Activación de FileVault con Jamf Connect

Puedes usar Jamf Connect para activar FileVault en ordenadores para cuentas locales de administrador y estándar. También puedes almacenar la clave de recuperación personal del usuario en una ruta de archivo determinada.

Ten en cuenta las siguientes cuestiones sobre seguridad y experiencia de usuario al elegir usar Jamf Connect y FileVault en ordenadores:

  • Protecciones de datos del usuario en macOS 10.15 o posterior

    Para asegurarte de que FileVault está activado y los usuarios no pierden el acceso a los ordenadores con Jamf Connect, se debe instalar un perfil de configuración de «Control de políticas de preferencias de privacidad» (PPPC) en los ordenadores con macOS 10.15 o posterior. Puedes descargar esta configuración desde el repositorio de GitHub de Jamf o configurarla e implementarla con Jamf Pro.

  • Omisión no intencionada de Jamf Connect

    Si la ventana de inicio de sesión de Jamf Connect está activada en los ordenadores, el comportamiento de inicio de sesión automático por omisión de macOS con FileVault puede impedir que se cargue la ventana de inicio de sesión de Jamf Connect y que pida la autenticación de red.

  • Mensajes de inicio de sesión adicionales para usuarios

    Cuando FileVault está activado en un ordenador con macOS 10.15 o anterior, la pantalla de inicio de sesión se muestra antes de que macOS se abra mediante una interfaz extensible del firmware (EFI). Esta pantalla de inicio de sesión está integrada a nivel de EFI o en un cargador de arranque especial en ordenadores con el chip T2. El usuario debe introducir su contraseña de FileVault para desbloquear la unidad de arranque y abrir macOS. Una vez desbloqueado, FileVault pasa la contraseña del usuario a la aplicación loginwindow de macOS, inicia la sesión del usuario automáticamente y carga el Finder.

Carga útil «Control de políticas de preferencias de privacidad» en macOS 10.15 o posterior

Para activar ajustes de FileVault en macOS 10.15 o posterior, debes instalar un perfil de configuración que configure la carga útil «Control de políticas de preferencias de privacidad» (PPPC) en ordenadores. Puedes cargar el perfil en una solución de MDM manualmente o configurarla e implementarla en Jamf Pro.

Implementación de ajustes de «Control de políticas de preferencias de privacidad» con Jamf Pro

Para configurar e implementar ajustes de carga útil PPPC con Jamf Pro, completa los siguientes pasos:

  1. En Jamf Pro, haz clic en Ajustes en la esquina superior derecha de la página.
  2. En la sección «Gestión de ordenadores», haz clic en Seguridad.
  3. Haz clic en Editar .
  4. Selecciona la casilla Jamf Connect en la sección de ajustes «Instalar automáticamente un perfil “Control de políticas de preferencias de privacidad”».
  5. Haz clic en Guardar .

Carga manual de ajustes de «Control de políticas de preferencias de privacidad»

Puedes cargar un archivo .mobileconfig directamente en tu solución de MDM o instalarlo localmente.

Para obtener este perfil de configuración para su carga, consulta el repositorio de GitHub de Jamf: https://github.com/jamf/jamfconnect

Desactivación del inicio de sesión automático de FileVault

Para impedir que el proceso de inicio de sesión de macOS omita Jamf Connect cuando FileVault está activado, puedes desactivar el inicio de sesión automático en los ordenadores.

El siguiente diagrama ilustra cómo estos ajustes evitan la omisión de la ventana de inicio de sesión de Jamf Connect durante el inicio de sesión:

Puedes hacer una de las siguientes acciones para desactivar el inicio de sesión automático Apple en ordenadores:

  • Activar el ajuste Requerir autenticación de red (DenyLocal). Este ajuste fuerza que la autenticación de red se produzca en ordenadores con la ventana de inicio de sesión de Jamf Connect ya activada, lo cual impide que la ventana de inicio de sesión de Jamf Connect sea omitida por FileVault.

  • Carga el siguiente archivo PLIST mediante la carga útil «Ajustes personalizados» en tu solución de MDM. Asegúrate de especificar el siguiente dominio de preferencias: com.apple.loginwindow

    <?xml version="1.0" encoding="UTF-8"?> 
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
    <plist version="1.0">  
      <dict>  
        <key>DisableFDEAutoLogin</key>  
        <true/>  
      </dict> 
    </plist>

Experiencia de usuario y seguridad

Aunque las medidas de protección, como FileVault y la autenticación multifactor (MFA), mejoran sustancialmente la seguridad de los ordenadores Mac, los administradores solo deben implementar las prestaciones de seguridad necesarias en su entorno para ofrecer al usuario final una experiencia positiva. Una seguridad excesiva combinada con Jamf Connect puede tener como resultado múltiples solicitudes de inicio de sesión en ordenadores para los usuarios y la autenticación continua mediante la app de barra de menús de Jamf Connect.

Activación de FileVault para cuentas locales estándar en macOS 10.15

Nota:

En macOS 11 o posterior, el ajuste Solución de contraseña de administrador local (LAPSUser) no es necesario para activar FileVault para cuentas estándar. Se concede un SecureToken a la primera cuenta local de cualquier tipo creada en los ordenadores.

Si quieres usar Jamf Connect para crear una cuenta local estándar activada para FileVault en macOS 10.15, debes usar el ajuste Solución de contraseña de administrador local (LAPSUser). Este ajuste aleatoriza la contraseña de una cuenta de administrador local ya existente, utiliza la contraseña para activar FileVault y crear una clave de recuperación personal, y después rota la clave de recuperación personal para que se convierta en la contraseña de administrador local. Como resultado, la cuenta de administrador LAPS configurada y la cuenta de usuario estándar se activan para FileVault.

Ten en cuenta lo siguiente sobre FileVault y las cuentas estándar en macOS 10.15 o posterior:

  • La primera cuenta de usuario activada para FileVault en un ordenador no puede ser una cuenta de usuario estándar. Para usar este método, debe haber un administrador local en el ordenador.

  • Solo recibirá un SecureToken la primera cuenta estándar creada.

Para asegurarte de que el ajuste Usuarios LDAP (LAPSUser) solo se ejecuta cuando es necesario, este ajuste se ignora en los ordenadores en las siguientes situaciones:

  • Si cualquier tipo de cuenta inicia sesión con Jamf Connect en ordenadores con macOS 11 o posterior.

  • Si un administrador local inicia sesión con Jamf Connect en ordenadores con macOS 10.15 o posterior.

Activación de FileVault con Jamf Connect por versión de macOS

Tipo de cuenta10.14.x10.15.x11.0.x -12.0.x

Administrador

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Configura la carga útil «Control de políticas de preferencias de privacidad» (PPPC) para gestionar la preaprobación de la activación de FileVault.

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Configura la carga útil «Control de políticas de preferencias de privacidad» (PPPC) para gestionar la preaprobación de la activación de FileVault.

Estándar

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Usa el ajuste Usuarios LDAP(LAPSUser) para conceder un SecureToken a un administrador local existente o a una cuenta de gestión y una cuenta estándar.

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Usa el ajuste Usuarios LDAP(LAPSUser) para conceder un SecureToken a un administrador local existente o a una cuenta de gestión y una cuenta estándar.

Configura la carga útil «Control de política de preferencias de privacidad» (PPPC) para gestionar la preaprobación de la activación de FileVault.

Usa el ajuste Activar FileVault (EnableFDE) para activar FileVault para el primer usuario que inicie sesión.

Configura la carga útil «Control de políticas de preferencias de privacidad» (PPPC) para gestionar la preaprobación de la activación de FileVault.

Nota:

El ajuste Usuarios LDAP (LAPSUser) no es obligatorio. Se concede un SecureToken a la primera cuenta local de cualquier tipo creada en los ordenadores.