Activation de FileVault avec Jamf Connect

Vous pouvez utiliser Jamf Connect pour activer FileVault sur les ordinateurs des comptes d’administrateur ou des comptes standard locaux. Vous pouvez également stocker la clé de secours personnelle de l’utilisateur dans un chemin spécifique.

Si vous choisissez d’utiliser Jamf Connect et FileVault sur les ordinateurs, gardez à l’esprit les points suivants concernant la sécurité et l’expérience utilisateur :

  • Fonctions de protection des données utilisateur sous macOS 10.15 ou version ultérieure

    Pour s’assurer que FileVault est activé et que les utilisateurs ne sont pas bloqués sur les ordinateurs avec Jamf Connect, un profil de configuration Contrôle des règles des préférences de confidentialité (PPPC) doit être installé sur les ordinateurs avec macOS 10.15 ou version ultérieure. Vous pouvez télécharger ce profil de configuration depuis le référentiel GitHub de Jamf, ou le configurer et le déployer avec Jamf Pro.

  • Contourner involontairement Jamf Connect

    Si la fenêtre d’ouverture de session Jamf Connect est activée sur les ordinateurs, le comportement d’ouverture de session automatique macOS par défaut avec FileVault peut empêcher le chargement de la fenêtre d’ouverture de session Jamf Connect et son invite pour l’authentification réseau.

  • Invites d’ouverture de session supplémentaires pour les utilisateurs

    Lorsque FileVault est activé sur un ordinateur avec macOS 10.15 ou version antérieure, un écran d’ouverture de session s’affiche avant le lancement de macOS, via une interface EFI (Extensible Firmware Interface). Cet écran d’ouverture de session est intégré au niveau de l’EFI ou à un chargeur de démarrage spécial dans les ordinateurs dotés de puces T2. L’utilisateur doit saisir son mot de passe FileVault pour déverrouiller le disque de démarrage et lancer macOS. Une fois déverrouillé, FileVault transmet le mot de passe de l’utilisateur à l’application loginwindow macOS et connecte automatiquement l’utilisateur, avant d’ouvrir le Finder.

Entité Contrôle des règles des préférences de confidentialité (PPPC) sur macOS 10.15 ou version ultérieure

Pour activer les réglages FileVault sur macOS 10.15 ou version ultérieure, vous devez installer un profil de configuration qui configure l’entité Contrôle des règles des préférences de confidentialité (PPPC) sur les ordinateurs. Vous pouvez uploader le profil manuellement dans une solution MDM, ou le configurer et le déployer dans Jamf Pro :

Déploiement des réglages de l’entité Contrôle des règles des préférences de confidentialité avec Jamf Pro

Pour configurer et déployer les réglages de l’entité PPPC avec Jamf Pro, procédez comme suit :

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion des ordinateurs, cliquez sur Sécurité.
  3. Cliquez sur Modifier .
  4. Cochez la case Jamf Connect dans la section Installer automatiquement un profil Contrôle des règles des préférences de confidentialité.
  5. Cliquez sur Enregistrer .

Upload manuel des réglages de l’entité Contrôle des règles des préférences de confidentialité

Vous pouvez téléverser le fichier .mobileconfig directement dans votre solution MDM, ou l’installer localement.

Pour obtenir ce profil de configuration avant de pouvoir l’uploader, consultez le référentiel GitHub de Jamf : https://github.com/jamf/jamfconnect

Désactiver l’ouverture de session automatique FileVault

Pour éviter que le processus de connexion de macOS n’ignore Jamf Connect lorsque FileVault est activé, vous pouvez désactiver l’ouverture de session automatique sur les ordinateurs.

Le diagramme ci-dessous montre comment ces réglages empêchent le contournement de la fenêtre d’ouverture de session Jamf Connect lors de l’ouverture de session :

Vous pouvez désactiver l’ouverture de session automatique Apple's sur les ordinateurs en procédant comme suit :

  • Activez le réglage Exiger l’authentification réseau (DenyLocal). Ce réglage force l’authentification réseau sur les ordinateurs sur lesquels la fenêtre d’ouverture de session Jamf Connect est déjà activée, ce qui empêche FileVault de contourner la fenêtre d’ouverture de session Jamf Connect.

  • Uploadez le fichier PLIST suivant à l’aide de l’entité Réglages personnalisés dans votre solution MDM. Assurez-vous de spécifier le domaine de préférence suivant : com.apple.loginwindow

    <?xml version="1.0" encoding="UTF-8"?> 
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
    <plist version="1.0">  
      <dict>  
        <key>DisableFDEAutoLogin</key>  
        <true/>  
      </dict> 
    </plist>

Expérience utilisateur et sécurité

Bien que les mesures de sécurité, telles que FileVault et l’authentification multifacteur (MFA), améliorent la sécurité des ordinateurs Mac, les administrateurs ne doivent mettre en œuvre que les fonctionnalités de sécurité nécessaires dans leur environnement pour garantir une expérience positive à l’utilisateur final. Une sécurité excessive combinée à Jamf Connect peut entraîner de multiples invites d’ouverture de session et l’authentification continue avec la barre de menus d’app Jamf Connect.

Activation de FileVault pour les comptes locaux standard sur macOS 10.15

Remarque :

Sur macOS 11 ou version ultérieure, la Solution de mot de passe de l’administrateur local (LAPSUser) n’est pas requise pour activer FileVault pour les comptes standard. Un jeton SecureToken est accordé au premier compte local, quel que soit son type, créé sur les ordinateurs.

Si vous voulez utiliser Jamf Connect pour créer un compte local standard compatible avec FileVault sur macOS 10.15, vous devez utiliser le réglage Solution de mot de passe de l’administrateur local (LAPSUser). Ce réglage randomise un mot de passe de compte d’administrateur local existant, utilise le mot de passe pour activer FileVault et créer une clé de secours personnelle, puis fait de la clé de secours personnelle le mot de passe de l’administrateur local. Le compte d’administrateur LAPS configuré et le compte utilisateur standard deviennent alors compatibles avec FileVault.

Gardez à l’esprit les points suivants concernant FileVault et les comptes standard sur macOS 10.15 ou version ultérieure :

  • Le premier compte utilisateur compatible avec FileVault d’un ordinateur ne peut pas être un compte utilisateur standard. Un administrateur local doit exister sur l’ordinateur pour pouvoir utiliser cette méthode.

  • Seul le premier compte standard créé recevra un SecureToken.

Pour garantir que le réglage Utilisateur LAPS (LAPSUser) ne s’exécute que lorsque cela est nécessaire, il est ignoré sur les ordinateurs dans les scénarios suivants :

  • Si n’importe quel type de compte se connecte à Jamf Connect sur les ordinateurs avec macOS 11 ou version ultérieure.

  • Si un administrateur local se connecte à Jamf Connect sur les ordinateurs avec macOS 10.15 ou version ultérieure.

Activation de FileVault avec Jamf Connect par version de macOS

Type de compte10.14.x10.15.x11.0.x - 12.0.x

Administrateur

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Configurez l’entité Contrôle des règles des préférences de confidentialité (PPPC) pour gérer la pré-approbation de l’activation de FileVault.

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Configurez l’entité Contrôle des règles des préférences de confidentialité (PPPC) pour gérer la pré-approbation de l’activation de FileVault.

Standard

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Utilisez le réglage Utilisateur LAPS (LAPSUser) pour accorder un SecureToken à un administrateur local ou à un compte de gestion et à un compte standard existants.

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Utilisez le réglage Utilisateur LAPS (LAPSUser) pour accorder un SecureToken à un administrateur local ou à un compte de gestion et à un compte standard existants.

Configurez l’entité Contrôle des règles des préférences de confidentialité (PPPC) pour gérer la pré-approbation de l’activation de FileVault.

Utilisez le réglage Activer FileVault (EnableFDE) afin d’activer FileVault pour le premier utilisateur qui se connecte.

Configurez l’entité Contrôle des règles des préférences de confidentialité (PPPC) pour gérer la pré-approbation de l’activation de FileVault.

Remarque :

Le réglage Utilisateur LAPS (LAPSUser) n’est pas requis. Un jeton SecureToken est accordé au premier compte local, quel que soit son type, créé sur les ordinateurs.