注意:
・テスト環境で動作確認をして下さい。
・旧式のmacOSでは正しく機能しない場合が有ります。
・環境に合わせて内容を変更して下さい。
・ぜひ意見交換をして下さい。
概要:
ステップ1:構成プロファイルを使用してFileVaultキーがジャムフ・プロに預託(エスクロー)する。
ステップ2:スマートグループを使用してリカバリーキーがない、リカバリーキーが壊れているコンピュータを割り出す。
ステップ3:FV2リカバリキーの再配布を実施するスクリプトを設定する
ステップ4:ステップ2で割り出されたコンピュータにステップ3のスクリプトを配布し、リカバリーキーをジャムフ・プロに再委託する。
詳細:
ステップ1:構成プロファイルの作成。
(既に作成済みの場合は省略して下さい)。
・構成プロファイルの名前を設定(例:Redirect FileVault keys to Jamf Pro)。
・Generalより
配布方法:Install Automatically
レベル:Computer Level
Security & Privacy ペイロード → FileVaultタブを選択。
「個人用リカバリキーのエスクロー有効化」にチェックを入れる。
・Scopeより
ターゲットコンピュータ: All Computers
ステップ2:スマートグループの作成
・スマートグループの名前を設定(例:FileVault encryption key is invalid or unknown)。
・Criteriaより
Criteria:FileVault 2 Partition Encryption State
オペレータ: is
数値:Encrypted
and
Criteria:FileVault 2 Individual Key Validation
オペレータ: is
数値:Invalid
or
Criteria:FileVault 2 Individual Key Validation
オペレータ: is
数値:Unknown
ステップ3:スクリプトの構成。
https://github.com/jamf/FileVault2_Scripts/blob/master/reissueKey.sh
(そのまま使用できるはずですが、環境に合わせて変更が必要な場合も御座います)。
ステップ4:ポリシーの構成。
・ポリシーの名前を設定(例:Reissue invalid or missing FileVault recovery key)。
・Generalより
トリガー:Recurring Check-In
実行頻度:Once per computer
・スクリプトより
reissue_filevault_recovery_key.shを選択。
優先順位:: After
・Scopeより
展開ターゲットを追加 → Smart Group。
FileVault encryption key is invalid or unknown を選択。
