macOS 10.13 High SierraでAPFSを起動ボリュームにすると組織向けFileVaultの復旧キーが動作せず、Macのロック解除や復号化が出来ないもよう。

　macOS 10.13 High SierraでAPFSを起動ボリュームにすると組織向けFileVaultの復旧キーが動作せず、Macのロック解除や復号化できなくなる問題が確認されているそうです。詳細は以下から。

　Appleデバイス向けのMDMソリューションを提供するJamfのメンバーらによると、macOS 10.13 High Sierraで採用された新しいファイルフォーマット「APFS」を起動ボリュームにしてFileVaultを設定するとFileVaultの組織向け復旧キー(Institutional Recovery Keys : 以下、IRK)が利用できない問題があるそうです。

This recovery key model has continued to be used on Apple File System (APFS), starting with macOS High Sierra 10.13.0, with one important difference:

• You can encrypt an APFS boot drive using an IRK.
• You cannot unlock or decrypt an encrypted APFS boot drive using an IRK.

The issue appears to be that a necessary function has not been added to the diskutil command line tool.

Unlocking or decrypting using an institutional recovery key does not work with encrypted APFS boot drives on macOS High Sierra 10.13.0 – Der Flounder

　IRKは企業や学校、所属団体が管理下のMacに設定できるFileVault用の復旧キーで、macOS 10.13.0ではIRKを利用してAPFS起動ボリュームを暗号化出来るものの、IRKを用いたMacのロック解除や復号化が利用できなくなっており、

復旧キーが、勤務先、所属学校、所属団体により設定されました

High Sierraで新たにサポートされたdiskutilの”apfs“フォーマットに”recoveryKeychain”のオプションが追加されていないようで、この問題を公開したTroutonさんはAppleのエンタープライズ向けサポートのチケットを発行したそうなので、今後この機能がサポートされるかもしれません。

diskutil apfs unlockVolume UUID -recoveryKeychain /path

• 企業、学校、団体等の Mac コンピュータにFileVault復旧キーを設定する – Apple
• Unlocking or decrypting using an institutional recovery key does not work with encrypted APFS boot drives on macOS High Sierra 10.13.0 – Der Flounder