Gestion de FileVault avec la gestion des appareils mobiles
Le chiffrement complet du disque FileVault peut être géré par les organisations à l’aide d’une solution de gestion des appareils mobiles (GAM), ou pour certains déploiements ou configurations avancés, l’outil de ligne de commande fdesetup. La gestion de FileVault au moyen de la GAM est appelée activation différée. Elle exige un événement de déconnexion ou de connexion de l’utilisateur. La GAM peut personnaliser les options telles que :
le nombre de fois que l’utilisateur peut reporter l’activation de FileVault;
s’il faut inviter l’utilisateur à activer FileVault lors de la fermeture de session en plus de le faire à l’ouverture de la session;
s’il faut montrer la clé de secours à l’utilisateur;
le certificat utilisé afin de chiffrer de façon asymétrique la clé de secours pour sa mise sous séquestre dans la solution GAM.
Pour autoriser un utilisateur à déverrouiller le stockage sur les volumes APFS, cet utilisateur doit disposer d’un jeton sécurisé et, sur un Mac avec puce Apple, être un propriétaire de volume. Pour en savoir plus sur les jetons sécurisés et la propriété de volume, consultez la rubrique Utilisation des jetons sécurisés et d’amorçage, et de la propriété de volume dans les déploiements. Vous trouverez ci-dessous des renseignements sur la façon dont les utilisateurs obtiennent un jeton sécurisé dans le cadre de processus donnés et le moment de l’octroi.
Imposition de FileVault dans Assistant réglages
Avec la clé ForceEnableInSetupAssistant, les Mac peuvent exiger l’activation de FileVault lors de l’utilisation d’Assistant réglages. Le stockage interne des ordinateurs Mac gérés est ainsi toujours chiffré avant d’être utilisé. Les organisations peuvent décider de présenter la clé de secours FileVault à l’utilisateur ou de la mettre sous séquestre. Pour utiliser cette fonctionnalité, vérifiez que le réglage await_device_configured est configuré.
Remarque : Avant macOS 14.4, cette fonction exige que le compte utilisateur créé interactivement dans l’Assistant réglages ait le rôle d’administrateur.
Lorsqu’un utilisateur configure un Mac lui-même
Lorsqu’un utilisateur configure un Mac lui-même, les services informatiques n’effectuent aucune tâche de provisionnement sur l’appareil en question. Toutes les règles et les configurations sont transférées à l’aide d’une solution de gestion des appareils mobiles (GAM) ou d’outils de gestion des configurations. Assistant réglages est utilisé pour créer le premier compte local et l’utilisateur reçoit un jeton sécurisé. Si la solution de GAM prend en charge la fonctionnalité de jeton d’amorçage et informe le Mac pendant l’inscription à la GAM, un jeton d’amorçage est généré par le Mac et mis sous séquestre dans la solution de GAM.
Si le Mac est inscrit à une solution de GAM, le compte initial peut ne pas être un compte administrateur local, mais plutôt un compte utilisateur standard local. Si l’utilisateur est déclassé au rang d’utilisateur standard à l’aide de la GAM, il reçoit automatiquement un jeton sécurisé. Sous macOS 10.15.4 ou une version ultérieure, si l’utilisateur est déclassé, un jeton d’amorçage est automatiquement généré et mis sous séquestre dans la solution de GAM, si cette dernière prend en charge la fonctionnalité.
Si la création d’un compte utilisateur local dans Assistant réglages est ignorée à l’aide de la GAM et qu’un service de répertoire avec des comptes mobiles est utilisé à la place, l’utilisateur du compte mobile recevra un jeton sécurisé pendant la connexion. Avec un compte mobile, une fois que le jeton sécurisé est activé pour l’utilisateur, sous macOS 10.15.4 ou une version ultérieure, un jeton d’amorçage est automatiquement généré au moment de la deuxième connexion et mis sous séquestre dans la solution de GAM, si cette dernière prend en charge la fonctionnalité.
Dans les scénarios ci-dessus, parce que le premier et principal utilisateur reçoit un jeton sécurisé, l’activation différée peut être utilisée pour activer FileVault. L’activation différée permet à l’organisation d’activer FileVault, mais de reporter cette activation jusqu’à la connexion ou déconnexion d’un utilisateur sur le Mac. Il est également possible de décider si l’utilisateur peut ignorer l’activation de FileVault (facultativement, un nombre de fois défini). Le résultat obtenu est la capacité de l’utilisateur principal du Mac, que ce soit un utilisateur local de tout type ou un compte mobile, à déverrouiller le dispositif de stockage lorsqu’il est chiffré par FileVault.
Sur des ordinateurs Mac pour lesquels un jeton d’amorçage a été généré et mis sous séquestre dans une solution de GAM, si un autre utilisateur se connecte au Mac à une date et heure ultérieures, le jeton d’amorçage est utilisé pour accorder un jeton sécurisé automatiquement. Cela signifie que le compte est également capable d’utiliser FileVault et de déverrouiller le volume FileVault. Pour supprimer la capacité d’un utilisateur à déverrouiller le dispositif de stockage, utilisez fdesetup remove -user.
Lorsqu’une organisation s’occupe du provisionnement d’un Mac
Lorsqu’une organisation s’occupe du provisionnement d’un Mac avant de le donner à un utilisateur, le service informatique configure l’appareil. Le compte administrateur local créé soit dans Assistant réglages, soit provisionné à l’aide de la GAM, est utilisé pour provisionner ou configurer le Mac et se voit attribuer le premier jeton sécurisé lors de la connexion. Si la solution de GAM prend en charge la fonctionnalité de jeton d’amorçage, elle génère également un jeton d’amorçage qui est mis sous séquestre dans la solution de GAM.
Si le Mac est joint à un service de répertoire et configuré pour créer des comptes mobiles et qu’il n’y a pas de jeton d’amorçage, les utilisateurs du service de répertoire sont invités lors de la première connexion à saisir le nom d’utilisateur et le mot de passe d’un administrateur avec un jeton sécurisé existant pour attribuer un jeton sécurisé à leur compte. Les informations d’identification d’un administrateur local actuellement protégé par un jeton doivent être saisies. Si un jeton sécurisé n’est pas requis, l’utilisateur peut cliquer sur Ignorer. Sous macOS 10.13.5 ou ultérieur, il est possible de supprimer entièrement la boîte de dialogue du jeton sécurisé si FileVault n’est pas utilisé avec les comptes mobiles. Pour supprimer la boîte de dialogue du jeton sécurisé, appliquez un profil personnalisé de configuration des réglages de la solution de GAM contenant les clés et les valeurs suivantes :
Réglage | Valeur | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Domaine | com.apple.MCX | ||||||||||
Clé | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
Valeur | True | ||||||||||
Si la solution de GAM prend en charge la fonctionnalité de jeton d’amorçage et qu’un tel jeton a été généré par le Mac et mis sous séquestre dans la solution de GAM, les utilisateurs de comptes mobiles ne verront pas cette invite. Ils reçoivent plutôt un jeton sécurisé pendant la connexion.
Si d’autres utilisateurs locaux sont requis sur le Mac au lieu de comptes d’utilisateur d’un service de répertoire, ceux-ci reçoivent automatiquement un jeton sécurisé lorsqu’ils sont créés dans Utilisateurs et groupes (dans Réglages système sous macOS 13 ou une version ultérieure, ou Préférences Système sous macOS 12.0.1 ou une version antérieure) par un administrateur pour lequel un jeton sécurisé est activé. Si des utilisateurs locaux sont créés à l’aide d’une ligne de commande, l’outil de ligne de commande sysadminctl peut être utilisé et peut leur permettre en option d’utiliser un jeton sécurisé. Même si un jeton sécurisé n’est pas attribué au moment de la création, sous macOS 11 ou une version ultérieure, un utilisateur local se connectant à un Mac se voit attribuer un jeton sécurisé lors de la connexion si un jeton d’amorçage est disponible à partir de la solution de GAM.
Dans ces scénarios, les utilisateurs suivants peuvent déverrouiller le volume chiffré par FileVault :
l’administrateur local d’origine utilisé pour le provisionnement;
tout utilisateur du service de répertoire supplémentaire ayant reçu un jeton sécurisé pendant le processus de connexion que ce soit par la boîte de dialogue ou automatiquement à l’aide du jeton d’amorçage;
tout nouvel utilisateur local.
Pour supprimer la capacité d’un utilisateur à déverrouiller le dispositif de stockage, utilisez fdesetup remove -user.
Lors de l’utilisation d’un des processus décrits ci-dessus, un jeton sécurisé est géré par macOS sans configuration ou script supplémentaire. Il devient un détail de l’implémentation et non un élément à gérer ou à manipuler activement.
Outil de ligne de commande fdesetup
Les configurations de la GAM et l’outil de ligne de commande fdesetup peuvent être utilisés pour configurer FileVault. Sous macOS 10.15 ou ultérieur, l’utilisation de fdesetup pour activer FileVault en fournissant le nom d’utilisateur et le mot de passe est désuète et une version ultérieure ne reconnaîtra pas cette commande. La commande continue de fonctionner, mais reste désuète sous macOS 11 et macOS 12.0.1. Envisagez d’utiliser plutôt l’activation différée avec la GAM. Pour en savoir plus sur l’outil de ligne de commande fdesetup, lancez l’app Terminal et entrez man fdesetup ou fdesetup help.
Clés de secours institutionnelles et personnelles
FileVault sur les volumes CoreStorage et APFS prend en charge l’utilisation d’une clé de secours institutionnelle (autrefois appelée identité maître FileVault) pour déverrouiller le volume. Même si la clé de secours institutionnelle est pratique pour les opérations de ligne de commande visant à déverrouiller un volume ou à simplement désactiver FileVault, son utilité est limitée pour les organisations, particulièrement dans les versions récentes de macOS. De plus, sur un Mac avec puce Apple, les clés de secours institutionnelles n’offrent aucune valeur fonctionnelle pour deux raisons principales : Tout d’abord, elles ne peuvent pas être utilisées pour accéder à recoveryOS. Ensuite, comme le mode disque cible n’est plus pris en charge, le volume ne peut pas être déverrouillé en le connectant à un autre Mac. C’est donc entre autres pour ces raisons que l’utilisation d’une clé de secours institutionnelle n’est plus recommandée pour la gestion institutionnelle de FileVault sur les ordinateurs Mac. Utilisez plutôt une clé de secours personnelle. La clé de secours personnelle offre :
un mécanisme très robuste d’accès à la récupération et au système d’exploitation;
un chiffrement unique pour chaque volume;
la mise sous séquestre dans GAM;
une rotation des clés facile après leur utilisation.
Une clé de secours personnelle peut être utilisée soit dans recoveryOS, soit pour démarrer un Mac chiffré directement dans macOS (pour un Mac avec puce Apple, celui-ci doit fonctionner sous macOS 12.0.1 ou ultérieur). Dans recoveryOS, la clé de secours personnelle peut être utilisée si Assistant de récupération la demande, ou avec l’option « Vous avez oublié tous les mots de passes? », pour avoir accès à l’environnement de récupération qui déverrouillera ensuite le volume. Lors de l’utilisation de l’option « Vous avez oublié tous les mots de passe? », la réinitialisation du mot de passe d’un utilisateur n’est pas requise. Vous pouvez cliquer sur le bouton Quitter pour démarrer directement recoveryOS. Pour démarrer macOS directement sur un ordinateur Mac avec processeur Intel, cliquez sur le point d’interrogation à côté du champ de mot de passe, puis choisissez l’option « réinitialiser à l’aide de votre clé de secours ». Saisissez la clé de secours personnelle, puis appuyez sur Retour ou cliquez sur la flèche. Après le démarrage de macOS, appuyez sur Annuler dans la boîte de dialogue concernant la modification du mot de passe. Sur un Mac avec puce Apple sous macOS 12.0.1 ou ultérieur, appuyez sur Option + Maj + Retour pour révéler le champ d’entrée de la clé de secours personnelle, puis appuyez sur Entrée (ou cliquez sur la flèche).
Il n’existe qu’une seule clé de secours personnelle par volume chiffré et lors de l’activation de FileVault par la GAM, elle peut être cachée à l’utilisateur. Lorsque la clé est configurée pour être mise sous séquestre dans la GAM, cette dernière fournit au Mac une clé publique sous la forme d’un certificat, qui est ensuite utilisé pour chiffrer de façon asymétrique la clé de secours personnelle dans un format d’enveloppe CMS. La clé de secours personnelle chiffrée est renvoyée à la GAM dans la requête des informations de sécurité. Elle peut ensuite être déchiffrée pour que l’organisation puisse la voir. Parce que le chiffrement est asymétrique, la GAM pourrait être incapable de déchiffrer la clé de secours personnelle (un administrateur devrait alors suivre des étapes supplémentaires). Par contre, plusieurs fournisseurs de GAM offrent l’option de gérer ces clés pour autoriser leur visionnement directement dans leurs produits. La GAM peut aussi effectuer une rotation des clés de secours personnelles aussi fréquemment que nécessaire afin de maintenir une sécurité solide (par exemple, après l’utilisation d’une clé de secours personnelle pour déverrouiller un volume).
Une clé de secours personnelle peut être utilisée en mode disque cible sur les ordinateurs Mac sans puce Apple afin de déverrouiller un volume :
1. Connectez le Mac en mode disque cible à un autre Mac utilisant la même version de macOS ou une version plus récente.
2. Ouvrez Terminal, puis exécutez la commande suivante avant de rechercher le nom du volume (habituellement « Macintosh HD »). Le résultat prévu est « Mount Point: Not Mounted » et « FileVault: Yes (Locked) ». Notez l’identifiant de volume APFS pour le volume en question, qui devrait ressembler à « disk3s2 » avec des chiffres potentiellement différents (p. ex. « disk4s5 »).
diskutil apfs list3. Exécutez la commande suivante, puis recherchez l’utilisateur de la clé de secours personnelle et notez l’UUID indiqué :
diskutil apfs listUsers /dev/<diskXsN>4. Exécutez cette commande :
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. Lorsqu’on vous invite à saisir la phrase secrète, collez ou entrez la clé de secours personnelle, puis appuyez sur Retour. Le volume est monté dans le Finder.