くらめその情シス:jamfPROにDEP Notifyを導入して、ほぼゼロタッチデプロイ運用を実現してみた。

2021.04.16

こんにちは

情シス担当、アノテーションの畠山です。

今回は、jamfPROの無料のアドオンソフトである、DEP Notifyの導入について書こうと思います。

DEP Notifyは、結構便利なツールなのですが、なかなか情報が少なく導入を躊躇されている方も多いと思います。

今回は、DEP Notifyでどんなことができるのかを簡単に説明いたします。

はじめに

用語

  • ポリシー:Macにインストールしたり設定したい内容を指定したもの
  • トリガー:ポリシーを実行するタイミング

DEP Notifyとは

DEP Notifyとは、冒頭でも書きましたがjamfPROで使用できるアドオンソフトの一つです。

この様なことができます。

  • jamfのポリシーを順番に実行できる
  • 画面上にプログレスバーとメッセージを表示して、今、何をインストールしているかが見える
  • FileVaultの有効化をするためのログオフを最後に強制的に実行できる

ここが便利

実はjamfのポリシー実行は同じトリガーを指定した場合、1つのポリシーの終了を待たずにどんどん実行してしまいます。

これによって、関連のあるアプリをインストールするポリシーを実行したい場合、先にインストールが必要なものを考慮せずに次のポリシーが実行されてしまい、インストールが失敗して、スキップする場合があります。 この現象は、その時々の個々のMacの環境や設定したポリシーによって起こったり起こらなかったりするので、情シスとしては一番発生して欲しくない不安定な状態になってしまいます。

DEP Notifyを使用すると、ポリシーが終わったタイミングで次のポリシーが実行されるようになり、安定したポリシー実行ができるようになります。

DEP Notifyの仕組み

DEP Notifyも一つのパッケージアプリをインストールするポリシーとして、動作します。

動作タイミングとしては、「登録完了」トリガーを指定することで、jamfに登録された直後に実行され、DEP Notifyパッケージの配布とインストール、スクリプトの実行を行います。

このスクリプトの実行の中で、「カスタムトリガー」という特殊なトリガーを使用して、各ポリシーを順に呼び出して実行する仕組みになっています。

カスタムトリガーとは

通常であれば、「登録完了」とか「ログオフ」などをそのポリシーに設定しますが、カスタムトリガーはユーザーがトリガーに任意の名前を付与して、その名前で呼び出された時にのみ実行するトリガーになります。

このカスタムトリガーは、コマンド(シェルスクリプト等)でのみ、呼び出すことが可能となっていますので、そのままjamfに登録する作業を行っても、そのトリガーは実行されません。

仕組み(処理の流れ)

DEP Notifyを、唯一の「登録完了」ポリシーとして設定します。

登録完了時に、最初に実行されるポリシーとして設定するわけです。

DEP Notifyのポリシー内には、DEP Notifyアプリのパッケージインストール、DEP Notifyの画面上に表示するロゴ画像等のパッケージファイル、実行を制御するためのシェルスクリプトを設定します。

なお、Big Sur搭載のMacを登録する場合、DEP Notifyのポリシーの中で、DEP Notifyのスクリプト実行より前にRosseta2をインストールする必要があることに注意してください。

ポリシー内のRosseta2をインストールするスクリプトの優先順位に「before」を指定することで、DEP Notifyスクリプトの実行より先に実行可能です。

Macをjamfに登録する時の流れは以下になります。

  1. jamfに登録完了したタイミングで、「登録完了」ポリシーを検索
  2. 唯一の「登録完了」ポリシーである、DEP Notifyのポリシーが発動
  3. DEP Notifyパッケージとアイコン画像パッケージがインストールされ、スクリプトが実行開始(Rosetta2のインストールスクリプトを設定している場合はそちらが先に実行されます)
  4. スクリプト内に記載されたカスタムトリガーを順次呼び出して、そのポリシーを実行
  5. 指定されたカスタムトリガーが終わると次のカスタムトリガーが呼び出される
  6. 最後のカスタムトリガーの実行が終わると、FileVaultの有効化を行うポリシーがある場合、「ログオフ」ボタンを表示する

この様な流れでDEP Notifyは実行されます。

なお、ポリシーの実行中に、ポップアップが表示される様なアプリケーションを指定すると、途中で止まってしまう事象が発生してしまいますので、その様なアプリケーションをインストールしたい場合は、別途ポップアップをKillするなどの考慮が必要になります。

さいごに

このように、DEP Notifyはjamfを運用する情シスにとっても、実際にMacを使用開始するユーザーにとっても、非常にわかりやすく、手順を意識せずにセットアップができるツールとして、非常にありがたいものです。

詳細な、セットアップ方法などにつきましては、また次回お伝えしたいと思いますので、暫しお待ちください。

jamfの導入中で、ポリシーの適用が不安定だとお思いの方がいらっしゃいましたら、是非、DEP Notifyの導入をご検討ください。

また、DEP Notifyの導入を検討中だけどよく解らないという方の一助になれば幸いです。