FileVault2とモバイルアカウントとHighSierra

こん○○はにょもです。
会社でMacをセットアップしたりしています。

2017年の9月にMacOSがHighSierraにアップデートになりましたね。

新しいバージョンのOSはワクワクしますね。このHighSierra、前のSierraからの微細なバージョンアップの様な雰囲気を漂わせる様な名前ですが、
とんでもなく大きな差異があって世のMac管理者達を阿鼻叫喚させたはずなのに、日本語の情報が殆ど無いので書いておきます

結論

  • HighSierraではFileVault2の解除ユーザにモバイルアカウントを追加する為にはSecureTokenを追加する必要がある
  • Mac OS HighSierraを使うなら10.13.2をクリーンインストールした方が良い
    もう10.13.0と10.13.1は投げ捨てろ!!!!

MacOS HighSierra 10.13.0

まず、HighSierra出たての頃の話です。
認証サーバにActiveDirectoryを利用し、Macにはローカルアカウントを作らず、モバイルアカウントを作成しています。
さらに、ディスク全体を暗号化するためにFileVault2を利用しています。
この辺家庭でMacを使う時には殆ど使わない設定なので日本語の情報が少ないのかな?と思います。

会社で利用するMacのセットアップですが、一度に3台とか4台とかのセットアップがやってくることがあるので、GUIで設定を行うととても時間がかかりますしどの項目が設定済みなのかわからなくなるので、セットアップにはシェルスクリプトを利用しています

どのような手順で何を行っているかというと

  1. ActiveDirectoryのユーザ名を入力しモバイルアカウントを作る
  2. モバイルアカウントに管理者権限をつける
  3. FileVaultを有効にする
  4. ここで初期ユーザからログアウトしモバイルアカウントでログイン
  5. FileVault2の解除ユーザに追加する

というスクリプトを作成し利用していました。

が、HigiSierraになった途端5のFileVault2の解除ユーザに追加するが全く上手くいかなくなりました。どうなったかというとFileVault2の解除出来るユーザにモバイルアカウントが追加されなくなったのです。
これでは、ユーザがMacを再起動したときに初期ユーザアカウントでしかログインできません。

コマンドの仕様が変わったのかと思い5をコマンドで実行するのをGUIで追加する用にしたのですが、ナントそれでも駄目でした。

ではどうしたらいいのか?

MacOS HighSierraでは モバイルアカウントをFileVault2の解除ユーザを追加する為にSecureTokenという物をユーザに追加しないといけない様です。
SecureTokenをユーザに与えるにはどうするかというと以下のコマンドを実行します

sysadminctl -adminUser FileVault2を有効にしたユーザ -adminPassword adminUserで指定したユーザのパスワード - secureTokenOn 新たに追加したいモバイルアカウント -password PASSWORD

これを実行後コマンドでもGUIでも良いのでFileVault2にユーザを追加してあげると無事にユーザがFileVault2の解除ユーザに追加されます。

まだまだ困った事が!

さて、これで無事にMacのセットアップができる様になった!と思ったらHighSierra10.13.0とその後すぐでた10.13.1にはセキュリティ上の不具合があり矢継ぎ早に10.13.2が出ました。

最近出荷されているMac本体にインストールされているOSが10.13.0なので、OSアップデートを行い10.13.2にしてからセットアップを行います。

するとなんと、SecureTokenをOnにしてfilevaul2の解除ユーザについかを行うとシステム上では追加されたように見えるのですが、Macを再起動したときにFileVault2の解除出来るユーザにモバイルアカウントは追加されていません。

システム上は追加されているのに…これは再セットアップして、10.13.2をクリーンインストールした上で作業を行うしか無いのか?と思ったのですが、色々調べたところ適当なローカルアカウントを作り、
FileVault2の解除ユーザに追加しOSを再起動、するとFileVault2を解除するユーザにモバイルアカウントが追加されているので、先ほど作ったローカルアカウントを削除してセットアップを完了します

以上の点からMacOS HighSierraがインストールされた状態で出荷されたMacはバージョンを確認し10.13.1以下の場合は10.13.2を上書きインストールでは無くクリーンインストールした方が問題が起きなくて良いと思います。

追記

10.13.2をクリーンインストールしてからAppStoreでアップデートを行いセットアップしたらFV2の解除ユーザに追加されていないように見える現象が発生してしまった…これはもしかして枝番いくつでもセットアップ終わるまではOSアップデートしてはいけないという事なのだろうか…

2017-12-27 諸々整形して公開
2018-01-11 追記した