暗号化された macOS デバイスで AirWatch Agent 3.1 にアップグレードすると表示されるメッセージ「復旧キーがありません」

背景

High Sierra (macOS 10.13) よりも前の macOS では、AirWatch の管理エンドポイントなどのカスタム エスクロー サーバに復旧キーをエスクローするための、OS ネイティブの仕組みが提供されていました。また、こうした MDM を利用するネイティブのエスクロー機構に加え、信頼性向上のために AirWatch Agent でも独自の復旧キー エスクロー機構が提供されていました。

しかし Apple 社は、より高い信頼性とセキュリティを実現するため、High Sierra で新しい暗号化とエスクローの機能を導入しました。(従来の方法で) すでに暗号化済みのデバイスでこの OS ネイティブの新しい機能を利用するには、いったんキーをローテーションして、必要なファイルを作成する必要があります。このファイルが作成されれば、MDM セキュリティ サンプルのクエリでキーをエスクローできるようになり、キーがローテーションされた際にはエスクローし直すことも可能になります。macOS 向け AirWatch Agent 3.1 は、High Sierra で導入された、この新しい MDM エスクロー機構を利用するように変更されています。

 

お客様への影響

管理対象の High Sierra デバイスがすでに暗号化されている場合、macOS 向け AirWatch Agent 3.1 をインストールすると、ユーザーにダイアログ ウィンドウが表示されます。これは一度だけ表示されるウィンドウで、ここでユーザーはログイン パスワードを入力して復旧キーをローテーションする必要があります。正しいパスワードを入力すると、OS ネイティブの MDM サンプリングに必要なファイルが自動的に作成されます。 

Picture1.png

Picture1.png

 

以下に、macOS 向け AirWatch Agent 3.1 へのアップグレードで、このウィンドウが表示されるかどうかを示します。

現在の OS 状態 ウィンドウ表示の有無

macOS 10.12 以前

バージョン 3.0 以前の Agent で新たに暗号化済み

表示されません。ただし、デバイスの OS を High Sierra (macOS 10.13) にアップグレードすると表示されます。

macOS 10.12 以前

AirWatch を使用せずに暗号化済み

表示されます。また、OS を High Sierra (macOS 10.13) にアップグレードするともう一度表示されます。

macOS 10.13+ 

バージョン 3.0 以前の Agent で新たに暗号化済み

表示されます。

macOS 10.13+

Agent 3.1 で新たに暗号化済み

表示されません。

High Sierra では、ネイティブの復旧キー エスクロー機構にはファイル /var/db/FileVaultPRK.dat の存在が不可欠です。このファイルは、High Sierra デバイスで既存の復旧キーをローテーションするか、新たに暗号化を開始すると生成されます。詳細は、Apple 社 Web ページを参照してください。 

macOS 向け AirWatch Agent 3.1 では、キーのエスクローが必要かどうかを上記ファイルの有無で判断しています。ファイルが存在する場合、AirWatch Agent は何もせず、すべて OS ネイティブの MDM エスクロー機構に任せます。ファイルが存在しなければ、ユーザーに「復旧キーがありません」のウィンドウが表示されます。ユーザーがログイン パスワードを入力すると、Agent はそのパスワードを使用して fdesetup を実行し、キーをローテーションします。これにより、macOS によってファイル FileVaultPRK.dat が生成されます。いったんデバイスが新しい復旧キー モデルに移行してしまえば、このウィンドウが再び表示されることはありません。 

 

お問い合わせ

サポートが必要な場合は、My Workspace ONE からチケットを提出するか、貴社のサポート ラインにご連絡ください。

 

敬具

VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Missing Recovery Key Prompt on Encrypted macOS device after upgrading to AirWatch Agent 3.1」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.