Dell Encryption Enterprise for Mac 管理者ガイド v10.8 August 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................5 概要......................................................................................................................................................................................... 5 FileVault 暗号化.....................................................................................................................................................................
章 7: 用語集...................................................................................................................................
1 はじめに Encryption Enterprise for Mac 管理者ガイドは、クライアントソフトウェアの導入とインストールに必要な情報を提供します。 トピック: • • • 概要 FileVault 暗号化 Dell ProSupport へのお問い合わせ 概要 Encryption Enterprise for Mac で、FileVault フル ディスク暗号化を管理できます。 • • • • Encryption Enterprise for Mac - すべてのデータを暗号化し、アクセス制御を実施するクライアント暗号化ソフトウェアです ポリシープロキシ - ポリシーの配布に使用します セキュリティサーバ - クライアント暗号化ソフトウェアのアクティベーションに使用されます Security Management Server または Security Management Server Virtual - 一元化されたセキュリティポリシー管理を提供し、既存 のエンタープライズディレクトリを統合し、レポートを作成します。ここでは、特定のバージョンに言及する必要(Dell Securi
2 要件 本章では、クライアントのハードウェアとソフトウェアの要件を説明します。導入タスクを続行する前に、導入環境が要件を満た していることを確認してください。 トピック: • • Encryption クライアントハードウェア Encryption クライアントソフトウェア Encryption クライアントハードウェア 最小限のハードウェア要件は、オペレーティングシステムの最小要件を満たしている必要があります。 ハードウェア • 30 MB の空きディスク容量 • 10/100/1000 または Wi-Fi ネットワークインタフェースカード • システム ディスクは GUID Partition Table(GPT)パーティション スキームでパーティショニングされている必要があり、 次のいずれかでフォーマットできます。 ○ Mac OS X Extended Journaled(HFS+):FileVault に適用するためコア ストレージに変換されます。 ○ Apple File System(APFS) Encryption クライアントソフトウェア 次の表では、サポートされているソ
メモ: Encryption External Media をホストするには、外部メディア上の 55 MB の空き容量に加えて、メディア上に暗号化対象の最 大ファイルに等しい空き容量が必要です。 暗号化されたメディアへのアクセス用にサポートされる Windows オペレーティングシステム(32 ビットおよび 64 ビッ ト) • Microsoft Windows 7 SP1 - Enterprise - Professional - Ultimate • Microsoft Windows 8.1 - Windows 8.1 Update 1 - Enterprise - Pro • Microsoft Windows 10 - Education - Enterprise - Pro v1607(Anniversary Update/Redstone 1)~v1909(November 2019 Update/19H2) 暗号化されたメディアへのアクセス用にサポートされる Mac オペレーティングシステム(64 ビットカーネル) • macOS High Sierra 10.13.
3 Encryption クライアントのタスク トピック: • • • • • • • • • Encryption Enterprise for Mac のインストールとアップグレード Encryption Enterprise for Mac のアクティブ化 Encryption Enterprise ログファイルの収集 暗号化のポリシーとステータスの表示 システムボリューム リカバリ リムーバブルメディア Encryption Enterprise for Mac のアンインストール Encryption External Media のアンインストール Encryption Enterprise for Mac のインストールとア ップグレード このセクションでは、Encryption Enterprise for Mac のインストール / アップグレードおよびアクティブ化のプロセスについて説明 します。 Encryption Enterprise for Mac には 2 つのインストール / アップグレード方法があります。次のいずれかを選択してください。 • • インタラクティブなインス
• • • • Security Management Server Virtual クイック スタートおよびインストール ガイド セキュリティサーバとポリシープロキシの URL が手元にあることを確認します。どちらもクライアントソフトウェアのインス トールおよびアクティブ化に必要です。 導入時にデフォルト以外の設定を使用する場合は、セキュリティサーバのポート番号を把握しておいてください。これは、クラ イアントソフトウェアのインストールおよびアクティブ化に必要です。 ターゲットコンピュータがセキュリティサーバおよびポリシープロキシにネットワーク接続されていることを確認します。 Active Directory にドメインユーザーアカウントがあり、Dell Server で使用するためにインストールが設定されていることを確認 します。ドメインユーザーアカウントは、クライアントソフトウェアのアクティブ化に使用されます。ドメイン(ネットワー ク)認証用に Mac エンドポイントを設定することは必須ではありません。 暗号化ポリシーを設定する前に、 [Dell Volume Encryption]ポリシーを[オン]
15. インストールの続行 をクリックします。インストールが開始されます。 16. インストールが完了したら、[再起動]をクリックします。 17. Encryption Enterprise の新規インストールの場合、[機能拡張がブロックされました]ダイアログが表示されます。 kext-consent では、これらのダイアログのいずれかまたは両方が表示されます。 システム拡張がブロックされました システム拡張がブロックされました a. OK をクリックします。 FDEEM ボリュームをマウントするシステム拡張機能をロード できなかった場合は、次の手順を実行します。 b. OK をクリックします。 c. 機能拡張を承認するには、システム環境設定 > セキュリテ a. ”システム環境設定”を開く をクリックします。 ィとプライバシー を選択します。 b. OK をクリックします。 d. 開発元である Credant Technologies(Dell, Inc、旧称 Credant c.
dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.
MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media.
d. [フル ディスク アクセス]で、Dell Encryption External Media のチェックボックスを選択します。 6. [セキュリティとプライバシー]を閉じます。 Encryption Enterprise for Mac のアクティブ化 アクティブ化プロセスは Dell Server のネットワークユーザーアカウントを Mac コンピュータと関連付け、各アカウントのセキュリ ティポリシーを取得してインベントリとステータスの更新を送信し、リカバリのワークフローを有効化して包括的なコンプライアン スレポートを提供します。クライアントソフトウェアは、各ユーザーがユーザーアカウントにログインするときに、コンピュータ上 で見つけた各ユーザーアカウントに対してアクティブ化プロセスを実行します。 ユーザーは、クライアントソフトウェアがインストールされ、Mac が再起動された後でログインします。 1.
DellLogs.zip には、Mac Encryption Enterprise のログが含まれています。ログを収集する方法については、http://www.dell.com/ support/article/us/en/19/SLN303924 を参照してください。 暗号化のポリシーとステータスの表示 暗号化ポリシーとステータスは、暗号化されたコンピュータまたは 管理コンソールで表示できます。 ローカルコンピュータでのポリシーとステータスの表示 ローカルコンピュータ上で暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。 1. システムプリファレンス を起動して、Dell Encryption Enterprise をクリックします。 2.
有効にすると、暗号化の対象となるボリューム ポリシー設定に基づいて、Fusion Drive を 含めたシステムボリュームを暗号化するために FileVault が使用されます。 Mac 暗号化 > Mac グローバル設定 暗号化のターゲットとなるボリュー システムボリュームのみ または すべての固定ドライブ ム システムボリュームのみ では、現在実行中のシステムボリュームのみがセキュア化され ます。 すべての固定ドライブ 設定は、現在実行中のシステムボリュームのほかに、すべての固 定ディスク上のすべての Mac OS 拡張ボリュームをセキュア化します。 3. すべてのポリシーの説明については、管理コンソールから利用できる AdminHelp を参照してください。AdminHelp で特定のポリ シーを見つける方法。 a. 検索アイコンをクリックします。 b. 検索 で、引用符を使ってポリシー名を入力します。 c. 表示されるトピックのリンクをクリックします。引用符で囲んで入力したポリシー名がトピックでハイライト表示されま す。 4.
色 説明 緑 暗号化された部分 赤 暗号化されていない部分 黄 再暗号化されている部分 たとえば、暗号化アルゴリズムの変更によるものなどです。データは引き続きセキュア です。これは、別のタイプの暗号化に移行しているだけです。 システムボリューム タブには、GUID パーティションテーブル(GPT)フォーマットのディスクに存在するコンピュータに接続さ れたすべてのボリュームが表示されます。次の表では、内部ドライブのためのボリューム設定の例をリストします。 メモ: お使いのオペレーティングシステムに応じて、バッジおよびアイコンが多少異なる場合があります。 バッジ ボリュームタイプとステータス 現在起動している Mac OS X システムボリュームです。X フォルダバッジは、現在の起 動パーティションを示します。 暗号化のために設定されたボリュームです。セキュリティとプライバシーバッチは、 FileVault によって保護されたパーティションを示します。 暗号化のために設定された非起動ボリュームです。セキュリティとプライバシーバッチ は、FileVault によって保護されたパーティションを示
バッジ ステータス 明色表示のボリュームアイコンは、マウントされたデバイスを示します。書き込み禁止 バッジは、読み取り専用を示します。暗号化は有効になっていますが、メディアはプロ ビジョニングされておらず、非暗号化メディアに対する Encryption External Media アク セスが読み取り専用に設定されています。 メディアは Encryption External Media で暗号化され、Dell バッジで示されます。 管理コンソールのポリシーとステータスの表示 管理コンソールで暗号化ポリシーと暗号化ステータスを表示するには、次の手順を実行します。 1. 管理コンソールに Dell 管理者としてログインします。 2. 左ペインで ポピュレーション > エンドポイント の順にクリックします。 3.
コンピュータの暗号化を有効にすることを選択できます。エンタープライズ レベルで暗号化を有効化する方法のさらなる詳細につ いては、AdminHelp を参照してください。 1. 管理コンソールに Dell 管理者としてログインします。 2. 左ペインで、ポピュレーション > エンドポイント の順にクリックします。 3. ワークステーションでは、ホスト名列でのオプションをクリックするか、またはエンドポイントのホスト名を知っている場合 は、検索フィールドに入力します。フィルタを入力してエンドポイントを検索することもできます。 メモ: ワイルドカード文字(*)を使用できますが、テキストの文頭や文末には必要ありません。共通名、UPN(Universal Principal Name)、または sAMAccountName を入力します。 4. 適切なエンドポイントをクリックします。 5. セキュリティポリシー ページで、Mac 暗号化 テクノロジグループをクリックします。 デフォルトでは、Dell Volume Encryption マスターポリシーは、オン に切り替わります。 6.
メモ: このダイアログがタイムアウトになった場合は、再起動する、またはログインしてこのパスワードダイアログを再表示させ る必要があります。 4. OK をクリックします。 5. ユーザーごとに安全なトークンを持つようにしてください。https://www.dell.
メモ: • この例では、末尾のアスタリスクは、認証局レコードの後半部分を表します。通常、曖昧さを回避するために、末尾の アスタリスクの代わりに完全なレコードを含めます。これは、OpenDirectory レコードではアスタリスクがコロンの後 の任意の情報に一致するからです。 NFSHomeDirectory キーでは、最初のキーを渡す任意のユーザーは /Users/ にもホームディレクトリを持っていなければなり ません。 メモ: あるユーザーに対してホームフォルダが存在しない場合は、ホームフォルダを作成する必要があります。 3. コンピュータを再起動します。 4. ユーザーアカウントに対する FileVault 起動を有効にするようユーザーに通知します。ユーザーがローカルまたはモバイルアカウ ントを持っている必要があります。ネットワークアカウントがモバイルアカウントに自動的に変換されます。 ユーザーが FileVault アカウントを有効にするには、次の操作を実行します。 1. 2. 3. 4.
デルがボリュームの暗号化の管理を始めると、以前のパスワードは無効となります。リカバリの必要がある場合は、担当のデル 管理者がボリュームのリカバリキーを回復できます。 パスワードを入力しないことを選択した場合、ボリュームの内容にはアクセス可能で FileVault によって暗号化できますが、その 暗号化はデルによって管理されません。 メモ: 管理者は管理コンソールで、現在 Dell Server がエンドポイントを管理していることを確認できます。 FileVault リカバリキーの再利用 リカバリバンドルにセキュリティ上の問題がある、またはボリュームまたはキーのセキュリティが侵害された場合、そのボリューム のキーマテリアルを再利用できます。 Mac OS X で起動および非起動ドライブにリサイクルキーを使用できます。 キーマテリアルを再利用するには、次の手順を実行します。 1. 管理コンソールからリカバリバンドルをダウンロードし、コンピュータのデスクトップにコピーします。 2. システムプリファレンス を起動して、Dell Encryption Enterprise をクリックします。 3.
非表示メニューアイテムが表示されます。 4. 現在のリムーバブルメディアの ホワイトリストルールのコピー をクリックします。ホワイトリストルールがクリップボードに コピーされます。 5.
FileVault リカバリ 管理対象の FileVault 暗号化ボリュームのリカバリーは Apple によって規定されており、可能な部分は自動化されていますが、さら にいくつかの手順が必要です。 Dell Recovery Utility は、ボリュームのマウントや復号化を支援するスクリプトを使用して Apple のリカバリツールの操作を簡素化し ます。FileVault リカバリ機能は、Recovery HD にインストールされているオペレーティングシステムおよびペアリングされている対 象パーティションによって決定されます。 FileVault 暗号化ボリュームは、Mac OS X 10.9.
メモ: Recovery Utility は、リカバリ対象のコンピュータにインストールされているクライアントソフトウェアのバージョンと同 じ、またはそれ以上のバージョンである必要があります。 2. Dell Recovery Utility > ボリュームの選択 で、FileVault ボリュームを選択します。 オペレーティングシステムを回復する場合のベストプラクティスは、同一またはそれ以降のバージョンのオペレーティング システムでコンピュータを起動することです。 • 非起動ボリュームを暗号化する必要がある場合、通常は起動パーティションを最初に回復します。 3. 続行 をクリックします。 4. リカバリバンドル(先ほど保存したもの)を検索して選択し、開く をクリックします。 5.
• • • • Recovery Utility を実行する外部リカバリボリュームまたはコンピュータ USB ドライブ Firewire ケーブル Dell インストールメディア 管理コンソール - リカバリバンドルの保存 管理コンソールを開きます。 左ペインで ポピュレーション > エンドポイント の順にクリックします。 復元したいデバイスを検索します。 デバイス名をクリックしてエンドポイントの詳細ページを開きます。 詳細とアクション タブをクリックします。 Shield の詳細 で、デバイスのリカバリキー リンクをクリックします。 外付けリカバリボリューム、または Recovery Utility を実行してリカバリ操作を実行するコンピュータにリカバリバンドルを保存 するには、ダウンロード をクリックし、保存 をクリックします。 8. リカバリバンドルの場所を入力して、保存 をクリックします。 1. 2. 3. 4. 5. 6. 7. プロセス 1. 外部ドライブをリカバリ対象のシステムに接続します。 この外部ドライブには、Mac OS 起動ボリュームが含まれている必要があります。 2.
Recovery Utility は、選択された場所にファイルを出力してから、FileVault ボリュームをマウントまたは復号化するために Recovery HD ボリュームから実行する必要のある具体的なコマンドを表示します。 14. これらのファイルが生成された後に、最後の リカバリ操作の結果 ダイアログに表示されるコマンド文字列をコピーします。 15. 次の方法のひとつで Recovery HD から再起動します。 • 電源オン/セルフ テストのチャイムが鳴る前、コンピューターの起動中に、Command-R キーを同時に長く押します。 • または Apple の旧バージョンの場合は、オプション キーを押し、起動ピッカーで[Recovery HD]を選択します。 Mac OS X Utilities ダイアログが表示されます。 16. ツール メニューで、ユーティリティ、ターミナル の順に選択します。 17.
Encryption External Media とポリシーの更新 リムーバブルメディアがプロビジョニングされた(または回復された)システムでは、マウント時にリムーバブルメディア上でポ リシーがアップデートされます。 暗号化例外 リムーバブルメディアでは、拡張属性は暗号化されません。 リムーバブルメディア タブ上のエラー • • • Shield 対象外コンピュータでは、暗号化されたファイルを、そのファイルの復号化バージョンに置き換えないでください。これ は、後ほど復号化を妨げる場合があります。また、リムーバブルメディア タブでエラーとして表示されることもあります。 ファイル終端マーカーが無効になっていると(たとえば、ファイルが Encryption External Media 制御外の新しいコンテンツで上 書きされ、その後 Encryption External Media にマウントした場合など)、リムーバブルメディア タブにファイル終端エラーが表 示されます。 ファイル変換時、メディアには変換される最大ファイルのサイズよりも大きい空き容量が必要です。リムーバブルメディアス テータス エリアに
Encryption External Media のアンインストール Encryption External Media をアンインストールするには: 1. ライブラリ > Dell > EMS に移動し、EMS のアンインストール アプリケーションを選択します。 2. Dell EMS のアンインストール ページで、アンインストール をクリックします。 3. ユーザー名とパスワードを入力して OK をクリックします。 4.
4 管理者としてのアクティブ化 クライアントツールは、Mac コンピュータ上でクライアントソフトウェアをアクティブ化し、クライアントソフトウェアを調べる ための新たな方法を管理者に提供します。次の 2 つのアクティブ化方法を使用できます。 • • 管理者資格情報を使用したアクティブ化 コンピュータにフットプリントを残すことなくユーザーをエミュレートする一時的なアクティブ化 どちらの方法も、シェル経由、またはスクリプト内で直接使用できます。 メモ: クライアントソフトウェアは、6 台以上の同一ネットワークアカウントを持つコンピュータでアクティブ化しないでください。 お使いの Dell Server で深刻なセキュリティ上の脆弱性やパフォーマンスの劣化が生じる場合があります。 前提条件 • • Encryption Enterprise for Mac v8.1.
5 Boot Camp の使用 トピック: • • Mac OS X Boot Camp のサポート Boot Camp 上の Encryption Enterprise for Windows の回復 Mac OS X Boot Camp のサポート メモ: Boot Camp の使用時には、Dell Encryption Enterprise は Windows オペレーティング システムを暗号化しません。また、デ バイスに 2 つ以上の起動可能な macOS パーティションが存在する場合、Encryption Enterprise はプライマリー ボリュームの みを暗号化します。 Boot Camp は Mac OS X に含まれるユーティリティであり、デュアルブート構成での Windows の Mac コンピュータへのインストー ルを支援します。Boot Camp は次の Windows オペレーティングシステムでサポートされています。 • • Windows 7 および 7 Home Premium、Professional、Ultimate(64 ビット) Windows 8.
2. 管理コンソールから、リカバリバンドルをこれらのいずれかにコピーします。 • 起動可能な USB ドライブ または • 外部 Boot Camp ボリューム上の FAT パーティション 3. 回復される Boot Camp ボリュームがあるコンピュータをシャットダウンします。 4. コンピュータに外付けドライブを接続します。 このドライブには、手順 1 で作成した Boot Camp ボリュームが含まれています。 5. 外付けの Boot Camp ドライブからコンピューターを起動するには、次のいずれかの操作を行います。 6. 7. 8. 9.
6 クライアントツール クライアントツールは、Mac エンドポイントで動作するシェルコマンドです。リモートの場所からのクライアントのアクティブ化、 またはリモート管理ユーティリティ経由のスクリプトの実行に使用されます。管理者として、クライアントをアクティブ化し、次 の操作を実行できます。 • • • 管理者としてアクティブ化 一時的なアクティブ化 Mac クライアントからの情報の取得 手動でクライアントツールを使用するには、ssh セッションを開き、コマンドラインに希望のコマンドを入力します。 例: /Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at domainAccount domainPassword クライアント のみを入力して使用手順を表示します。 /Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client 表 1.
表 1.
Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword クライアントを一時的にアクティブ化し、結果を印刷します。 Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? クライアントの代わりにアップデートされたポリシーに対して Dell Server のポーリングを行い、画面に表示します。 Library/PreferencePanes/Dell\ Encryption\Enterprise.
7 用語集 Security Server - Dell Encryption のアクティベーションに使用されます。 Policy Proxy - クライアントソフトウェアのポリシーの配布に使用されます。 管理コンソール - 企業全体の導入環境を対象としたデルサーバの管理用コンソール。 Shield - 時折、説明書およびユーザーインタフェースでこの名称が見られる場合があります。「Shield」は Dell Encryption を表すのに 使用される名前です。 用語集 35