リカバリパスワードライブラリアイテムを使用すると、Appleシリコンを搭載したMacコンピュータへのリカバリパスワードとIntelプロセッサ搭載MacコンピュータへのEFIファームウェアパスワードをすべて同じライブラリアイテム内から構成して適用できます。
Kandji は、オプションで設定可能な時間ベースのローテーションを使用して、コンピューターごとのパスワードの自動生成をサポートしており、また手動で静的パスワードを設定することもできます。さらに、Intelプロセッサ搭載Macコンピュータの既存の既知のファームウェアパスワードを提供して、 Kandji を使用して自動的にアップデートすることもできます。
リカバリパスワードライブラリアイテムを作成する
次の手順を実行する前に、 Kandji テナントにログインしてください。
左側のナビゲーションバーで[ライブラリ]をクリックします。
右上隅にある「新規追加」をクリックします。
「リカバリパスワード」オプションを選択し、「追加と設定」をクリックします。
リカバリパスワードライブラリアイテムの設定
ライブラリアイテムに名前を付け、必要に応じてアイコンを選択します。
ご希望のBlueprintsを選択します。
必要に応じて、 割り当てルールを設定します。
Kandji でコンピュータ固有のパスワードを自動的に生成するか、静的パスワードを手動で指定するかを選択します。
コンピュータ固有のパスワードを Kandjiで自動的に生成する場合は、Kandjiがパスワードを自動的にローテーションするかどうかを選択し、頻度を指定します。
Intelプロセッサ搭載Macコンピュータにすでにファームウェアパスワードが導入されている場合は、「レガシーファームウェアパスワード」オプションを有効にして、 Kandji がアップデートできるようにします。
Intel プロセッサ搭載の Mac コンピュータにすでに導入されている レガシーパスワード を追加する
オプションで、 Kandjiが更新時に使用できるように、さらに19個(合計20個)のレガシーパスワードを追加します。
[保存]をクリックします
Intelプロセッサ搭載Macコンピュータに導入されている既存のファームウェアのパスワードは、「レガシーファームウェアのパスワード」セクションでKandjiに現在使用中のパスワードが提供されていない限り、Kandjiはアップデートできません。
デバイスエクスペリエンス
Appleシリコンを搭載したMacコンピュータ:リカバリパスワードが適用され、ユーザーの操作は必要ありません。
Intelプロセッサ搭載Macコンピュータ: ユーザは、レガシーファームウェアパスワードが初めて適用された場合やローテーションされた場合に、30分以内に再起動するようにKandji Agentから求められます。ライブラリアイテムと同様に、このカウンタは遅延できません 。
デバイスの回復パスワードを表示する
リカバリーパスワードを設定すると、デバイスの次回のデイリーチェックインが完了したときにこのオプションが使用可能になります。
デバイスのアクションメニューを開きます。
[リカバリロックパスワードの表示]をクリックします。
りカバりパスワードライブラリアイテムを削除しても、リカバリパスワードはデバイスレコードに引き続き表示されますが、実際のパスワードは表示されなくなります。 これは、次回の毎日のチェックイン時にデバイスレコードから削除されます。
その他の考慮事項
Blueprintsを変更する場合、Kandjiは、最後に確認されたリカバリパスワードまたはレガシーファームウェアパスワードを使用して、デバイスの設定を調整し、新しいBlueprintに適用された設定に合わせようとします。たとえば、Blueprint 1 にはランダム化されたリカバリパスワードを持つリカバリパスワード ライブラリアイテムがあり、Blueprint 2 には固定のリカバリパスワードがある場合、デバイスを Blueprint 1 から Blueprint 2 に移動すると、デバイスのリカバリパスワードが固定パスワードに自動的に変更されます。
Blueprintからリカバリパスワードライブラリアイテムを削除する場合、またはリカバリパスワードライブラリアイテムがないBlueprintにデバイスを移動する場合、Kandjiはデバイスから最後に確認されたリカバリパスワードまたはレガシーファームウェアパスワードを削除しようとします。
デバイスレコードを削除すると、デバイスは Kandjiから登録解除されます。これにより、適用されたリカバリパスワードはmacOSによって自動的に削除されます。レガシーファームウェアのパスワードは自動的に削除されません。
リカバリパスワードライブラリアイテムで[パスワードを自動的に生成する]を選択し、リカバリパスワードを使用してデバイスのロックを解除する場合は、リカバリパスワードをすべて大文字で、ハイフン付きで正確に入力してください。
Apple T2 Security Chip を搭載したIntelプロセッサ搭載Macコンピュータは、 Kandjiから「デバイスの消去」コマンドを受け取ると、「すべてのコンテンツと設定を消去」(EACS)を実行します。コマンドを受信したときにデバイスにレガシーファームウェアパスワードがまだ存在する場合は、代わりに完全に消去され、 macOSの再インストールが必要になります 、 macOS 11 のように。Intel プロセッサ搭載 Mac で EACS の動作を保持するには、まず、「デバイスの消去」コマンドを送信する前に、リカバリパスワードライブラリアイテムのない BlueprintへMacを移動します。この手順は、Appleシリコンを搭載したMacコンピュータでは必要ありません。