FileVault Aktivierung mit Jamf Connect

Sie können mit Jamf Connect auf den Computern FileVault sowohl für lokale Administratoraccounts als auch für normale lokale Accounts aktivieren. Sie haben auch die Möglichkeit, den persönlichen Wiederherstellungsschlüssel des Benutzers unter einem vorgegebenen Dateipfad zu speichern.

Die folgenden Erwägungen in Hinblick auf Sicherheit und Benutzererlebnis sollten bei der Verwendung von Jamf Connect mit FileVault auf den Computern berücksichtigt werden:

  • Schutzmaßnahmen für Benutzerdaten in macOS 10.15 oder neuer

    Um sicherzustellen, dass FileVault aktiviert ist und Benutzer mit Jamf Connect nicht aus ihren Computern ausgesperrt werden, muss auf Computern mit macOS 10.15 oder neuer ein Konfigurationsprofil für die Richtliniensteuerung in der Systemeinstellung „Sicherheit“ (PPPC-Profil) installiert werden. Sie können diese Konfiguration aus dem GitHub-Repository von Jamf herunterladen oder das Profil mit Jamf Pro konfigurieren und bereitstellen.

  • Ungewolltes Übergehen von Jamf Connect

    Wenn das Jamf Connect Anmeldefenster auf Computern aktiviert ist, kann das standardmäßige automatische Anmeldeverhalten von macOS via FileVault verhindern, dass das Jamf Connect Anmeldefenster geladen wird und zur Netzwerkauthentifizierung auffordert.

  • Zusätzliche Anmeldeaufforderungen für Benutzer

    Wenn FileVault auf einem Computer mit macOS bis Version 10.15 aktiviert ist, wird vor dem Start des macOS Betriebssystems über eine erweiterbare Firmware-Schnittstelle (Extensible Firmware Interface, EFI) ein Anmeldebildschirm angezeigt. Dieser Anmeldebildschirm ist entweder auf EFI-Ebene oder in einem speziellen Bootloader bei Mac Computern mit dem T2 Chip integriert. Der Benutzer muss zunächst sein FileVault Passwort eingeben, um das Startvolume zu entsperren und macOS zu starten. Nach dem Entsperren wird das Passwort des Benutzers von FileVault an die loginwindow Anwendung für macOS übergeben. Daraufhin wird der Benutzer automatisch angemeldet und Finder wird geladen.

Payload für die Richtliniensteuerung in der Systemeinstellung „Sicherheit“ auf macOS ab Version 10.15

Um die FileVault Einstellungen auf macOS ab Version 10.15 zu aktivieren, müssen Sie ein Konfigurationsprofil installieren, das die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“ (PPPC-Profil) auf den Computern konfiguriert. Sie können das Profil manuell in eine MDM-Lösung hochladen oder es in Jamf Pro konfigurieren und bereitstellen.

Bereitstellen der PPPC-Einstellungen mit Jamf Pro

Gehen Sie wie folgt vor, um die Einstellungen der Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“mit Jamf Pro zu konfigurieren und bereitszustellen:

  1. Klicken Sie in Jamf Pro oben rechts auf der Seite auf Einstellungen .
  2. Klicken Sie im Abschnitt „Computerverwaltung“ auf Sicherheit.
  3. Klicken Sie auf Bearbeiten .
  4. Wählen Sie das Markierfeld Jamf Connect im Abschnitt „Automatically install Privacy Preferences Policy Control (Richtliniensteuerung in der Systemeinstellung "Sicherheit“ automatisch installieren)“ der Profileinstellungen.
  5. Klicken Sie auf Speichern .

Deaktivieren der automatischen Anmeldung mit FileVault

Damit Jamf Connect auf Computern, auf denen FileVault aktiviert ist, während des Anmeldevorgangs bei macOS nicht ausgelassen wird, können Sie die automatische Anmeldung deaktivieren.

Das nachstehende Diagramm zeigt, wie diese Einstellungen sicherstellen, dass das Jamf Connect Anmeldefenster beim Anmeldevorgang nicht ausgelassen wird:

Sie können die Apple Funktion für die automatische Anmeldung auf Computern deaktivieren, indem Sie einen dieser Schritte ausführen:

  • Aktivieren Sie die Einstellung Netzwerkauthentifizierung erforderlich (DenyLocal). Diese Einstellung erzwingt die Netzwerkauthentifizierung auf Computern, bei denen das Jamf Connect Anmeldefenster bereits aktiviert ist. So wird verhindert, dass das Jamf Connect Anmeldefenster von FileVault umgangen wird.

  • Laden Sie mithilfe der Payload „Benutzerdefinierte Einstellungen“ in Ihrer MDM-Lösung die folgende PLIST-Datei hoch. Achten Sie darauf, die folgende Einstellungsdomäne anzugeben: com.apple.loginwindow

    <?xml version="1.0" encoding="UTF-8"?> 
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
    <plist version="1.0">  
      <dict>  
        <key>DisableFDEAutoLogin</key>  
        <true/>  
      </dict> 
    </plist>

Benutzererlebnis und Sicherheit

Sicherheitsmaßnahmen wie FileVault und Mehrfaktorauthentifizierung (MFA) können die Sicherheit von Macs entscheidend verbessern. Administratoren sollten im Sinne eines positiven Benutzererlebnisses jedoch nur die in ihrer Umgebung wirklich erforderlichen Sicherheitsfunktionen aktivieren. Der übermäßige Einsatz von Sicherheitsfeatures in Kombination mit Jamf Connect kann dazu führen, dass der Benutzer beim Anmelden am Computer mehrfach Anmeldedaten eingeben und sich während der Benutzung wiederholt bei der Jamf Connect Menüleisten-App authentifizieren muss.

Aktivieren von FileVault für normale lokale Accounts unter macOS 10.15

Hinweis:

Unter macOS ab Version 11 ist die Lösung mit lokalem Administratorpasswort (LAPSUser) nicht erforderlich, um FileVault für Standardaccounts zu aktivieren. Ein SecureToken wird an den ersten lokalen Account beliebigen Typs vergeben, der auf Computern erstellt wird.

Wenn Sie mit Jamf Connect unter macOS 10.15 einen normalen lokalen Account mit aktiviertem FileVault erstellen möchten, müssen Sie die Einstellung Lösung mit lokalem Administratorpasswort (LAPSUser) verwenden. Diese Einstellung wählt ein zufälliges Passwort für einen bereits vorhandenen lokalen Administratoraccount, benutzt das Passwort, um FileVault zu aktivieren und einen persönlichen Wiederherstellungsschlüssel zu erstellen, und wiederverwendet sodann den persönlichen Wiederherstellungsschlüssel als lokales Administratorpasswort. Dies führt dazu, dass sowohl der konfigurierte LAPS-Administratoraccount als auch der normale Benutzeraccount für FileVault aktiviert ist.

Denken Sie in Bezug auf FileVault und Standardaccounts unter macOS ab Version 10.15 an Folgendes:

  • Der erste für FileVault aktivierte Benutzeraccount auf einem Computer kann kein normaler Benutzeraccount sein. Für diese Methode muss auf dem Computer ein lokaler Administratoraccount eingerichtet sein.

  • Nur der zuerst erstellte normale Account erhält ein sicheres Token.

Um sicherzustellen, dass die Einstellung LAPS-Benutzer (LAPSUser) nur bei Bedarf ausgeführt wird, wird die Einstellung in folgenden Szenarien vom Computer ignoriert:

  • Wenn sich ein Account auf Computern mit macOS ab Version 11 bei Jamf Connect anmeldet.

  • Wenn sich ein lokaler Administrator auf Computern mit macOS ab Version 10.15 bei Jamf Connect anmeldet.

FileVault Aktivierung mit Jamf Connect nach macOS Version

Account-Type10.14.x10.15.x11.0.x

Administrator

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Konfigurieren Sie die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“, um die Vorabgenehmigung der FileVault Aktivierung zu verwalten.

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Konfigurieren Sie die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“, um die Vorabgenehmigung der FileVault Aktivierung zu verwalten.

Standard

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Verwenden Sie die Einstellung LAPS-Benutzer (LAPSUser), um ein SecureToken für einen bestehenden lokalen Administrator- oder Verwaltungsaccount und Standardaccount zu vergeben.

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Verwenden Sie die Einstellung LAPS-Benutzer (LAPSUser), um ein SecureToken für einen bestehenden lokalen Administrator- oder Verwaltungsaccount und Standardaccount zu vergeben.

Konfigurieren Sie die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“, um die Vorabgenehmigung der FileVault Aktivierung zu verwalten.

Verwenden Sie die Einstellung FileVault aktivieren (EnableFDE), um FileVault für den ersten Benutzer zu aktivieren, der sich anmeldet.

Konfigurieren Sie die Payload „Richtliniensteuerung in der Systemeinstellung ‚Sicherheit‘“, um die Vorabgenehmigung der FileVault Aktivierung zu verwalten.

Hinweis:

Die LAPS-Benutzer (LAPSUser) ist nicht erforderlich. Ein SecureToken wird an den ersten lokalen Account beliebigen Typs vergeben, der auf Computern erstellt wird.