement. Les ordinateurs ayant ce statut doivent être effacés et reprovisionnés.
En outre, Jamf ne recommande pas d’utiliser le compte de gestion Jamf Pro en tant que premier compte utilisateur activé dans FileVault sur les ordinateurs. Dans la plupart des cas, le compte macOS de l’utilisateur final doit être désigné comme le premier compte utilisateur FileVault activé.