Intune で Mac の FileVault を有効にする

macOS のフルディスク暗号化 FileVault を Intune で有効化する方法は下記の3通りあります。

  • 設定カタログ
  • エンドポイントセキュリティ
  • セットアップアシスタント(設定カタログ)

基本的には細かく制御出来る「設定カタログ」がおすすめで、ADE を利用している場合はセットアップアシスタントも選択肢に入ってきます。

エンドポイントセキュリティは設定項目が限られているため、設定が分かりやすく、とりあえず早く FileVault を有効化したい場合におすすめです。

本記事では、3通りの手順を注意点も含めて紹介します。

1.FileVault の Intune 管理について

Intune で FileVault を管理する場合、下記の前提があります。

  • macOS 10.13 以降(セットアップアシスタントは macOS 14 以降
  • Intune の FileVault 適用は「(1)回復キーのエスクロー準備」→「(2)暗号化開始」の2段階
  • 回復キーは、初回暗号化時に生成され、運用は Intune へのエスクロー(保管)とローテーションを前提に設計
  • 生成された回復キーは Intune ポータルサイトで表示
  • 管理者が閲覧できる回復キーは「企業」所有のデバイスのみ


2.設定カタログの場合

2.1.構成プロファイルの作成

1.Intune管理センターを開き、下記の構成プロファイルを作成します。

  • プラットフォーム:macOS
  • プロファイルの種類:設定カタログ


2.任意の名前を設定し、下記の設定を検索し、設定します。

  • FileVault
    • 有効:オン
    • 保留:有効
    • 回復キーの使用:有効
    • 回復キーの表示:無効
      ※有効の場合、FileVault 有効化時のみに表示されるだけ
    • 回復キーのローテーション(月単位):任意の値
    • ユーザーログアウト時に確認しないことを保留する:有効
      ※有効化の要求をログイン時のみに統一
    • ユーザーログインの最大バイパス試行時に強制を延期する:任意の値
      ※バイパス可能回数を指定、「0」の場合は即有効化、「-1」の場合は機能がオフ
  • FileVault 回復キー エスクロー
    • 場所:任意の値 ※回復キーが存在する場所の説明
  • FileVault オプション
    • FileVault を無効にできないようにする:True


3.デバイスグループに割り当てし、構成プロファイルを作成します。


2.2.ポリシーの適用確認

1.ポリシー適用後、次回ログイン時に FileVault の有効化を求められます。

※「ユーザーログアウト時に確認しないことを保留する」が無効の場合、ログアウト時にも求められる

  • バイパス回数が「1」、回復キーの表示が「無効」の場合
  • ※バイパス回数が「3」、回復キーの表示が「有効」の場合


2.有効化時、ユーザーのパスワードを求められます。



3.回復キーの表示が「有効」の場合、下記の通り回復キーが表示されます。



4.システム設定で FileVault が有効になっていることを確認します。

※無効化を禁止している場合、下記の通りグレーアウトされます



5.Intune 管理センターで、対象デバイスの「パスワードとキー」-「FileVault 回復キー」が表示されることを確認します。




3.エンドポイント セキュリティの場合

3.1.構成プロファイルの作成

1.Intune管理センターを開き、「エンドポイントセキュリティ」-「ディスクの暗号化」で下記のプロファイルを作成します。

  • プラットフォーム:macOS
  • プロファイルの種類:設定カタログ


2.任意の名前を設定し、下記の設定を検索し、設定します。

  • FileVault
    • 保留:有効
    • ユーザーログインの最大バイパス試行時に強制を延期する:構成済み
      ※バイパス可能回数を指定、「0」の場合は即有効化、「-1」の場合は機能がオフ
    • ユーザーログアウト時に確認しないことを保留する:有効
      ※有効化の要求をログイン時のみに統一
    • 有効:オン
    • 回復キーのローテーション(月単位):任意の値
    • 回復キーの使用:有効
  • FileVault 回復キー エスクロー
    • 場所:任意の値 ※回復キーが存在する場所の説明


3.デバイスグループに割り当てし、構成プロファイルを作成します。

3.2.ポリシーの適用確認

デバイス側の動作は設定カタログと同じです。


4.セットアップアシスタントの場合

4.1.前提条件

セットアップアシスタントで FileVault を有効化するには下記が必要です。

  • macOS 14 以降
    ※macOS 14.4 以前はセットアップアシスタントで作成するユーザーに管理者権限が必要
  • ADE プロファイルの「最終構成を待機する」が「はい」
  • EnrollmentProfileName 属性を使用したデバイスフィルター

ADE については下記を参照してください。

ADE を使用して Mac を Intune に自動登録する
Apple デバイスを組織で効率的に管理するためには、Automated Device Enrollment(ADE) と Microsoft Intune を組み合わせたゼロタッチ導入が最も有効です。本記事では、準備作業からプロファイル設...
liglogdev.com
2026.03.31


4.2.デバイスフィルターの作成

1.Intune管理センターを開き、「デバイス」-「割り当てフィルター」-「作成」-「マネージドデバイス」をクリックします。



2.任意の名前を設定し、下記のフィルターを設定します。

  • プロパティ:enrollmentProfileName
  • 演算子:Equals
  • 値:任意の値 ※ADE プロファイル名


4.3.構成プロファイルの作成

1.Intune管理センターを開き、下記の構成プロファイルを作成します。

  • プラットフォーム:macOS
  • プロファイルの種類:設定カタログ


2.任意の名前を設定し、下記の設定を検索し、設定します。

  • FileVault
    • 有効:オン
    • 保留:有効
    • セットアップアシスタントで強制的に有効にする

その他のオプションについては、「2.設定カタログの場合」を参考に任意の設定を追加します。



3.下記の通り割り当てし、構成プロファイルを作成します。

  • グループ:すべてのデバイス
  • フィルター:作成したデバイスフィルター


4.4.ポリシーの適用確認

セットアップアシスタントで Intune 登録完了後に下記の画面が表示されます。

コメント

タイトルとURLをコピーしました