くらめその情シス:jamf管理下のMacをIntune統合した時に一部のポリシー が準拠しない時の対処法

くらめその情シス:jamf管理下のMacをIntune統合した時に一部のポリシー が準拠しない時の対処法

Clock Icon2021.11.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは

情シス担当、アノテーションの畠山です。

今回は、jamfで管理しているMacをIntune統合した時に、条件付きアクセスを適用しているIntune側で、なぜかポリシーが「準拠していない」となってどうしようもなくなった時の解決策をお話しします。

ちょっと、深い話になりますので、できるだけわかりやすく書こうと思いますが、稚拙な表現については、何卒、ご容赦ください。

はじめに

どんな現象が起こったのか

対象のMacは、jamfへの登録も正常に行われており、Intune統合も正常で、Microsoft Endpoint Manager admin Centerにも正常に表示されておりました。

(一部のポリシーが「準拠しない」と表示されていること以外は)

当初は、「条件付きアクセス」を適用していなかったため、あまり重く捉えておりませんでしたが、あるサービスに対して「条件付きアクセス」を適用した際に、このポリシー非準拠が浮かび上がってきました。

具体的なIntuneのポリシーは、「デバイスのロック解除にパスワードを必要とします。」というポリシーで、Macの方は、すでにjamfの構成プロファイルで「自動ログインを無効にする」を設定し配布済みになっており、このプロファイルが適用されていれば、Intuneの「デバイスのロック解除にパスワードを必要とします。」ポリシーは、準拠するはずであったのですが、現実は「準拠しない」のままとなっていました。

簡単に整理すると

  • Macの構成プロファイル:「自動ログインを無効にする」を有効
  • Intuneのポリシー:「デバイスのロック解除にパスワードを必要とします。」が「準拠しない」となっている

??????????????????????

実際どういう状況になっていたのか

具体的な原因ははっきりしないのですが、Macの内部的な自動ログインのプロファイルの設定値がオンのまま残っており、Intune統合でIntuneにインベントリ情報を送信する際も、その値がオンとして送信されていたようです。

現時点では、当社が管理しているMacの中で、セルフエンロールしたMacが残っている状態なのですが、そのうちの2台でこの現象が発生しています。

少なくとも、PrestageエンロールしたMacではこの現象は起こっていません。

そのため、jamfの登録する前の段階で、使用者が自動ログオンを有効にしていた可能性があって、後から構成プロファイルで自動ログオンの設定を無効にしても、値としては残ってしまっていたのではないかと推測されます。

この状態の解決方法

この状態を解決するには、jamfのポリシーで自動ログオン設定をオフにするコマンドを実行するためのポリシーを作成し、対象Macだけをscopeに登録して使用ユーザーにポリシー再配布を実行してもらいます。

そのあと、自動的に自動ログオンの設定無効化のポリシーが適用されますので、Intune統合で「アップデートを送信」によって、Intuneにデータを送信します。

これで、Intuneのポリシーが準拠になれば、対応完了です。

手順

1. jamfに以下のポリシーを新規に作成します

ポリシーの名前は、わかりやすい名前を指定してください。

トリガーには、Recurring Check-inを指定します。

次に、ファイルとプロセスを追加して、コマンド実行欄に以下のコマンドを設定します。

defaults delete /Library/Preferences/com.apple.loginwindow autoLoginUser

次に、このポリシーの対象Macをscopeに追加して保存します。

2. 対象Macの使用者にポリシー再取得を実施してもらう

ポリシー再取得は、予め、ポリシーに作成して、それをSelfServiceに登録しておくことで、ユーザーも簡単に実行できる用意しておくのがお勧めです。

もし、SelfServiceに登録していない場合は、以下のコマンドをターミナルにて実行してもらってください。

sudo jamf policy

正常に実行できましたら、自動ログインの内部データは初期化されます。

3. jamfのインベントリからIntuneにインベントリ情報を送信する

以下の「アップデートを送信」ボタンで、Intuneに更新情報を送信します。

送信が完了したら、「送信済みデータの確認」ボタンを押して、「PreventAutoLogin」の値が「true」になっていることを確認します。

これで、Intuneのポリシー「デバイスのロック解除にパスワードを必要とします。」が、準拠になります。

4. 後片付け

作成したポリシーのscopeから、今回対象となったMacを削除し、このポリシー自体は、「無効」にしておいてください。

もし、また他のMacで同様の事象が起きた際に使用できるように消さずに残しておくといいかもしれません。

おわりに

今回ご紹介した内容は、非常に稀なケースかもしれませんが、非常にわかりやすい手順で解決できました。

もし、このような事象でお困りの情シス担当の方々のお助けになれば幸いです。

なお、こちらの情報をご提供していただきましたCloudNative様、大変ありがとうございました。

jamf関連記事

これまでのjamfに関連した記事はこちら

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.