Jamf Proで元々FileVaultがオンになっている端末のリカバリーキーの再発行をする

Jamf Proを使うと、macOS端末のFileVault暗号化を有効化し、リカバリーキーをJamf側で管理できます。でも、実は端末をJamf Proに登録する前に手動でFileVaultをオンにしている場合、Jamfでリカバリーキーを取得できないんです。

リカバリーキーが管理できないと、パスワードを忘れてしまったときに困っちゃいますよね…。

そこで朗報！リカバリーキーを再発行すれば、Jamf側でしっかり管理できるようになります。この記事では、その再発行ポリシーを配布する手順をご紹介します！

手順

1．https://github.com/macadmins/escrow-buddy/releases/tag/v1.0.0にアクセスする

2．Escrow.Buddy-1.0.0.pkgをダウンロード

3．Jamf Proの設定＞コンピューター管理＞パッケージ＞新規

4．先ほどダウンロードしたPKGファイルをアップロードする

5．情報にはPKGファイルのURLを入力する

6．コンピューター＞スマートコンピュータグループからグループを以下のように作成する（参考：https://github.com/macadmins/escrow-buddy/wiki/JamfのSmart Group: Active Macs without a valid FileVault keyに記載している通り）

表示名は「FileVaultのリカバリーキー再発行」とする
クライテリアは以下4つを追加する
・最終チェックイン：less than x day ago,30
・最終登録：more than x days ago,1 FileVault2
・パーティションの暗号化状態：is,Encrypted FileVault2
・個人用キーの検証：is not,Valid

7．グループを保存して、ポリシーの作成を作成する（2つ作成）

1つ目

表示名：「個人用リカバリーキーのないMacにEscrow.Buddyをインストールする」
カテゴリ：セキュリティ
トリガー：Recurring Check-in
実行頻度：Once per computer
オプションからパッケージを選択し、先程作成したPKGファイルをアップロード
スコープで先程作成したグループを割り当てて保存

2つ目

表示名：次のログインにEscrow.Buddyを用いて新しい個人用リカバリーキーを発行す
トリガー：Recurring Check-in
頻度はOnce every day
オプションからファイルとプロセスを選択し、コマンドを実行欄に以下を入力
defaults write /Library/Preferences/com.netflix.Escrow-Buddy.plist GenerateNewKey -bool true
スコープで先程作成したグループを割り当てて保存

8．上記2つのポリシーを作成し対象端末に割り当てしたら完了です✨