FileVault ディスクの暗号化

FileVault は、起動ディスク上のすべてのデータを暗号化し、情報への不正アクセスを防止する、macOS に組み込まれたセキュリティ機能です。 IBM® MaaS360® ポータルから、 FileVault をリモートで設定し、 macOS 10.13 以降を実行しているデバイスからリカバリーキーを取得することができます。

FileVault プロファイルの構成

macOS MDM ポリシーを使用して、macOS デバイス上で FileVault を構成 (有効化/無効化) することができます。 詳しくは、 macOS FileVault ポリシーを参照してください。

注: FileVault を有効にすると、デバイス上でディスク暗号化が開始され、回復キーが生成される。 暗号化後、FileVault では、デバイスが起動するたびにユーザーはアカウント・パスワードを使用してログインする必要があります。

個人用リカバリー鍵の取得

FileVault が有効になっている場合、ユーザーは自分のログイン・パスワードまたはリカバリー鍵を使用してログインして、データにアクセスする必要があります。 デバイス・アクションを使用して、リカバリー鍵を取得およびバックアップすることができます。 ユーザーが Mac のログイン・パスワードを忘れた場合、回復キーを使用してディスクをアンロックし、パスワードをリセットすることができます。

以下の手順に従って、 MaaS360 が FileVault 回復キーを取得し、バックアップできるようにします。
  1. IBM MaaS360 Portalのホームページから、 Devices > Inventoryに進みます。
  2. セキュリティー・ポリシーを使用して、FileVault 暗号化で有効化されている macOS デバイスを開きます。
  3. 詳細 > FileVault 「回復キー」をクリックします。

リカバリー鍵が取得され、画面に表示されます。

過去に暗号化されたデバイスや再登録されたデバイスから個人復元キーを取り出す

以下のシナリオでは、管理者は FileVault リカバリ・キーを再生成する必要がある。
デバイスは登録前にすでに暗号化されている
FileVault リカバリー鍵は、管理者が既に暗号化されているデバイスを登録している場合は使用できません。 この場合、管理者は個人復旧鍵を回収する前に、以前に暗号化されたデバイスから FileVault の管理を引き継がなければならない。
デバイスの消去または再登録
macOS デバイスが登録されると、デバイスは FileVault リカバリキーを生成し、 MaaS360 によって取得される。 ただし、 macOS デバイスがワイプされたり再登録されたりすると、既存の FileVault リカバリキーは無効になります。 管理者は、リカバリ・キーが古い再登録デバイスのスマート・グループを作成し、それらのデバイスのリカバリ・キーを再生成することができる。
前提条件
  • macOS のエージェント・バージョン 2.43.000 以降が Mac デバイスにインストールされている必要があります。
  • FileVault ディスク暗号化ポリシーを macOS デバイスにデプロイする必要があります。

以前に暗号化されたデバイスの識別

管理者は、詳細検索を使用して、以下の条件を満たすデバイスをフィルタリングし、スマートグループを作成できます。

以下の手順に従って、スマートデバイスグループを作成してください。
  1. Devices(デバイス )> Advanced Search(高度な検索 )に進む。
  2. 以下の検索条件を使用してください。
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To No
古いリカバリーキーを持つ再登録デバイスの特定
  1. Devices(デバイス )> Advanced Search(高度な検索 )に進む。
  2. 以下の検索条件を使用してください。
    Data Encryption Encryption Status Equal To Encryption Complete
    Data Encryption FileVault Recovery Key Present Equal To Yes
複数のデバイスからの個人用リカバリー鍵の同時取得
  1. MaaS360 Portalのホームページから、 Devices > Groupsに進みます。
  2. デバイス・グループの下にある「その他」オプションの上にカーソルを移動して、「FileVault リカバリー鍵のエスクロー」を選択します。
  3. Escrow FileVault Recovery Keyウィンドウで、 Continueをクリックします。

    macOS デバイスで、MaaS360 エージェントはユーザーにパスワードの入力を求めるプロンプトを出し、個人用リカバリー鍵を再生成します。

注: 個人用リカバリー鍵を構成した後、管理者はデバイス・レベルのアクション FileVault 「リカバリー鍵」 を使用して個人用リカバリー鍵を表示できます。
個々のデバイスからの個人用リカバリー鍵の取得
  1. IBM MaaS360 Portalのホームページから、 Devices > Inventoryに進みます。
  2. 以前に暗号化した macOS デバイスを開きます。
  3. More > Escrow FileVault Recovery Key をクリックします。

    MaaS360 エージェントは、ユーザーにパスワードの入力を求めるプロンプトを出し、デバイス上で個人用リカバリー鍵を再生成します。

    注: 個人用リカバリー鍵を構成した後、管理者はデバイス・レベルのアクション FileVault 「リカバリー鍵」 を使用して個人用リカバリー鍵を表示できます。