Citrix Endpoint Management

FileVaultデバイスポリシー

macOSのFileVaultフルディスク暗号化(FileVault 2)機能を使用すると、コンテンツを暗号化することでシステムボリュームを保護できます。FileVaultが有効になっているmacOSデバイスでは、デバイスが起動するたびに、ユーザーはアカウントパスワードでログインします。ユーザーがパスワードをなくした場合は、復元キーを使用すると、ディスクのロックを解除してパスワードをリセットできます。

このデバイスポリシーで、FileVaultのユーザー設定画面を有効にし、回復キーなどの設定を構成します。FileVaultについて詳しくは、Appleのサポートサイトを参照してください。

FileVaultポリシーを追加するには、[構成]>[デバイスポリシー] の順に選択します。

macOS設定

デバイスポリシー構成画面

  • FileVaultを有効にする: [オン] の場合、[FileVaultのセットアップをスキップする最大回数] で指定されている次のN回目のログアウト時に、FileVaultを有効にするようユーザーに要求するメッセージが表示されます。[オフ] の場合、ユーザーにFileVaultを有効にするメッセージは表示されませんが、FileVaultを自身で有効にすることはできます。
  • ログオン時にFileVaultのセットアップを要求: [オン] の場合、ログアウト時に、FileVaultを有効にするようユーザーに要求するメッセージが表示されます。
  • FileVaultのセットアップをスキップする最大回数: ユーザーがFileVaultのセットアップをスキップできる最大回数。最大回数に達すると、ユーザーはログインするためにFileVaultを設定する必要があります。0の場合、ユーザーは最初のログイン試行時にFileVaultを有効にする必要があります。デフォルト値は0です。
  • 復元キーの種類: ユーザーがパスワードを忘れた場合、復元キーを入力することでディスクのロックを解除し、パスワードをリセットできます。復元キーのオプションは次の通りです。

    • 個人用復元キー: 個人用復元キーは、ユーザーに固有のものです。FileVaultのセットアップ中に、ユーザーは、復元キーを作成するかiCloudアカウントでディスクのロックを解除するかを選択します。FileVault設定の完了後にユーザーに復元キーを表示するには、[個人用復元キーの表示] を有効にします。キーを表示することで、ユーザーが今後の使用に備えてキーを記録できます。ユーザーがキーを紛失した場合に検索できるようにするには、[個人用回復キーのエスクロー] を有効にします。

      セキュリティ操作により、個人用回復キーを交換することもできます。個人用回復キーの交換について詳しくは、「 セキュリティ操作」を参照してください。

      復元キーの管理について詳しくは、Appleのサポートサイトを参照してください。

    • 組織用回復キー: 組織用(メイン)回復キーとFileVault証明書を作成できます。これらはユーザーデバイスのロック解除に使用します。詳しくは、Appleのサポートサイトを参照してください。Endpoint Managementを使用して、FileVault証明書をデバイスに展開します。詳しくは、証明書と認証を参照してください。

    • 個人用復元キーと組織用復元キー: 両方の種類の復元キーを有効にすることで、ユーザーデバイスのロック解除が必要になるのは、ユーザーが個人用復元キーを紛失した場合だけになります。

  • 組織用回復キー証明書: 回復キーの種類として [組織用回復キー] または [個人用回復キーと組織用回復キー] を選択している場合は、そのキーの回復キー証明書を選択します。

  • 個人用回復キーの表示: [オン] の場合は、FileVaultを設定すると、ユーザーデバイスに個人用回復キーが表示されます。デフォルトは、[オフ] です。

    FileVaultユーザー画面

  • 個人用回復キーのエスクロー: 有効にすると、ユーザーはEndpoint Managementを使用して各デバイスの個人用回復キーのコピーを保存できます。

    キーを保存するためのFileVaultプロンプト

    Endpoint Managementからキーにアクセスするには、[管理]>[デバイス]に移動し、macOSデバイスを選択して [編集] をクリックします。次に、[デバイスの詳細]>[一般]に移動し、[個人用回復キー] を見つけます。

    ユーザーがSelf Help Portalから回復キーを表示できるようにするには、個人用回復キーのエスクローを有効にし、個人回復キーをユーザーに表示します。キーは、Self Help Portalの [プロパティ] ページにある [セキュリティ情報] の下に表示されます。Self Help Portalについて詳しくは、「Self Help Portalで登録セキュリティモードを有効化するには」を参照してください。

    Self Help Portalに表示されるFileVaultキー

    [FileVaultを有効にする] をオンにしていない場合でも、[個人用回復キーのエスクロー] の設定を有効にすることができます。[FileVaultを有効にする] 設定をオフにしても、ユーザーは自身でFileVaultを有効にすることができます。この状況で [個人用回復キーのエスクロー] を有効にすると、ユーザーはEndpoint Managementでキーのコピーを保存できます。

    ユーザーがデバイスをEndpoint Managementに登録する前にFileVaultを有効にした場合、Endpoint Managementは回復キーを保存しません。デバイスは、コンソールでFileVaultが有効になると表示されます。

FileVaultデバイスポリシー