macOS FileVault Şifreleme ve Kurtarma Anahtarlarını Microsoft Intune ile Yönetme
Microsoft Intune, macOS 10.13 ve üzeri sürümlerdeki cihazlar için FileVault tam disk şifrelemesini dağıtmanıza ve yönetmenize olanak tanır. Bu makalede, Intune kullanarak FileVault şifrelemesini nasıl yapılandıracağınızı, kurtarma anahtarlarını nasıl yöneteceğinizi ve farklı dağıtım yöntemlerini nasıl kullanacağınızı adım adım öğreneceksiniz.
Sorun
macOS cihazlarında veri güvenliğini sağlamak için FileVault şifrelemesi zorunlu hale gelmiştir. Ancak, kurumsal ortamlarda bu şifrelemenin merkezi olarak yönetilmesi ve kurtarma anahtarlarının güvenli bir şekilde saklanması gerekmektedir. Microsoft Intune, bu süreci otomatikleştirerek ve standartlaştırarak yöneticilerin iş yükünü azaltır.
Çözüm Adımları
1. FileVault Şifreleme için Gereksinimleri Kontrol Edin
FileVault şifrelemesini dağıtmaya başlamadan önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:
- macOS Sürümü: macOS 10.13 (High Sierra) veya üzeri bir sürüm gereklidir.
- Intune Lisansı: Intune'un Enterprise Mobility + Security (EMS) paketiyle birlikte kullanılması önerilir.
- Cihaz Kaydı: Cihazların Intune'a kayıtlı olması gerekmektedir. Cihaz kaydı için Intune'a macOS kaydı konusuna bakabilirsiniz.
- Yönetici Hakları: Intune'da FileVault yapılandırması için yönetici haklarına sahip olmanız gerekir.
2. FileVault Politikasını Oluşturun
FileVault politikasını oluşturmak için aşağıdaki adımları izleyin:
- Intune Yönetim Merkezi'ne Giriş Yapın: https://endpoint.microsoft.com/ adresine gidin ve Intune yönetim merkezine giriş yapın.
- Endpoint Security'e Gidin: Sol menüden Endpoint security > Disk encryption seçeneğine tıklayın.
- Yeni Politika Oluşturun: + Create policy butonuna tıklayın ve aşağıdaki ayarları yapılandırın:
Platform: macOS
Profile type: FileVault
Aşağıdaki parametreleri yapılandırın:
- Encryption method: XTS-AES 128-bit (Apple'ın önerdiği standart)
- Require FileVault: Yes
- Recovery key storage: Azure AD (varsayılan olarak önerilir)
- Escrow location: Intune (kurtarma anahtarlarının Intune'da saklanması)
3. Kurtarma Anahtarlarının Yönetimi
FileVault şifrelemesi sırasında kurtarma anahtarları oluşturulur. Bu anahtarların güvenli bir şekilde saklanması ve yönetilmesi önemlidir. Intune, kurtarma anahtarlarını otomatik olarak Azure AD'e kaydeder.
- Kurtarma Anahtarlarını Görüntüleme: Kurtarma anahtarlarına erişmek için:
1. Intune Yönetim Merkezi'ne gidin.
2. Sol menüden Devices > macOS > Select a device > Recovery keys seçeneğine tıklayın.
3. Kurtarma anahtarlarını görüntüleyebilir ve gerektiğinde indirebilirsiniz.
⚠️ Uyarı: Kurtarma anahtarları hassas bilgilerdir. Sadece yetkili personel tarafından erişilmeli ve güvenli bir şekilde saklanmalıdır. Kurtarma anahtarlarını üçüncü şahıslarla paylaşmayın.
4. Dağıtım Yöntemleri
Intune, FileVault şifrelemesini farklı yöntemlerle dağıtmanıza olanak tanır:
Standart Etkileşimli Yöntem
Bu yöntem, kullanıcıların FileVault şifrelemesini manuel olarak başlatmasına olanak tanır:
- Intune politikasını oluşturun ve cihazlara atayın.
- Kullanıcı cihazında, sistem tercihlerinden Güvenlik ve Gizlilik > FileVault seçeneğine gider.
- FileVault'u etkinleştirmek için kullanıcıya bir istem gösterilir.
Otomatik Uygulama (macOS 14 Sonrası)
macOS 14 (Sonoma) ve üzeri sürümlerde, FileVault şifrelemesi Setup Assistant sırasında otomatik olarak uygulanabilir. Bu özellik, yeni cihazların ilk kurulumunda şifrelemenin otomatik olarak etkinleştirilmesini sağlar.
- Intune politikasında Automatically enable FileVault during Setup Assistant seçeneğini etkinleştirin.
- Cihaz ilk kez açıldığında, Setup Assistant FileVault şifrelemesini otomatik olarak uygular.
5. FileVault Durumunu İzleme
Intune, FileVault şifrelemesinin durumunu izlemenize olanak tanır:
- Intune Yönetim Merkezi'ne gidin.
- Sol menüden Devices > macOS > Device compliance seçeneğine tıklayın.
- FileVault şifrelemesinin etkin olup olmadığını kontrol edin.
6. Kurtarma Anahtarlarını Yedekleme
Kurtarma anahtarlarının yedeklenmesi, veri kaybı durumunda kurtarma işlemlerini kolaylaştırır. Intune, kurtarma anahtarlarını Azure AD'de saklar, ancak yerel yedeklemeler de yapılabilir:
- Intune Yönetim Merkezi'nde kurtarma anahtarlarını indirin.
- Bu anahtarları güvenli bir şekilde (örneğin, parola korumalı bir ZIP dosyası olarak) yedekleyin.
- Yedekleri, şirket içi sunucularda veya güvenli bulut depolama hizmetlerinde saklayın.
Komutlar ve Senaryolar
FileVault Durumunu Komut Satırından Kontrol Etme
macOS terminalinde FileVault durumunu kontrol etmek için aşağıdaki komutu kullanabilirsiniz:
diskutil coreStorage list
fdesetup status
FileVault'u Komut Satırından Etkinleştirme
FileVault'u manuel olarak etkinleştirmek için:
sudo fdesetup enable
FileVault Kurtarma Anahtarını Alma
Kurtarma anahtarını yerel olarak almak için:
sudo fdesetup list
İpuçları ve En İyi Uygulamalar
💡 İpucu: FileVault politikasını dağıtmadan önce, cihazların Intune'a kayıtlı olduğundan ve gereksinimleri karşıladığından emin olun. Politikayı test cihazlarına öncelikle dağıtın.
💡 İpucu: Kurtarma anahtarlarını sadece yetkili personelin erişebileceği yerlerde saklayın. Anahtarları şirket içi sunucularda veya güvenli bulut depolama hizmetlerinde saklamak en iyi uygulamadır.
⚠️ Uyarı: FileVault şifrelemesi sırasında veri kaybı riski vardır. Verilerinizi düzenli olarak yedekleyin ve kurtarma planlarınızı önceden oluşturun.
Sıkça Sorulan Sorular (SSS)
FileVault şifrelemesi ne kadar zaman alır?
FileVault şifrelemesi, cihazın depolama kapasitesine bağlı olarak 10 dakika ile birkaç saat arasında sürebilir. İşlem sırasında cihaz kullanılabilir durumdadır, ancak performans geçici olarak yavaşlayabilir.
FileVault'u devre dışı bırakabilir miyim?
Evet, FileVault'u devre dışı bırakabilirsiniz, ancak bu işlem verilerinizi silmez. FileVault'u devre dışı bırakmak için:
sudo fdesetup disable
Kurtarma anahtarlarını nasıl sıfırlarım?
Kurtarma anahtarlarını sıfırlamak için:
- Intune Yönetim Merkezi'nde cihazı seçin.
- Recovery keys seçeneğine gidin ve Reset recovery key butonuna tıklayın.
- Yeni kurtarma anahtarı oluşturulur ve cihaza gönderilir.
