Ciao e benvenuto ad un nuovo tutorial di ITSpecialist.News! Vuoi assicurarti che i dischi dei tuoi Mac aziendali siano cifrati fin dal primo avvio? In questo video ti spiego come attivare FileVault già dalla fase di Setup Assistant, utilizzando Microsoft Intune.
Attivare FileVault fin dall’inizio del ciclo di vita del Mac è un’ottima pratica di sicurezza e, dal mio punto di vista, il momento migliore per farlo, in modo da non dare seccature successive agli utenti con popup al logout o cose simili.
📰 Cosa preferisci? Video o articolo?
Alcune note per sfruttare al meglio questo contenuto.
Se preferisci vedere il video per intero, facile: lo trovi qui sopra nell’intestazione.
Se preferisci leggere, facile anche in questo caso: continua pure la lettura qui. Per ogni passaggio ho inserito un link allo spezzone specifico di video (si aprirà su YouTube), così vedrai solo le schermate che ti interessano, senza il mio faccione che parla.
In ogni caso, iscriviti alla newsletter per essere sicuro di non perderti nemmeno una nuova uscita dei miei tutorial.
Perfetto, iniziamo!
✅ Prerequisiti: cosa ti serve prima di iniziare
Prima di mettere mano alle configurazioni, assicurati di avere tutto il necessario:
Il Mac deve essere registrato in Apple Business Manager e gestito tramite Automated Device Enrollment.
Devi conoscere (e annotarti) il nome del profilo di enrollment configurato in Intune.
Sempre all’interno del profilo di enrollment, l’opzione “Await final configuration” deve essere impostata su Yes.
Questi tre elementi sono fondamentali per far funzionare il tutto correttamente.
🔎 Controlla il profilo di enrollment
Accedi al portale di Intune e individua il profilo di enrollment associato ai Mac. Prendi nota del nome e, immediatamente verifica che l’impostazione “Await final configuration” sia attiva. Ti servirà tra poco.
🧩 Crea un Device Filter
Ora crea un Device Filter. A cosa serve? Ti permette di applicare la policy di FileVault immediatamente durante l’enrollment. In questo modo, Intune valuta la policy in tempo reale e la applica senza ritardi.
Il device filter ci servirà nell’assignment che faremo nella policy, tra poco.
⚒️ Configura la policy FileVault
È il momento di creare la policy vera e propria andando a comporre in maniera opportuna le impostazioni.
Li riporto qui sotto per comodità, sezione per sezione come li troverete nel Settings Catalog.
FileVault
Defer —> Enabled
Recovery Key Rotation In Months —> 1 month
Enable —> On
Force Enable In Setup Assistant —> True
FileVault Options
Prevent FileVault From Being Disabled —> True
FileVault Recovery Key Escrow
Location —> Company Portal Web (NdA: qui in realtà puoi mettere quello che ti pare, purchè sia un’indicazione concisa e chiara su come/dove l’utente può recuperare in autonomia la chiave di recovery FileVault)
In fase di assignment, nota il filtro che abbiamo creato nel passaggio precedente! Così facendo, FileVault verrà attivato prima ancora che l’utente completi il Setup Assistant.
💻 Verifica su un Mac nuovo
Vediamo il risultato finale su un Mac fresco fresco appena tirato fuori dalla scatola!
Se hai seguito tutti i passaggi:
FileVault sarà attivo fin dal primo avvio.
L’utente non potrà disattivarlo.
La chiave di recovery verrà salvata automaticamente su Intune.
Potrai recuperarla come amministratore, oppure l’utente potrà farlo in autonomia tramite il Company Portal Web.
📃 Documentazione allegata
Come sempre, ecco un bel cestello di documentazione che profuma d’estate, per i tuoi approfondimenti su tutti i modi in cui cifrare il disco dei Mac con FileVault via Intune.
📎 Use FileVault disk encryption for macOS with Intune
📎 Enable FileVault through the Setup Assistant
📫 Conclusione
Missione compiuta! Il disco del Mac è cifrato, fin dall’inizio del ciclo di vita del dispositivo in azienda e in maniera pressochè trasparente per l’utente.
Se vuoi ricevere altri contenuti come questo, iscriviti alla newsletter ITSpecialist.News: troverai guide, rubriche e aggiornamenti esclusivi.
Grazie per avermi seguito fino a qui, ci vediamo per la prossima uscita di “Hai provato a riavviare?”.
Riccardo
