Skip to main content

Featured

Delegar permissões de Administrador no Microsoft Entra ID

Delegar permissões administrativas no Microsoft Entra ID é essencial para distribuir responsabilidades de forma segura e eficiente, sem comprometer a governança da organização. Essa prática evita a concentração de acessos privilegiados em poucas contas e reduz riscos de segurança, ao mesmo tempo em que melhora a rastreabilidade das ações administrativas. Acessando o portal do Microsoft Entra O primeiro passo é acessar o portal de administração do Microsoft Entra em https://entra.microsoft.com com uma conta que possua a função de Global Administrator , pois apenas esse perfil tem autorização para gerenciar funções administrativas. Navegando até as funções administrativas No menu lateral, selecione Identidade e depois clique em Funções e administradores . Nessa área, você encontrará uma lista com todas as funções disponíveis no Entra ID, como: Global Administrator User Administrator Groups Administrator Helpdesk Administrator Security Reader Compliance Administrat...
Post a Comment
Read more

Implantação de FileVault em Dispositivos macOS com Microsoft Intune


A criptografia de disco completa é um pilar essencial na proteção de endpoints corporativos, especialmente em ambientes que utilizam dispositivos macOS. A Microsoft disponibiliza suporte nativo ao FileVault por meio do Intune, oferecendo gerenciamento centralizado, escrow da chave de recuperação e monitoramento completo do estado de criptografia. Este guia apresenta o passo a passo completo para implantar e gerenciar o FileVault em ambientes gerenciados com Microsoft Intune.

Requisitos 

Antes de iniciar a configuração, certifique-se de que:

  • Os dispositivos estejam com macOS 10.13 ou superior (idealmente Sonoma ou posterior).

  • O Intune esteja integrado ao Apple Business Manager e com certificado MDM da Apple configurado.

  • Os dispositivos estejam devidamente registrados e atribuídos a usuários com sessão iniciada.

Configuração

1. Atribuição de permissões

No Microsoft Intune, o acesso às chaves de recuperação e à gestão do FileVault requer funções específicas atribuídas ao administrador. As funções recomendadas são Help Desk Operator ou Endpoint Security Administrator. Essa etapa garante que os administradores autorizados possam acessar e gerenciar as chaves no console.

2. Criação de política via Endpoint Security

No portal do Intune:

  • Acesse Endpoint security > Disk encryption > Create policy.

  • Selecione Plataforma: macOS e Perfil: FileVault.

  • Na configuração da política:

    • Ative o FileVault.

    • Defina o tipo de chave como Personal Recovery Key.

    • Configure mensagens para orientação do usuário.

  • Atribua a política aos grupos de dispositivos ou usuários desejados.

  • Salve e publique a política.

3. Alternativa: uso do Settings Catalog

Caso deseje maior granularidade, é possível configurar o FileVault via Settings Catalog:

  • Crie um perfil de configuração com base na plataforma macOS.

  • Selecione as opções de criptografia em Full Disk Encryption.

  • Ative o FileVault com a opção Defer (adiamento da ativação após login).

  • Opcionalmente, habilite a ativação durante o Setup Assistant para provisionamento zero-touch.

4. Ativação no dispositivo

Após a atribuição da política:

  • O usuário será notificado para ativar o FileVault.

  • Ao aceitar, a criptografia será iniciada e uma chave de recuperação pessoal será gerada.

  • A chave é apresentada ao usuário uma única vez e automaticamente enviada para o Intune, que realiza o escrow seguro no backend.

5. Visualização e recuperação de chave

Administradores podem acessar as chaves de recuperação através do caminho Devices > All devices > Recovery keys no console do Intune. Os usuários finais também podem recuperar suas chaves por meio do aplicativo Company Portal, desde que autorizado pela política da organização.

6. Rotação da chave de recuperação

O Intune permite realizar a rotação manual ou automática da chave de recuperação. A rotação pode ser iniciada pelo administrador ou programada conforme as práticas de segurança da organização. O processo é transparente para o usuário e exige que o dispositivo esteja online para concluir a operação.

7. Gerenciamento de dispositivos já criptografados

Caso o dispositivo já tenha o FileVault ativado antes da gestão pelo Intune, a organização pode:

  • Solicitar que o usuário informe a chave atual via portal.

  • Executar um comando local com privilégios administrativos para alterar a chave e iniciar o escrow:
    sudo fdesetup changerecovery -personal

Com essa ação, a nova chave será capturada e vinculada ao Intune, permitindo o gerenciamento contínuo da criptografia.

8. Monitoramento e auditoria

O Intune oferece relatórios detalhados de criptografia, permitindo que os administradores acompanhem status de ativação, dispositivos com falha e validade das chaves. Em caso de erro (exemplo: -2016341107), o mais comum é que o usuário não tenha concluído a ativação após o prompt inicial. É importante reforçar essa etapa junto ao usuário final.

A criptografia com FileVault via Microsoft Intune oferece uma solução robusta e integrada para proteção de dados em dispositivos macOS. Através de políticas flexíveis, escrow seguro das chaves e automação de rotação, as organizações podem garantir conformidade, segurança e praticidade na administração de endpoints Apple.

Deploying macOS FileVault with Microsoft Intune | Microsoft Community Hub

Comments

Post a Comment

Popular Posts