企業、学校、団体等のコンピュータに FileVault 復旧キーを設定する

IRK (Institutional Recovery Key) を使えば、管理下のユーザが各自の Mac のログインパスワードを忘れてしまった場合でも、FileVault で暗号化されたユーザデータを復旧できます。

以下に紹介する手順は、システム管理者や、コマンドラインの扱いに習熟した方を対象とした高度な内容となっています。

FileVault マスターキーチェーンを作成する

  1. Mac でターミナル App を開いて、以下のコマンドを入力します。
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. プロンプトが表示されたら、新しいキーチェーンのマスターパスワードを入力し、再入力のプロンプトが表示されたら、もう一度入力します。入力する際、ターミナルの画面にパスワードは表示されません。
  3. キーのペアが生成され、「FileVaultMaster.keychain」というファイルがデスクトップに保存されます。このファイルを安全な場所 (外付けドライブ上の暗号化したディスクイメージなど) にコピーします。この安全なコピーが復旧キー (秘密鍵) となります。該当する FileVault マスターキーチェーンを使うように設定された Mac ならどれでも、この復旧キーを使って起動ディスクのロックを解除できます。これは配布用ではありません。

次のセクションで、まだデスクトップ上にある「FileVaultMaster.keychain」ファイルをアップデートします。このアップデート後のキーチェーンを組織内の Mac コンピュータに配布できます。

マスターキーチェーンから秘密鍵を削除する

FileVault マスターキーチェーンを作成した後、以下の手順にそって、そのコピーを配布できるように準備します。

  1. デスクトップ上の「FileVaultMaster.keychain」ファイルをダブルクリックします。キーチェーンアクセス App が開きます。
  2. キーチェーンアクセスのサイドバーで、「FileVaultMaster」を選択します。右側のリストに項目が 3 個以上表示される場合は、サイドバーで別のキーチェーンを選択してから「FileVaultMaster」をもう一度選択して、リストを更新してください。
  3. 「FileVaultMaster」キーチェーンがロックされている場合は、キーチェーンアクセスの左上隅にある をクリックし、作成したマスターパスワードを入力します。
  4. 右側に表示されている 2 つの項目のうち、「種類」列に「秘密鍵」と表示されている方を選択します。
    キーチェーンアクセスで、「FileVault Master Password Key」秘密鍵が選択されているところ
  5. 秘密鍵を削除します。メニューバーから「編集」>「削除」の順に選択し、キーチェーンのマスターパスワードを入力し、確認を求められたら「削除」をクリックします。
  6. キーチェーンアクセスを終了します。

デスクトップ上のマスターキーチェーンには、もう秘密鍵が入っていないため、これを配布できます。

アップデートしたマスターキーチェーンを各 Mac に配布する

キーチェーンから秘密鍵を削除したら、秘密鍵でロックを解除できるようにする各 Mac で、以下の手順を実行してください。

  1. アップデートした「FileVaultMaster.keychain」ファイルのコピーを「/ライブラリ/Keychains/」フォルダに置きます。
  2. ターミナル App を開いて、以下のコマンドを両方とも入力します。これらのコマンドで、ファイルのアクセス権が -rw-r--r-- に設定され、ファイルの所有者が root になり、wheel というグループに割り当てられます。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. FileVault がすでに有効になっている場合は、ターミナルで以下のコマンドを入力します。
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. FileVault が無効になっている場合は、システム環境設定の「セキュリティとプライバシー」パネルを開いて、FileVault を有効にします。「復旧キーが、勤務先、所属学校、所属団体により設定されました」というメッセージが表示されるはずです。「続ける」をクリックします。
    システム環境設定の「セキュリティとプライバシー」パネルに復旧キーのメッセージが表示されているところ

これで手続きは終わりです。ユーザが各自の macOS ユーザアカウントのパスワードを忘れてしまい、Mac にログインできなくなっても、秘密鍵を使ってディスクのロックを解除してあげられます。

 

秘密鍵を使ってユーザの起動ディスクのロックを解除する

ユーザがアカウントのパスワードを忘れてしまい、各自の Mac にログインできなくなった場合は、復旧キー (秘密鍵) を使って起動ディスクのロックを解除し、FileVault で暗号化されたデータにアクセスできるようにすることができます。

  1. 該当するクライアント Mac で、起動中に「command + R」キーを押して、macOS 復元から起動します。
  2. 起動ディスクの名前 (「Macintosh HD」など) やフォーマットがわからない場合は、「macOS ユーティリティ」ウインドウからディスクユーティリティを開いて、ディスクユーティリティの右側に表示される該当ボリュームの情報を確認します。「APFS ボリューム」や「Mac OS 拡張」ではなく「CoreStorage 論理ボリュームグループ」と表示される場合、フォーマットは「Mac OS 拡張」です。この後の手順で、この情報が必要になります。終わったら、ディスクユーティリティを終了します。
  3. 復旧キー (秘密鍵) が入っている外付けドライブを接続します。
  4. macOS 復元のメニューバーから、「ユーティリティ」>「ターミナル」の順に選択します。
  5. 復旧キー (秘密鍵) が暗号化したディスクイメージに保存されている場合は、ターミナルで以下のコマンドを使ってそのイメージをマウントします。「 /path」の部分は、ディスクイメージのパスに置き換えます。ファイル名拡張子の「.dmg」も含めてください。
    hdiutil attach /path
    
    「ThumbDrive」という名前のボリュームに「PrivateKey.dmg」という名前のディスクイメージがある場合の例:
    hdiutil attach /Volumes/ThumbDrive/PrivateKey.dmg
  6. 以下のコマンドを使って、FileVault マスターキーチェーンのロックを解除します。「/path」の部分は、外付けドライブ上の「FileVaultMaster.keychain」へのパスに置き換えます。この手順と残りのすべての手順で、暗号化されたディスクイメージにキーチェーンが保存されている場合は、そのイメージの名前をパスに含めるようにしてください。
    security unlock-keychain /path
    
    ボリュームの名前が「ThumbDrive」の場合の例:
    security unlock-keychain /Volumes/ThumbDrive/FileVaultMaster.keychain

  7. マスターパスワードを入力して、起動ディスクのロックを解除します。パスワードが受け入れられると、コマンドプロンプトが返されます。

ユーザの起動ディスクのフォーマット方法に応じて、以下の該当する説明にそって進めてください。

APFS

起動ディスクが APFS でフォーマットされている場合は、以下の手順を追加で行ってください。

  1. 以下のコマンドを入力して、暗号化された起動ディスクのロックを解除します。"name" の部分は、起動ボリュームの名前に置き換えます。また、「/path」の部分は、外付けドライブまたはディスクイメージ上の「FileVaultMaster.keychain」へのパスに置き換えてください。
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    
    起動ボリュームの名前が「Macintosh HD」で、復旧キーのボリュームの名前が「ThumbDrive」の場合の例:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  2. マスターパスワードを入力して、キーチェーンのロックを解除し、起動ディスクをマウントします。
  3. ditto などのコマンドラインツールを使って、ディスク上のデータをバックアップするか、ターミナルを終了してディスクユーティリティを使います。

Mac OS 拡張 (HFS+)

起動ディスクが Mac OS 拡張でフォーマットされている場合は、以下の手順を追加で行ってください。

  1. 以下のコマンドを入力し、ドライブと CoreStorage ボリュームのリストを取得します。
    diskutil cs list
    
  2. 「Logical Volume」の後に表示される UUID を選択し、後の手順で使えるようにコピーしておきます。
    例:+-> Logical Volume 2F227AED-1398-42F8-804D-882199ABA66B
  3. 以下のコマンドを使って、暗号化された起動ディスクのロックを解除します。「UUID」の部分は、1 つ前の手順でコピーした UUID に置き換えます。また、「/path」の部分は、外付けドライブまたはディスクイメージ上の「FileVaultMaster.keychain」へのパスに置き換えてください。
    diskutil cs unlockVolume UUID -recoveryKeychain /path
    
    復旧キーのボリュームの名前が「ThumbDrive」の場合の例:
    diskutil cs unlockVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  4. マスターパスワードを入力して、キーチェーンのロックを解除し、起動ディスクをマウントします。
  5. ditto などのコマンドラインツールを使って、ディスク上のデータをバックアップするか、ターミナルを終了してディスクユーティリティを使います。または、以下のコマンドを使って、ロックを解除したディスクを復号化し、そのディスクから起動してください。
    diskutil cs decryptVolume UUID -recoveryKeychain /path
    
    復旧キーのボリュームの名前が「ThumbDrive」の場合の例:
    diskutil cs decryptVolume 2F227AED-1398-42F8-804D-882199ABA66B -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
公開日: Thu Aug 02 17:31:22 GMT 2018