FileVault-schijfversleuteling gebruiken voor macOS met Intune

Gebruik Microsoft Intune om macOS FileVault-schijfversleuteling te configureren en te beheren. FileVault is een programma voor volledige schijfversleuteling dat deel uitmaakt van macOS. Met Intune kunt u beleidsregels implementeren waarmee FileVault wordt geconfigureerd en vervolgens herstelsleutels beheren op apparaten met macOS 10.13 of hoger.

Gebruik een van de volgende beleidstypen om FileVault te configureren op uw beheerde apparaten:

• Eindpuntbeveiligingsbeleid voor macOS FileVault. Het FileVault-profiel in Eindpuntbeveiliging is een gerichte groep instellingen die is toegewezen aan het configureren van FileVault.

  Bekijk de FileVault-instellingen die beschikbaar zijn in profielen voor schijfversleutelingsbeleid.

• Apparaatconfiguratieprofiel voor eindpuntbeveiliging voor macOS FileVault. FileVault-instellingen zijn een van de beschikbare instellingencategorieën voor macOS-eindpuntbeveiliging. Zie Een apparaatprofiel maken in Intune voor meer informatie over het gebruik van een apparaatconfiguratieprofiel.

  Bekijk de FileVault-instellingen die beschikbaar zijn in endpoint protection-profielen voor apparaatconfiguratiebeleid.

• Catalogusprofiel instellingen voor macOS FileVault. FileVault kan worden geconfigureerd via de catalogus met Intune-instellingen, die enkele instellingen bevat die niet beschikbaar zijn in de sjablonen voor eindpuntbeveiliging en eindpuntbeveiliging.

Zie BitLocker-beleid beheren om BitLocker voor Windows 10/11 te beheren.

Tip

Intune biedt een ingebouwd versleutelingsrapport met details over de versleutelingsstatus van apparaten op al uw beheerde apparaten.

Nadat u een beleid hebt gemaakt voor het versleutelen van apparaten met FileVault, wordt het beleid in twee fasen toegepast op apparaten. Eerst wordt het apparaat voorbereid om Intune in staat te stellen de herstelsleutel op te halen en er een back-up van te maken. Deze actie wordt escrow genoemd. Nadat de sleutel is geblokkeerd, kan de schijfversleuteling worden gestart.

Naast het gebruik van Intune-beleid om een apparaat te versleutelen met FileVault, kunt u beleid implementeren op een beheerd apparaat, zodat Intune het beheer van FileVault kunnen aannemen wanneer het apparaat door de gebruiker is versleuteld. In dit scenario moet het apparaat FileVault-beleid ontvangen van Intune, gevolgd door het uploaden van de persoonlijke herstelsleutel naar Intune.

Door de gebruiker goedgekeurde apparaatinschrijving is vereist om FileVault op een apparaat te laten werken. De gebruiker moet het beheerprofiel handmatig goedkeuren vanuit systeemvoorkeuren om te kunnen worden beschouwd als door de gebruiker goedgekeurd.

Op rollen gebaseerde toegangsbeheer voor het beheren van FileVault

Als u FileVault in Intune wilt beheren, moet aan een account een Intune rol op basis van op rollen gebaseerd toegangsbeheer (RBAC) worden toegewezen die de machtiging Externe taken bevat, waarbij het recht FileVault-sleutel draaien is ingesteld op Ja:

U kunt deze machtiging en dit recht toevoegen aan uw eigen aangepaste RBAC-rollen of een van de volgende ingebouwde RBAC-rollen gebruiken die dit recht bevatten:

• Helpdeskmedewerker
• Eindpuntbeveiligingsbeheerder

Eindpuntbeveiligingsbeleid maken voor FileVault

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Eindpuntbeveiliging>Schijfversleuteling>Beleid maken.

3. Voer op de pagina Basisinformatie de volgende eigenschappen in en kies volgende.

   • Platform: macOS
   • Profiel: FileVault

   

4. Op de pagina Configuratie-instellingen :

   1. Stel FileVault inschakelen in op Ja.
   2. Voor het type herstelsleutel wordt alleen Persoonlijke herstelsleutel ondersteund.
   3. Configureer andere instellingen om aan uw vereisten te voldoen.

   Overweeg om een bericht toe te voegen om gebruikers te helpen bij het ophalen van de herstelsleutel voor hun apparaat. Deze informatie kan nuttig zijn voor uw gebruikers wanneer u de instelling voor persoonlijke herstelsleutelrotatie gebruikt, waarmee automatisch periodiek een nieuwe herstelsleutel voor een apparaat kan worden gegenereerd.

   Bijvoorbeeld: als u een verloren of onlangs gedraaide herstelsleutel wilt ophalen, meldt u zich op elk apparaat aan bij de Intune-bedrijfsportal-website. Ga in de portal naar Apparaten, selecteer het apparaat waarop FileVault is ingeschakeld en selecteer vervolgens Herstelsleutel ophalen. De huidige herstelsleutel wordt weergegeven.

5. Wanneer u klaar bent met het configureren van instellingen, selecteert u Volgende.

6. Kies op de pagina Bereik (tags)de optie Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel.

   Selecteer Volgende om door te gaan.

7. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

8. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt.

Catalogusbeleid voor instellingen maken voor FileVault

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apparaten>Op platform>macOS>Apparaten> beherenConfiguratie>Nieuw beleid maken>.

3. Selecteer op de pagina Een profiel makende optie Instellingencatalogus voor het profieltype.

4. Voer op de pagina Basisinformatie de volgende eigenschappen in:

   • Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam kan bijvoorbeeld het profieltype en het platform bevatten.

   • Beschrijving: voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.

5. Selecteer op de pagina Configuratie-instellingende optie + Instellingen toevoegen om de instellingenkiezer te openen. De FileVault-instellingen bevinden zich onder de categorie Volledige schijfversleuteling :

   

   Als u FileVault wilt inschakelen, selecteert en configureert u de volgende instellingen in de categorie Volledige schijfversleuteling :

   • FileVault >inschakelen - Instellen op Aan
   • Escrowlocatie van FileVault-herstelsleutel: geef een beschrijving op van de locatie waar de herstelsleutel wordt geblokkeerd.> Deze tekst wordt ingevoegd in het bericht dat de gebruiker ziet bij het inschakelen van FileVault.

   Tip

   Wanneer u versleuteling configureert voor apparaten waarop macOS 14 of hoger wordt uitgevoerd, kunt u de configuratieassistent van macOS gebruiken om FileVault-versleuteling af te dwingen voordat een gebruiker op het startscherm aankomt. Zie FileVault inschakelen via de Configuratieassistent verderop in dit artikel.

6. Configureer extra FileVault-instellingen(hiermee opent u de website van Apple) om aan de behoeften van uw bedrijf te voldoen en selecteer vervolgens Volgende.

7. Kies, indien van toepassing, op de pagina Bereik (tags)de optie Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel. Selecteer Volgende om door te gaan.

8. Selecteer op de pagina Toewijzingen de groepen die dit profiel ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

9. Selecteer op de pagina Controleren en maken de optie Maken wanneer u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt.

FileVault inschakelen via de Configuratieassistent

Voor apparaten met macOS 14 en hoger kan het catalogusbeleid voor instellingen ook FileVault-versleuteling afdwingen via de configuratieassistent van macOS, voordat een gebruiker bij het startscherm aankomt. Voor dit doel zijn extra configuraties vereist:

• De functie Wacht op definitieve configuratie voor het apparaat moet zijn ingesteld op Ja. Deze configuratie voorkomt dat eindgebruikers toegang hebben tot beperkte inhoud of instellingen wijzigen totdat van toepassing Intune apparaatconfiguratiebeleid van toepassing is. Zie Macs automatisch inschrijven met Apple Business Manager of Apple School Manager voor meer informatie over deze configuratie.

• Maak een filter met behulp van het kenmerk EnrollmentProfileName dat wordt toegewezen aan het catalogusbeleid voor instellingen. Dit zorgt ervoor dat het FileVault-beleid wordt toegewezen wanneer het apparaat voor het eerst wordt ingeschreven bij Intune. Zie Filters maken in Microsoft Intune voor meer informatie over het configureren van filters.

• Wanneer Wacht op definitieve configuratie is ingesteld op Ja voor een apparaat, kunt u vervolgens de volgende volledige schijfversleutelingsinstelling voor FileVault toevoegen aan het profiel van uw instellingencatalogus

• FileVault >Force Enable in Setup Assistant : ingesteld op Ingeschakeld.

  In de volgende afbeelding ziet u het catalogusprofiel voor instellingen dat is geconfigureerd met de kerninstellingen om FileVault in te schakelen en de Configuratieassistent te gebruiken om versleuteling af te dwingen. In dit voorbeeld gebruikt de instelling Locatie de eenvoudige naam van ons domein , Contoso:

  Belangrijk

  De instelling Uitstellen moet worden geconfigureerd op Ingeschakeld om FileVault in configuratieassistent in te schakelen voor apparaten met macOS 14.4.

  

Apparaatconfiguratiebeleid maken voor FileVault (afgeschaft)

Opmerking

De macOS-sjabloon voor Endpoint Protection is afgeschaft en biedt geen ondersteuning meer voor het maken van nieuwe profielen. Gebruik in plaats daarvan de eindpuntbeveiliging of de instellingencatalogus om nieuwe FileVault-profielen te configureren en te beheren.

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apparaten>Apparaten configureren>Op> het tabblad Beleid selecteert u + Maken.

3. Stel op de pagina Een profiel maken de volgende opties in en selecteer vervolgensNieuw beleidmaken>:

   • Platform: macOS
   • Profieltype: Sjablonen
   • Sjabloonnaam: Endpoint Protection (afgeschaft)

   

4. Voer op de pagina Basisinformatie de volgende eigenschappen in:

   • Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam kan bijvoorbeeld het profieltype en het platform bevatten.

   • Beschrijving: voer een beschrijving in voor het beleid. Deze instelling is optioneel, maar wordt aanbevolen.

5. Selecteer op de pagina Configuratie-instellingende optie FileVault om de beschikbare instellingen uit te vouwen:

   

6. Configureer de volgende instellingen:

   • Selecteer Ja voor FileVault inschakelen.

   • Bij Type herstelsleutel selecteert u Persoonlijke sleutel.

   • Voeg voor Escrow-locatiebeschrijving van persoonlijke herstelsleutel een bericht toe om gebruikers te helpen bij het ophalen van de herstelsleutel voor hun apparaat. Deze informatie kan nuttig zijn voor uw gebruikers wanneer u de instelling voor persoonlijke herstelsleutelrotatie gebruikt, waarmee automatisch periodiek een nieuwe herstelsleutel voor een apparaat kan worden gegenereerd.

     Bijvoorbeeld: als u een verloren of onlangs gedraaide herstelsleutel wilt ophalen, meldt u zich op elk apparaat aan bij de Intune-bedrijfsportal-website. Ga in de portal naar Apparaten , selecteer het apparaat waarop FileVault is ingeschakeld en selecteer vervolgens Herstelsleutel ophalen. De huidige herstelsleutel wordt weergegeven.

   Configureer de resterende FileVault-instellingen om te voldoen aan de behoeften van uw bedrijf en selecteer vervolgens Volgende.

7. Kies, indien van toepassing, op de pagina Bereik (tags)de optie Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel.

   Selecteer Volgende om door te gaan.

8. Selecteer op de pagina Toewijzingen groepen om dit profiel te ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

9. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt.

FileVault beheren

Zie Schijfversleuteling bewaken voor informatie over apparaten die FileVault-beleid ontvangen.

Wanneer Intune macOS-apparaat voor het eerst versleutelt met FileVault, wordt er een persoonlijke herstelsleutel gemaakt. Na versleuteling geeft het apparaat de persoonlijke sleutel één keer weer aan de gebruiker van het apparaat.

Opmerking

Een apparaat dat foutcode -2016341107/0x87d1138d rapporteert, betekent over het algemeen dat de eindgebruiker de FileVault-prompt om te beginnen met versleuteling niet heeft geaccepteerd.

Voor beheerde apparaten kunt Intune een kopie van de persoonlijke herstelsleutel borgen. Met escrow van sleutels kunnen Intune-beheerders sleutels draaien om apparaten te beschermen en kunnen gebruikers een verloren of gedraaide persoonlijke herstelsleutel herstellen.

Intune borgt een herstelsleutel wanneer Intune beleid een apparaat versleutelt of nadat een gebruiker de herstelsleutel heeft geüpload voor een apparaat dat ze handmatig hebben versleuteld.

Nadat Intune de persoonlijke herstelsleutel hebt geblokkeerd:

• Beheerders kunnen de FileVault-herstelsleutels voor elk beheerd macOS-apparaat beheren en roteren met behulp van het Intune-versleutelingsrapport.
• Beheerders kunnen de persoonlijke herstelsleutel alleen bekijken voor beheerde macOS-apparaten die zijn gemarkeerd als zakelijk. Ze kunnen de herstelsleutel voor persoonlijke apparaten niet weergeven.
• Gebruikers kunnen hun persoonlijke herstelsleutel van een ondersteunde locatie bekijken en ophalen. Op de website van Bedrijfsportal kan de gebruiker er bijvoorbeeld voor kiezen herstelsleutel ophalen als een actie op een extern apparaat.

Beheer van FileVault op eerder versleutelde apparaten aannemen

Intune kunt fileVault-schijfversleuteling niet beheren op een macOS-apparaat dat is versleuteld door een apparaatgebruiker, tenzij u FileVault-beleid toepast via Intune. Er zijn twee methoden die u kunt gebruiken om Intune in staat te stellen het beheer van FileVault in dit scenario over te nemen:

• Een persoonlijke herstelsleutel uploaden naar Intune: gebruik deze methode wanneer de gebruiker de persoonlijke herstelsleutel kent.
• De gebruiker genereert een nieuwe herstelsleutel op het apparaat : gebruik deze methode als de persoonlijke herstelsleutel niet bekend is bij de gebruiker.

Beide methoden vereisen dat het apparaat actief beleid heeft van Intune waarmee FileVault-versleuteling wordt beheerd. Gebruik een profiel voor schijfversleuteling voor eindpuntbeveiliging om dit beleid te leveren.

Een persoonlijke herstelsleutel uploaden

Om Intune in staat te stellen FileVault te beheren op een eerder versleuteld apparaat, kan de gebruiker die het apparaat heeft versleuteld, de Bedrijfsportal-website gebruiken om hun persoonlijke herstelsleutel voor het apparaat te uploaden naar Intune. Als u de sleutel uploadt, kunnen Intune het beheer van de versleuteling aannemen.

Tijdens het uploaden draait Intune de sleutel om een nieuwe persoonlijke herstelsleutel te maken. Intune slaat de nieuwe sleutel op voor toekomstige herstelbehoeften en maakt deze beschikbaar voor de gebruiker van het apparaat.

Vereisten:

• Het versleutelde apparaat moet een Intune FileVault-beleid hebben voor schijfversleuteling.

  Voordat Intune het beheer van de versleuteling van een door de gebruiker versleuteld apparaat kunt uitvoeren, moet dat apparaat een Intune FileVault-beleid voor schijfversleuteling ontvangen.

  Gebruik een profiel voor schijfversleuteling voor eindpuntbeveiliging om apparaten te versleutelen met FileVault.

• De gebruiker die het apparaat heeft versleuteld, moet toegang hebben tot de persoonlijke herstelsleutel voor het apparaat en worden omgeleid om het te uploaden naar Intune.

  Intune waarschuwt gebruikers niet dat ze hun persoonlijke herstelsleutel moeten uploaden om de versleuteling te voltooien. Gebruik in plaats daarvan uw normale IT-communicatiekanalen om gebruikers die hun macOS-apparaat eerder hebben versleuteld met FileVault te waarschuwen dat ze hun persoonlijke herstelsleutel moeten uploaden naar Intune.

  Opmerking

  Op basis van uw nalevingsbeleid is het mogelijk dat apparaten geen toegang hebben tot bedrijfsbronnen totdat Intune het beheer van FileVault-versleuteling op het apparaat heeft aangenomen

Upload een persoonlijke herstelsleutel naar Intune:

1. Nadat het apparaat het FileVault-profiel heeft ontvangen, stuurt u de gebruiker om de Bedrijfsportal-website te gebruiken.

2. Op de website van Bedrijfsportal zoekt de gebruiker het versleutelde macOS-apparaat en selecteert hij de optie Herstelsleutel opslaan.

3. De gebruiker moet de persoonlijke herstelsleutel invoeren en Intune probeert vervolgens de sleutel te draaien om een nieuwe sleutel te genereren.

   • Als de sleutelrotatie is geslaagd, slaat Intune de nieuwe sleutel op voor toekomstig gebruik en maakt de sleutel beschikbaar voor de gebruiker als de gebruiker het apparaat moet herstellen.
   • Als de sleutelrotatie mislukt, heeft het apparaat het FileVault-beleid niet verwerkt of is de ingevoerde sleutel niet nauwkeurig voor het apparaat.

4. Na een geslaagde rotatie kan een gebruiker de nieuwe persoonlijke herstelsleutel ophalen van een ondersteunde locatie.

Zie inhoud van eindgebruikers voor het uploaden van de persoonlijke herstelsleutel voor meer informatie.

Een nieuwe herstelsleutel genereren op het apparaat

Als Intune FileVault op een eerder versleuteld apparaat wilt laten beheren, kan de gebruiker die het apparaat heeft versleuteld de Terminal-app op het apparaat gebruiken om de persoonlijke herstelsleutel te draaien. Als het apparaat een actief FileVault-beleid heeft van Intune wanneer de sleutel wordt geroteerd, gaat Intune uit van het beheer van de versleuteling.

Vereisten:

• Het versleutelde apparaat moet een Intune FileVault-beleid hebben voor schijfversleuteling.

  Voordat Intune het beheer van de versleuteling van een door de gebruiker versleuteld apparaat kunt uitvoeren, moet dat apparaat een Intune FileVault-beleid voor schijfversleuteling ontvangen.

  Gebruik een profiel voor schijfversleuteling voor eindpuntbeveiliging om apparaten te versleutelen met FileVault.

• De gebruiker van het apparaat moet toegang hebben tot de Terminal-app op het versleutelde apparaat.

Gebruik Terminal om een nieuwe persoonlijke herstelsleutel te genereren:

1. Nadat het apparaat het FileVault-profiel heeft ontvangen, moet de gebruiker die het apparaat heeft versleuteld zich aanmelden bij het apparaat, Terminal openen en de volgende twee opdrachten uitvoeren:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Wanneer deze opdracht wordt uitgevoerd, wordt de gebruiker gevraagd het wachtwoord van het apparaat op te geven. Nadat het wachtwoord is opgegeven, roteert het apparaat de persoonlijke herstelsleutel en wordt de nieuwe persoonlijke herstelsleutel aan de gebruiker gepresenteerd.

      Nadat u de nieuwe herstelsleutel hebt opgenomen, voltooit u de resterende prompts van de opdracht.

2. Nadat de opdrachtprompts zijn voltooid, is de persoonlijke herstelsleutel op het apparaat gedraaid. Als het apparaat het FileVault-beleid heeft ontvangen, neemt Intune het beheer van de versleuteling van het apparaat over wanneer het apparaat de volgende keer met Intune incheckt.

   Standaard wordt het apparaat ongeveer elke acht uur ingecheckt. Gebruik een van de volgende opties om het inchecken van apparaten te versnellen:

   • Een Intune-beheerder kan zich aanmelden bij Microsoft Intune beheercentrum, naar Apparaten gaan, het apparaat selecteren en vervolgens Synchroniseren selecteren. Hiermee wordt het apparaat gewaarschuwd om onmiddellijk in te checken bij Intune.
   • De gebruiker van het apparaat kan de Bedrijfsportal-app openen en naar Instellingen>synchroniseren gaan. Hiermee wordt het apparaat om direct op beleids- of profielupdates te controleren.

3. Nadat Intune ervan uitgaat dat de versleuteling wordt beheerd, kan een gebruiker de nieuwe persoonlijke herstelsleutel ophalen van een ondersteunde locatie.

Zie inhoud van eindgebruikers voor het uploaden van de persoonlijke herstelsleutel voor meer informatie.

Een persoonlijke herstelsleutel ophalen

Voor een macOS-apparaat waarop de FileVault-versleuteling wordt beheerd door Intune, kunnen eindgebruikers hun persoonlijke herstelsleutel (FileVault-sleutel) ophalen van de volgende locaties, met behulp van elk apparaat:

• Bedrijfsportal website (https://portal.manage.microsoft.com/)
• iOS-/iPadOS-Bedrijfsportal-app
• Android Bedrijfsportal-app
• Intune-app

Beheerders kunnen persoonlijke herstelsleutels bekijken voor versleutelde macOS-apparaten die zijn gemarkeerd als een bedrijfsapparaat . Ze kunnen de herstelsleutel voor een persoonlijk apparaat niet weergeven.

Het apparaat met de persoonlijke herstelsleutel moet worden ingeschreven bij Intune en worden versleuteld met FileVault via Intune. Wanneer een apparaatgebruiker de iOS-Bedrijfsportal-app, Android Bedrijfsportal-app, de Android Intune-app of de Bedrijfsportal-website gebruikt, kan de gebruiker de FileVault-herstelsleutel zien die nodig is voor toegang tot zijn Mac-apparaten.

Apparaatgebruikers kunnen Apparaten>het versleutelde en ingeschreven macOS-apparaat>Ophalen herstelsleutel selecteren. De browser toont de web-Bedrijfsportal en de herstelsleutel.

Herstelsleutels draaien

Intune ondersteunt meerdere opties voor het draaien en herstellen van persoonlijke herstelsleutels. Een reden om een sleutel te draaien is als de huidige persoonlijke sleutel verloren is gegaan of als er wordt gedacht dat deze risico loopt.

• Automatische rotatie: Als beheerder kunt u de FileVault-instelling Persoonlijke herstelsleutelrotatie configureren om automatisch periodiek nieuwe herstelsleutels te genereren. Wanneer een nieuwe sleutel wordt gegenereerd voor een apparaat, wordt de sleutel niet weergegeven voor de gebruiker. In plaats daarvan moet de gebruiker de sleutel ophalen van een beheerder of via de bedrijfsportal-app.

• Handmatige rotatie: Als beheerder kunt u informatie bekijken voor een apparaat dat u beheert met Intune en dat is versleuteld met FileVault. Vervolgens kunt u ervoor kiezen om de herstelsleutel voor bedrijfsapparaten handmatig te draaien. U kunt herstelsleutels voor persoonlijke apparaten niet draaien.

  Een herstelsleutel draaien:

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Alle apparaten.

  3. Selecteer in de lijst met apparaten het apparaat dat is versleuteld en waarvoor u de sleutel wilt draaien. Selecteer vervolgens onder Controleren de optie Herstelsleutels.

  4. Selecteer in het deelvenster Herstelsleutels de optie FileVault-herstelsleutel draaien.

     De volgende keer dat het apparaat met Intune incheckt, wordt de persoonlijke sleutel geroteerd. Indien nodig kan de nieuwe sleutel door de gebruiker worden verkregen via de bedrijfsportal.

Herstelsleutels herstellen

• Beheerder: beheerders kunnen geen persoonlijke herstelsleutels weergeven voor apparaten die zijn versleuteld met FileVault.

• Eindgebruiker: Eindgebruikers gebruiken de Bedrijfsportal website vanaf elk apparaat om de huidige persoonlijke herstelsleutel voor hun beheerde apparaten te bekijken. U kunt herstelsleutels niet weergeven vanuit de Bedrijfsportal-app.

  Een herstelsleutel weergeven:

  1. Meld u vanaf elk apparaat aan bij de website van Intune-bedrijfsportal.

  2. Ga in de portal naar Apparaten en selecteer het macOS-apparaat dat is versleuteld met FileVault.

  3. Selecteer Herstelsleutel ophalen. De huidige herstelsleutel wordt weergegeven.

Volgende stappen

BitLocker-beleid beheren

Schijfversleuteling bewaken