デバイス管理でFileVaultを管理する
組織では、デバイス管理サービスを使ってFireVaultでのディスク全体の暗号化を管理できます。一部の高度な導入や構成では、fdesetupコマンドラインツールも使用できます。デバイス管理サービスを使用してFileVaultを管理することを「有効化の延期」といいます。これにはユーザによるログアウトまたはログインイベントが必要です。デバイス管理サービスでは、次のようなオプションをカスタマイズすることもできます:
ユーザがFileVaultの有効化を延期できる回数
ログイン時にユーザにプロンプトを表示するだけでなく、ログアウト時にユーザにプロンプトを表示するかどうか
復旧キーをユーザに表示するかどうか
デバイス管理サービスへのエスクロー用復旧キーを非対称的に暗号化するために使用する証明書
ユーザがAPFSボリューム上のストレージのロックを解除できるようにするには、ユーザがセキュアトークンを付与されている必要があり、Appleシリコン搭載のMacの場合はボリューム所有者でもある必要があります。セキュアトークンおよびボリューム所有権について詳しくは、導入時にセキュアトークン、ブートストラップトークン、およびボリューム所有権を使用するを参照してください。特定のワークフローでユーザにセキュアトークンを付与する方法とタイミングについての情報を以下に示します。
設定アシスタントでFileVaultを適用する
ForceEnableInSetupAssistant鍵を使用することで、Macコンピュータは設定アシスタントでFileVaultをオンにすることを必須にできます。これにより、管理対象Macコンピュータの内部ストレージが使用前に必ず暗号化されることが保証されます。組織は、FileVault復旧キーをユーザに表示するかまたはパーソナル復旧キーをエスクローするかを決定できます。この機能を使用するには、await_device_configuredが設定されている必要があります。
注記: macOS 14.4より前でこの機能を使用するには、設定アシスタントでインタラクティブに作成されたユーザアカウントが管理者ロールを持っている必要がありました。
ユーザが自分でMacを設定する場合
注記: セキュアトークンとブートストラップトークンがMacで機能するためには、デバイス管理サービスが特定の機能に対応している必要があります。
ユーザが自分でMacを設定する場合、IT部門は実際のデバイスではプロビジョニングタスクを実行しません。すべてのポリシーと構成は、デバイス管理サービスまたは構成管理ツールを使用して提供します。設定アシスタントによって初期のローカルアカウントが作成されてセキュアトークンがユーザに付与され、Macによってブートストラップトークンが生成されてデバイス管理サービスにエスクローされます。
Macがデバイス管理サービスに登録されている場合、初期アカウントはローカル管理者アカウントではなく、標準のローカルユーザアカウントである可能性があります。デバイス管理サービスを使用してユーザを標準ユーザにダウングレードすると、自動的にそのユーザにセキュアトークンが付与されます。macOS 10.15.4以降を搭載したMacでは、ユーザをダウングレードすると、macOSによって自動的にブートストラップトークンが生成されてデバイス管理サービスにエスクローされます。
デバイス管理サービスを使用して設定アシスタントでローカルユーザアカウントの作成をスキップし、代わりにモバイルアカウントでディレクトリサービスを使用する場合、サービスによってモバイルアカウントユーザにログイン時にセキュアトークンが付与されます。macOS 10.15.4以降を搭載したMacでは、モバイルアカウントを使用するユーザが有効になったあとに、ユーザの2回目のログイン時にブートストラップトークンがmacOSによって自動的に生成されてデバイス管理サービスにエスクローされます。
設定アシスタントでローカルユーザアカウントの作成がデバイス管理サービスによってスキップされ、代わりにモバイルアカウントでディレクトリサービスが使用される場合、ユーザがログインしたときにデバイス管理サービスによってユーザにセキュアトークンが付与されます。macOS 10.15.4以降を搭載したMacでは、モバイルユーザにセキュアトークンがある場合、ブートストラップトークンがmacOSによって自動的に生成されてデバイス管理サービスにエスクローされます。
上記のいずれのシナリオでも、macOSによって最初かつプライマリのユーザにセキュリティトークンが付与されるため、ユーザは有効化の延期を使用してFileVaultを有効にできます。これにより、FileVaultをオンにできますが、有効化はユーザがMacにログインするかMacからログアウトするまで延期されます。ユーザがFileVaultをオンにすることを(オプションで定義された回数)スキップできるようにするかどうかを選択することもできます。これにより、Macのプライマリユーザ(何らかの種類のローカルユーザかモバイルアカウントかに関係なく)は、FileVaultボリュームのロックを解除できます。
macOSによってブートストラップトークンが生成されてデバイス管理サービスにエスクローされたMacで、そのあと別のユーザがそのMacにログインする場合は、macOSによってブートストラップトークンが使用されてセキュアトークンが自動的に付与されます。つまり、このアカウントに対してFileVaultを有効にし、FileVaultボリュームのロックを解除できます。ユーザがストレージデバイスのロックを解除できないようにするには、fdesetup remove -userを使用します。
組織によってMacがプロビジョニングされる場合
組織によってMacがプロビジョニングされてからユーザに配付される場合は、IT部門がデバイスを設定します。ローカル管理者アカウント(設定アシスタントで、またはデバイス管理サービスでプロビジョニングすることで作成)を使用してMacをプロビジョニングまたは設定する場合は、ログイン時にオペレーティングシステムが最初のセキュアトークンを付与します。サービスがブートストラップトークン機能に対応している場合は、オペレーティングシステムはブートストラップトークンも生成してエスクローします。
Macがディレクトリサービスに登録されていて、モバイルアカウントを作成するように構成されている場合、およびブートストラップトークンが存在しない場合、ディレクトリサービスユーザは、初めてログインするときに、自分のアカウントに対してセキュアトークンを付与するために既存のセキュアトークン管理者のユーザ名とパスワードの入力を求められます。セキュアトークンが有効になっているローカル管理者の資格情報を入力する必要があります。セキュアトークンが不要な場合、ユーザは「スキップ」をクリックできます。macOS 10.13.5以降を搭載したMacでは、モバイルアカウントでFileVaultを使用する予定がない場合はセキュアトークンのダイアログを完全に非表示にできます。セキュアトークンのダイアログを非表示にするには、以下のキーと値を使用して、デバイス管理サービスからカスタム設定構成プロファイルを適用します:
設定 | 値 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ドメイン | com.apple.MCX | ||||||||||
キー | cachedaccounts.askForSecureTokenAuthBypass | ||||||||||
値 | True | ||||||||||
デバイス管理サービスがブートストラップトークン機能に対応していて、Macによってブートストラップトークンが生成されてサービスにエスクローされた場合、モバイルアカウントユーザにこのプロンプトは表示されません。代わりに、それらのユーザにはログイン中にmacOSによって自動的にセキュアトークンが付与されます。
ディレクトリサービスにあるユーザアカウントを使用せず、Macにローカルユーザを追加する必要がある場合は、セキュアトークンが有効になっている管理者が「ユーザとグループ」(macOS 13以降の場合は「システム設定」内、macOS 12.0.1以前の場合は「システム環境設定」内)で追加のローカルユーザを作成したときに、macOSによってそれらのユーザにセキュアトークンが自動的に付与されます。コマンドラインを使ってローカルユーザを作成する場合、管理者はsysadminctlコマンドラインツールを使用でき、オプションでセキュアトークンを有効にすることができます。macOS 11以降を搭載したMacでは、作成時にmacOSによってセキュアトークンが付与されず、ブートストラップトークンがデバイス管理サービスから使用可能な場合は、ローカルユーザがログインしたときにセキュアトークンが付与されます。
これらのシナリオでは、以下のユーザはFileVaultで暗号化されているボリュームのロックを解除できます:
プロビジョニングに使用された元のローカル管理者
ログイン処理中にセキュアトークンを付与された追加のディレクトリサービスユーザ。ダイアログプロンプトを使用して対話的に、またはブートストラップトークンを使用して自動的に実行できます
新規ローカルユーザ
ユーザがストレージデバイスのロックを解除できないようにするには、fdesetup remove -userを使用します。
上記のワークフローのいずれかを使用する場合、セキュアトークンはmacOSによって管理されるため、追加の構成やスクリプティングは必要ありません。これは実装上の細部であり、積極的な管理または操作が必要になることはありません。
fdesetupコマンドラインツール
デバイス管理の構成またはfdesetupコマンドラインツールを使って、FileVaultを構成できます。macOS 10.15以降を搭載したMacでは、ユーザ名とパスワードを指定することでfdesetupを使ってFileVaultをオンにする方法は非推奨になり、将来のリリースでは使用できなくなります。このコマンドは引き続き機能しますが、macOS 11およびmacOS 12.0.1では非推奨のままになります。代わりに、デバイス管理サービスの有効化の延期を使用することを検討してください。fdesetupコマンドラインツールについて詳しくは、ターミナルアプリを起動してman fdesetupまたはfdesetup helpと入力してください。
所属団体の復旧キーとパーソナル復旧キー
CoreStorageボリュームおよびAPFSボリューム上のFileVaultは、どちらも所属団体の復旧キー(IRK。以前はFileVaultマスターアイデンティティと呼ばれていました)によるボリュームのロック解除をサポートしています。IRKはボリュームのロックを解除するかFileVaultを完全に無効にするコマンドライン操作のために便利ですが、特に最近のバージョンのmacOSでは、組織にとっての有用性は限られます。また、Appleシリコンを搭載したMacでは、IRKは主に2つの理由で機能的な価値を提供しません: まず、IRKを使用してrecoveryOSにアクセスすることはできません。次に、ターゲットディスクモードが対応されなくなったため、ボリュームを別のMacに接続してロックを解除することはできません。これらやその他の理由により、Macコンピュータ上のFileVaultを所属団体で管理する場合にIRKを使用することは推奨されなくなりました。代わりに、パーソナル復旧キー(PRK)を使用してください。PRKによって以下の機能が提供されます:
復旧およびオペレーティングシステムへのアクセスの非常に堅牢なメカニズム
ボリュームごとの一意の暗号化
デバイス管理サービスへのエスクロー
使用後の容易なキーローテーション
macOS 12.0.1以降を搭載したAppleシリコン搭載Macでは、PRKは、recoveryOSで使用するか、暗号化されたMacを直接macOSで起動するために使用できます。recoveryOSでは、PRKは復旧アシスタントによって求められるか「すべてのパスワードをお忘れですか」オプションが指定されている場合に、復旧環境にアクセスするために使用できます。この場合、ボリュームのロックも解除されます。「すべてのパスワードをお忘れですか」オプションを使用する場合は、ユーザがパスワードをリセットする必要はありません。終了ボタンをクリックすると、recoveryOSで直接起動できます。Intelプロセッサを搭載したMacでmacOSを直接起動するには、パスワードフィールドの横にある疑問符をクリックし、「復旧パスワードを使ってリセットできます」オプションを選択します。PRKを入力してから、Returnキーを押すか矢印をクリックします。macOSが起動したら、パスワード変更ダイアログの「キャンセル」を押します。
また、macOS 12.0.1以降を搭載したAppleシリコン搭載Macでは、Option+Shift+Returnキーを押してPRKの入力フィールドを表示してから、Returnキーを押すか矢印をクリックします。
PRKは、暗号化されたボリュームごとに存続期間全体を通じて1つのみ存在し、デバイス管理サービスからFileVaultを有効にする際にユーザに表示されないようにすることもできます。デバイス管理サービスにエスクローするように構成すると、デバイス管理サービスによって公開鍵が証明書の形でMacに提供されます。これは、そのあと、CMSエンベロープ形式でPRKを非対称に暗号化するために使用されます。暗号化されたPRKはセキュリティ情報のクエリーでサービスに返されます。そのあと、組織が表示のために暗号を解除できます。暗号化が非対称なため、サービス自体ではPRKの暗号解除はできません(そのため、管理者による追加の手順が必要です)。ただし、多くのデバイス管理サービスデベロッパは、これらの鍵を管理して製品で直接表示できるようにするオプションを提供しています。デバイス管理サービスでは、ボリュームのロックを解除するためにPRKを使用したあとなどに強力なセキュリティ態勢を維持するために、オプションで必要な回数だけPRKのローテーションを実行することもできます。
Appleシリコンを搭載していないMacコンピュータでは、ターゲットディスクモードでPRKを使ってボリュームのロックを解除できます:
1. ターゲットディスクモードのMacを、同じバージョンまたはより新しいバージョンのmacOSを搭載している別のMacに接続します。
2. 「ターミナル」を開いて以下のコマンドを実行し、ボリュームの名前を探します(通常は「Macintosh HD」です)。「Mount Point: Not Mounted」および「FileVault: Yes (Locked)」と表示されます。ボリュームのAPFSボリュームディスクIDをメモします。これはdisk3s2に似ていますが、番号が異なる(disk4s5など)可能性があります。
diskutil apfs list3. 次のコマンドを実行してから、「personal recovery key user」を探し、表示されているUUIDをメモします:
diskutil apfs listUsers /dev/<diskXsN>4. 次のコマンドを実行します:
diskutil apfs unlockVolume /dev/<diskXsN> -user <PRK UUID>5. 「passphrase」プロンプトで、PRKをペーストまたは入力してから、Returnキーを押します。ボリュームがFinderにマウントされます。