次の方法で共有

Intuneを使用して FileVault で macOS デバイスを暗号化する

Microsoft Intuneを使用して、macOS デバイスで FileVault ディスク暗号化を構成および管理します。 FileVault は、 XTS-AES 128 ビット暗号化を使用する macOS に含まれるディスク全体の暗号化プログラムです。 この記事では、エンタープライズ環境の包括的な FileVault のデプロイ、管理、回復のシナリオについて説明します。

FileVault ディスク暗号化は 、macOS 10.13 以降 を実行しているデバイスで使用でき、紛失、盗難、または侵害されたデバイスのデータを保護するための完全なディスク暗号化を提供します。

注:

FileVault では、Apple の macOS によって実装された XTS-AES 128 ビット暗号化が使用されます。 この暗号化標準は固定されており、Intuneまたは macOS 設定を使用して 256 ビットに変更することはできません。 Apple は、エンタープライズ セキュリティ要件に十分な XTS-AES 128 ビット暗号化を検討しています。

ヒント

Intuneには、すべての管理対象デバイスにわたるデバイスの暗号化状態に関する詳細を表示する組み込みの暗号化レポートが用意されています。 Intuneが FileVault で macOS デバイスを暗号化した後、暗号化レポートを使用して FileVault 回復キーを表示および管理できます。

FileVault 暗号化シナリオ

Intuneでは、さまざまな組織のニーズに合った FileVault の展開に対する複数のアプローチがサポートされています。

  • Standard FileVault 暗号化 - プロンプトと遅延オプションを使用したユーザー対話型のデプロイ。
  • セットアップ アシスタントの適用 - デバイスの初期セットアップ中の自動暗号化 (macOS 14 以降)。
  • 既存の暗号化の前提 - ユーザーが暗号化したデバイスを管理します。
  • 回復キー管理 - 包括的なキーのローテーションと回復のシナリオ。

FileVault デプロイ プロセス

FileVault を使用してデバイスを暗号化するポリシーを作成した後、ポリシーは次の 2 つの段階でデバイスに適用されます。

  1. キー エスクローの準備 - デバイスは、Intuneが回復キーを取得してバックアップできるように準備されています。 このアクションはエスクローと呼ばれます。
  2. ディスク暗号化の開始 - キーがエスクローされた後、ディスク暗号化を開始できます。

Intune で FileVault を使用して macOS デバイスを最初に暗号化するときに、個人用回復キーが作成されます。 暗号化時に、デバイスではデバイス ユーザーに対して個人キーが一度だけ表示されます。

注:

Intuneで使用できる FileVault 設定は、コア macOS 暗号化機能をカバーしていますが、すべての FileVault 機能を公開しているわけではありません。 mdm を使用して構成できるのは、Intuneのテンプレートまたは設定カタログで提供されるオプションのみです。 macOS で直接使用できる高度な FileVault 設定は、Intune ポリシーを使用して構成できない場合があります。

前提条件

ライセンスと macOS バージョン

FileVault 暗号化管理には、次のものが必要です。

  • 基本的な FileVault 機能の macOS 10.13 以降
  • macOS 14 以降 でセットアップ アシスタントの適用機能を使用できます。
  • ユーザーが承認した MDM 登録 - ユーザーは、システム環境設定から管理プロファイルを手動で承認する必要があります。

ロールベースのアクセス制御

Intuneで FileVault を管理するには、ロールベースのアクセス制御 (RBAC) ロールIntune割り当てる必要があります。これには、リモート タスクのアクセス許可が含まれます。これには、Rotate FileVault キーの権限が [はい] に設定されている必要があります。

このアクセス許可は、独自の カスタム RBAC ロール に追加することも、次の 組み込みの RBAC ロールのいずれかを使用することもできます。

  • ヘルプ デスク オペレーター
  • エンドポイント セキュリティ管理者

Apple Business Manager に関する考慮事項

セットアップ アシスタントの適用シナリオでは、次のことを確認します。

  • デバイスは、Apple Business Manager または Apple School Manager を使用して登録されます。
  • 自動デプロイ用に最終構成を待機するが正しく構成されています。
  • 登録プロファイルは、監視対象デバイス管理用に構成されます。

FileVault 暗号化のポリシーの種類

デプロイのニーズに基づいて FileVault 暗号化を構成するには、次のIntuneポリシーの種類から選択します。

エンドポイント セキュリティ ポリシー

最適: 合理化された構成を使用して FileVault デプロイをStandardします。

エンドポイント セキュリティ ディスク暗号化 ポリシーは、セキュリティに特化した FileVault 構成を提供します。

  • FileVault プロファイル - 包括的な回復オプションを使用して FileVault 暗号化を構成するための専用設定。
  • セキュリティ要件に重点を置いた合理化された構成。
  • Intuneの暗号化の監視とレポートとの統合。
  • ほとんどの FileVault シナリオのセットアップが簡略化されました。

設定カタログ ポリシー

次の場合に最適です。 セットアップ アシスタントの適用または包括的な構成オプションを必要とする高度なデプロイ。

設定カタログには、最も包括的な FileVault 構成オプションが用意されています。

  • FileVault のIntuneを通じて使用できるすべての設定へのアクセス
  • セットアップ アシスタントの適用 機能 (macOS 14 以降) - 設定カタログに固有
  • テンプレートで使用できない高度な構成オプション
  • ユーザー エクスペリエンスとセキュリティ設定をきめ細かく制御する
  • 複雑なデプロイ シナリオの柔軟性を最大限に高める

デバイス構成ポリシー (非推奨)

エンドポイント保護テンプレート>デバイス構成には、より広範なエンドポイント保護の一部として FileVault が含まれています。

注:

Endpoint Protection 用の macOS テンプレートは非推奨となり、新しいプロファイルの作成はサポートされなくなりました。 新しい FileVault デプロイには 、エンドポイント セキュリティ または 設定カタログ を使用します。

エンドポイント セキュリティ ポリシーを作成する

Standard FileVault のデプロイ

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[ディスク 暗号化]>[ポリシーの作成] を選択します。

  3. 次のオプションを設定します。

    • プラットフォーム: macOS
    • プロファイル: MacOS FileVault

  4. [ 構成設定 ] ページで、コア FileVault 設定を構成します。

    必須の設定:

    • FileVault の場合: Enable = On (FileVault を有効にするには)
    • 回復キーを使用します = 有効

    回復キーの管理:

    • 回復キーのローテーション (月単位 ) = ローテーション間隔の設定
    • 場所 = キー取得のためにユーザーをガイドするための 説明的なガイダンス を入力します。

    ユーザー エクスペリエンスの設定:

    • サインアウトまで遅延を許可 する = 組織のニーズに基づいて構成する
    • ユーザー ログアウト時に Dont Ask を延期 する = ユーザー操作の基本設定を構成する
    • ユーザー ログイン時の強制遅延の最大バイパス試行 数 = 適用の厳格さの設定

  5. [スコープ (タグ)] ページで、organizationの管理構造に適切なスコープ タグを割り当てます。

  6. [ 割り当て] ページで 、このプロファイルを受け取るグループを選択します。 考慮対象:

    • 会社所有デバイスのデバイス グループ
    • BYOD シナリオのユーザー グループ
    • 初期テスト用のパイロット グループ

  7. [ 作成] を 選択してポリシーをデプロイします。

エスクローの場所に関するガイダンス

ユーザーが回復キーを取得する方法をガイドするために、便利なエスクローの場所の説明を構成します。 この情報は、個人用回復キーローテーションの設定を使用する場合に役立ちます。これにより、デバイスの新しい回復キーを定期的に自動的に生成できます。

メッセージの例:

To retrieve a lost or recently rotated recovery key, sign in to the Intune Company Portal website from any device. In the portal, go to Devices and select the device that has FileVault enabled, and then select 'Get recovery key'. The current recovery key is displayed.

追加の構成に関する考慮事項:

  • organizationのサポート連絡先情報を含めます。
  • デバイスの復旧に関する内部 IT 手順を参照します。
  • 非技術ユーザーが理解できる明確でシンプルな言語を提供します。

設定カタログ ポリシーの作成

設定カタログには、セットアップ アシスタントの適用など、最も包括的な FileVault 構成オプションが用意されています。

Standard設定カタログの展開

  1. Microsoft Intune 管理センターにサインインします。

  2. [ デバイス>By platform>macOS>Manage devices>Configuration>Create>New policy] を選択します。

  3. [プロファイルの種類] で [設定カタログ] を選択します。

  4. [ 構成設定 ] ページで、[ + 設定の追加] を選択し、[ フル ディスク暗号化] に移動します。

    [設定] ピッカーの [完全ディスク暗号化] カテゴリの FileVault オプションの画像。

  5. 次の主要な FileVault 設定を構成します。

    Filevault:

    • 有効にします =
    • 延期 = 有効 (FileVault アプリケーションの成功に必要)

    FileVault 回復キー エスクロー:

    詳細オプション (必要に応じて): (すべて FileVault の下にあります)

    • 回復キーの表示 = 暗号化中の可視性の構成
    • ユーザー ログアウト時に要求しない = 制御プロンプトのタイミングを延期する
    • ユーザー ログイン時の強制遅延の最大バイパス試行 数 = 強制制限の設定
    • 回復キーのローテーション (月単位 ) = 自動ローテーションの構成

  6. 標準的なIntune手順に従って、ポリシーの割り当てとデプロイを完了します。

セットアップ アシスタントの適用 (macOS 14 以降)

重要

セットアップ アシスタントの適用には、特定の登録と構成の前提条件が必要です。 デプロイ前に、環境がこれらの要件を満たしていることを確認します。

ヒント

macOS 14.4 では 、セットアップ アシスタントに適用される絞り込みを追加します。 macOS 14.4 より前のセットアップ アシスタントでは、セットアップ アシスタント中に対話形式で作成されたユーザー アカウントに管理者の役割が必要です。

デバイスセットアップ中の自動 FileVault 有効化の場合:

セットアップ アシスタントの前提条件:

  • macOS 14 以降
  • Apple Business Manager または Apple School Manager の登録
  • 最終構成を待機します = 登録プロファイルの [はい]
  • EnrollmentProfileName 属性を使用したデバイス フィルター

追加設定カタログの構成: (FileVault の下にあります)

  • FileVault>セットアップ アシスタントで強制的に有効にする = 有効

  • FileVault>延期 = 有効

    重要

    macOS 14.4 を実行しているデバイスのセットアップ アシスタントで FileVault を正常に有効にするには、[ 延期 ] 設定を [有効] に構成する必要があります。

    セットアップ アシスタントで File Vault を有効にするために必要な設定のスクリーンショット。

登録プロファイルの構成:

  1. Await 最終構成 = Yes を使用して登録プロファイルを構成します。
  2. ターゲット展開のデバイス フィルターを作成します。
  3. フィルター処理されたデバイスに設定カタログ ポリシーを割り当てます。

FileVault 暗号化プロセス

FileVault 暗号化プロセスを理解することは、デプロイの計画とトラブルシューティングに役立ちます。

暗号化ステージ

FileVault のデプロイは、次の 2 つの異なるフェーズで行われます。

  1. キー エスクローの準備 - Intuneは、Microsoft クラウド サービスに回復キーをバックアップするデバイスを準備します
  2. ディスク暗号化の開始 - キー エスクローの成功後に FileVault 暗号化が開始される

ユーザー エクスペリエンスに関する考慮事項

Standardデプロイ ユーザー エクスペリエンス:

  • ユーザーに FileVault の有効化プロンプトが表示される場合があります (構成によっては)
  • 暗号化プロセス中に回復キーが 1 回表示される
  • ユーザーは、回復キー情報を記録するように指示する必要があります
  • 初期セットアップ後も暗号化がバックグラウンドで続行される

セットアップ アシスタントのユーザー エクスペリエンス:

  • 暗号化は、デバイスのセットアップ中に自動的に行われます
  • 暗号化の開始にユーザー操作は必要ありません
  • 回復キーは自動的にIntuneにエスクローされます
  • ユーザーは、暗号化されたデバイスを使用してセットアップを完了します

FileVault の監視と管理

暗号化の状態を表示する

FileVault ポリシーを受信するデバイスに関する情報を表示するには、ディスク暗号化の監視に関する記事を参照してください。

複数のIntune インターフェイスを使用して FileVault のデプロイを監視します。

  1. 暗号化レポート - デバイス>Monitor>Device Encryption の状態に移動します。

    • すべての管理対象デバイスの暗号化状態を表示する
    • 暗号化されたデバイスの回復キー情報にアクセスする
    • ポリシーの展開とコンプライアンスを監視する

  2. デバイス固有の監視 - 表示する個々のデバイスを選択します。

    • FileVault enablement の状態
    • 回復キーの可用性
    • 暗号化ポリシーの割り当ての詳細

FileVault キーエスクローと管理

マネージド デバイスの場合、Intune で個人用回復キーのコピーをエスクローできます。 キーのエスクローにより、Intune 管理者は、デバイスの保護に役立つようにキーを交換したり、紛失または交換した個人用回復キーを回復したりすることができます。

Intuneは、次の場合に回復キーをエスクローします。

  • Intune ポリシーによってデバイスが暗号化される
  • ユーザーが手動で暗号化したデバイスの回復キーをアップロードする

Intune で個人用回復キーをエスクローした後、次のことが可能になります。

  • 管理者は、Intune暗号化レポートを使用して、マネージド macOS デバイスの FileVault 回復キーを管理およびローテーションできます。
  • 管理者は、 企業としてマークされているマネージド macOS デバイスのみの個人用回復キーを表示できます。 個人用デバイスの回復キーを表示できません。
  • ユーザーは、サポートされている場所から個人用回復キーを表示および取得できます。

回復キーの管理

Intuneは、FileVault で暗号化されたデバイスの包括的な回復キー管理を提供します。

回復キーを表示する

重要

管理者アクセス制限: 管理者は、 企業としてマークされたデバイスの FileVault 回復キーのみを表示および管理できます。 個人用 (BYOD) デバイスの回復キーには管理者がアクセスできないため、ユーザーのプライバシーが確保されます。 この区別は、管理者の期待とトラブルシューティングに不可欠です。

管理者の場合:

  • 企業専用としてマークされたデバイスのアクセス回復キー
  • 個人用/BYOD デバイスの回復キーを表示できない
  • デバイスの詳細>Monitor>Recovery キーに移動します
  • [ 回復キーの表示 ] を選択します (監査ログ エントリを生成します)

必要なアクセス許可:

  • リモート タスクのアクセス許可を持つ RBAC ロールをIntuneする
  • [FileVault キーを右に回転] を [はい] に設定する

回復キーアクセスの場所

エンド ユーザーは、次の場所から回復キーを取得できます。

  • ポータル サイト Web サイト (portal.manage.microsoft.com) - プライマリで最も信頼性の高い方法
  • iOS/iPadOS ポータル サイト アプリ - Mac デバイスの FileVault 回復キーを表示する
  • Android ポータル サイト アプリ - Mac デバイスの FileVault 回復キーを表示します
  • モバイル アプリIntune - Mac デバイスの FileVault 回復キーを表示する

重要

デバイスは、Intuneで登録し、Intuneを介して FileVault で暗号化する必要があります。 回復キーはモバイル ポータル サイト アプリを通じて利用できます。ポータル サイト Web サイトは、信頼性の高い回復キー取得の主な方法です。

回復キー取得プロセス:

  1. ポータル サイト Web サイトの使用 (推奨):

    • 任意のデバイスからポータル サイト Web サイト (https://portal.manage.microsoft.com/) にサインインします。
    • [デバイス] に移動し、FileVault で暗号化されている macOS デバイスを選択します。
    • [ 回復キーの取得 ] を選択します。現在の回復キーが表示されます。

  2. モバイル ポータル サイト アプリの使用:

    • iOS/iPadOS ポータル サイト アプリ、Android ポータル サイト アプリ、またはモバイル アプリIntune開きます。
    • [デバイス] に移動し、暗号化された macOS デバイスと登録済みの macOS デバイスを選択します。
    • [回復キーの取得] を選択します。ブラウザーに Web ポータル サイトが表示され、回復キーが表示されます。

回復キーのローテーション

Intuneでは、自動回復キーと手動回復キーのローテーションの両方がサポートされています。

自動回転

FileVault ポリシーで自動キー ローテーションを構成します。

  • 個人用回復キーのローテーション = 間隔の設定 (1 ~ 12 か月)
  • 新しいキーが自動的に生成され、エスクローされます
  • 以前のキーは、ローテーションが成功した後に無効になります
  • ユーザーは、ポータル サイトを使用して新しいキーを取得する必要があります

手動回転

管理者は、回復キーを手動でローテーションできます。

  1. Microsoft Intune管理センターにサインインする
  2. [デバイス>すべてのデバイス] を選択します
  3. 暗号化されたデバイスを選択する
  4. [監視] で、[回復キー] を選択します
  5. [ ファイルのローテーション] [Vault 回復キー] の順に選択します

注:

手動ローテーションは 、会社 のデバイスでのみ使用できます。 個人用デバイスでは、ポリシーで構成された自動ローテーションが使用されます。

既存の FileVault 暗号化の管理を想定する

Intuneは、FileVault ポリシーを受け取る前にユーザーが暗号化したデバイスIntune管理することを想定できます。 このシナリオでは、以前に暗号化されたデバイスの一元的な回復キー管理が可能になります。

管理の前提条件

  • デバイスは、Intuneからアクティブな FileVault ポリシーを受け取る必要があります
  • ユーザーは、現在の回復キーにアクセスできる必要があります。または、新しいキーを生成する機能が必要です

どちらの方法でも、Intuneを介して展開されるアクティブな FileVault ポリシーが必要です。 ポリシーの配信には 、エンドポイント セキュリティ ディスク暗号化プロファイル を使用します。

方法 1: 既存の回復キーをアップロードする

使用するタイミング: ユーザーは現在の個人用回復キーを認識しています。

プロセス:

  1. 以前に暗号化されたデバイスに FileVault ポリシーをデプロイします。
  2. ユーザーを Web サイト (portal.manage.microsoft.com) にポータル サイトします。
  3. ユーザーは暗号化されたデバイスを選択し、[ ストア回復キー] を選択します。
  4. ユーザーが現在の個人用回復キーを入力します。
  5. Intuneキーを検証し、新しい回復キーにローテーションします。
  6. 新しいキーはエスクローされ、ポータル サイトを通じて使用できます。

ユーザー通信:
Intune管理を有効にするには、回復キーをアップロードする必要があることをユーザーに通知します。 完了を確認するには、コンプライアンス ポリシーの適用を検討してください。

方法 2: デバイスで新しい回復キーを生成する

使用するタイミング: ユーザーは現在の回復キーを知りませんが、デバイスにアクセスできます。

プロセス:

  1. 以前に暗号化されたデバイスに FileVault ポリシーをデプロイします。
  2. ユーザーは、暗号化されたデバイスでターミナル アプリを開きます。
  3. キー ローテーション コマンドを実行します。 
    cd /Applications/Utilities
sudo fdesetup changerecovery -personal
  4. ユーザーは、メッセージが表示されたときにデバイス パスワードを指定します。
  5. システムは、新しい回復キーを生成して表示します。
  6. Intuneと管理を使用したデバイス のチェックインが想定されます。

デバイスのチェックを迅速化する:

  • 管理: デバイス>デバイス >Sync を選択する
  • ユーザー: アプリ >Settings>Sync をポータル サイト

経営前提の検証

どちらの方法でも、管理の想定が正常に完了したことを確認します。

  1. Intune暗号化レポートでデバイスの暗号化の状態を確認します。
  2. デバイスの詳細で回復キーの可用性を確認します。
  3. ポータル サイトを使用して回復キーの取得をテストします。

FileVault デプロイのトラブルシューティング

デプロイに関する一般的な問題

問題 解決方法 検証
FileVault の有効化が失敗する ユーザーが承認した MDM 登録の状態を確認する システム環境設定 > プロファイルを確認する
回復キーエスクローが失敗する デバイス ネットワーク接続を確認する 暗号化レポートでエスクローの状態を確認する
セットアップ アシスタントの適用が機能しない (macOS 14 以降) 設定カタログ で延期 設定が 有効 になっていることを確認する [Await final configuration]\(最終構成を待機する\) の登録プロファイルを確認する
ユーザーが回復キーを取得できない デバイスの所有権の種類とユーザーのアクセス許可を確認する Intuneで会社のデバイス指定を確認する
管理者が回復キーにアクセスできない Personal/BYOD としてマークされたデバイス (予期される動作) デバイスの所有権の種類を確認する - 個人用デバイスがユーザーのプライバシーを保護する

エラー コード リファレンス

エラー -2016341107/0x87d1138d: ユーザーが FileVault 有効化プロンプトを受け入れていません。

  • 解像 度: FileVault プロンプトを受け入れるユーザー教育。
  • 防止: 自動デプロイのセットアップ アシスタントの適用を検討してください。

ポリシー競合の解決

Intuneのポリシー競合検出を使用して、以下を識別します。

  • FileVault ポリシーの重複
  • エンドポイント保護の設定の競合
  • コンプライアンス ポリシーの相互作用

セキュリティに関する考慮事項

回復キーのセキュリティ

キー保護:

  • 回復キーは転送中および保存時に暗号化されます
  • キーは Microsoft クラウド サービスに安全に格納されます
  • アクセスは、INTUNE RBAC アクセス許可によって制御されます

監査ログ:

  • すべての回復キー アクセスは、監査ログMicrosoft Entraログインされます
  • ログには、ユーザー ID、タイムスタンプ、キー ID が含まれます
  • 不正なアクセス試行のログを定期的に確認する

企業デバイスと個人用デバイス

注:

デバイスの所有権の種類 ([企業] と [個人用] ) によって、FileVault 回復キーへの管理者アクセスが決定されます。 これは、基本的なセキュリティとプライバシーの設計です。

会社のデバイス:

  • 完全な管理アクセス: 管理者は回復キーを表示、ローテーション、管理できます
  • Intune管理センターを使用して回復キー管理機能を完了する
  • 完全な IT 制御が期待される会社所有の機器に適しています
  • 監査ログは、すべての管理回復キー アクセスを追跡します

個人用デバイス (BYOD):

  • 管理アクセスなし: 管理者は回復キーを表示または直接管理できません
  • ユーザーは、セルフサービス ポータル サイト アクセスを通じて完全な制御を維持します
  • 組織のセキュリティ ニーズと従業員のプライバシー要件のバランスを取ります
  • キーは、ユーザーのセルフサービス復旧のために Microsoft クラウドに引き続きエスクローされます
  • 自動ローテーションは、ポリシー構成に基づいて引き続き機能します

コンプライアンス統合

FileVault 暗号化は、Intuneコンプライアンス ポリシーと統合されます。

  • コンプライアンス ポリシー でデータ ストレージの暗号化を要求する を設定する
  • 暗号化が有効になるまで企業リソースへのアクセスをブロックする
  • デバイス コンプライアンス レポートを使用してコンプライアンスを監視する

次の手順

  • Last updated on