FileVault の設定

FileVaultキーと回復キーについて

FileVault は、ブートドライブを暗号化するmacOSの組み込み機能です。セットアップ中に、FileVault は回復キーを生成し、有効になっているすべてのユーザーのパスワードを忘れた場合に、ドライブにアクセスする追加の方法FileVault許可します。

• FileVault が Mac デバイスを保護し、ログイン動作を変更する方法について詳しくは、こちらの記事を参照してください。

• FileVault Recovery Keyを活用してユーザーのパスワードをリセットする方法について説明します。

• FileVaultのユーザーエクスペリエンスについて学習します。

Library Item: FileVault

FileVault 2 Library Itemでは、登録されているすべてのmacOSデバイスにFileVaultディスク暗号化を有効にするよう強制されます。Mac デバイスの再起動時にFileVaultセットアップを完了するように求められます。

Library Item オプション

1. FileVault 適用: このドロップダウンには、次の 2 つの選択肢があります

   1. 次回のログイン時にすぐに適用 (推奨)このオプションを選択すると、次回のログイン時にすぐに FileVault を有効にする必要があります。 

      1. このオプションを選択すると、自動Device Enrollmentのセットアップアシスタント中に [適用] に 2 番目のオプションが表示されます。このオプションを選択すると、macOS Sonoma以降では、Kandji は、自動Device Enrollmentの設定アシスタント でFileVaultがオンになっていることを強制しようとします。成功した場合、ユーザーはデスクトップに到達した後、再起動する必要はありません。

   2. 強制する前にユーザーの遅延を許可 する (非推奨)このオプションを選択すると、[ 有効になっていない場合に再起動を求める FileVault プリープ ] オプションが非表示になり、代わりに [ユーザーの遅延]  ドロップダウンが表示され、 FileVault 有効になるまでに実行できるログイン試行回数を選択できます。

2. 自動Device Enrollmentのセットアップアシスタント中に適用する(macOS 14+)(推奨)このオプションを選択すると、自動Device Enrollmentを使用して登録する macOS 14+ を実行しているデバイスに対して、セットアップアシスタント中にFileVaultの適用が試行されます。この選択は、Automated Device Enrollment Library itemのFileVaultスキップ画面設定を無視します。  

3. FileVaultが有効になっていない場合に再起動を求める (推奨)このオプションを選択すると、強制的に再起動を要求してFileVaultを有効にすることができます。ドロップダウンから次の 2 つのオプションを使用できます。

   1. 次の時間後に強制的に再起動する (推奨)このオプションを選択すると、指定した時間が経過すると、ユーザーは強制的に再起動します。次回のログイン時に、ユーザーは強制的に FileVaultを有効にする必要があります。 

   2. 毎回再起動するように通知します... (非推奨)このオプションを選択すると、エンドユーザーに x 分ごとに Mac を再起動するように通知できます。次回のログイン時に、ユーザーは強制的に FileVaultを有効にする必要があります。

4. [分数(分)]ドロップダウン:このドロップダウンでは、再起動を強制するまでに何分かかるか、または FileVaultを有効にするためにユーザーに再起動を通知する頻度を指定できます。 

5. FileVault 回復キーが生成されたときにユーザーに表示する:このオプションを選択すると、MDMプロファイルを介して有効になっているときに、FileVault回復キーがエンドユーザーに表示されます。または、回復キーを再生成するためにKandji Agentが必要な場合 (以前に FileVault 有効になっているデバイスを別のMDMソリューションから移行する場合など)回復キーを Kandjiにエスクローする場合は、セキュリティ上の理由からこのオプションを無効にすることをお勧めします。

6. Kandjiへの回復キーのエスクロー :このオプションを選択すると、FileVault回復キーが自動的にエスクローされます。このオプションを有効にすると、Kandji Agentは、回復キーが既に生成されているデバイスのエンド ユーザーに、回復キーを再生成するように自動的に求めることに注意してください。

7. キーを自動的にローテーションする:このオプションを選択すると、割り当てられたデバイスを回復キーFileVaultローテーションする頻度を指定できますKandjiこれは、RotateFileVaultKey MDMコマンドを使用して行われます。  

FileVault回復キーを表示する

1. デバイスレコードに移動します。

2. [デバイスアクションメニュー]をクリックします。

3. 「 FileVault2 回復キーの表示」をクリックします。 

ターミナルを介して任意の Mac で次のコマンドを実行することで、Mac に新しい FileVault 回復キーを強制的に生成させることができます。エスクローオプションが有効になっている場合、 Kandji は新しく生成されたキーをキャプチャします。

sudo fdesetup changerecovery -personal

Parameter: FileVault回復キーがiCloudにエスクローされているユーザーアカウントを報告します

macOS を使用すると、ユーザーは回復キーを iCloud アカウントに保存できます。これは、未知の相手によってキーが取得される可能性があるため、企業所有の Mac デバイスには推奨されません。このパラメータを使用して、リカバリキーが iCloudに保存されている場合にアラートを受け取ります。このアラートは、ユーザーとペアリングして iCloud アカウントから回復キーを削除する際に役立つリマインダーです。

暗号化ステータス

APFS ボリュームでは、データボリュームのみが [デバイスの詳細] の [ボリューム] セクションに [ 暗号化: はい] と表示されます。これは予期される動作です。

起動ディスクは、Apple T2 Security Chip または Apple Siliconを搭載したMacコンピュータでは常に暗号化されているため、 FileVault 暗号化はほぼ即時です。他のMacコンピュータでは、データ量によっては FileVault 暗号化に時間がかかることがありますが、バックグラウンドで継続されます。

FileVault のユーザー エクスペリエンス

FileVault Library Itemで [エスクロー回復キーをKandjiする] 設定を有効にしている場合、以前にFileVault有効になっていた Kandji に登録する Mac は、エンド ユーザーにエスクローできるように FileVault キーを再生成するように自動的に求めます。

FileVault が「 キーを自動的にローテーションする」に設定され、「パスコードプロファイル」で「 パスコードの最大有効期間 」オプションが有効になっている場合、最大有効期間より古いパスワードは有効期限が切れ、ユーザは FileVault の回復キーをローテーションしてエスクローする前に新しいパスワードを作成する必要があります。

詳細については、FileVaultのユーザーエクスペリエンスの記事を参照してください。