Wer sich schwerpunktmäßig um Security kümmert, der kommt recht schnell mit dem Thema Device Management in Berührung. Microsoft Endpoint Manager (vormals Intune) ist eine cloud-basierte Management-Lösung mit der sich u.a. macOS-basierte Geräte verwalten lassen.
Eine der ersten und häufigsten Aufgaben bei der Einführung eines Device Managements ist die Aktivierung der Festplatten-Verschlüsselung – bei macOS FileVault – mittels Policy. Beim nächsten Neustart des mac-Systems wird FileVault automatisch aktiviert und der Recovery Key im Microsoft Endpoint Manager / Intune gespeichert. Dieser Vorgang wird auch FileVault Recovery Key Escrow genannt. Anschließend lässt sich der FileVault Recovery Key über das Device Profil im Microsoft Endpoint Manager / Intune abrufen.
War auf dem macOS-Device FileVault bereits aktiv, wird der Recovery Key nicht angezeigt. Die Ursache dafür ist, dass der Recovery Key ausschließlich bei einer Rotation beim Escrow-Anbieter hinterlegt wird. Durch das Anwenden der FileVault-Policy wird allerdings keine Rotation ausgelöst.
Wir haben nun also die Möglichkeit abzuwarten bis die nächste Rotation stattfindet (wird in der FileVault-Policy konfiguriert) oder müssen eine Rotation selbst veranlassen. Im Endpoint Manager lässt sich die Rotation allerdings nur manuell veranlassen, wenn ein Recovery Key hinterlegt ist. Ist er das nicht, müssen wir die Rotation auf dem macOS-Device selbst durchführen.
Mit diesen Schritten löst du das Problem:
- Öffne das Terminal mit einem Nutzer, der über Administrator-Berechtigungen verfügt
- Führe folgenden Befehl aus:
sudo fdesetup changerecovery -personal
- Gebe das Passwort des aktuell angemeldeten Nutzers ein
- Gebe den Nutzernamen des angemeldeten Nutzers ein
- Gebe das Passwort des aktuell angemeldeten Nutzers erneut ein
- Der neue FileVault Recovery Key wird angezeigt und automatisch im Endpoint Manager gespeichert
Die Menschen reagierten auf diese Geschichte.
Kommentare anzeigen Kommentare ausblendenDanke !
Der Artikel war die Rettung ! ich hatte schon Tage und auch mit dem MS Support verbracht
ohne Erfolg!
Der Artikel war es !
Super, danke für dein Feedback! 🙂