Jamf Connect を使用して、Mac コンピュータでローカルアカウントの FileVault 暗号化を有効にすることができます。また、指定したファイルパスにユーザのパーソナル復旧キー (PRK) を保存することもできます。
このワークフローは、Jamf Connect で作成される最初のユーザが、macOS から SecureToken 経由で暗号化特権を受け取る最初のユーザでもあるという前提に基づいており、Jamf Connect がコンピュータ上の最初のユーザアカウントをプロビジョニングしている場合のみ、このワークフローを展開する必要があります。
Jamf Pro で、Jamf ProFileVault 用の セキュリティ設定でJamf Connect チェックボックスを選択して作成した PPPC 構成プロファイルを展開し、次のインベントリのアップデートでログインまたはログアウトイベントをトリガーして、ユーザーをプロンプトし、PRK をエスクローします。
Jamf Connect では、構成プロファイルの
EnableFDEキーを使用します。非推奨のLAPSUserキーは macOS 10.15 にのみ適用され、要件ではサポート対象外として記載されているため、省略することもできます。- 次のガイドラインに従って、FileVault エスクローキーの構成プロファイルを展開して、ユーザが FileVault をオフにできないようにします。
FileVault をオンにしないよう、プロファイルを設定します。
PRK をエスクローし、ユーザが無効にできないようにする設定ガイダンスには、Jamf Pro プロファイルの例を使用します。
Jamf Pro MDM 以外の場合は、FileVault エスクロープロファイルを使用し、必要に応じて FileVault オプションペイロードと
DontAllowFDEDisableキーを含むプロファイルを展開することができます。
Jamf Pro を使用している場合、以下の操作を実行してください。
Jamf Pro で、Jamf ProFileVault 用の セキュリティ設定でJamf Connect チェックボックスを選択して作成した PPPC 構成プロファイルを展開し、次のインベントリのアップデートでログインまたはログアウトイベントをトリガーして、ユーザーをプロンプトし、PRK をエスクローします。
注:Jamf Connect で FileVault を有効にするには、macOS 12以降のコンピュータに、プライバシー環境設定ポリシー制御 (PPPC) プロファイルを設定する必要があります。
コンピュータで Jamf Connect ログインウインドウを有効にしている場合に、FileVault でのデフォルト macOS 自動ログイン動作により Jamf Connect ログインウインドウがロードされておらず、ネットワーク認証のプロンプトが表示されない可能性があります。この構成は Jamf オープンソースコミュニティの jamf / JamfPrivacyPreferencePolicyControlProfiles (GitHub) からダウンロードするか、あるいは Jamf で構成して展開することができます。
Jamf Pro ライセンスを所有していない場合は、jamf / jamfconnect (GitHub) から PPPC 構成ファイルをダウンロードし展開します。
Jamf Proセキュリティとプライバシーペイロードで、以下の操作を実行します。
- FileVault を有効にするを選択します。
- FileVault 有効化を求めるイベントセクションで、ログアウト時またはログイン時を選択します。
- パーソナル復旧キーを預託セクションで PRK を預託を選択します。
- ユーザによる FileVault の無効化を許可しない (Disallow users from turning off FileVault)を選択します。
- PRK を預託するを選択します。