Jamf Connect での FileVault の有効化

Jamf Connect を使用して、管理者や標準ローカルアカウントの Mac コンピュータで FileVault 暗号化を有効にすることができます。また、指定したファイルパスにユーザの個人用リカバリキーを保存することもできます。

コンピュータで Jamf Connect や FileVault を使用する場合は、次のセキュリティやユーザ体験に関する注意項に留意してください:

  • macOS 10.15 以降のユーザデータ保護

    FileVault が有効で、Jamf Connect を使用するコンピュータからユーザがロックアウトされないようにするには、macOS 10.15 以降を使用するコンピュータに、プライバシー環境設定ポリシーコントロール (PPPC) 構成プロファイルをインストールする必要があります。この構成は Jamf Open Source CommunityGitHub リポジトリからダウンロードするか、あるいは Jamf Pro で構成して展開することができます。

  • 意図せずに Jamf Connect をバイパスする

    コンピュータで Jamf Connect ログインウィンドウを有効にしている場合に、FileVault での macOS デフォルト自動ログイン動作により Jamf Connect ログインウィンドウがロードされておらず、ネットワーク認証のプロンプトが表示されない可能性があります。

  • ユーザへのログインプロンプトの追加

    macOS 10.15 以前のコンピュータ上で FileVault が有効な場合、エクステンシブルファームウェアインタフェース (EFI) 経由で macOS 起動前にログイン画面が表示されます。本ログイン画面は EFI レベルまたは T2 チップを搭載したコンピュータの特別ブートローダーで内蔵されています。ユーザは FileVault パスワードを入力しブートドライブをロック解除し macOS を起動しなければなりません。一度ロック解除をすると、FileVault はユーザのパスワードを macOS loginwindow アプリケーションに渡しユーザを自動的にログインさせ Finder をロードします。

macOS 10.15 以降 でのプライバシー環境設定ポリシーコントロール Payload

macOS 10.15 以降での FileVault 設定を有効にするには、コンピュータにプライバシー環境設定ポリシーコントロール (PPPC) ペイロードを構成する構成プロファイルをインストールする必要があります。プロファイルを MDM ソリューションに手動でアップロードすることも、Jamf Pro で設定してデプロイすることもできます:

Jamf Pro でプライバシー環境設定ポリシーコントロール設定を展開する

Jamf Pro で PPPC ペイロード設定の構成とデプロイには、以下の手順を実行します。

  1. Jamf Pro で、ページの右上隅の Settings (設定) をクリックします。
  2. 「コンピュータ管理」セクションの Security (セキュリティ) をクリックします。
  3. 編集 をクリックします。
  4. Automatically install Privacy Preferences Policy Control profile settings (プライバシー環境設定のポリシーコントロールプロファイル設定を自動的にインストールする) セクションから Jamf Connect チェックボックスを選択します。
  5. 保存 をクリックします。

プライバシー環境設定ポリシーコントロール設定を手動でアップロード

.mobileconfig ファイルを MDM ソリューションに直接アップロードすることも、ローカルにインストールすることもできます。

アップロード用にこの構成プロファイルを取得するには、Jamf の GitHub リポジトリ: https://github.com/jamf/jamfconnect を参照してください。

自動 FileVault ログインを無効にする

FileVault 有効時に macOS ログインプロセスが Jamf Connect をスキップするのを防ぐために、コンピュータ上で自動ログインを無効にできます。

次の図は、これらの設定により、ログイン中に Jamf Connect ログインウィンドウがバイパスされないようにする仕組みを示しています。

以下のいずれかを実行することにより、コンピュータで Apple's (Apple の) 自動ログイン機能を無効にすることができます。

  • Require Network Authentication (ネットワーク認証が必要です) (DenyLocal) 設定を無効にします。この設定では、Jamf Connect ログインウィンドウが既に有効になっているコンピュータでネットワーク認証を行うようにすることで、FileVault が Jamf Connect ログインウィンドウをバイパスすることを回避します。

  • MDM ソリューションでカスタム設定 Payload を使用して、次の PLIST ファイルをアップロードします。必ず次の環境設定ドメインを指定してください: com.apple.loginwindow

    <?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 
<plist version="1.0">  
  <dict>  
    <key>DisableFDEAutoLogin</key>  
    <true/>  
  </dict> 
</plist>

ユーザ体験とセキュリティ

FileVault や多要素認証 (MFA) などのセキュリティ手段により、Mac コンピュータのセキュリティを大幅に向上することはできますが、管理者は、利用している環境に必要不可欠なセキュリティ機能のみを実装することで、良好なエンドユーザ環境を確保すべきです。Jamf Connect と結合した過大なセキュリティは、ユーザに対する複数のコンピュータログインプロンプトや Jamf Connect メニューバー App での連続的認証となる可能性があります。

macOS 10.15 において標準ローカルアカウントで FileVault を有効化

注:

macOS 11 以降では、標準アカウントで FileVault を有効化する場合に Local Administrator Password Solution (ローカル管理者パスワードソリューション) (LAPSUser) は不要です。SecureToken はコンピュータで最初に作成されたあらゆるタイプのローカルアカウントに付与されます。

Jamf Connect を使用して macOS 10.15 で FileVault が有効の標準ローカルアカウントを作成する場合は、Local Administrator Password Solution (ローカル管理者パスワードソリューション) (LAPSUser) 設定を使用する必要があります。この設定では、既存のローカル管理者アカウントのパスワードをランダム化し、そのパスワードを使用して FileVault を有効にし、個人用リカバリキーを作成します。それから、個人用リカバリキーをサイクルさせてローカル管理者パスワードにします。これにより、構成された LAPS 管理者アカウントと標準ユーザアカウントで、FileVault が有効になります。

macOS 10.15 以降における FileVault および標準アカウントについては、次の点にご留意ください。

  • コンピュータで最初の FileVault 対応ユーザアカウントを標準ユーザアカウントにすることはできません。この方法を使用するには、コンピュータに既存のローカル管理者がいる必要があります。

  • 最初に作成された標準アカウントのみが SecureToken を受け取ります。

LAPS User (LAPS ユーザ) (LAPSUser) 設定が必要な場合にのみ実行されるようにするために、この設定は次のシナリオにおいてコンピュータで無視されます。

  • macOS 11 以降のコンピュータで、いずれかのアカウントタイプが Jamf Connect にログインした場合。

  • macOS 10.15 以降のコンピュータで、ローカル管理者が Jamf Connect にログインした場合。

macOS バージョン別の Jamf Connect での FileVault の有効化

アカウントタイプ10.14.x10.15.x11.0.x - 12.0.x

管理者

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

Privacy Preferences Policy Control (プライバシー環境設定ポリシーコントロール) (PPPC) ペイロードを構成し、FileVault の有効化の事前承認を管理します。

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

Privacy Preferences Policy Control (プライバシー環境設定ポリシーコントロール) (PPPC) ペイロードを構成し、FileVault の有効化の事前承認を管理します。

Standard

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

LAPS User (LAPS ユーザ)(LAPSUser) 設定を使用し、SecureToken を既存のローカル管理者または管理用アカウントおよび標準アカウントに付与します。

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

LAPS User (LAPS ユーザ)(LAPSUser) 設定を使用し、SecureToken を既存のローカル管理者または管理用アカウントおよび標準アカウントに付与します。

Privacy Preferences Policy Control (プライバシー環境設定ポリシーコントロール) (PPPC) ペイロードを構成し、FileVault の有効化の事前承認を管理します。

Enable FileVault (FileVault を有効にします) (EnableFDE) 設定を使用し、最初にログインするユーザに対して FileVault を有効にします。

Privacy Preferences Policy Control (プライバシー環境設定ポリシーコントロール) (PPPC) ペイロードを構成し、FileVault の有効化の事前承認を管理します。

注:

LAPS User (LAPS ユーザ) (LAPSUser) は不要です。SecureToken はコンピュータで最初に作成されたあらゆるタイプのローカルアカウントに付与されます。