Intel 搭載の Mac で所属団体の復旧キーを使う方法

所属団体の復旧キー (IRK) を作成して、FileVault で暗号化された Intel 搭載の Mac コンピュータのロックを解除し、データを復旧する方法をご案内します。

この記事では、所属団体の復旧キー (IRK) を作成して、FileVault で暗号化された Intel 搭載モデルの Mac のロックを解除するという、従来の方法を紹介しています。Mac が Apple シリコンを搭載している場合や、Intel 搭載 Mac で MDM を利用している場合は、IRK を使う代わりに、復旧キーをサーバにエスクロー (共託) することができます。

FileVault で暗号化されたデータにユーザがパスワードでアクセスできなくなった場合も、復旧キーを使えば再びアクセスできるようになります。Intel 搭載の Mac コンピュータでは、所属団体の復旧キーを使って、FileVault で暗号化された Mac コンピュータのロックを解除し、ターゲットディスクモードを使ってデータを復旧できます。

FileVault マスターキーチェーンを作成する

  1. Mac でターミナル App を開いて、以下のコマンドを入力します。
    security create-filevaultmaster-keychain ~/Desktop/FileVaultMaster.keychain
    
  2. プロンプトが表示されたら、新しいキーチェーンのマスターパスワードを入力し、再入力のプロンプトが表示されたら、もう一度入力します。入力する際、ターミナルの画面にパスワードは表示されません。
  3. キーのペアが生成され、「FileVaultMaster.keychain」というファイルがデスクトップに保存されます。このファイルを安全な場所 (外付けドライブ上の暗号化したディスクイメージなど) にコピーします。この安全なコピーが復旧キー (秘密鍵) となります。該当する FileVault マスターキーチェーンを使うように設定された Intel 搭載の Mac ならどれでも、この復旧キーを使って起動ディスクのロックを解除できます。これは配布用ではありません。 

次のセクションで、まだデスクトップ上にある「FileVaultMaster.keychain」ファイルをアップデートします。このアップデート後のキーチェーンを組織内の Mac コンピュータに配布できます。


マスターキーチェーンから秘密鍵を削除する

FileVault マスターキーチェーンを作成した後、以下の手順にそって、そのコピーを配布できるように準備します。

  1. デスクトップ上の「FileVaultMaster.keychain」ファイルをダブルクリックします。キーチェーンアクセス App が開きます。
  2. キーチェーンアクセスのサイドバーで、「FileVaultMaster」を選択します。
  3. 「FileVaultMaster」キーチェーンがロックされている場合は、メニューバーから「ファイル」>「キーチェーン "FileVaultMaster" のロックを解除」の順に選択し、作成したマスターパスワードを入力します。
  4. 右側に表示されている 2 つの項目のうち、「種類」列に「秘密鍵」と表示されている方を選択します。
    キーチェーンアクセスで、「FileVault Master Password Key」秘密鍵が選択されているところ
  5. 秘密鍵を削除します。メニューバーから「編集」>「削除」の順に選択し、キーチェーンのマスターパスワードを入力し、確認を求められたら「削除」をクリックします。
  6. キーチェーンアクセスを終了します。

デスクトップ上のマスターキーチェーンには、もう秘密鍵が入っていないため、これを配布できます。


アップデートしたマスターキーチェーンを各 Mac に配布する

キーチェーンから秘密鍵を削除したら、秘密鍵でロックを解除できるようにする各 Intel 搭載 Mac で、以下の手順を実行してください。

  1. アップデートした「FileVaultMaster.keychain」ファイルのコピーを「/ライブラリ/Keychains/」フォルダに置きます。
  2. ターミナル App を開いて、以下のコマンドを両方とも入力します。これらのコマンドで、ファイルのアクセス権が -rw-r--r-- に設定され、ファイルの所有者が root になり、wheel というグループに割り当てられます。
    sudo chown root:wheel /Library/Keychains/FileVaultMaster.keychain
    
    sudo chmod 644 /Library/Keychains/FileVaultMaster.keychain
    
  3. FileVault がすでに有効になっている場合は、ターミナルで以下のコマンドを入力します。
    sudo fdesetup changerecovery -institutional -keychain /Library/Keychains/FileVaultMaster.keychain
    
  4. FileVault が無効になっている場合は、システム環境設定の「セキュリティとプライバシー」パネルを開いて、FileVault を有効にします。「復旧キーが、勤務先、所属学校、所属団体により設定されました」というメッセージが表示されるはずです。「続ける」をクリックします。
    システム環境設定の「セキュリティとプライバシー」パネルに復旧キーのメッセージが表示されているところ

これで手続きは終わりです。ユーザが各自の macOS ユーザアカウントのパスワードを忘れてしまい、Mac にログインできなくなっても、秘密鍵を使ってディスクのロックを解除してあげられます。


秘密鍵を使ってユーザの起動ディスクのロックを解除する

  1. ロックを解除したい Mac で、「T」キーを押しながらコンピュータの電源を入れます。
  2. Thunderbolt のロゴが表示されたら、「T」キーから指を放します。 
  3. Mac を Thunderbolt 3 (USB-C) ケーブルで別の Mac (ホスト) に接続します。
  4. ディスクのロックを解除するためのパスワードの入力画面が表示されたら、「キャンセル」をクリックします。
  5. ホストの Mac で、復旧キー (秘密鍵) が入っている外付けドライブを接続します。
  6. 暗号化したディスクイメージに復旧キー (秘密鍵) を保存している場合は、ファイルをダブルクリックしてイメージをマウントし、パスワードを求められたら入力します。
  7. ロックを解除したいディスク上の起動ディスクの名前 (「Macintosh HD」など) がわからない場合は、ディスクユーティリティを開いて、サイドバーでそのボリュームの名前を確認します。次の手順で、この情報が必要になります。
  8. ターミナルを開いて、以下のコマンドを入力し、暗号化された起動ディスクのロックを解除します。"name" の部分は起動ボリュームの名前に置き換えます。/path の部分は、外付けドライブまたはディスクイメージ上の「FileVaultMaster.keychain」へのパスに置き換えてください。
    diskutil ap unlockVolume "name" -recoveryKeychain /path
    起動ボリュームの名前が「Macintosh HD」で、復旧キーのボリュームの名前が「ThumbDrive」の場合の例:
    diskutil ap unlockVolume "Macintosh HD" -recoveryKeychain /Volumes/ThumbDrive/FileVaultMaster.keychain
  9. マスターパスワードを入力して、起動ディスクのロックを解除します。パスワードが受け入れられると、ボリュームがマウントされ、デスクトップに表示されます。
公開日: