Dell Encryption Enterprise for Mac 管理者ガイド v10.9 2021 年 3 月 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................5 概要......................................................................................................................................................................................... 5 FileVault 暗号化.....................................................................................................................................................................
章 7: 用語集...................................................................................................................................
1 はじめに Encryption Enterprise for Mac 管理者ガイドは、クライアントソフトウェアの導入とインストールに必要な情報を提供します。 トピック: • • • 概要 FileVault 暗号化 Dell ProSupport へのお問い合わせ 概要 Encryption Enterprise for Mac で、FileVault フル ディスク暗号化を管理できます。 ● ● ● ● Encryption Enterprise for Mac - すべてのデータを暗号化し、アクセス制御を実施するクライアント暗号化ソフトウェアです ポリシープロキシ - ポリシーの配布に使用します セキュリティサーバ - クライアント暗号化ソフトウェアのアクティベーションに使用されます Security Management Server または Security Management Server Virtual - 一元化されたセキュリティポリシー管理を提供し、既 存のエンタープライズディレクトリを統合し、レポートを作成します。ここでは、特定のバージョンに言及する必要(Dell Securi
2 要件 本章では、クライアントのハードウェアとソフトウェアの要件を説明します。導入タスクを続行する前に、導入環境が要件を満た していることを確認してください。 トピック: Encryption クライアントハードウェア Encryption クライアントソフトウェア • • Encryption クライアントハードウェア 最小限のハードウェア要件は、オペレーティングシステムの最小要件を満たしている必要があります。 ハードウェア ● 30 MB の空きディスク容量 ● 10/100/1000 または Wi-Fi ネットワークインタフェースカード ● システム ディスクは GUID Partition Table(GPT)パーティション スキームでパーティショニングされている必要があり、 次のいずれかでフォーマットできます。 ○ Mac OS X Extended Journaled(HFS+):FileVault に適用するためコア ストレージに変換されます。 ○ Apple File System(APFS) Encryption クライアントソフトウェア 次の表では、サポートされているソフトウェア
● マスター ブート レコード(MBR)または GUID パーティション テーブル(GPT)スキームを採用した HFS Plus(Mac OS 拡張)フォーマットのメディア「HFS Plus の有効化」を参照してください。 メモ: Encryption External Media をホストするには、外部メディア上の 55 MB の空き容量に加えて、メディア上に暗号化対象の最大 ファイルに等しい空き容量が必要です。 [暗号化されたメディアへのアクセス用にサポートされる Windows オペレーティングシステム(32 ビットおよび 64 ビ ット)] ● Microsoft Windows 7 SP1 - Enterprise - Professional - Ultimate ● Microsoft Windows 8.1 - Windows 8.
3 Encryption クライアントのタスク トピック: • • • • • • • • • Encryption Enterprise for Mac のインストールとアップグレード Encryption Enterprise for Mac のアクティブ化 Encryption Enterprise ログファイルの収集 暗号化のポリシーとステータスの表示 システムボリューム リカバリ リムーバブルメディア Encryption Enterprise for Mac のアンインストール Encryption External Media のアンインストール Encryption Enterprise for Mac のインストールとアップ グレード このセクションでは、Encryption Enterprise for Mac のインストール / アップグレードおよびアクティブ化のプロセスについて説明 します。 Encryption Enterprise for Mac には 2 つのインストール / アップグレード方法があります。次のいずれかを選択してください。 ● インタラクティブなインストール
Security Management Server Virtual クイック スタートおよびインストール ガイド ● セキュリティサーバとポリシープロキシの URL が手元にあることを確認します。どちらもクライアントソフトウェアのインス トールおよびアクティブ化に必要です。 ● 導入時にデフォルト以外の設定を使用する場合は、セキュリティサーバのポート番号を把握しておいてください。これは、ク ライアントソフトウェアのインストールおよびアクティブ化に必要です。 ● ターゲットコンピュータがセキュリティサーバおよびポリシープロキシにネットワーク接続されていることを確認します。 ● Active Directory にドメインユーザーアカウントがあり、Dell Server で使用するためにインストールが設定されていることを確認 します。ドメインユーザーアカウントは、クライアントソフトウェアのアクティブ化に使用されます。ドメイン(ネットワー ク)認証用に Mac エンドポイントを設定することは必須ではありません。 暗号化ポリシーを設定する前に、 [Dell Volume Encryption]ポリシーを[オン]にし
コンピュータは、インストールの完了直後に再起動する必要があります。他のアプリケーションで開いているファイルが あり、再起動する準備ができていない場合は、キャンセル をクリックして作業を保存し、そのアプリケーションを閉じま す。 15. インストールの続行 をクリックします。インストールが開始されます。 16. インストールが完了したら、[再起動]をクリックします。 17. Encryption Enterprise の新規インストールの場合、[機能拡張がブロックされました]ダイアログが表示されます。 kext-consent では、これらのダイアログのいずれかまたは両方が表示されます。 システム拡張がブロックされました システム拡張がブロックされました a. [OK] をクリックします。 b. [OK] をクリックします。 c. 機能拡張を承認するには、システム環境設定 > セキュリテ ィとプライバシー を選択します。 d.
PropertyList-1.0.dtd"> NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
8000 [Leave as-is unless there is a conflict with an existing port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media.
5. チェック ボックスを選択して許可を付与します。 Dell Encryption External Media アプリが表示されない場合は、次の手順に従います。 a. b. c. d. 右ペインで、プラス アイコン(+)をクリックします。 /Library/Dell/EMS に移動し、Dell Encryption External Media を選択します。 [開く]をクリックします。 [フル ディスク アクセス]で、Dell Encryption External Media のチェックボックスを選択します。 6.
DellLogs.zip には、Mac Encryption Enterprise のログが含まれています。ログを収集する方法については、http://www.dell.com/ support/article/us/en/19/SLN303924 を参照してください。 暗号化のポリシーとステータスの表示 暗号化ポリシーとステータスは、暗号化されたコンピュータまたは 管理コンソールで表示できます。 ローカルコンピュータでのポリシーとステータスの表示 ローカルコンピュータ上で暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。 1. システムプリファレンス を起動して、[Dell Encryption Enterprise] をクリックします。 2.
管理コンソールで FileVault for Mac を使用して暗号化 ポリシーが設定されていること を確認します。 有効にすると、暗号化の対象となるボリューム ポリシー設定に基づいて、Fusion Drive を含めたシステムボリュームを暗号化するために FileVault が使用されます。 Mac 暗号化 > Mac グローバル設定 暗号化のターゲットとなるボリュ ーム システムボリュームのみ または すべての固定ドライブ システムボリュームのみ では、現在実行中のシステムボリュームのみがセキュア化さ れます。 すべての固定ドライブ 設定は、現在実行中のシステムボリュームのほかに、すべての 固定ディスク上のすべての Mac OS 拡張ボリュームをセキュア化します。 3. すべてのポリシーの説明については、管理コンソールから利用できる AdminHelp を参照してください。AdminHelp で特定のポリ シーを見つける方法。 a. 検索アイコンをクリックします。 b. 検索 で、引用符を使ってポリシー名を入力します。 c.
状態 説明 元の状態に復元しています クライアントソフトウェアは、復号化プロセスの最後においてパーティションスキーム を元の状態に復元しています。これは、暗号化用にボリュームを準備している状態に相 当する復号化スイープです。 復号化済み 復号化スイープが完了しました。 色 説明 緑 暗号化された部分 赤 暗号化されていない部分 黄 再暗号化されている部分 たとえば、暗号化アルゴリズムの変更によるものなどです。データは引き続きセキュア です。これは、別のタイプの暗号化に移行しているだけです。 システムボリューム タブには、GUID パーティションテーブル(GPT)フォーマットのディスクに存在するコンピュータに接続 されたすべてのボリュームが表示されます。次の表では、内部ドライブのためのボリューム設定の例をリストします。 メモ: お使いのオペレーティングシステムに応じて、バッジおよびアイコンが多少異なる場合があります。 バッジ ボリュームタイプとステータス 現在起動している Mac OS X システムボリュームです。X フォルダバッジは、現在の起 動パーティションを示します。 暗号
バッジ ステータス 淡色表示されたボリュームアイコンは、マウントされていないデバイスを示します。こ れには次の理由が挙げられます。 ● ユーザーがこのデバイスをプロビジョニングしないことを選択した。 ● メディアがブロックされている。 メモ: このアイコンの赤丸 / スラッシュバッジは、サポートされていないために保護 から除外されるパーティションを示します。これには、FAT32 フォーマットの ボリュームが含まれます。 明色表示のボリュームアイコンは、マウントされたデバイスを示します。書き込み禁止 バッジは、読み取り専用を示します。暗号化は有効になっていますが、メディアはプロ ビジョニングされておらず、非暗号化メディアに対する Encryption External Media アク セスが読み取り専用に設定されています。 メディアは Encryption External Media で暗号化され、Dell バッジで示されます。 管理コンソールのポリシーとステータスの表示 管理コンソールで暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。 1.
システムボリューム 暗号化の有効化 暗号化対象として以下がサポートされます。 ● 起動ボリュームで物理メディアを共有する Apple File System(APFS)ボリューム。 ● GUID パーティションテーブル(GPT)パーティションスキームを使用して分割された Mac OS X 拡張(ジャーナリング)ボリ ュームおよびシステムディスク。 アクティブ化する前に暗号化が有効になっていない場合は、このプロセスを使用して、クライアントコンピュータで暗号化を有効 にします。このプロセスは、1 台のコンピュータに対してのみ暗号化を有効にします。必要に応じて、企業レベルですべての Mac コンピュータの暗号化を有効にすることを選択できます。エンタープライズ レベルで暗号化を有効化する方法のさらなる詳細に ついては、AdminHelp を参照してください。 1. 管理コンソールに Dell 管理者としてログインします。 2. 左ペインで、[ポピュレーション] > [エンドポイント] の順にクリックします。 3.
● 暗号化されていないボリュームの FileVault 暗号化 ● 既存の FileVault 暗号化ボリュームの管理の引き継ぎ 暗号化されていないボリュームの FileVault 暗号化 FileVault 暗号化では、PBA に無名ユーザーが 1 件追加で表示されます。デルサーバはこのユーザーを使用してデバイスにポリシー を適用するため、このユーザーを削除しないでください。この PBA ユーザーが削除されると、ポリシーが強制する復号化を開始す る必要があります。 1. インストールとアクティブ化の後、FileVault 暗号化がアクティブになったら起動元にするアカウントにログインする必要があり ます。 2. ドライブの検証、およびボリュームの検証の完了を待ちます。 3. アカウントのパスワードを入力します。 メモ: このダイアログがタイムアウトになった場合は、再起動する、またはログインしてこのパスワードダイアログを再表示さ せる必要があります。 4. [OK] をクリックします。 5. ユーザーごとに安全なトークンを持つようにしてください。https://www.dell.
メモ: ルールが正しく形成されていない場合は、Dell Encryption Enterprise > 環境設定 の順に開いたタブにエラーメッセージが表 示されます。 次の は 2 つのキーの例を示しています。 dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;user1@LKDC:* ;Kerberosv5;;user2@LKDC:* ;Kerberosv5;;user3@LKDC:* ;Kerberosv5;;z*@LKDC:* dsAttrTypeStandard:NFSHomeDirectory /Users/* ● サンプルの AuthenticationAuthority キーエントリは、user1、user2、および user3、または z で始ま
● 個人のリカバリキー - ドライブが FileVault で暗号化されたときに受け取った個人のリカバリキーがある場合。 a. キーを入力します。 ユーザーが既存のキーを持っていない場合は、管理者から取得することができます。 b. OK をクリックします。 メモ: 引き継ぎプロセスが完了したら、新しい個人リカバリキーが生成および預託されます。以前のリカバリキーは無効化さ れて削除されます。 ● 起動可能アカウントの資格情報 - このボリュームからの起動が現在許可されているアカウントのユーザー名とパスワード を所持している場合。 a. ユーザー名とパスワードを入力します。 b. OK をクリックします。 2. デルがこのボリュームの暗号化を現在管理していることを示すダイアログが表示されたら、OK をクリックします。 非起動ボリュームがすでに暗号化されていることを Dell Encryption が検知した場合は、パスフレーズのプロンプトが表示されま す。 3.
また、クライアントソフトウェアは、Mac OS X 機能の スリープ後またはスクリーンセーバーの開始後にパスワードを必要とする を自動的に実施します。また、スリープ / スクリーンセーバーモードでは、認証を実施する前に設定可能な時間が与えられます。 クライアントソフトウェアでは、認証を実施するまでに最長 5 分の値を設定できます。 暗号化スイープの進行中、ユーザーはコンピュータを通常どおりに使用できます。オペレーティングシステムを含む現在起動され ているシステムボリューム上のすべてのデータが暗号化される間、オペレーティングシステムは動作を続行します。 コンピュータが再起動する、またはシステムスリープ状態になると、暗号化スイープは一時停止し、再起動またはスリープ解除後 に自動的に再開します。 クライアントソフトウェアは、ハイバネーションイメージの使用をサポートしていません。ハイバネーションイメージは、バッテ リがスリープ中に完全に放電されている場合に、コンピュータをウェイクアップするために Mac OS X のセーフスリープ機能によ って使用されます。 ユーザーへの影響を軽減するため、クライアントソフトウェアは
size >= 500M ● ファイルシステムの種類 許可リスト ルール: fstype= は ExFAT、FAT、または HFS+ です。 両方の除外を行うには、1 TB 以上の HFS+ メディアの例を下の示します。 size>=1T;fstype=HFS+ リカバリ 時折、暗号化されたディスク上のデータへのアクセスが必要になることがあります。デルの管理者として、データを復号化せずに 暗号化されたディスクにアクセスすることが可能で、時間を節約できます。 ユーザーの暗号化データへのアクセスが必要な理由は多岐にわたりますが、一般的な使用事例は次のとおりです。 ● ユーザーが転職/退職したが、そのパスワードを知っている人がいない。 ● ユーザーが自分のパスワードを思い出せなくなった。 このセクションでは、FileVault 暗号化がリカバリー対象のエンドポイント上にある場合の FileVault リカバリーの使用手順について 説明します。FileVault は、macOS Sierra 10.12.
● リカバリ対象のコンピュータのデバイス ID / 固有 ID。ほとんどの場合、所有者の名前を検索して、そのユーザー向けに暗号化 されたデバイスを表示することによって、管理コンソールでのリカバリ対象のコンピュータを見つけることができます。デバ イス ID または固有 ID のフォーマットは、「John Doe's MacBook.Z4291LK58RH」です。 ● Dell インストールメディア 管理コンソール - リカバリバンドルの保存 1. 管理コンソールを開きます。 2. 左ペインで [ポピュレーション > エンドポイント] の順にクリックします。 3. 復元したいデバイスを検索します。 4. デバイス名をクリックしてエンドポイントの詳細ページを開きます。 5. [詳細とアクション] タブをクリックします。 6. Shield の詳細 で、[デバイスのリカバリキー] リンクをクリックします。 7.
2. 閉じる をクリックします。 3. 必要に応じて起動前 Startup Manager を使用し、リカバリーするボリュームを起動します。 複数のユーザーのアイコンがコンピューターに表示されるか、パスワードが要求されます。 4. 該当する場合はユーザーを選択し、ログイン画面で[?]をクリックします。 5. 表示される矢印をクリックします。 6. リカバリキーを入力して、[Enter] を押します。 7. ダイアログにそのユーザーの新しいパスワードを入力します。 非起動ボリュームのリカバリー オプション(まれに使用される手順) - 次のいずれかを実行します。 非起動ボリュームをリカバリーする 起動ボリュームが破損または消去されている場合、セカンダリー ボリュームが存在するのであれば、その非起動ボリュームをマウ ントすることができます。 1. [ロック解除]をクリックします。ボリュームがマウントされます。 2. 閉じる をクリックします。 ボリュームを復号化する - ボタンをクリックする 1. 復号化 をクリックしますダイアログと進行状況バーに復号化プロセスが表示されます。 2.
5. Utilities フォルダで、Dell Recovery Utility を実行します。 Dell Recovery Utility > ボリュームの選択 ダイアログが表示されます。 6. 回復する FileVault ボリュームを選択して、[続行] をクリックします。 リカバリバンドルの選択 ダイアログが表示されます。 7. リカバリバンドルを選択して、 [開く] をクリックします。 そのディスクに複数のリカバリキーが存在する場合は、リカバリレコードの選択 画面が表示されます。 8. 預託日 列で、キーチェーンリカバリタイプの最新日付を選択して、[続行] をクリックします。 メモ: これより古い預託日の場合は、キーは無効になっている可能性があります。 FileVault リカバリ手順 ダイアログが表示されます。 9. 手順を読んで、[続行] をクリックします。 リカバリ操作の確認 ダイアログが表示されます。 10.
リムーバブルメディア サポートされるフォーマット マスターブートレコード(MBR)または GUID パーティションテーブル(GPT)スキームを採用した FAT32 または exFAT、または HFS Plus(Mac OS 拡張)フォーマットのメディアがサポートされます。HFS Plus を有効にする必要があります。 メモ: 現在 Mac では、Encryption External Media の CD/DVD の書き込みはサポートしていません。ただし、Shield 対象外メディアに 対する EMS アクセスのブロック ポリシーが選択されている場合でも、CD/DVD ドライブへのアクセスはブロックされません。 HFS Plus の有効化 HFS Plus を有効にするには、次を .
● ファイル変換時、メディアには変換される最大ファイルのサイズよりも大きい空き容量が必要です。リムーバブルメディアス テータス エリアに黄色の警告三角形が表示されたら、それをクリックしてください。容量が不足しています というメッセージ が表示された場合は、次の操作を行います。 1. そのデバイス上で解放する必要のある領域サイズをメモします。レポートにはファイルのリストとそれらのサイズが表示 されます。 2. ゴミ箱を空にします。領域を解放するたびに、Encryption External Media によって自動的に新たなファイルが暗号化されま す。 3.
4 管理者としてのアクティブ化 クライアントツールは、Mac コンピュータ上でクライアントソフトウェアをアクティブ化し、クライアントソフトウェアを調べる ための新たな方法を管理者に提供します。次の 2 つのアクティブ化方法を使用できます。 ● 管理者資格情報を使用したアクティブ化 ● コンピュータにフットプリントを残すことなくユーザーをエミュレートする一時的なアクティブ化 どちらの方法も、シェル経由、またはスクリプト内で直接使用できます。 メモ: クライアントソフトウェアは、6 台以上の同一ネットワークアカウントを持つコンピュータでアクティブ化しないでください。 お使いの Dell Server で深刻なセキュリティ上の脆弱性やパフォーマンスの劣化が生じる場合があります。 前提条件 ● Encryption Enterprise for Mac v8.1.
5 Boot Camp の使用 トピック: • • Mac OS X Boot Camp のサポート Boot Camp 上の Encryption Enterprise for Windows の回復 Mac OS X Boot Camp のサポート メモ: Boot Camp の使用時には、Dell Encryption Enterprise は Windows オペレーティング システムを暗号化しません。また、デバイ スに 2 つ以上の起動可能な macOS パーティションが存在する場合、Encryption Enterprise はプライマリー ボリュームのみを暗 号化します。 Boot Camp は Mac OS X に含まれるユーティリティであり、デュアルブート構成での Windows の Mac コンピュータへのインスト ールを支援します。Boot Camp は次の Windows オペレーティングシステムでサポートされています。 ● Windows 7 および 7 Home Premium、Professional、Ultimate(64 ビット) ● Windows 8.1 および 8.
手順は、ローカルシステムでの Boot Camp ボリュームの作成に似ています。http://www.apple.com/support/bootcamp/ を参照 してください。 2. 管理コンソールから、リカバリバンドルをこれらのいずれかにコピーします。 ● 起動可能な USB ドライブ または ● 外部 Boot Camp ボリューム上の FAT パーティション 3. 回復される Boot Camp ボリュームがあるコンピュータをシャットダウンします。 4. コンピュータに外付けドライブを接続します。 このドライブには、手順 1 で作成した Boot Camp ボリュームが含まれています。 5. 外付けの Boot Camp ドライブからコンピューターを起動するには、次のいずれかの操作を行います。 ● 電源オン/セルフ テストのチャイムが鳴る前、コンピューターの起動中に、Command-R キーを同時に長く押します。 または ● Apple の旧バージョンの場合は、コンピューターの電源をオンするときにオプション キーを押します。 Mac OS X Utilities ダイアログが表示されます。 6.
6 クライアントツール クライアントツールは、Mac エンドポイントで動作するシェルコマンドです。リモートの場所からのクライアントのアクティブ 化、またはリモート管理ユーティリティ経由のスクリプトの実行に使用されます。管理者として、クライアントをアクティブ化 し、次の操作を実行できます。 ● 管理者としてアクティブ化 ● 一時的なアクティブ化 ● Mac クライアントからの情報の取得 手動でクライアントツールを使用するには、ssh セッションを開き、コマンドラインに希望のコマンドを入力します。 例: /Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at domainAccount domainPassword クライアント のみを入力して使用手順を表示します。 /Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client 表 1.
表 1.
例 Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -p -plist クライアントからポリシーを取得し、これらを印刷します。 Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword クライアントを一時的にアクティブ化し、結果を印刷します。 Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? クライアントの代わりにアップデートされたポリシーに対して Dell Server のポーリングを行い、画面に表示します。 Library/PreferencePanes/Dell\ Encryption\Enterprise.
7 用語集 [Security Server] - Dell Encryption のアクティベーションに使用されます。 [Policy Proxy] - クライアントソフトウェアのポリシーの配布に使用されます。 [ 管理コンソール] - 企業全体の導入環境を対象としたデルサーバの管理用コンソール。 [Shield] - 時折、説明書およびユーザーインタフェースでこの名称が見られる場合があります。「Shield」は Dell Encryption を表す のに使用される名前です。 用語集 35