UEM 1904 および macOS Intelligent Hub 19.04 の FileVault 2 ディスク暗号化プロファイルで予定されている変更

Workspace ONE UEM 1904 および macOS Intelligent Hub 19.04 において、FileVault 2 暗号化管理機能と復旧キー管理機能はすべて刷新され、さらなる利便性を実現し、macOS の進化にあわせてより信頼性の高いサポートを提供します。 

 

機能の技術概要

FileVault の有効化に対応するプロファイルに対して根本的な変更を実施:暗号化されていないコンピュータで FileVault を有効化するため、MDM の有効化の延期機能を使用して、プロファイルでログアウト時またはログイン時に暗号化プロセスを開始するように指定できるようになりました。この機能により、セキュア トークンなどの暗号化における細かな差異に対して、より信頼性の高い対応を行うことができます。

パーソナル復旧キーのエスクロー:macOS 10.12 以前のデバイスでは、復旧キーのエスクローはリダイレクト URL エンドポイントを通じて実行されます (UEM コンソール エンドポイントの URL はプロファイルに自動的に組み込まれます)。FileVault プロファイルのインストール中に復旧キーが生成されると、macOS が復旧キーをエンドポイントに自動的に送信します。このエスクロー リクエストは UDP リクエストに類似しているため、通信に失敗することがあります。その際、OS で自動的に対応措置が行われることはありません。

  • macOS 10.12 以降で Intelligent Hub 19.04 を使用している場合は、UEM と定期的にチェックを行い、キーがエンドポイントに到達しているかを確認することで、この問題に対処することができます。24 時間以内に到達していない場合、Hub 19.04 はユーザーに再度パスワードの入力を求め、そのパスワードを使用して fdesetup を実行し、キーをローテーションします。そして、macOS が UEM コンソール リダイレクト エンドポイントにキーを再送信するのを待ちます。UEM でキーがエスクローされたことを検出するまで、Hub 19.04 はこのプロセスを繰り返します。
  • Intelligent Hub 19.04 は macOS 10.12 以降でのみサポートされる点に注意してください。

macOS 10.13 以降では、Apple 社により復旧キーのエスクロー機能が大幅に強化されました。より信頼性の高いメカニズムが提供され、既存のネイティブ MDM コマンドが利用されるようになりました。FileVault プロファイルのインストール中に復旧キーが生成されると、/var/db/FileVaultPRK.dat にキーを含む、暗号化されたファイルが生成されます。このファイルは MDM セキュリティ情報サンプルごとに収集されます。これはつまり、復旧キーがローカルでローテーション (例:sudo fdesetup changerecovery -personal) されても、次のセキュリティ情報サンプルがこの変更を自動的に収集するということを意味します。Hub 19.04 は /var/db/FileVaultPRK.dat パスを監視してこのファイルが存在しているか確認します。ファイルが存在する場合、MDM セキュリティ情報サンプルがエスクローを処理し、Hub は何も実行しません。ファイルが存在しないと判断された場合、Hub 19.04 はユーザーにパスワードの入力を求め、そのパスワードを使用して fdesetup を実行し、キーをローテーションします。新たにローテーションされたキーは、UEM の次のセキュリティ情報サンプル同期でエスクローされます。

FileVaultPRK.dat ファイルに関する重要な注意事項

FileVault プロファイルが新しいバージョンで更新されるときや、FileVault プロファイルが再インストールまたは削除されるときに、macOS によってこのファイルが自動的に削除されます。Hub 19.04 はこのファイル状態の変更を検出するので、FileVault プロファイルがインストールされている限り、キーをローテーションするためのパスワード入力を求める画面をユーザーに表示します。これはつまり、FileVault プロファイルが変更されるたびにユーザーにパスワードの入力を求める画面を表示し、ネイティブ MDM を介して常に復旧キーがエスクローされるということを意味します。

 

新しいディスク暗号化プロファイルへの移行方法

UEM コンソール サーバを 1904 にアップグレードすると、既存の FileVault ディスク暗号化プロファイルを、ネイティブ MDM 動作と Hub 19.04 動作の両方によってさらなる柔軟性を備えて機能強化されたバージョンに移行することができます。

新しいプロファイルに移行するには、次の手順を実行します。

  1. [デバイス] > [プロファイルとリソース] > [プロファイル] と進み、ディスク暗号化プロファイルを探します。
  2. 鉛筆アイコンをクリックしてプロファイルを編集します。
  3. [ディスク暗号化] ペイロードに移動し、[バージョン追加] をクリックします。
  4. ユーザー操作性をカスタマイズするための多くの新しいオプションやセクション (詳細は、以下を参照してください) が含まれているので、ペイロード全体を確認し、組織のニーズやポリシーに合わせてデフォルトの値を変更します。
  5. 完了後、[保存して公開] をクリックして更新したプロファイルをデバイスに展開します。

注:新しいプロファイルがインストールされると、ユーザーにログアウトまたはパスワード入力を求める通知が表示されます。それぞれのシナリオにおけるエンドユーザー側での操作についての詳細は、以下を参照してください。

 

エンドユーザー側での操作

ケース 1:デバイスが暗号化されておらず、FileVault を有効化する必要がある場合

Hub 19.04 は、適切な時間枠内において暗号化の順守を確認するための管理機能を管理者に提供する一方で、より簡単な操作性をユーザーに提供するためにデザインが一新されました。

UEM 1904 の新しいディスク暗号化プロファイルがインストールされると、Hub 19.04 はユーザーにログアウトを求める通知を表示します。通知のタイトルや情報テキストはディスク暗号化プロファイルでカスタマイズできます。

Logout.png

ユーザーがログアウトすると、macOS のログイン ウインドウが表示される前に、OS によりパスワードを求める画面が表示されます。

FileVault.png

パスワードを入力して [OK] をクリックすると、FileVault の有効化プロセスが開始されます。

FileVault2.png

(オプション) 復旧キーを表示するようにプロファイルで選択していた場合、FileVault の有効化が完了するとユーザーに復旧キーが表示されます。ただし、復旧キーの表示を有効にすることは推奨されません。

Recovery.png

FileVault の有効化が完了するか、FileVault 復旧キー画面で [続ける] をクリックすると、macOS のログイン ウインドウが表示されます。

John.png

ケース 2:デバイスは FileVault で暗号化済みでも、復旧キーが UEM にエスクローされていない場合

Hub 19.04 は、デバイスが暗号化済みの場合に復旧キーのエスクロー機能を提供する一方で、より簡単な操作性をユーザーに提供するためにデザインが一新されました。

新しい UEM 1904 のディスク暗号化プロファイルがインストールされると、Hub 19.04 はユーザーにパスワードの入力を求めるメッセージを表示します。通知のタイトルや情報テキストはディスク暗号化プロファイルでカスタマイズできます。

Password_2.png

ユーザーはこの通知を却下することができます。ただし、管理者はプロファイルでこの通知を再表示する頻度を設定することができます。ユーザーが [続行] をクリックすると、次の画面が表示されます。

Vault_Password.png

ユーザーはこの通知も却下することができます。ただし、プロファイル設定でスケジュールされた間隔で通知が再表示されます。ユーザーがパスワードを誤って入力した場合、画面にパスワードが無効というエラーが表示されます。正しいパスワードを入力してキー ローテーションが成功した場合、成功を示す画面が表示されます。この画面のタイトルや情報テキストもディスク暗号化プロファイルでカスタマイズすることができます。

Accepted_1.png

ディスク暗号化プロファイルで復旧キーの表示を有効にしている場合、この画面に復旧キーも表示されます。ただし、復旧キーの表示を有効にすることは推奨されません。

Accepted_2.png

復旧キーのローテーションに関する重要な注意事項

Hub が sudo fdesetup changerecovery -personal を実行しようとして OS エラーが発生した場合、ディスク暗号化プロファイルで指定された「エラー メッセージ表示までの再試行回数」としてカウントされます。

これまでの傾向から、デバイス (特に最近の、セキュア トークンの問題が存在する macOS バージョンを搭載しているデバイス) によっては、IT 部門で暗号化の問題を修復することにより FileVault キーを適切にエスクローすることができます。Hub 19.04 では、可能な限りキーをエスクローすることを目指していますが、全体的なユーザー操作性や継続的な機能利用を妨げるものではありません。上記のような問題が発生した場合、試行回数が上限に達した後にエラー画面が表示され、Hub は通知を中断するか FileVault の画面を再表示します。エラー画面のタイトルや情報テキストもディスク暗号化プロファイルでカスタマイズできます。以下のエラー画面では、ユーザーに対して、IT 部門に連絡して支援を得る必要があることを説明しています。

IT_Admin.png

このエラー画面が表示された場合、次に実行するトラブルシューティング手順は、ログを確認して復旧キーがローテーションできなかった原因を見つけることです。IT 管理者やヘルプ デスクは /Library/Logs/IntelligentHub/HubEventLogs.log を調べて、ローテーション コマンドが実行されたときに macOS が返したエラーを確認することができます。

原因が判明して問題が修復されると、Hub 19.04 をアクティブ化して、キー エスクローのライフサイクルが管理されていることを再確認することができます。管理者は、次に示す簡単なコマンドをターミナルで実行してください。

sudo hubcli reset-recoverykey

このコマンドによって、Hub はプロセスを再開するために、ユーザーにパスワードを入力することを求める画面を表示します。

Other Languages: English

免責事項:これは英文の記事「Changes coming to FileVault 2 Disk Encryption profile in UEM Console 1904 and macOS Intelligent Hub 19.04」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.