Apple BusinessでFileVault構成を作成する
FileVaultは、すべての保存データを保護する組み込みの暗号化機能です。FileVaultの使用を適用すると、Mac上の情報を保護できます。
FileVaultは、Mac上のデータを暗号化し、未承認のユーザーがユーザーのパスワードなしに情報にアクセスできないようにします。ユーザーがパスワードを忘れた、あるいはパスワードを使用できないがMacにアクセスする必要がある場合は、ユーザーのパスワードの代わりに復旧キーと呼ばれる特別なキーを使用することができます。FileVault構成をMacコンピュータに適用する前に、各Macに格納する復旧キーを暗号化するために使用する証明書をアップロードする必要があります。暗号化された復旧キーはApple Businessに格納され、組織管理者の役割を持つユーザーがアクセスできます。
MacでFileVaultを有効にすると、起動プロセス中にユーザーの資格情報が要求されます。FileVaultは、Macコンピュータのハードウェアセキュリティと併せて、次の4つの主な目標を達成するように設計されています。
暗号解除にユーザーのパスワードを要求します
Macから取り外されたストレージメディアに対する直接の総当り(ブルートフォース)攻撃からオペレーティングシステムを保護します
必要な暗号素材を削除することでコンテンツをワイプする迅速で安全な方法を提供します
ボリューム全体の再暗号化を必要とせずに、ユーザーがパスワード(ひいては自分のファイルを保護するために使用される暗号化キー)を変更できるようにします
Apple Businessは、非対称暗号化を使用して、FileVaultの復旧キーの秘密性を確保し、ユーザーが生成する暗号化証明書を使用して各デバイスの復旧キーを暗号化しています。証明書を生成したら、Apple Businessにアップロードする必要があります。
暗号化証明書とその秘密鍵は一対のペアです。新しい暗号化証明書を生成する場合、その証明書で暗号化した復旧キーの暗号を解除できるのは、証明書と同時に生成された秘密鍵のみとなります。Apple Businessに格納されている復旧キーにアクセスする必要がある他の組織管理者がチームにいる場合は、パスワードマネージャーを使用して、その復旧キーの暗号解除に必要な秘密鍵を安全に保管し、共有することを推奨します。新しいペアを生成しその暗号化証明書をアップロードすると、以前のペアは新しい復旧キーの暗号化に使用されなくなります。ただし、以前の秘密鍵は、その対になっている証明書で暗号化された復旧キーを暗号解除するために引き続き必要です。
注記: 以下のタスクによって暗号化証明書を作成するのではなく、独自の暗号化証明書を作成する場合、ファイルは、2048ビット以上のRSAパブリックキーを使用したPEMエンコードの証明書にする必要があります。
暗号化証明書を作成する
生成された名前に含まれるIDは同一のため、どの秘密鍵がどの証明書と対になっているかを識別することができます。
注記: 複数の証明書を生成できます。
Macでターミナルアプリ
を起動し、以下のテキストをペーストして、Returnキーを押します。(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)これらのコマンドにより、「書類」フォルダに2つのファイルが生成されます。それを開き、次の内容が含まれていることを確認します。
暗号化証明書:
FileVaultKeyEncryptionCert_[id].pemという名前のファイル内にあります。RSA秘密鍵:
FileVaultKeyEncryptionPrivateKey_[id].pemという名前のファイル内にあります。
重要: 各RSA秘密鍵を安全に保管してください。秘密鍵ファイルを紛失すると、その証明書によって暗号化された復旧キーを暗号解除できなくなります。そのため、ユーザーがパスワードをなくした場合に、対応するデバイスのロックをそれらの復旧キーを使用して解除することができません。
暗号化証明書をアップロードする
暗号化証明書を置き換える
1つのデバイスに対してFileVault復旧キーをダウンロードする
セキュリティを堅固にするため、FileVault復旧キーはApple Businessに表示されないようになっています。復旧キーを確認するには、まず暗号化された復旧キーをダウンロードする必要があります。
FileVaultで暗号化された復旧キーを1台のデバイスに対してApple Business経由でダウンロードするには、次のようにします。
Apple Businessで、組織管理者の役割を持つユーザーとしてサインインします。
必要に応じて、検索フィールドでデバイスを検索します。「検索する方法」を参照してください。
デバイスを選択し、「FileVault」セクションまでスクロールして、「キーをダウンロードする」を選択します。
FileVaultRecoveryKeysEncrypted.csvという名前のカンマ区切り(.csv)ファイルがコンピュータにダウンロードされます。これには、暗号化されたキーと、それに対応するデバイス、暗号化証明書が含まれています。注記: Apple BusinessでFileVaultが割り当てられる前に、デバイスがFileVaultですでに暗号化されている場合、復旧キーがローテーションされるまで、デバイスのページに復旧キーは表示されません。
復旧キーをローテーションして表示する
Apple Businessで、組織管理者の役割を持つユーザーとしてサインインします。
Macでターミナルアプリ
を起動し、以下をペーストします。sudo /usr/bin/fdesetup changerecovery -personal求められたら、ローカルでサインインしている管理者のパスワードを入力し、コマンドを実行します(パスワードは非表示になります)。
再度求められたら、ローカルでサインインしている管理者のユーザー名とパスワードを再度入力します。
プロセスが完了すると、Apple Businessで利用できる新しい復旧キーをMacで取得できます。
すべてのデバイスに対してFileVault復旧キーをダウンロードする
FileVault復旧キーを確認する
ダウンロードしたカンマ区切り(.csv)ファイルからFileVault復旧キーを暗号解除すると、FileVault復旧キーを確認できます。
FileVaultRecoveryKeysEncrypted.csvを開きます。復旧キーが必要なデバイスのシリアル番号が記載された行を見つけます。その行の2番目のセル(「暗号化されたFileVault復旧キー」という名前の列)をコピーします。セルには、ランダムなテキストに見える文字列が含まれています。
TextEditを開き、新しいプレーンテキストファイルを作成します。
TextEditのデフォルトがリッチテキストファイルになっている場合は、Shift+Command+Tを押す必要がある場合があります。上の作業でコピーしたセルを貼り付けて、暗号化証明書と対になっている秘密鍵が含まれているフォルダにファイルを保存します。
Macでターミナルアプリ
を起動し、新しいテキストファイルと秘密鍵が含まれるフォルダに移動して、以下のコマンドをペーストします。YourTextFileとYourPrivateKeyを、それぞれ固有のファイル名に置き換えて、Returnキーを押します。base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txt暗号解除された復旧キーが、秘密鍵と同じフォルダにある
FileVaultRecoveryKey.txtという名前のファイルに書き込まれます。