モバイルデバイス管理でFileVaultを管理する
FileVaultでのディスク全体の暗号化は、MDM(モバイルデバイス管理)ソリューションを使って組織で管理できます。一部の高度な導入や構成では、fdesetupコマンドラインツールも使用できます。MDMを使用してFileVaultを管理することを「有効化の延期」といいます。これにはユーザによるログアウトまたはログインイベントが必要です。MDMでは次のようなオプションをカスタマイズできます:
ユーザがFileVaultの有効化を延期できる回数
ログイン時にユーザにプロンプトを表示するだけでなく、ログアウト時にユーザにプロンプトを表示するかどうか
復旧キーをユーザに表示するかどうか
MDMソリューションへのエスクロー用復旧キーを非対称的に暗号化するために使用される証明書
ユーザがAPFSボリューム上のストレージのロックを解除できるようにするには、ユーザがセキュアトークンを付与されている必要があり、Appleシリコン搭載のMacの場合はボリューム所有者でもある必要があります。セキュアトークンおよびボリューム所有権について詳しくは、導入時にセキュアトークン、ブートストラップトークン、およびボリューム所有権を使用するを参照してください。特定のワークフローでユーザにセキュアトークンを付与する方法とタイミングについての情報を以下に示します。
設定アシスタントでFileVaultを適用する
ForceEnableInSetupAssistant鍵を使用することで、Macコンピュータは設定アシスタントでFileVaultをオンにすることを必須にできます。これにより、管理対象Macコンピュータの内部ストレージが使用前に必ず暗号化されることが保証されます。組織は、FileVault復旧キーをユーザに表示するかまたはパーソナル復旧キーをエスクローするかを決定できます。この機能を使用するには、await_device_configuredが設定されている必要があります。
注記: macOS 14.4より前でこの機能を使用するには、設定アシスタントでインタラクティブに作成されたユーザアカウントが管理者ロールを持っている必要があります。
ユーザが自分でMacを設定する場合
ユーザが自分でMacを設定する場合、IT部門は実際のデバイスではプロビジョニングタスクを実行しません。すべてのポリシーと構成がMDMソリューションまたは構成管理ツールを使用して提供されます。設定アシスタントは、初期のローカルアカウントを作成するために使用され、このユーザにセキュアトークンが付与されます。MDMソリューションがブートストラップトークン機能をサポートしていて、そのことをMDM登録時にMacに通知すると、ブートストラップトークンがMacによって生成され、MDMソリューションにエスクローされます。
MacがMDMソリューションに登録されている場合、初期アカウントはローカル管理者アカウントではなく、標準のローカル・ユーザ・アカウントである可能性があります。MDMを使用してユーザが標準ユーザにダウングレードされると、そのユーザにセキュアトークンが自動的に付与されます。ユーザがダウングレードされると、macOS 10.15.4以降では、MDMソリューションがブートストラップトークン機能に対応している場合、ブートストラップトークンが自動的に生成されてMDMソリューションにエスクローされます。
MDMを使用して設定アシスタントでローカル・ユーザ・アカウントの作成が完全にスキップされ、代わりにモバイルアカウントでディレクトリサービスが使用される場合、モバイル・アカウント・ユーザにログイン時にセキュアトークンが付与されます。モバイルアカウントを使用すると、ユーザのセキュアトークンが有効になったあとに、macOS 10.15.4以降では、MDMソリューションがブートストラップトークン機能に対応している場合、ユーザの2回目のログイン時にブートストラップトークンが自動的に生成されてMDMソリューションにエスクローされます。
上記のシナリオのいずれでも、最初かつプライマリのユーザにセキュアトークンが付与されるため、有効化の延期を使用してこれらのユーザに対してFileVaultを有効にすることができます。有効化の延期を使用すると組織によってFileVaultをオンにできますが、有効化はユーザがMacにログインするか、Macからログアウトするまで延期されます。ユーザがFileVaultをオンにすることを(オプションで定義された回数)スキップできるかどうかをカスタマイズすることもできます。最終的に、Macのプライマリユーザ(何らかの種類のローカルユーザかモバイルアカウントかに関係なく)は、ストレージデバイスがFileVaultで暗号化されているときにディスクのロックを解除できます。
ブートストラップトークンが生成されてMDMソリューションへエスクローされたMacコンピュータで、そのあと別のユーザがMacにログインする場合は、ブートストラップトークンが使用されてセキュアトークンが自動的に付与されます。つまり、このアカウントに対してFileVaultを有効にし、FileVaultボリュームのロックを解除できます。ユーザがストレージデバイスのロックを解除できないようにするには、fdesetup remove -userを使用します。
Macが組織によってプロビジョニングされる場合
Macが組織によってプロビジョニングされてからユーザに配付される場合、IT部門はデバイスを設定します。設定アシスタントで作成された、またはMDMを使用してプロビジョニングされたローカル管理者アカウントは、Macのプロビジョニングまたは設定に使用され、ログイン時に最初のセキュアトークンが付与されます。MDMソリューションがブートストラップトークン機能に対応している場合は、ブートストラップトークンも生成され、MDMソリューションにエスクローされます。
Macがディレクトリサービスに登録されていて、モバイルアカウントを作成するように構成されている場合、およびブートストラップトークンが存在しない場合、ディレクトリ・サービス・ユーザは、初めてログインするときに、自分のアカウントに対してセキュアトークンを付与するために既存のセキュアトークン管理者のユーザ名とパスワードの入力を求められます。現在セキュアトークンが有効になっているローカル管理者の資格情報を入力する必要があります。セキュアトークンが不要な場合、ユーザは「スキップ」をクリックできます。macOS 10.13.5以降では、FileVaultがモバイルアカウントで使用される予定がない場合はセキュアトークンのダイアログを完全に非表示にできます。セキュアトークンのダイアログを非表示にするには、以下のキーと値を使用して、MDMソリューションからカスタム設定構成プロファイルを適用します:
設定 | 値 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ドメイン | com.apple.MCX | ||||||||||
キー | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
値 | True | ||||||||||
MDMソリューションがブートストラップトークン機能に対応していて、ブートストラップトークンがMacによって生成されてMDMソリューションにエスクローされた場合、モバイルアカウントユーザにこのプロンプトは表示されません。代わりに、それらのユーザにはログイン中にセキュアトークンが自動的に付与されます。
ディレクトリサービスにあるユーザアカウントを使用せず、Macにローカルユーザを追加する必要がある場合は、現在セキュアトークンが有効になっている管理者が「ユーザとグループ」(macOS 13以降の場合は「システム設定」、macOS 12.0.1以前の場合は「システム環境設定」内)で追加のローカルユーザを作成したときに、それらのユーザのセキュアトークンが自動的に許可されます。コマンドラインを使ってローカルユーザを作成する場合は、sysadminctlコマンドラインツールを使用でき、オプションでセキュアトークンを有効にすることができます。作成時にセキュアトークンが付与されていない場合でも、macOS 11以降では、ブートストラップトークンがMDMソリューションから使用可能な場合、Macにログインするローカルユーザにはログイン時にセキュアトークンが付与されます。
これらのシナリオでは、以下のユーザはFileVaultで暗号化されているボリュームのロックを解除できます:
プロビジョニングに使用された元のローカル管理者
ログイン処理中にセキュアトークンを付与された追加のディレクトリサービスユーザ。ダイアログプロンプトを使用して対話的に、またはブートストラップトークンを使用して自動的に実行できます
新規ローカルユーザ
ユーザがストレージデバイスのロックを解除できないようにするには、fdesetup remove -userを使用します。
上記のワークフローのいずれかを使用する場合、セキュアトークンはmacOSによって管理されるため、追加の構成やスクリプティングは必要ありません。これは実装上の細部であり、積極的な管理または操作が必要になることはありません。
fdesetupコマンドラインツール
MDMの構成またはfdesetupコマンドラインツールを使って、FileVaultを構成できます。macOS 10.15以降では、ユーザ名およびパスワードを指定してfdesetupを使ってFileVaultをオンにする方法は非推奨になり、将来のリリースで認識されなくなります。このコマンドは引き続き機能しますが、macOS 11およびmacOS 12.0.1では非推奨のままになります。代わりに、MDMで有効化の延期を使用することを検討してください。fdesetupコマンドラインツールについて詳しくは、ターミナルアプリを起動してman fdesetupまたはfdesetup helpと入力してください。
所属団体の復旧キーとパーソナル復旧キー
CoreStorageボリュームおよびAPFSボリューム上のFileVaultは、どちらも所属団体の復旧キー(IRK。以前はFileVaultマスターアイデンティティと呼ばれていました)によるボリュームのロック解除をサポートしています。IRKはボリュームのロックを解除するかFileVaultを完全に無効にするコマンドライン操作のために便利ですが、特に最近のバージョンのmacOSでは、組織にとっての有用性は限られます。また、Appleシリコンを搭載したMacでは、IRKは主に2つの理由で機能的な価値を提供しません: まず、IRKを使用してrecoveryOSにアクセスすることはできません。次に、ターゲットディスクモードが対応されなくなったため、ボリュームを別のMacに接続してロックを解除することはできません。これらやその他の理由により、Macコンピュータ上のFileVaultを所属団体で管理する場合にIRKを使用することは推奨されなくなりました。代わりに、パーソナル復旧キー(PRK)を使用してください。PRKによって以下の機能が提供されます:
復旧およびオペレーティングシステムへのアクセスの非常に堅牢なメカニズム
ボリュームごとの一意の暗号化
MDMへのエスクロー
使用後の容易なキーローテーション
PRKは、recoveryOSで使用するか、暗号化されたMacを直接macOSで起動する(Appleシリコンを搭載したMacではmacOS 12.0.1以降が必要です)ために使用できます。recoveryOSでは、PRKは復旧アシスタントによって求められるか「すべてのパスワードをお忘れですか」オプションが指定されている場合に、復旧環境にアクセスするために使用できます。この場合、ボリュームのロックも解除されます。「すべてのパスワードをお忘れですか」オプションを使用する場合は、ユーザがパスワードをリセットする必要はありません。終了ボタンをクリックすると、recoveryOSで直接起動できます。Intelプロセッサを搭載したMacでmacOSを直接起動するには、パスワードフィールドの横にある疑問符をクリックし、「復旧パスワードを使ってリセットできます」オプションを選択します。PRKを入力してから、Returnキーを押すか矢印をクリックします。macOSが起動したら、パスワード変更ダイアログの「キャンセル」を押します。Appleシリコンを搭載しmacOS 12.0.1以降を使用しているMacでは、Option + Shift + Returnキーを押してPRKの入力フィールドを表示してから、Returnキーを押すか矢印をクリックすると、macOSが起動します。
PRKは、暗号化されたボリュームごとに存続期間全体を通じて1つのみ存在し、MDMからFileVaultを有効にする際にPRKをユーザに対して非表示にできます。MDMにエスクローするように構成すると、MDMは公開鍵を証明書の形でMacに提供します。これは、CMSエンベロープ形式でPRKを非対称に暗号化するために使用されます。暗号化されたPRKはセキュリティ情報のクエリーでMDMに返されます。そのあと、組織が表示するために暗号解除できます。暗号化が非対称なため、MDM自体はPRKの暗号解除はできません(したがって管理者による追加の手順が必要です)。ただし、多くのMDMベンダーはこれらの鍵を管理して製品で直接表示できるようにするオプションを提供しています。MDMは、ボリュームのロックを解除するためにPRKが使用されたあとなどに強力なセキュリティ態勢を保持するため、オプションで必要な回数だけPRKのローテーションを実行できます。
Appleシリコンを搭載していないMacコンピュータでは、ターゲットディスクモードでPRKを使ってボリュームのロックを解除できます:
1. ターゲットディスクモードのMacを、同じバージョンまたはより新しいバージョンのmacOSを搭載している別のMacに接続します。
2. 「ターミナル」を開いて以下のコマンドを実行し、ボリュームの名前を探します(通常は「Macintosh HD」です)。「Mount Point: Not Mounted」および「FileVault: Yes (Locked)」と表示されます。ボリュームのAPFSボリュームディスクIDをメモします。これはdisk3s2に似ていますが、番号が異なる(disk4s5など)可能性があります。
diskutil apfs list3. 次のコマンドを実行してから、「personal recovery key user」を探し、表示されているUUIDをメモします:
diskutil apfs listUsers /dev/<diskXsN>4. 次のコマンドを実行します:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 「passphrase」プロンプトで、PRKをペーストまたは入力してから、Returnキーを押します。ボリュームがFinderにマウントされます。