FileVault の構成

FileVault とリカバリキーについて

FileVaultは、ブートドライブを暗号化するmacOSの組み込み機能です。セットアップ中に、FileVaultリカバリキーを生成し、FileVault が有効になっているすべてのユーザーのパスワードを忘れた場合に、ドライブへの追加のアクセス方法を許可します。

Library Item: FileVault

FileVault 2 ライブラリアイテムは、登録されたすべての macOS デバイスに FileVault ディスク暗号化を有効にするように強制します。Macデバイスは、再起動時にFileVaultセットアップを完了するように求められます。

ライブラリアイテムオプション

  1. FileVault の強制: このドロップダウンには、次の 2 つの選択肢があります。

    1. 次回のログイン時にすぐに強制 する (推奨)

      このオプションを選択すると、次回のログイン時に FileVault をすぐに有効にする必要があります。 

      1. このオプションを選択すると、自動デバイス登録のセットアップアシスタント中に [強制] という 2 番目のオプションが表示されます。このオプションを選択すると、macOS Sonoma以降では、Kandji は自動デバイス登録のセットアップアシスタント中にFileVaultがオンになっていることを強制しようとします。成功した場合、ユーザーがデスクトップにアクセスした後、再起動は必要ありません。

    2. 強制する前にユーザーの延期を許可する (非推奨)

      このオプションを選択すると、[FileVaultが有効になっていない場合は再起動を求める] オプションが非表示になり、代わりに [ ユーザーの延期] ドロップダウンが表示され、FileVaultが有効になるまでに実行できるログイン試行回数を選択できます。

  2. 自動デバイス登録のセットアップアシスタント中に強制する(macOS 14+) )(推奨)

    このオプションを選択すると、セットアップアシスタント中に、自動デバイス登録を使用して登録するmacOS 14+を実行しているデバイスのFileVaultが強制されます。この選択では、自動デバイス登録ライブラリアイテムFileVault スキップ画面設定が無視されます。

  3. FileVaultが有効になっていない場合は再起動を求める (推奨)

    このオプションを選択すると、FileVault有効化するため再起動を要求または強制できます。ドロップダウンから次の 2 つのオプションを使用できます。

    1. [次の時間後に再起動を強制する] (推奨)

      このオプションを選択すると、指定した時間が経過すると、ユーザーは強制的に再起動します。次回のログイン時に、ユーザーは FileVaultを有効にするように強制されます。 

    2. ...分ごとに再起動するように通知(非推奨)

      このオプションを選択すると、エンドユーザーにMacの再起動をx分ごとに通知できます。次回のログイン時に、ユーザーは FileVaultを有効にするように強制されます。

  4. [分数]ドロップダウン:

    このドロップダウンでは、再起動を強制するまでの経過時間(分)や、 FileVaultを有効にするためにユーザーに再起動を促す頻度を指定できます。 

  5. 生成時にFileVault リカバリキーをユーザーに表示する:

    このオプションを選択すると、MDMプロファイルでFileVaultが有効になった場合リカバリキーがエンドユーザーに表示されます。または、Kandji Agentでリカバリキーを再生成する必要がある場合 (以前にFileVault対応デバイスを別の MDM ソリューションから移行する場合など) リカバリキーを Kandjiにエスクローしている場合は、セキュリティ上の理由からこのオプションを無効にすることをお勧めします。

  6. リカバリキーを Kandjiにエスクローする:

    このオプションを選択すると、FileVaultリカバリキーが自動的にエスクローされます。このオプションを有効にすると、リカバリキーがすでに生成されているデバイスのエンドユーザーに対して、リカバリキーを再生成するようにKandji Agentが自動的にプロンプトを表示することに注意してください。

  7. キーを自動的にローテーションする:

    このオプションを選択すると、Kandjiが割り当てられたデバイスのFileVaultリカバリキーローテーションする頻度を指定できます。これは、RotateFileVaultKey MDMコマンドを介して行われます。  

FileVaultリカバリキーの表示

  1. デバイスレコードに移動します。

  2. デバイスアクションメニューをクリックします。

  3. [FileVault2 リカバリキーの表示] をクリックします。 

ターミナルを介して任意のMacで次のコマンドを実行することにより、Macに新しい FileVault リカバリキーを生成させることができます。その後、 Kandji は、エスクローオプションが有効になっている場合、新しく生成されたキーをキャプチャします。

sudo fdesetup changerecovery -personal

Parameter: FileVaultリカバリキーがiCloudにエスクローされたユーザーアカウントを報告する

macOS を使用すると、ユーザーはリカバリキーを iCloud アカウントに保存できます。これは、不明な第三者によってキーが取得される可能性があるため、企業所有のMacデバイスにはお勧めしません。このパラメータを使用して、リカバリキーが iCloudに保存されている場合にアラートを受け取ります。このアラートは、ユーザーと協力して、 iCloud アカウントからリカバリキーを削除するように促すのに役立ちます。

暗号化ステータス

APFSボリュームでは、データボリュームのみがデバイス詳細のボリュームセクションに 暗号化済み:はい と表示されます。これは正常な動作です。

起動ディスクは、Appleの T2 Security Chip または Apple Siliconを搭載したMacコンピューターで常に暗号化されるため FileVault 暗号化はほぼ即時に行われます。他のMacコンピュータでは、データ量によっては FileVault 暗号化に時間がかかる場合がありますが、バックグラウンドで続行されます。

FileVaultのユーザーエクスペリエンス

FileVaultライブラリアイテムで「リカバリキーをKandjiにエスクロー」設定を有効にしている場合、以前にFileVaultが有効になっていたKandjiに登録するMacは、エンドユーザーにFileVaultキーを再生成してエスクローできるようにするように自動的に促します。

詳細についてはFileVaultを使用したユーザー エクスペリエンスの記事をご覧ください。