Dell Encryption Enterprise for Mac
管理者ガイド v10.6
メモ、注意、警告
メモ: 製品を使いやすくするための重要な情報を説明しています。
注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。
警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
© 2012-2020 Dell Inc. All rights reserved.Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の商
標は、それぞれの所有者の商標である場合があります。
Registered trademarks and trademarks used in the Dell Encryption, Endpoint Security Suite Enterprise, and Data Guardian suite of
documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee®
and the McAfee logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core
Inside Duo
®, Itanium®, and Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®,
and Flash® are registered trademarks of Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec.
AMD® is a registered trademark of Advanced Micro Devices, Inc. Microsoft®, Windows®, and Windows Server®, Internet Explorer®,
Windows Vista®, Windows 7®, Windows 10®, Azure®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®,
Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered trademarks of
Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in
the United States or other countries. Box® is a registered trademark of Box. Dropbox ℠ is a service mark of Dropbox, Inc. Google™,
Android™, Google™ Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United
States and other countries. Apple®, App Store℠, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod
touch®, iPod shuffle®, and iPod nano®, Macintosh®, and Safari® are either servicemarks, trademarks, or registered trademarks of
Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance Software® are either trademarks or registered
trademarks of Guidance Software. Entrust
® is a registered trademark of Entrust®, Inc. in the United States and other countries. Mozilla®
Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or registered
trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are
registered trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other
countries. UNIX® is a registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States
and other countries. VeriSign® and other related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or
subsidiaries in the U.S. and other countries and licensed to Symantec Corporation. KVM on IP® is a registered trademark of Video
Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered trademark of Microsoft Inc. Ask® is a registered
trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
2020 - 02
Rev. A01
1 はじめに.......................................................................................................................................5
概要.........................................................................................................................................................................................5
FileVault 暗号化.....................................................................................................................................................................5
Dell ProSupport へのお問い合わせ................................................................................................................................... 5
2 要件............................................................................................................................................ 6
Encryption クライアントハードウェア............................................................................................................................ 6
Encryption クライアントソフトウェア........................................................................................................................... 6
3 Encryption クライアントのタスク...................................................................................................8
Encryption Enterprise for Mac のインストールとアップグレード...............................................................................8
インタラクティブなインストール / アップグレード............................................................................................. 9
コマンドラインでのインストール / アップグレード............................................................................................10
リムーバブル メディアのフル ディスク アクセスの有効化............................................................................... 12
Encryption Enterprise for Mac のアクティブ化............................................................................................................. 12
Encryption Enterprise ログファイルの収集....................................................................................................................13
暗号化のポリシーとステータスの表示...........................................................................................................................13
管理コンソールのポリシーとステータスの表示.....................................................................................................16
システムボリューム........................................................................................................................................................... 17
暗号化の有効化............................................................................................................................................................. 17
暗号化プロセス............................................................................................................................................................. 17
FileVault リカバリキーの再利用................................................................................................................................ 20
ユーザーエクスペリエンス.........................................................................................................................................20
リカバリ............................................................................................................................................................................... 21
FileVault リカバリ.........................................................................................................................................................22
リムーバブルメディア...................................................................................................................................................... 25
サポートされるフォーマット.....................................................................................................................................25
Encryption External Media とポリシーの更新..........................................................................................................26
暗号化例外.................................................................................................................................................................... 26
リムーバブルメディア タブ上のエラー...................................................................................................................26
監査メッセージ.............................................................................................................................................................26
Encryption Enterprise for Mac のアンインストール.....................................................................................................26
Encryption External Media のアンインストール............................................................................................................27
4 管理者としてのアクティブ化........................................................................................................ 28
アクティブ化...................................................................................................................................................................... 28
一時的なアクティブ化......................................................................................................................................................28
5 Boot Camp の使用...................................................................................................................... 29
Mac OS X Boot Camp のサポート................................................................................................................................... 29
Boot Camp 上の Encryption Enterprise for Windows の回復...................................................................................... 29
6 クライアントツール......................................................................................................................31
目次
目次 3
はじめに
Encryption Enterprise for Mac 管理者ガイドは、クライアントソフトウェアの導入とインストールに必要な情報を提供します。
トピック:
• 概要
• FileVault 暗号化
• Dell ProSupport へのお問い合わせ
概要
Encryption Enterprise for Mac で、FileVault フル ディスク暗号化を管理できます。
• Encryption Enterprise for Mac - すべてのデータを暗号化し、アクセス制御を実施するクライアント暗号化ソフトウェアです
• ポリシープロキシ - ポリシーの配布に使用します
• セキュリティサーバ - クライアント暗号化ソフトウェアのアクティベーションに使用されます
• Security Management Server または Security Management Server Virtual - 一元化されたセキュリティポリシー管理を提供し、既存
のエンタープライズディレクトリを統合し、レポートを作成します。ここでは、特定のバージョンに言及する必要(Dell Security
Management Server Virtual を使用する場合は手順が異なる場合など)がない限り、両方のサーバとも Dell Server と呼びます。
これらのデルコンポーネントはシームレスに相互動作し、ユーザーエクスペリエンスを損なうことなく、安全なモバイル環境を
提供します。
FileVault 暗号化
Dell Encryption では、Mac FileVault フル ディスク暗号化を管理することができます。暗号化を行い、その他のポリシー設定が機能
するようにするには、[Dell Volume Encryption]ポリシーが[オン]に設定されている必要があります。他のポリシーの詳細につい
ては、AdminHelp を参照してください。
サポートされるのは FileVault 暗号化のみで、Encryption Enterprise で管理します。コンピュータで Dell Volume Encryption ポリシーが
オン に設定され、FileVault for Mac
を使用して暗
号
化
が オフ に設定されている場合、Encryption クライアントにポリシーの競合を
示すメッセージが表示されます。管理者は、両方のポリシーを オン に設定する必要があります。
Dell ProSupport へのお問い合わせ
デル製品向けの 24 時間 365 日対応電話サポート(877-459-7304、内線 4310039)にご連絡ください。
さらに、デル製品のオンラインサポートも dell.com/support からご利用いただけます。オンラインサポートでは、ドライバ、マニュ
アル、テクニカルアドバイザリー、よくあるご質問(FAQ)、および緊急の問題を取り扱っています。
米国外の電話番号については、Dell ProSupport の国際電話番号をチェックしてください。
1
はじめに 5
要件
本章では、クライアントのハードウェアとソフトウェアの要件を説明します。導入タスクを続行する前に、導入環境が要件を満た
していることを確認してください。
トピック:
• Encryption クライアントハードウェア
• Encryption クライアントソフトウェア
Encryption クライアントハードウェア
最小限のハードウェア要件は、オペレーティングシステムの最小要件を満たしている必要があります。
ハードウェア
• 30 MB の空きディスク容量
• 10/100/1000 または Wi-Fi ネットワークインタフェースカード
• システム ディスクは GUID Partition Table(GPT)パーティション スキームでパーティショニングされている必要があり、
次のいずれかでフォーマットできます。
• Mac OS X Extended Journaled(HFS+):FileVault に適用するためコア ストレージに変換されます。
• Apple File System(APFS)
Encryption クライアントソフトウェア
次の表では、サポートされているソフトウェアの詳細を説明します。
オペレーティングシステム(64 ビットカーネル)
• macOS High Sierra 10.13.6
• macOS Mojave 10.14.5~10.14.6
• macOS Catalina 10.15.0~10.15.2
メモ:
認証にネットワークユーザーアカウントを使用している場合、FileVault 2 管理を完全に設定するためには、このアカウントが
モバイルアカウントとして設定されている必要があります。
暗号化メディア
次の表では、デルの暗号化された外部メディアへのアクセス時にサポートされるオペレーティングシステムを詳しく説明していま
す。
メモ:
Encryption External Media は以下をサポートします。
• FAT32
• exFAT
• マスターブートレコード(MBR)または GUID パーティションテーブル(GPT)スキームを採用した HFS Plus(Mac OS 拡
張)フォーマットのメディア「HFS Plus の有効化」を参照してください。
2
6 要件
メモ:
Encryption External Media をホストするには、外部メディア上の 55 MB の空き容量に加えて、メディア上に暗号化対象の最
大ファイルに等しい空き容量が必要です。
暗号化されたメディアへのアクセス用にサポートされる Windows オペレーティングシステム(32 ビットおよび 64 ビッ
ト)
• Microsoft Windows 7 SP1
- Enterprise
- Professional
- Ultimate
• Microsoft Windows 8.1 - Windows 8.1 Update 1
- Enterprise
- Pro
• Microsoft Windows 10
- Education
- Enterprise
- Pro v1607(Anniversary Update/Redstone 1)~v1909(November 2019 Update/19H2)
メモ:
Windows 10 のアップデート後、操作を続行するには Data Guardian には CBFS Connect の最新のメジャーバー
ジョンが必要です。
暗号化されたメディアへのアクセス用にサポートされる Mac オペレーティングシステム(64 ビットカーネル)
• macOS High Sierra 10.13.6
メモ:
macOS High Sierra 10.14.x で Encryption External Media を使用するには、Encryption Enterprise v8.16 以降が
必要です。
• macOS Mojave 10.14.5~10.14.6
• macOS Catalina 10.15.0~10.15.2
要件 7
Encryption クライアントのタスク
Encryption Enterprise for Mac のインストールとア
ップグレード
このセクションでは、Encryption Enterprise for Mac のインストール / アップグレードおよびアクティブ化のプロセスについて説明
します。
Encryption Enterprise for Mac には 2 つのインストール / アップグレード方法があります。次のいずれかを選択してください。
• インタラクティブなインストール / アップグレードおよびアクティブ化 - この方法は、クライアントのソフトウェアパッケージ
をインストールまたはアップグレードする最も簡単な方法です。ただし、この方法ではカスタマイズが一切できません。Boot
Camp
またはデルがまだ完全にサポートしていないオペレーティングシステムのバージョン(.plist の変更により)に使用する予
定の場合は、コマンドラインインストール / アップグレードの方法を使用する必要があります。Boot Camp の使用については、
「Boot Camp の使用」を参照してください。
• コマンドラインインストール / アップグレード - これはコマンドラインの構文を熟知している管理者によってのみ使用される
高度なインストール / アップグレード方法です。Boot Camp またはデルがまだ完全にサポートしていないオペレーティングシス
テムのバージョン(.plist の変更により)に使用する予定の場合は、この方法を使用してクライアントソフトウェアパッケージを
インストールまたはアップグレードする必要があります。Boot Camp の使用については、「Boot Camp の使用」を参照してくださ
い。
インストーラコマンドオプションに関する詳細については、http://developer.apple.com. にある『Mac OS X Reference Library』を
参照してください。http://developer.apple.com デルでは、クライアントインストールパッケージの配布に Apple Remote Desktop
などのリモート導入ツールを使用することをお勧めしています。
メモ:
Apple は、Encryption Enterprise for Mac のリリースの間に頻繁にオペレーティングシステムの新しいバージョンをリリー
スします。できるだけ多くのお客様をサポートするため、com.dell.ddp.plist ファイルの修正により、これらのケースをサ
ポートすることができます。これらのバージョンのテストは、Apple が Encryption Enterprise for Mac と互換性があるこ
とを確認するため、新しいバージョンをリリースするとすぐに開始されます。
前提条件
デルでは、クライアントソフトウェアの導入時は IT のベストプラクティスに従うことをお勧めします。これには初期テストのため
の制御されたテスト環境、およびユーザーへのスタッガ化された導入が含まれますが、これらに限定されるものではありません。
このプロセスを開始する前に、次の前提条件が満たされていることを確認してください。
• Dell Server およびそのコンポーネントがすでにインストールされていることを確認します。
Dell Server をまだインストールしていない場合は、以下の該当するガイドの指示に従います。
Security Management Server
インスト
ー
ルおよびマイグレ
ー
ション
ガイド
Security Management Server Virtual
クイック
スタ
ー
トおよびインスト
ー
ル
ガイド
• セキュリティサーバとポリシープロキシの URL が手元にあることを確認します。どちらもクライアントソフトウェアのインス
トールおよびアクティブ化に必要です。
• 導入時にデフォルト以外の設定を使用する場合は、セキュリティサーバのポート番号を把握しておいてください。これは、クラ
イアントソフトウェアのインストールおよびアクティブ化に必要です。
• ターゲットコンピュータがセキュリティサーバおよびポリシープロキシにネットワーク接続されていることを確認します。
• Active Directory にドメインユーザーアカウントがあり、Dell Server で使用するためにインストールが設定されていることを確認
します。ドメインユーザーアカウントは、クライアントソフトウェアのアクティブ化に使用されます。ドメイン(ネットワー
ク)認証用に Mac エンドポイントを設定することは必須ではありません。
暗号化ポリシーを設定する前に、[Dell Volume Encryption]ポリシーを[
オン
]にしてください。[FileVault for Mac
を使用して暗
号
化
]ポリシーと[
暗
号
化のタ
ー
ゲットとなるボリュ
ー
ム
]ポリシーを確認しておくようにしてください。
暗号化ポリシーの詳細については、Mac 暗号化 > Dell Volume Encryption を参照してください。
3
8 Encryption クライアントのタスク
インタラクティブなインストール / アップグレード
クライアントソフトウェアをインストール / アップグレードおよびアクティブ化するには、次の手順に従います。これらの手順を
実行するには、管理者アカウントが必要です。
インタラクティブなインストール
メモ:
開始する前に、ユーザーの作業を保存し、その他のアプリケーションを閉じます。インストールが完了した後すぐにコンピュー
タを再起動する必要があります。
1. デルのインストールメディアから、Dell-Encryption-Enterprise-<version>.dmg ファイルをマウントします。
2. パッケージインストーラをダブルクリックします。次のようなメッセージが表示されます:
このパッケ
ー
ジは、ソフトウェアをインスト
ー
ルできるかどうかを判定するプログラムを
実
行します。
3. 続行 をクリックして進めます。
4. ようこそ テキストを読み、続行 をクリックします。
5. ライセンス契約を読み、続行 をクリックし、次に 同意する をクリックしてライセンス契約の条項に同意します。
6.
ドメインアドレス
フィールドに、department.organization.com のようなターゲットユーザーの完全修飾ドメインを入力します。
7.
表示名(オプション)
フィールドで、
表示名
をドメインの NetBIOS(Windows 2000 より前)名に設定することを考慮します。
通常は大文字で設定します。
設定すると、ドメインアドレスの代わりにこのフィールドが
アクティブ化
ダイアログに表示されます。これは Windows コンピ
ュータ管理下のドメインの
認証
ダイアログに表示されるドメイン名との整合性を提供します。
8.
セキュリティサ
ー
バ
フィールドに、セキュリティサーバのホスト名を入力します。
導入時にデフォルト以外の設定を使用する場合は、ポートおよび SSL
を使用する
チェックボックスをアップデートします。
接続が確立されると、セキュリティサーバ接続インジケータが赤から緑に変化します。
9.
ポリシ
ー
プロキシ
フィールドに、セキュリティサーバのホストと同じホストを含むポリシープロキシのホスト名が自動入力され
ます。ポリシーの設定でホストが指定されていない場合は、このホストがポリシープロキシとして使用されます。
接続の確立後に、ポリシープロキシ接続インジケータは赤から緑に変化します。
10. デル設定 ダイアログボックスが完了し、セキュリティサーバおよびポリシープロキシへの接続が確立されたら、続行 をクリッ
クしてインストールの種類を表示します。
11. 特定のコンピュータの一部のインストールでは
インスト
ー
ルの種類
ダイアログが表示される前に
宛先の選
択 ダイアログが表
示されます。この場合、表示されるディスクのリストから現在のシステムディスクを選択します。現在のシステムディスクの
アイコンに、ディスクの方向を指す緑色の矢印が表示されます。続行 をクリックします。
12. インストールの種類が表示されたら、インストール をクリックしてインストールを続行します。
13. プロンプトが表示されたら、Mac OS X インストーラアプリケーションによって必要とされる管理者アカウントの資格情報を入
力して、OK をクリックします。
メモ:
コンピュータは、インストールの完了直後に再起動する必要があります。他のアプリケーションで開いているファイルがあ
り、再起動する準備ができていない場合は、キャンセル をクリックして作業を保存し、そのアプリケーションを閉じます。
14. インストールの続行 をクリックします。インストールが開始されます。
15. インストールが完了したら、再起動 をクリックします。
16. Encryption Enterprise の新規インストールの場合は、[
システム
拡
張がブロックされました
]ダイアログが表示されます。
kext-consent では、これらのダイアログのいずれかまたは両方が表示されます。
システム
拡張がブロックされました
システム拡張がブロックされました
a. OK をクリックします。
b. OK をクリックします。
c. 機能拡張を承認するには、システム環境設定 > セキュリテ
ィとプライバシー を選択します。
d.
開
発
元である
Credant Technologies
のシステム
ソフトウェ
ア
の横にある[許可]をクリックします。
e. OK をクリックします。
FDEEM
ボリュームをマウントするシステム拡張機能を読み込
めなかった場合は、次の手順を実行します。
a. ”システム環境設定”を開く をクリックします。
b. OK をクリックします。
c. [全般]タブで、
開
発
元である
Credant Technologies
のシス
テム
ソフトウェア
の横にある[許可]をクリックします。
d. OK をクリックします。
Encryption クライアントのタスク 9
[許可]ボタンを使用できるのは、インストールしてから 30 分以内です。この手順をスキップした場合、手順を完了するまで、
このダイアログが 25 分ごとに表示され続けます。
17. Encryption Enterprise for Mac のアクティブ化を続行します。
18. 企業が macOS 10.15 以降および Encryption Enterprise 環境でリムーバブル メディアを使用している場合、ユーザーは外部メディ
アに対してフル ディスク アクセスを有効にする必要があります。詳細については、「リムーバブル メディアのフル ディスク ア
クセスの有効化」を参照してください。
コマンドラインでのインストール / アップグレード
コマンドラインを使用してクライアントソフトウェアをインストールするには、次の手順に従います。
コマンドラインでのインストール
1. デルのインストールメディアから、Dell-Encryption-Enterprise-<version>.dmg ファイルをマウントします。
2. Install Dell Encryption Enterprise パッケージと com.dell.ddp.plist ファイルをローカルドライブにコピーします。
3. 管理コンソールで、必要に応じて次のポリシーを変更します。ポリシーの設定によって .plist ファイルの設定が上書きされます。
管理コンソールにポリシーが存在しない場合は、.plist 設定を使用します。
• 認証ユーザーリストなし - 場合によっては、指定されたユーザーまたはユーザーのクラスが Dell Server に対してアクティブ化
する必要がないように、このポリシーを編集できます。たとえば、教育施設で、教師には Dell Server に対して自分のコンピ
ュータをアクティブ化する事を求めるメッセージが表示されますが、ラボのコンピュータを使用している個々の学生には表
示されません。ラボの管理者は、このポリシーとクライアントツールを実行するアカウントを使用して、学生のユーザーがア
クティブ化を求められなくてもログインできるようにします。クライアントツールに関する情報は、「クライアントツール」
を参照してください。企業はどのユーザーアカウントがエンタープライズの各 Mac コンピュータに関連付けられているかを
知っている必要があり、すべてのユーザーは企業がこのプロパティを編集しないように Dell Server に対してアクティブ化さ
れている必要があります。ただし、Encryption External Media のプロビジョニングを希望するユーザーは、Dell Server に対し
て認証されていなければなりません。
4. .plist ファイルを開き、すべての追加のプレースホルダについて値を編集します。
メモ:
Apple は、Encryption Enterprise for Mac のリリースの間に頻繁にオペレーティングシステムの新しいバージョンをリリー
スします。できる限り多くのお客様をサポートするために、デルは .plist ファイルを変更可能にして、これらのケースに対
応しています。Apple が新しいバージョンをリリースするとすぐに、デルはこれらのバージョンと Encryption Enterprise
for Mac との互換性を確認するためのテストを開始します。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/
PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>NoAuthenticateUsers</key> [In this sample code, after one user activates the
computer against the
Dell Server, other users can log in without being prompted to
activate.]
<dict>
<key>dsAttrTypeStandard:AuthenticationAuthority</key>
<array>
<string>*</string>
</array>
</dict>
<key>NoAuthenticateUsers</key> [In this sample code, users from a specific domain name
can log in without being prompted to activate against the
Dell Server.]
<dict>
<key>dsAttrTypeStandard:AuthenticationAuthority</key>
<array>
<string>;Kerberosv5;;*@domainName.com;domainName.com*</string>
</array>
</dict>
<key>NoAuthenticateUsers</key> [In this sample code, specific users can log in without
being prompted to authenticate against the
Dell Server.]
<dict>
<key>dsAttrTypeStandard:AuthenticationAuthority</key>
<array>
<string>;Kerberosv5;;[email protected];domainName.com*</string>
<string>;Kerberosv5;;[email protected];domainName.com*</string>
</array>
10 Encryption クライアントのタスク
</dict>
<key>AllowedOSVersions</key> [AllowedOSVersions is not present in the default .plist
file, it must be added to the file. Add from <key> through </array> to allow a newer
version of operating system to be used. See Note above.]
<array>
<string>10.<x.x></string> [Operating system version]
</array>
<key>UseRecoveryKey</key>
<false/> [This value is obsolete since current versions can use both personal and
institutional recovery keys for FileVault encryption.]
<key>SecurityServers</key>
<array>
<dict>
<key>Host</key>
<string>securityserver.organization.com</string> [Replace this value with your
Security Server URL]
<key>Port</key>
<integer>8443</integer> [Beginning in v8.0, the default port number is 8443. However,
port number 8081 will still allow activations. In general, if your
Dell Server is v8.0 or
later, use port 8443. If your Dell Server is pre-v8.0, use port 8081.]
<key>UseSSL</key>
<true/> [Dell recommends a true value]
</dict>
</array>
<key>ReuseUniqueIdentifier</key>
<false/> [When this value is set to true, the computer identifies itself to the
Dell
Server by the same hostname it was activated with, regardless of changes to the computer
hostname.]
<key>Domains</key>
<array>
<dict>
<key>DisplayName</key>
<string>COMPANY</string>
<key>Domain</key>
<string>department.organization.com</string> [Replace this value with the Domain URL
that users will activate against]
</dict>
</array>
<key>PolicyProxies</key>
<array>
<dict>
<key>Host</key>
<string>policyproxy.organization.com</string> [Replace this value with your Policy
Proxy URL]
<key>Port</key>
<integer>8000</integer> [Leave as-is unless there is a conflict with an existing
port]
</dict>
</array>
<key>Version</key>
<integer>2</integer> [Do not modify]
<key>MaxPasswordDelay</key>
<integer>xxxx</integer> [Number of seconds to apply to the security policy, "Require
password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.]
<key>EMSTreatsUnsupportedFileSystemAs</key>
<string>ignore</string> [For handling Mac OS Extended media. Possible values are ignore,
provisioningRejected, or unshieldable. ignore - the media is usable (default).
provisioningRejected - retains the value in the
Dell Server policy, EMS Access to
unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to
Block, the media is ejected. If the EMS Access to unShielded Media policy is not set to
Block, it is usable as provisioningRejected. The key and value are case sensitive.]
<key>ClientActivationTimeout</key>
<integer>120</integer> [Range: 5 to 300, inclusive. The default value is 30. The time in
seconds to give the Security Server time to respond to an activation attempt before giving
up. This plist value is valid for clients running v8.6.0.6627 or later.]
</dict>
</plist>
5. .plist ファイルを保存して閉じます。
6. 各ターゲットコンピュータに対して、パッケージを一時フォルダにコピーし、com.dell.ddp.plist ファイルを /Library/Preferences
にコピーします。
7. 次の installer コマンドを使用して、パッケージのコマンドラインでのインストールを実行します。
Encryption クライアントのタスク 11
sudo installer -pkg "Install Dell Encryption Enterprise.pkg" -target /
8. 次のコマンドラインを使用してコンピュータを再起動します。sudo shutdown -r now
メモ:
macOS High Sierra(10.13)では System Integrity Protection(SIP)が強化されているため、ユーザーによる新規サード
パーティ製カーネル拡張の承認が必要です。macOS High Sierra でのカーネル拡張の承認の詳細については、KB 記事
SLN307814 を参照してください。
9. Enterprise Edition for Mac のアクティブ化 を続行します。
10. 企業が macOS 10.15 以降および Encryption Enterprise 環境でリムーバブル メディアを使用している場合、ユーザーは外部メディ
アに対してフル ディスク アクセスを有効にする必要があります。詳細については、「リムーバブル メディアのフル ディスク ア
クセスの有効化」を参照してください。
リムーバブル メディアのフル ディスク アクセスの有効化
企業が macOS 10.15 以降および Encryption Enterprise 環境でリムーバブル メディアを使用している場合、ユーザーは外部メディアに
対してフル ディスク アクセスを有効にする必要があります。次のいずれかが発生します。
• Encryption Enterprise をインストールすると、外部メディアに対するフル ディスク アクセスに同意する必要があることを示すプ
ロンプトが表示されます。[[セキュリティとプライバシー]へ移動]ボタンをクリックして、次の手順に進みます。
• インストール後にプロンプトが表示されない場合は、リムーバブル メディアを初めてマウントしたときに、フル ディスク アク
セスを有効にすることを求めるプロンプトが表示されます。Dell Encryption External Media または EMS Explorer がリムーバブル
ボリューム上のファイルへのアクセスを求めていることを示すメッセージが表示されます。[OK]をクリックして、次の手順に
進みます。
詳細については、https://www.dell.com/support/article/sln319972 を参照してください。
1. [システム環境設定] > [セキュリティとプライバシー]で、[プライバシー]タブをクリックします。
2. 左ペインで、[フル ディスク アクセス]を選択します。External Media アプリは表示されません。
3. 左ペインで、[ファイルとフォルダー]を選択します。
4. 下部にあるロック アイコンをクリックして、変更を行います。
外部メディア(EMS)コンポーネントをチェックして、必要な権限を指定することができます。
5. 左ペインで、[フル ディスク アクセス]を選択します。
これでアプリが表示されるようになります。ただし、承認リクエストが保留中の場合、そのアプリのチェック ボックスはオン
になっていません。
6. ユーザーが管理者のユーザー ID とパスワードを使用して認証を行い、チェック ボックスをオンにして権限を付与する必要があり
ます。
Encryption Enterprise for Mac のアクティブ化
アクティブ化プロセスは Dell Server のネットワークユーザーアカウントを Mac コンピュータと関連付け、各アカウントのセキュリ
ティポリシーを取得してインベントリとステータスの更新を送信し、リカバリのワークフローを有効化して包括的なコンプライアン
スレポートを提供します。クライアントソフトウェアは、各ユーザーがユーザーアカウントにログインするときに、コンピュータ上
で見つけた各ユーザーアカウントに対してアクティブ化プロセスを実行します。
ユーザーは、クライアントソフトウェアがインストールされ、Mac が再起動された後でログインします。
1. Active Directory によって管理されるユーザー名およびパスワードを入力します。
パスワードダイアログボックスがタイムアウトした場合は、ポリシー タブの 更新 をクリックします。「ローカルコンピュータで
のポリシーとステータスの表示」の手順 1 を参照してください。
2. ログオン先のドメインを選択します。
Dell Server が複数ドメインサポートに対して設定され、アクティブ化に別のドメインを使用する必要がある場合は、
<username>@<domain> 形式のユーザープリンシプル名(UPN)を使用します。
3. オプションには次のものがあります。
• アクティブ化 をクリックします。
• アクティブ化が成功すると、アクティブ化の成功を示すメッセージが表示されます。Encryption Enterprise for Mac は現在
完全に動作可能で Dell Server によって管理されています。
メモ:
12 Encryption クライアントのタスク
Encryption External Media の必須リソースに関するアラートが表示される場合は、[セキュリティとプライバシーへ
移動]ボタンをクリックし、[許可]をクリックして、組織が必要とするシステム拡張を行います。Encryption
External Media を適切に機能させるには、この拡張を許可する必要があります。
• アクティブ化に失敗すると、クライアントソフトウェアは、3 回まで正しいドメイン資格情報の入力を許可します。3 回
とも失敗すると、ドメイン資格情報に対するプロンプトは次回のユーザーログイン時に再度表示されます。
• 今はしない をクリックしてダイアログを閉じると、次のユーザーログインで再度を表示されます。
メモ:
管理者が Mac コンピュータ上のドライブの復号化を必要とする場合、それがリモートの場所からか、スクリプトの実行
によるものか、または本人が直接行うかにかかわらず、クライアントソフトウェアはユーザーに管理者によるアクセス
を許可するためのプロンプトを表示し、パスワードの入力を要求します。
メモ:
FileVault 暗号化向けにコンピュータを設定し、ファイルが暗号化されている場合は、後ほどシステムを起動できるアカ
ウントにログインするようにしてください。
4. 以下のいずれかを行います。
• アクティブ化の前に暗号化が有効化されなかった場合は、暗号化プロセスを続行します。
• アクティブ化の前に暗号化が有効化された場合は、暗号化ポリシーおよびステータスの表示を続行します。
Encryption Enterprise ログファイルの収集
DellLogs.zip には、Mac Encryption Enterprise のログが含まれています。ログを収集する方法については、http://www.dell.com/
support/article/us/en/19/SLN303924 を参照してください。
暗号化のポリシーとステータスの表示
暗号化ポリシーとステータスは、暗号化されたコンピュータまたは 管理コンソールで表示できます。
ローカルコンピュータでのポリシーとステータスの表示
ローカルコンピュータ上で暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。
1.
システムプリファレンス
を起動して、Dell Encryption Enterprise をクリックします。
2. ポリシー タブをクリックして、このコンピュータに設定されている現在のポリシーを表示します。この表示を参照して、このコ
ンピュータに対して有効になっている個別の暗号化ポリシーを確認します。
メモ:
更新 をクリックしてポリシーのアップデートを確認します。
管理コンソールは、下記の技術グループ内で Mac ポリシーを一覧表示します。
• Mac 暗号化
• リムーバブルメディア暗号化
設定するポリシーは企業の暗号化要件によって異なります。
次の表にポリシーオプションの一覧を示します。
Mac
暗号化 > Dell Volume Encryption
High Sierra 以降の場合は、両方のポリシーを有効にする必要があります。Sierra 以前の場合は、旧バージョンのマニュアルを
参照してください。
Dell Volume Encryption
オン
または
オフ
これは、その他のすべての Dell Volume Encryption ポリシーの「マスターポリシー」です。
他のすべての Dell Volume Encryption ポリシーを適用するためには、このポリシーを
オン
に設定する必要があります。
Encryption クライアントのタスク 13
オン
の場合は、暗号化が有効になり、
暗
号
化の
対
象となるボリュ
ー
ム
ポリシーまたは
FileVault for Mac
を使用して暗
号
化
ポリシーに従って、暗号化されていないボリューム
の暗号化が開始されます。デフォルトの設定は
オン
です。
オフ の場合は、暗号化が無効になり、完全にまたは部分的に暗号化されているボリュー
ムの復号化スイープが開始されます。
FileVault for Mac を使用した暗号化 FileVault 暗号化を使用する予定の場合は、まず始めに Dell Volume Encryption を
オン
に
します。
管理コンソールで FileVault for Mac
を使用して暗
号
化
ポリシーが設定されていることを
確認します。
有効にすると、
暗
号
化の
対
象となるボリュ
ー
ム
ポリシー設定に基づいて、Fusion Drive を
含めたシステムボリュームを暗号化するために FileVault が使用されます。
Mac
暗号化 > Mac グローバル設定
暗号化のターゲットとなるボリュー
ム
システムボリュ
ー
ムのみ
または
すべての固定ドライブ
システムボリュ
ー
ムのみ
では、現在実行中のシステムボリュームのみがセキュア化され
ます。
すべての固定ドライブ 設定は、現在実行中のシステムボリュームのほかに、すべての固
定ディスク上のすべての Mac OS 拡張ボリュームをセキュア化します。
3. すべてのポリシーの説明については、管理コンソールから利用できる AdminHelp を参照してください。AdminHelp で特定のポリ
シーを見つける方法。
a. 検索アイコンをクリックします。
b. 検
索
で、引用符を使ってポリシー名を入力します。
c. 表示されるトピックのリンクをクリックします。引用符で囲んで入力したポリシー名がトピックでハイライト表示されま
す。
4. システムボリューム タブをクリックして、暗号化のターゲットとなるボリュームのステータスを表示します。
状態 説明
除外 ボリュームは暗号化から除外されます。これは、暗号化が無効化されているときの未暗
号化ボリューム、外部ボリューム、Mac OS X 拡張(ジャーナリング)以外のフォーマッ
トのボリューム、および
暗
号
化のタ
ー
ゲットとなるボリュ
ー
ム
が システムボリュームの
み に設定されているときの非システムボリュームに適用されます。
暗号化のためにボリュームを準備し
ています
クライアントソフトウェアは、現在ボリュームの暗号化プロセスを開始していますが、
暗号化スイープは開始していません。
ボリュームのサイズを変更できませ
ん
ボリュームを適切なサイズに変更できないため、クライアントソフトウェアが暗号化を
開始できません。このメッセージを受け取ったら、Dell ProSupport に連絡してログファ
イルを提供してください。
暗号化の開始前に修復が必要です ボリュームは、ディスクユーティリティ検証に失敗しました。
ボリュームを修復するには、Apple サポート記事 HT1782(http://support.apple.com/kb/
HT1782)の手順に従ってください。
暗号化の準備が完了しました。再
起動を保留しています
暗号化は再起動後に開始されます。
暗号化ポリシーの拮抗 ディスクが不適切な設定で暗号化されているため、このディスクにポリシーを適用でき
ません。「FileVault for Mac を使用して暗号化」を参照してください。
Dell Server でキーが預託されるのを
待っています
すべての暗号化データがリカバリ可能であることを確実にするため、クライアントは、
すべての暗号化キーが正常に Dell Server に預託されるまで暗号化プロセスを開始しま
せん。キーが預託されるまで、この状態でクライアントはセキュリティサーバ接続をポ
ーリングします。
暗号化 暗号化スイープが進行中です。
14 Encryption クライアントのタスク
状態 説明
暗号化済み 暗号化スイープが完了しました。
復号化 復号化スイープが進行中です。
元の状態に復元しています クライアントソフトウェアは、
復
号
化
プロセスの最後においてパーティションスキーム
を元の状態に復元しています。これは、
暗
号
化用にボリュ
ー
ムを準備している
状態に相
当する復号化スイープです。
復号化済み 復号化スイープが完了しました。
色 説明
緑 暗号化された部分
赤 暗号化されていない部分
黄 再暗号化されている部分
たとえば、暗号化アルゴリズムの変更によるものなどです。データは引き続きセキュア
です。これは、別のタイプの暗号化に移行しているだけです。
システムボリューム タブには、GUID パーティションテーブル(GPT)フォーマットのディスクに存在するコンピュータに接続さ
れたすべてのボリュームが表示されます。次の表では、内部ドライブのためのボリューム設定の例をリストします。
メモ:
お使いのオペレーティングシステムに応じて、バッジおよびアイコンが多少異なる場合があります。
バッジ ボリュームタイプとステータス
現在起動している Mac OS X システムボリュームです。X フォルダバッジは、現在の起
動パーティションを示します。
暗号化のために設定されたボリュームです。セキュリティとプライバシーバッチは、
FileVault によって保護されたパーティションを示します。
暗号化のために設定された非起動ボリュームです。セキュリティとプライバシーバッチ
は、FileVault によって保護されたパーティションを示します。
マルチドライブで、暗号化されていません。
メモ:
バッジのないボリュームアイコンは、ディスクに対して何も行われていないことを
示します。これは起動ディスクではありません。
5. リムーバブルメディア タブをクリックして、暗号化のターゲットとなるボリュームのステータスを表示します。次の表では、リ
ムーバブルメディアのためのボリューム設定の例をリストします。
お使いのオペレーティングシステムに応じて、バッジおよびアイコンが多少異なる場合があります。
Encryption クライアントのタスク 15
バッジ ステータス
淡色表示されたボリュームアイコンは、マウントされていないデバイスを示します。こ
れには次の理由が挙げられます。
• ユーザーがこのデバイスをプロビジョニングしないことを選択した。
• メディアがブロックされている。
メモ:
このアイコンの赤丸 / スラッシュバッジは、サポートされていないために保護か
ら除外されるパーティションを示します。これには、FAT32 フォーマットのボ
リュームが含まれます。
明色表示のボリュームアイコンは、マウントされたデバイスを示します。書き込み禁止
バッジは、読み取り専用を示します。暗号化は有効になっていますが、メディアはプロ
ビジョニングされておらず、非暗号化メディアに対する Encryption External Media アク
セスが読み取り専用に設定されています。
メディアは Encryption External Media で暗号化され、Dell バッジで示されます。
管理コンソールのポリシーとステータスの表示
管理コンソールで暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。
1. 管理コンソールに Dell 管理者としてログインします。
2. 左ペインで ポピュレーション > エンドポイント の順にクリックします。
3. ワークステーションでは、
ホスト名
フィールドのオプションをクリックするか、エンドポイントのホスト名がわかる場合は、検
索
フィールドにその名前を入力します。フィルタを入力してエンドポイントを検索することもできます。
メモ:
ワイルドカード文字(*)を使用できますが、テキストの文頭や文末には必要ありません。共通名、UPN(Universal Principal
Name)、または sAMAccountName を入力します。
4. 適切なエンドポイントをクリックします。
5. 詳細とアクション タブをクリックします。
エンドポイント詳細 エリアに、Mac コンピュータに関する情報が表示されます。
Shield の詳細 エリアに暗号化スイープ開始時刻と終了時刻を含むクライアントソフトウェアについての情報が表示されます。
有効なポリシーを表示するには、アクション エリアで 有効なポリシーの表示 をクリックします。
6. セキュリティポリシー タブをクリックします。このタブから、ポリシーの種類を展開して個々のポリシーを変更することができ
ます。
a. 終了したら、保存 をクリックします。
b. 左側のペインで、管理 > コミット をクリックします。
メモ:
保留中のポリシーの変更 の隣りに表示される数字は累積的なものです。これには、他のエンドポイントでの変更、また
は同じアカウントを使用しているその他の管理者によって行われた変更が含まれる場合があります。
c.
コメント
ボックスに変更内容を入力し、ポリシーのコミット をクリックします。
7. ユーザー タブをクリックします。このエリアには、この Mac コンピュータ上でアクティブ化されたユーザーのリストが表示され
ます。ユーザーの名前をクリックして、このユーザーがアクティブ化されたすべてのコンピュータの情報を表示します。
8. エンドポイントグループ タブをクリックします。このエリアには、この Mac コンピュータが属するすべてのエンドポイントグ
ループが表示されます。
16 Encryption クライアントのタスク
システムボリューム
暗号化の有効化
暗号化対象として以下がサポートされます。
• 起動ボリュームで物理メディアを共有する Apple File System(APFS)ボリューム。
• GUID パーティションテーブル(GPT)パーティションスキームを使用して分割された Mac OS X 拡張(ジャーナリング)ボリュ
ームおよびシステムディスク。
アクティブ化する前に暗号化が有効になっていない場合は、このプロセスを使用して、クライアントコンピュータで暗号化を有効
にします。このプロセスは、1 台のコンピュータに対してのみ暗号化を有効にします。必要に応じて、企業レベルですべての Mac
コンピュータの暗号化を有効にすることを選択できます。
エンタ
ー
プライズ
レベルで暗号化を有効化する方法のさらなる詳細につ
いては、AdminHelp を参照してください。
1. 管理コンソールに Dell 管理者としてログインします。
2. 左ペインで、ポピュレーション > エンドポイント の順にクリックします。
3. ワークステーションでは、ホスト名列でのオプションをクリックするか、またはエンドポイントのホスト名を知っている場合
は、検
索
フィールドに入力します。フィルタを入力してエンドポイントを検索することもできます。
メモ:
ワイルドカード文字(*)を使用できますが、テキストの文頭や文末には必要ありません。共通名、UPN(Universal Principal
Name)、または sAMAccountName を入力します。
4. 適切なエンドポイントをクリックします。
5.
セキュリティポリシ
ー ページで、Mac 暗号化 テクノロジグループをクリックします。
デフォルトでは、Dell Volume Encryption マスターポリシーは、
オン
に切り替わります。
6. Mac に Fusion Drive がある場合、FileVault for Mac
を使用して暗
号
化
ポリシーのチェックボックスを選択します。
メモ:
このポリシーでは、
Dell Volume Encryption
ポリシーも
オン
に設定することが必要です。ただし、FileVault 暗号化が有効
の場合、グループ内の他のポリシーは無効です。Mac 暗号化 > Dell Volume Encryption を参照してください。
7. FileVault の選択を解除する場合は(macOS Sierra 以前)、必要に応じて他のポリシーを変更します。
すべてのポリシーの説明については、管理コンソールから利用できる AdminHelp を参照してください。
8. 終了したら、保存 をクリックします。
9. 左側のペインで、管理 > コミット をクリックします。
保留中のポリシーの変更 の隣りに表示される数字は累積的なものです。これには、他のエンドポイントでの変更、または同じ
アカウントを使用しているその他の管理者によって行われた変更が含まれる場合があります。
10. コメントボックスに変更の説明を入力して、ポリシーのコミット をクリックします。
11. Dell Server のポリシー送信後にローカルコンピュータでポリシー設定を表示するには、Dell Encryption Enterprise プリファレンス
の ポリシー ペインで、更新 をクリックします。
暗号化プロセス
暗号化が有効になっている場合の暗号化プロセスは、起動ボリュームの状態によって異なります。
メモ:
ユーザーデータの整合性を維持するため、クライアントソフトウェアは、対象ボリュームでの検証プロセスが成功するまで暗
号化を開始しません。ボリュームが検証を失敗すると、クライアントソフトウェアがユーザーに通知し、Dell Data Protection
プリファレンスに失敗が報告されます。ボリュームの修復を必要とする場合、Apple サポート記事 HT1782(http://
support.apple.com/kb/HT1782)の手順に従ってください。クライアントソフトウェアは、コンピュータの次回再起動時に検
証を再試行します。
以下のいずれかを選択します。
• 暗号化されていないボリュームの FileVault 暗号化
• 既存の FileVault 暗号化ボリュームの管理の引き継ぎ
Encryption クライアントのタスク 17
暗号化されていないボリュームの FileVault 暗号化
FileVault 暗号化では、PBA に無名ユーザーが 1 件追加で表示されます。デルサーバはこのユーザーを使用してデバイスにポリシーを
適用するため、このユーザーを削除しないでください。この PBA ユーザーが削除されると、ポリシーが強制する復号化を開始する必
要があります。
1. インストールとアクティブ化の後、FileVault 暗号化がアクティブになったら起動元にするアカウントにログインする必要があり
ます。
2. ドライブの検証、およびボリュームの検証の完了を待ちます。
3. アカウントのパスワードを入力します。
メモ:
このダイアログがタイムアウトになった場合は、再起動する、またはログインしてこのパスワードダイアログを再表示させ
る必要があります。
4. OK をクリックします。
5. ユーザーごとに安全なトークンを持つようにしてください。https://www.dell.com/support/article/us/en/19/sln309192/mobile-
users-unable-to-activate-dell-encryption-enterprise-for-mac-on-macos-high-sierra?lang=en を参照してください。
ユーザーがログインしているアカウントが非モバイルアカウントの場合は、ダイアログが表示されます。起動ドライブが暗号化
されると、このドライブは、FileVault 初期化中にログインしていたユーザーしか起動できません。
このアカウントは、ローカルアカウントまたはネットワークモバイルアカウントである必要があります。非モバイルネットワー
クアカウントをモバイルアカウントに変更するには、システム環境設定 > ユーザとグループ の順に移動します。次のいずれか
を実行します。
• アカウントをモバイルアカウントにします。
または
• ローカルアカウントにログインし、そこから FileVault を初期化します。
6. OK をクリックします。
7. 暗号化準備の完了後、コンピュータを再起動します。
メモ:
管理コンソールのユーザーエクスペリエンスポリシーに応じて、クライアントソフトウェアはユーザーに、コンピュータの
再起動を求めるプロンプトを表示する場合があります。
8. コンピュータの再起動後、ネットワークに接続し、クライアントソフトウェアがリカバリ情報を Dell Server にエスクローする必
要があります。
クライアントソフトウェアは、暗号化プロセスの開始と完了、および Dell リモート管理コンソールへの暗号化ステータスの報告
のすべてをユーザーログイン前に実行できます。これにより、ユーザーの操作を必要とすることなく、すべての Mac コンピュー
タにコンプライアンスを施行することができます。
FileVault ユーザーを追加するためのポリシーの変更
FileVault はディスク上のデータを自動的に暗号化することによって、その安全性を確保します。管理下にある FileVault ブートボリ
ュームでは、管理コンソールでポリシーを変更し、OpenDirectory のレコード名と値の辞書を使用して、ユーザーが FileVault ディスク
に自分自身を追加できるようにすることにより、複数のユーザーにディスクのロック解除を許可することができます。
1. 管理コンソールの詳細な Mac
グロ
ー
バル設定
ポリシーで、FileVault 2 PBA
ユ
ー
ザ
ー
リスト
ポリシーまでスクロールします。
2. FileVault 2 PBA
ユ
ー
ザ
ー
リスト
ポリシーのフィールドに、指定する予定のユーザーと一致するルールを入力します。たとえば、任
意のキーに対して<string>*</string>を一致させると、バインドされた OpenDirectory サーバーのすべてのユーザーと一致し
ます。
タグの大文字と小文字は区別され、全体の値がプロパティリストの辞書およびアレイ要素として適切に形成されている必要が
あります。辞書のキーは「AND'd together」です。アレイの値は「OR'd together」なので、アレイの中の任意の要素を一致させる
と、そのアレイ全体に対して一致します。
メモ:
ルールが正しく形成されていない場合は、
Dell Encryption Enterprise > 環境設定
の順に開いたタブにエラーメッセージが
表示されます。
次の <dict> は 2 つのキーの例を示しています。
<dict>
<key>dsAttrTypeStandard:AuthenticationAuthority</key>
<array>
18 Encryption クライアントのタスク
<string>;Kerberosv5;;user1@LKDC:*</string>
<string>;Kerberosv5;;user2@LKDC:*</string>
<string>;Kerberosv5;;user3@LKDC:*</string>
<string>;Kerberosv5;;z*@LKDC:*</string>
</array>
<key>dsAttrTypeStandard:NFSHomeDirectory</key>
<string>/Users/*</string>
</dict>
• サンプルの AuthenticationAuthority キーエントリは、user1、user2、および user3、または z で始まる任意のユーザー id のパ
ターンを指定します。各ユーザーの正しい構文を提供するダイアログを表示するには、クライアントで Control-Option-
Command キーを押します。ユーザーの構文をコピーし、管理コンソールに貼り付けます。
メモ:
この例では、末尾のアスタリスクは、認証局レコードの後半部分を表します。通常、曖昧さを回避するために、末尾の
アスタリスクの代わりに完全なレコードを含めます。これは、OpenDirectory レコードではアスタリスクがコロンの後
の任意の情報に一致するからです。
•
NFSHomeDirectory キーでは、最初のキーを渡す任意のユーザーは /Users/ にもホームディレクトリを持っていなければなり
ません。
メモ:
あるユーザーに対してホームフォルダが存在しない場合は、ホームフォルダを作成する必要があります。
3. コンピュータを再起動します。
4. ユーザーアカウントに対する FileVault 起動を有効にするようユーザーに通知します。ユーザーがローカルまたはモバイルアカウ
ントを持っている必要があります。ネットワークアカウントがモバイルアカウントに自動的に変換されます。
ユーザーが FileVault アカウントを有効にするには、次の操作を実行します。
1. システムプリファレンス を起動して、Dell Encryption Enterprise をクリックします。
2. システムボリューム タブをクリックします。
3. システム ボリューム ドライブを Ctrl を押しながらクリックして、[FileVault ユーザーを FileVault 起動に追加]を選択します。
4. 検
索
で、ユーザーの名前を入力するか、スクロールダウンします。ユーザーアカウントは、ポリシーで設定した基準に適合する
場合にのみ表示されます。
ローカルおよびモバイルユーザーには、
ユ
ー
ザ
ー
を有
効
にする
ボタンが表示されます。
ネットワークユーザーには、変
換
&
ユ
ー
ザ
ー
を有
効
にする
ボタンが表示されます。
メモ:
緑色のインジケータが FileVault を起動可能なユーザーアカウントの横で表示されます。
5. ユーザーを有効にする または 変換 & ユーザーを有効にする をクリックします。
6. 選択したアカウントのパスワードを入力し、OK をクリックします。プログレスインジケータが表示されます。
7. 成功ダイアログの後で、完了 をクリックします。
既存の FileVault 暗号化ボリュームの管理の引き継ぎ
コンピュータにすでに FileVault 暗号化ボリュームが組み込まれており、管理コンソール上で FileVault 暗号化が有効になっている場
合、Dell Encryption はそのボリュームの管理を引き継ぐことができます。
起動ボリュームがすでに暗号化されていることを Dell Encryption が検知した場合は、Dell Encryption Enterprise ダイアログが表示さ
れます。Dell Encryption によるボリュームの管理の引き継ぎを許可するには、次の手順を実行します。
1. 個人のリカバリキー
または
起動可能アカウントの資格情報 を選択します。
メモ:
macOS High Sierra および Apple File System(APFS)では、起動可能なアカウント情報 を選択する必要があります。
• 個人のリカバリキー - ドライブが FileVault で暗号化されたときに受け取った個人のリカバリキーがある場合。
a. キーを入力します。
ユーザーが既存のキーを持っていない場合は、管理者から取得することができます。
b. OK をクリックします。
メモ:
引き継ぎプロセスが完了したら、新しい個人リカバリキーが生成および預託されます。以前のリカバリキーは無効化さ
れて削除されます。
Encryption クライアントのタスク 19
• 起動可能アカウントの資格情報 - このボリュームからの起動が現在許可されているアカウントのユーザー名とパスワードを
所持している場合。
a. ユーザー名とパスワードを入力します。
b. OK をクリックします。
2. デルがこのボリュームの暗号化を現在管理していることを示すダイアログが表示されたら、OK をクリックします。
非起動ボリュームがすでに暗号化されていることを Dell Encryption が検知した場合は、パスフレーズのプロンプトが表示されま
す。
3. (FileVault で暗号化されている非起動ボリュームのみ)ボリュームの管理を引き継ぐために Dell Encryption を許容するには、パス
フレーズを入力してボリュームにアクセスします。これは、もともと FileVault で暗号化されたときにボリュームに割り当てられ
たパスワードです。
デルがボリュームの暗号化の管理を始めると、以前のパスワードは無効となります。リカバリの必要がある場合は、担当のデル
管理者がボリュームのリカバリキーを回復できます。
パスワードを入力しないことを選択した場合、ボリュームの内容にはアクセス可能で FileVault によって暗号化できますが、その
暗号化はデルによって管理されません。
メモ:
管理者は管理コンソールで、現在 Dell Server がエンドポイントを管理していることを確認できます。
FileVault リカバリキーの再利用
リカバリバンドルにセキュリティ上の問題がある、またはボリュームまたはキーのセキュリティが侵害された場合、そのボリューム
のキーマテリアルを再利用できます。
Mac OS X で起動および非起動ドライブにリサイクルキーを使用できます。
キーマテリアルを再利用するには、次の手順を実行します。
1. 管理コンソールからリカバリバンドルをダウンロードし、コンピュータのデスクトップにコピーします。
2.
システムプリファレンス
を起動して、Dell Encryption Enterprise をクリックします。
3. システムボリューム タブをクリックします。
4. 手順 1 のリカバリバンドルを適切なパーティションにドラッグします。
ダイアログが FileVault キーを再利用するためのプロンプトを表示します。
5. OK をクリックします。
ダイアログがキーの循環の成功を確認します。
6. OK をクリックします。
メモ:
これで、このドライブのリカバリバンドルのキーは廃止されました。管理コンソールから新しいリカバリバンドルをダウン
ロードする必要があります。
ユーザーエクスペリエンス
最大セキュリティのために、クライアントソフトウェアは、Mac OS X コンピュータの
自動ログイン
機能を無効化します。
また、クライアントソフトウェアは、Mac OS X 機能の
スリ
ー
プ後またはスクリ
ー
ンセ
ー
バ
ー
の開始後にパスワ
ー
ドを必要とする
を
自動的に実施します。また、スリープ / スクリーンセーバーモードでは、認証を実施する前に設定可能な時間が与えられます。クラ
イアントソフトウェアでは、認証を実施するまでに最長 5 分の値を設定できます。
暗号化スイープの進行中、ユーザーはコンピュータを通常どおりに使用できます。オペレーティングシステムを含む現在起動されて
いるシステムボリューム上のすべてのデータが暗号化される間、オペレーティングシステムは動作を続行します。
コンピュータが再起動する、またはシステムスリープ状態になると、暗号化スイープは一時停止し、再起動またはスリープ解除後に
自動的に再開します。
クライアントソフトウェアは、ハイバネーションイメージの使用をサポートしていません。ハイバネーションイメージは、バッテリ
がスリープ中に完全に放電されている場合に、コンピュータをウェイクアップするために Mac OS X の
セ
ー
フスリ
ー
プ
機能によって
使用されます。
ユーザーへの影響を軽減するため、クライアントソフトウェアはシステムスリープモードをハイバネーション無効に自動でアップ
デートし、この設定を実施します。コンピュータは引き続きスリープ状態になることができますが、現在のシステム状態はメモリに
20 Encryption クライアントのタスク
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
関連論文
-
Dell Encryption Administrator Guide
-
-
-
-
-
-
-
-
-