この記事はアーカイブ済みで、これ以上更新されることはありません。

Intel 搭載の Mac で所属団体の復旧キーを使う方法

所属団体の復旧キー (IRK) を作成して、FileVault で暗号化された Intel 搭載の Mac コンピュータのロックを解除し、データを復旧する方法をご案内します。

この記事では、所属団体の復旧キー (IRK) を作成して、FileVault で暗号化された Intel 搭載モデルの Mac のロックを解除するという、従来の方法を紹介しています。Apple シリコンを搭載した Mac や Intel 搭載 Mac で MDM を利用している場合は、IRK を使う代わりに、復旧キーをサーバにエスクロー (共託) することができます。

FileVault で暗号化されたデータにユーザがパスワードでアクセスできなくなった場合も、復旧キーを使えば再びアクセスできるようになります。Intel 搭載の Mac コンピュータでは、所属団体の復旧キーを使って、FileVault で暗号化された Mac コンピュータのロックを解除し、ターゲットディスクモードを使ってデータを復旧できます。

FileVault マスターキーチェーンを作成する

  1. Mac でターミナル App を開いて、以下のコマンドを入力します。

    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain

  2. プロンプトが表示されたら、新しいキーチェーンのマスターパスワードを入力し、再入力のプロンプトが表示されたら、もう一度入力します。入力する際、ターミナルの画面にパスワードは表示されません。

  3. キーのペアが生成され、「FileVaultMaster.keychain」というファイルがデスクトップに保存されます。このファイルを安全な場所 (外付けドライブ上の暗号化したディスクイメージなど) にコピーします。この安全なコピーが復旧キー (秘密鍵) となります。該当する FileVault マスターキーチェーンを使うように設定された Intel 搭載の Mac ならどれでも、この復旧キーを使って起動ディスクのロックを解除できます。これは配布用ではありません。

次のセクションで、まだデスクトップ上にある「FileVaultMaster.keychain」ファイルをアップデートします。このアップデート後のキーチェーンを組織内の Mac コンピュータに配布できます。

マスターキーチェーンから秘密鍵を削除する

FileVault マスターキーチェーンを作成した後、以下の手順にそって、そのコピーを配布できるように準備します。

  1. デスクトップ上の「FileVaultMaster.keychain」ファイルをダブルクリックします。キーチェーンアクセス App が開きます。

  2. キーチェーンアクセスのサイドバーで、「FileVaultMaster」を選択します。

  3. 「FileVaultMaster」キーチェーンがロックされている場合は、メニューバーから「ファイル」>「キーチェーン "FileVaultMaster" のロックを解除」の順に選択し、作成したマスターパスワードを入力します。

  4. 右側に表示されている 2 つの項目のうち、「種類」列に「秘密鍵」と表示されている方を選択します。

    Keychain Access, showing the private FileVault Master Password Key selected

  5. 秘密鍵を削除します。メニューバーから「編集」>「削除」の順に選択し、キーチェーンのマスターパスワードを入力し、確認を求められたら「削除」をクリックします。

  6. キーチェーンアクセスを終了します。

デスクトップ上のマスターキーチェーンには、もう秘密鍵が入っていないため、これを配布できます。

アップデートしたマスターキーチェーンを各 Mac に配布する

キーチェーンから秘密鍵を削除したら、秘密鍵でロックを解除できるようにする各 Intel 搭載 Mac で、以下の手順を実行してください。

  1. アップデートした「FileVaultMaster.keychain」ファイルのコピーを「/ライブラリ/Keychains/」フォルダに置きます。

  2. ターミナル App を開いて、以下のコマンドを両方とも入力します。これらのコマンドで、ファイルのアクセス権が-rw-r--r-- and the file is owned by root and assigned to the group named wheel.

    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain

    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain

  3. FileVault がすでに有効になっている場合は、ターミナルで以下のコマンドを入力します。

    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain

  4. FileVault が無効になっている場合は、システム環境設定の「セキュリティとプライバシー」パネルを開いて、FileVault を有効にします。「復旧キーが、勤務先、所属学校、所属団体により設定されました」というメッセージが表示されるはずです。「続ける」をクリックします。

    Security & Privacy preferences, showing the Recovery Key message

これで手続きは終わりです。ユーザが各自の macOS ユーザアカウントのパスワードを忘れてしまい、Mac にログインできなくなっても、秘密鍵を使ってディスクのロックを解除してあげられます。

秘密鍵を使ってユーザの起動ディスクのロックを解除する

  1. ロックを解除したい Mac で、「T」キーを押しながらコンピュータの電源を入れます。

  2. Thunderbolt のロゴが表示されたら、「T」キーから指を放します。

  3. Mac を Thunderbolt 3 (USB-C) ケーブルで別の Mac (ホスト) に接続します。

  4. ディスクのロックを解除するためのパスワードの入力画面が表示されたら、「キャンセル」をクリックします。

  5. ホストの Mac で、復旧キー (秘密鍵) が入っている外付けドライブを接続します。

  6. 暗号化したディスクイメージに復旧キー (秘密鍵) を保存している場合は、ファイルをダブルクリックしてイメージをマウントし、パスワードを求められたら入力します。

  7. ロックを解除したいディスク上の起動ディスクの名前 (「Macintosh HD」など) がわからない場合は、ディスクユーティリティを開いて、サイドバーでそのボリュームの名前を確認します。次の手順で、この情報が必要になります。

  8. diskutil ap unlockVolume "name" -recoveryKeychain /path

    • Example for a startup volume named Macintosh HD and a recovery-key volume named ThumbDrive:

    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  9. マスターパスワードを入力して、起動ディスクのロックを解除します。パスワードが受け入れられると、ボリュームがマウントされ、デスクトップに表示されます。

公開日: