macOSでのFileVaultの管理
macOSでは、SecureTokenまたはブートストラップトークンを使用してFileVaultを管理できます。
セキュアトークンの使用
macOS 10.13以降のApple File System(APFS)では、FileVaultの暗号鍵の生成方法が変更されています。CoreStorageボリュームを使用する、以前のバージョンのmacOSでは、FileVaultの暗号化プロセスで使用する鍵は、ユーザまたは組織がMacでFileVaultをオンにした時点で作成されていました。APFSボリュームを使用するmacOSでは、ユーザの作成中、ユーザが初めてパスワードを設定するとき、またはユーザがMacに初めてログインするときに鍵が生成されます。この暗号鍵の実装、生成のタイミング、保存方法は、すべてセキュアトークンとして知られている機能の一部です。セキュアトークンは、厳密には、ユーザのパスワードによって保護された、ラッピングされたキー暗号鍵(KEK)です。
APFSでFileVaultを使用する場合、以下のことが可能です。
既存のツールとプロセスを使用する(モバイルデバイス管理(MDM)ソリューションに保存できる個人の復旧キー(PRK)のエスクローなど)
ユーザがMacにログインするかログアウトするまでFileVaultの有効化を保留する
組織の復旧キー(IRK)を作成して使用する
macOS 11では、Macで最初のユーザの初期パスワードを設定すると、そのユーザにセキュアトークンが付与されます。ワークフローによっては、これが望ましい動作ではなく、以前のように最初のセキュアトークンを付与するにはログインするためのユーザアカウントが必要な場合があります。このようなことが起きないようにするには、以下に示すように、ユーザのパスワードを設定する前に、プログラムで作成したユーザのAuthenticationAuthority属性に;DisabledTags;SecureTokenを追加します。
sudo dscl . append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"ブートストラップトークンの使用
macOS 10.15では、モバイルアカウントと管理対象管理者(オプションでデバイス登録時に作成される管理者アカウント)の両方にセキュアトークンを付与するための新機能、ブートストラップトークンが導入されました。macOS 11では、ブートストラップトークンが、Macコンピュータにログインしているすべてのユーザ(ローカルユーザのアカウントを含む)にセキュアトークンを付与できます。macOS 10.15以降のブートストラップトークン機能を使用するには、以下の要件を満たす必要があります。
Apple School ManagerまたはApple Business Managerを使用してMDMにMacを登録する(これによりMacを監視対象にする)
MDMベンダーがこの機能をサポートしている
macOS 10.15.4以降では、Secure Tokenが有効になっているユーザが初めてログインしたときに、ブートストラップトークンが生成され、MDMにエスクローされます(MDMソリューションでこの機能がサポートされている場合)。必要に応じて、profilesコマンドラインツールを使用してブートストラップトークンを生成し、MDMにエスクローすることもできます。
macOS 11では、ブートストラップトークンがユーザアカウントへのセキュアトークンの付与以外にも使用される場合があります。Appleシリコン搭載Macでは、使用可能な場合はブートストラップトークンを使用して、MDMによる管理中にカーネル拡張機能とソフトウェアアップデートの両方のインストールを認証することができます。
組織の復旧キーと個人の復旧キー
CoreStorageボリュームおよびAPFSボリューム上のFileVaultは、どちらも組織の復旧キー(IRK。以前はFileVaultマスターアイデンティティと呼ばれていました)によるボリュームのロック解除に対応しています。IRKはボリュームのロックを解除するかFileVaultを完全にオフにするコマンドライン操作のために便利ですが、特に最近のバージョンのmacOSでは、組織にとっての有用性は限られます。また、Appleシリコンを搭載したMacでは、IRKは主に2つの理由で機能的な価値を提供しません: まず、IRKを使用してrecoveryOSにアクセスすることはできません。次に、ターゲットディスクモードに対応しなくなったため、ボリュームを別のMacに接続してロックを解除することはできません。これらやその他の理由により、Macコンピュータ上のFileVaultを組織で管理する場合にIRKを使用することは推奨されなくなりました。代わりに、個人の復旧キー(PRK)を使用してください。