リカバリー・キー・エスクローの構成

キー・エスクローは、重要な暗号鍵を保管する方法です。キー・エスクローを使用することで、組織は、セキュリティー侵害、鍵の紛失や忘れ、自然災害などの危機の場合に、重要な鍵が安全であり、復旧可能であることを確認できます。

次のシナリオでは、リカバリー・キー・エスクローが必要になります。

  • デスクサイド・サポート担当者が、壊れたラップトップから新しいラップトップにディスクを移動する場合。

  • 従業員の退職後に、安全に保管するために法務局にラップトップを送付する場合。

  • ラップトップをリサイクルする場合。

リカバリー・キーの Escrow 構成には、以下のステップが含まれます。

  1. 証明書の作成 - WebUI MDMアプリケーションを介してリカバリー・キーを暗号化するための証明書とキーのペアを作成します。この証明書は、Windows アクションと macOS エスクロー・ペイロードで使用されます。キーは、復号化のために BES サーバーのプラグイン・フォルダーに配置されます。
  2. Vault の設定 – 既存の Vault サーバー (URL、アクセス キー) を指定するか、自己署名証明書を使用して Vault をデプロイすることもできます。Vault ディレクトリーにアクセスして、生成された非SEAL キーとアクセス・キーを取得し、WebUI でボールト設定を構成できます。
  3. エスクロー・プラグインの設定 - プラグインをデプロイするアクションをトリガーし、キーと Vault の詳細を使用して構成して、秘密鍵が BES サーバーの「アプリケーション」ディレクトリーに保管されるようにします。
  4. リカバリー・キーをエスクローするための手動デバイス・タスク - リカバリー・キーが見つからないか期限切れになっている場合は、再生成して取得できます。
注:
  • 設定の続行、起動時にパスワードを入力して暗号化処理を開始、強制再起動後の OS の起動などは、ユーザーの操作が必要になります。
  • macOS では、2 次ドライブの暗号化やリムーバブルドライブの暗号化の実施はサポートされていません。