個人リカバリキーの再発行

対象:macOS対応[email protected]またはサポートされる以降のバージョンを搭載したmacOSデバイス。

他のMDMソリューションからIvanti Neurons for MDMの移行に際して、登録前に個人リカバリキー(PRK)が発行されている場合、管理者は登録時に新しいPRKの再発行をOSに要求できます。 これによりキーがIvanti Neurons for MDMに保存されます。

PRKアクティビティの監査証跡ログは以下の手順で閲覧できます:

  1. [ダッシュボード] > [監査証跡] を開きます。
  2. [種類] フィルターで [個人リカバリキー] を選択します。[デバイス管理] カテゴリーにPRKエントリーが表示されます。これには「個人リカバリキーが閲覧されました」などのアクティビティが含まれます。

前提条件

この手順を実行する前に、次の構成をデバイスに配布してください:

  • macOS対応Mobile@Work構成。
  • FileVaultリカバリキー構成。

手順

  1. デバイス上で新しいPRKを生成するスクリプトをサポートまで請求します。
  2. 「deviceprk」という名前でデバイスのカスタム属性を作成します。これがスクリプト内で使用されます。
  3. [管理] > [すべてのスクリプト] でリポジトリにスクリプトをアップロードします。その際、カスタム属性「deviceprk」を選択します。
  4. 前のMDMソリューションからPRKを取得できなかったデバイスについては、動的なデバイスグループを作成します。 デバイスグループのルールを次のように選択します:「プラットフォーム=macOS暗号化有効が [はい]エスクローされたmacOS個人リカバリキーが [いいえ]macOSリカバリキーの種類が [個人]
  5. macOS対応Mobile@Work構成を作成します。その際、リポジトリからPRKスクリプトを選択します。 新しいデバイスグループに構成を配布します。
  6. スクリプトのスケジュールを設定し、1日1回、または必要に応じて実行します。 スクリプトは実行の都度、ユーザーのパスワードを求めます。 デフォルトではスクリプト実行のタイムアウトが60秒です。 対応するmacOS対応Mobile@Work構成で [最大実行時間] フィールドを300秒に設定し、タイムアウトを延長することをお勧めします。

  • 暗号解読キーは、デバイスの [デバイス暗号化ステータス] セクションのデバイス詳細ページにあります。 [FileVault 暗号化有効] フィールドの横の [表示] をクリックします。
  • PRKを取得すると、デバイスがデバイスグループから外れます。 したがってスクリプト構成が適用されなくなり、デバイスから削除されます。
  • スクリプトを使用してMDMがデバイスのリカバリキーを取得すると、スクリプトはデバイスからアンインストールされます。

関連トピック: