Comment ajouter un utilisateur Active Directory à FileVault
Articles techniques ID:
KB79648
Date de la dernière modification : 2020-12-21 13:06:26 Etc/GMT
Environnement
McAfee Management of Native Encryption (MNE) 5.x, 4.x
Apple macOS FileVault
Pour plus d’informations sur les environnements pris en charge par MNE, voir KB79375.
Problème
Lorsque MNE est déployé, vous devez ajouter Active Directory utilisateurs à FileVault. Par défaut, FileVault Ajoute l’utilisateur local actuellement connecté sur le système OS X en tant que FileVault utilisateur activé.
Mais, Active Directory les utilisateurs Mac OS X agit existant ajouté en tant que FileVault utilisateurs, si l’une des options suivantes n’est pas disponible sur le système :
- Dossier de base de l’utilisateur Active Directory
Ou
- Compte mobile
Solution
1
Pour ajouter l’utilisateur Active Directory en tant que FileVault utilisateur
- Sur la Mac, ouvrez Applications, System Preferences, Users & Groups.
- Sélectionnez Login Options, puis sur Cliquez sur le verrouillage. Apportez les modifications nécessaires et saisissez les informations d’identification de l’utilisateur de l’administrateur.
- Cliquez sur Modifier en regard de serveur de compte réseau enregistré, puis cliquez sur Open Directory Utility.
- Cliquez sur le bouton verrouiller. Apportez les modifications nécessaires et saisissez les informations d’identification de l’utilisateur de l’administrateur.
- Pour ouvrir les options avancées, sélectionnez et double-cliquez sur Active Directory pr?vu Nom.
- Dans la Expérience utilisateur section sous Options avancées, activer C :.reate mobile account at login, puis cliquez sur OK pour enregistrer vos modifications.
- Quittez l' Utilitaire Directory application et Préférences système.
- Déconnectez-vous et reconnectez-vous OS X avec le Active Directory informations d’identification de l’utilisateur.
Veuillez Pour les systèmes de haute Sierra qui utilisent le macOS High Sierra with Apple File System (APFS), reportez-vous aux solutions 2 et 3 ci-dessous.
- Déployez MNE à partir d’ePolicy Orchestrator. Pour activer FileVault, mettez en œuvre la stratégie, puis redémarrez le Mac.
- Lorsque vous y êtes invité, saisissez le Active Directory mot de passe utilisateur à activer FileVault.
Modifications dans macOS High Sierra concernant les comptes mobiles et FileVault nécessité d’effectuer des étapes supplémentaires pour l’activation et la gestion des FileVault
Les étapes supplémentaires sont nécessaires lorsque le système utilise la macOS APFS. Pour plus d’informations, consultez le document du support technique d’Apple : https://support.apple.com/en-ie/HT208171
Veuillez Assurez-vous d’avoir effectué les étapes 1 à 8 de la procédure précédente avant de procéder comme suit.
- Ouvrez Applications, System Preferences, Security & Privacy.
- Cliquez sur le bouton verrouiller et entrez les informations d’identification de l’utilisateur de l’administrateur.
- Cliquez sur Activer les utilisateurs.
- Sélectionnez les utilisateurs, puis cliquez sur Activer l’utilisateur pour activer les utilisateurs sélectionnés en tant que FileVault les.
Solution
2
Lors macOS 10.13.0 - 10.13.3 utiliser APFS:
L’utilisateur Active Directory (AD) doit se connecter et créer un compte mobile :
- Sur la Mac, ouvrez Applications System Preferences, Users & Groups.
- Sélectionnez Login Options et Cliquez sur le verrou. Dès Apportez les modifications nécessaires et saisissez les informations d’identification de l’utilisateur de l’administrateur.
- Cliquez sur Modifier en regard de serveur de compte réseau enregistré, puis cliquez sur Open Directory Utility.
- Cliquez sur le verrou. Apportez les modifications nécessaires et saisissez les informations d’identification de l’utilisateur de l’administrateur.
- Pour ouvrir les options avancées, sélectionnez et double-cliquez sur Active Directory prévu Nom.
- Dans la Expérience utilisateur section sous Options avancées, activer Create mobile account at login, puis cliquez sur OK pour enregistrer vos modifications.
- Quittez l' Utilitaire Directory application et Préférences système.
- Déconnectez-vous et reconnectez-vous OS X avec le Active Directory informations d’identification de l’utilisateur.
Une fois qu’un utilisateur AD s’est connecté et a créé un compte mobile :
- Connectez-vous à l’aide d’un compte d’administrateur local qui possède le jeton sécurisé (en général, le premier utilisateur local approvisionné).
- Sur le type de terminal, la commande suivante :
sudo sysadminctl interactive -secureTokenOn -password –
- Saisissez les informations d’identification de l’administrateur local lorsque vous êtes invité à saisir la boîte de dialogue :sysadminctl needs to unlock your disk"
- Lorsque vous y êtes invité, dans le terminal, Enter password for , entrez le mot de passe AD pour cet utilisateur.
- Connectez-vous à nouveau avec le compte utilisateur AD.
- Pour activer FileVault, déployez MNE à partir d’ePolicy Orchestrator, mettez en œuvre la stratégie et redémarrez le Mac.
- Lorsque vous y êtes invité, saisissez le Active Directory mot de passe utilisateur à activer FileVault.
Solution
3
Lors macOS 10.13.4 et versions ultérieures à l’aide de APFS:
Scénario 1
- Lorsque l’utilisateur AD se connecte pour la première fois, la boîte de dialogue ci-dessous s’affiche :
Enter a SecureToken administrator’s name and password to allow this mobile account to log in at startup time.
- Entrez les informations d’identification de l’administrateur pour le propriétaire du jeton sécurisé.
- Pour activer FileVault Deploy MNE a partir d’ePolicy Orchestrator, mettez en œuvre la stratégie et redémarrez le Mac.
- Lorsque vous y êtes invité, saisissez le Active Directory mot de passe utilisateur permettant d’activer FileVault.
Scénario 2
Suivez la procédure ci-dessous uniquement si les étapes 2 et 3 ci-dessus ont été suivies. Mais avant vous affectez le jeton Secure, ce qui se traduit par l’échec de l’activation de MNE :
- Connectez-vous à l’aide d’un compte d’administrateur local, puis redémarrez le système et, lorsque vous y êtes invité, FileVault.
- Pour terminer la FileVault activation, entrez le mot de passe administrateur.
- Connectez-vous à nouveau avec un compte d’administrateur et accédez à la page System Preferences, Security & Privacy, FileVault.
- Cliquez sur le cadenas et entrez les informations d’identification.
- Cliquez sur Activer les utilisateurs en regard de l’avertissement "Some users are not able to unlock the disk."
- Cliquez sur Activer l’utilisateur pour chaque Active Directory utilisateur et entrez le Active Directory mot de passe de l’utilisateur.
- Pour ajouter l’utilisateur au Journal Pre-boot sur le terminal, procédez comme suit :
- Pour les systèmes HFS, saisissez : sudo fdesetup sync
- Pour les systèmes APFS, saisissez : diskutil apfs updatepreboot
Veuillez Où le diskid> est l’identificateur du volume système
- Pour autoriser l' Active Directory utilisateur pour se connecter, redémarrez le système.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|