macOSでのFileVaultの管理
macOSを搭載したデバイスでは、SecureTokenまたはブートストラップトークンを使用してFileVaultを管理できます。
セキュアトークンの使用
macOS 10.13以降のApple File System(APFS)では、FileVaultの暗号鍵の生成方法が変更されています。CoreStorageボリュームを使用する、以前のバージョンのmacOSでは、FileVaultの暗号化プロセスで使用する鍵は、ユーザまたは組織がMacでFileVaultをオンにした時点で作成されていました。APFSボリューム上にmacOSを搭載したデバイスでは、ユーザの作成中、ユーザが初めてパスワードを設定するとき、またはユーザがMacに初めてログインするときに鍵が生成されます。この暗号鍵の実装、生成のタイミング、保存方法は、すべてセキュアトークンとして知られている機能の一部です。セキュアトークンは、厳密には、ユーザのパスワードによって保護された、ラッピングされたキー暗号鍵(KEK)です。
APFSでFileVaultを使用する場合、以下のことが可能です。
既存のツールとプロセスを使用する(デバイス管理サービスに保存できる個人の復旧キー(PRK)のエスクローなど)
ユーザがMacにログインするかログアウトするまでFileVaultの有効化を保留する
組織の復旧キー(IRK)を作成して使用する
macOS 11では、Macで最初のユーザの初期パスワードを設定すると、そのユーザにセキュアトークンが付与されます。ワークフローによっては、これが望ましい動作ではなく、以前のように最初のセキュアトークンを付与するにはログインするためのユーザアカウントが必要な場合があります。このようなことが起きないようにするには、以下に示すように、ユーザのパスワードを設定する前に、プログラムで作成したユーザのAuthenticationAuthority属性に;DisabledTags;SecureTokenを追加します。
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"ブートストラップトークンの使用
macOS 10.15では、モバイルアカウントと管理対象管理者(オプションでデバイス登録時に作成される管理者アカウント)の両方にセキュアトークンを付与するためにブートストラップトークンが導入されました。macOS 10.15以降のブートストラップトークン機能を使用するには、以下の要件を満たす必要があります。
Apple School ManagerまたはApple Business Managerを使用してデバイス管理サービスにMacを登録する(これによりMacを監視対象にする)
デバイス管理サービスのデベロッパサポート
macOS 10.15.4以降では、Secure Tokenが有効になっているユーザが初めてログインしたときに、ブートストラップトークンが生成され、デバイス管理サービスにエスクローされます(デバイス管理サービスでこの機能がサポートされている場合)。必要に応じて、profilesコマンドラインツールを使用してブートストラップトークンを生成し、デバイス管理サービスにエスクローすることもできます。
macOS 11以降では、ブートストラップトークンによって以下のことが可能です:
Macコンピュータにログインしているすべてのユーザ(ローカルユーザのアカウントを含む)にセキュアトークンを付与できます。
Appleシリコン搭載Macでは、ブートストラップトークンを使用して、デバイス管理サービスによる管理中にカーネル機能拡張とソフトウェアアップデートの両方のインストールを認証することができます。
組織の復旧キーと個人の復旧キー
CoreStorageボリュームおよびAPFSボリューム上のFileVaultは、どちらも組織の復旧キー(IRK。以前はFileVaultマスターアイデンティティと呼ばれていました)によるボリュームのロック解除に対応しています。IRKはボリュームのロックを解除するかFileVaultを完全にオフにするコマンドライン操作のために便利ですが、特に最近のバージョンのmacOSでは、組織にとっての有用性は限られます。また、Appleシリコンを搭載したMacでは、IRKは主に2つの理由で機能的な価値を提供しません: IRKを使用してrecoveryOSにアクセスすることはできません。また、ターゲットディスクモードに対応しなくなったため、ボリュームを別のMacに接続してロックを解除することはできません。
重要: これらやその他の理由により、Macコンピュータ上のFileVaultを組織で管理する場合にIRKを使用することは推奨されなくなりました。代わりに、個人の復旧キー(PRK)を使用してください。
SSHを使用してFileVaultのロックを解除する
macOS 26以降がインストールされているAppleシリコン搭載のMacでは、リモートログインがオンになっていてネットワーク接続が利用可能であれば、再起動後にSSH経由でFileVaultのロックを解除できます。