[小ネタ]jamfで使える便利なコマンド集

2021.03.03

こんにちは

情シス担当、アノテーションの畠山です。

今回は、jamfのセルフサービスに登録しておくと、ユーザーサポートに便利なコマンド(スクリプト)や、ターミナルで使用できるトラブル時に使える便利なコマンドを紹介します。

jamfには、各種アプリケーションの配布や、インストールを実行できるセルサービスというランチャーがついています。 これに登録しておくと、クリック一つで実行できるので、非常に便利になります。

(当社では「classmethod App Store」という名前で表示しています)

余談ですが、本来であれば標準でインストールされているアプリも表示されていますが、当社ではMacを再利用する際に完全にリカバリー(初期化)するため、これらの標準アプリが消えてしまいますが、全社員が使用するアプリではないため、必要に応じてインストールできるようにセルフサービスにて配布しています。 なお、これらのアプリはABM(Apple Business Manager)にて管理者のAppleIDで購入したもので、デバイスライセンスのためインストール時にAppleIDの入力無しでインストールが可能です。

セルフサービスに登録しておくと便利な機能

jamfへの登録には2つのパターンがあり、一つはABMを利用したゼロタッチデプロイによる「Prestage Enrollment」、もう一つは、ユーザーが使用中のMacを自身で登録する「Self Enrollment」です。 とくに、後者の「Self Enrollment」については、個々の通信環境等によりエンロールが失敗する場合や設定ミス等があった場合に、情シスからの指示によって設定変更を行っていただいたり、情シス側からポリシーを再配布したりという場合も発生します。

その時によく使用する機能が、以下の2つになります。

ポリシー再配布

jamfに設定したポリシーが何らかの原因によって失敗したり、実行されなかったりした場合、情シス側で対象Macに対する配布ポリシーを「Flush」することでポリシー配布を配布準備中に戻します。 その後、ユーザー側にてこの機能をセルフサービスで実行してもらうことで、ポリシーを再配布できるようになります。

スクリプト

jamfの管理画面で「設定」→「コンピュータの管理」→「スクリプト」と進みます。

右上の「新規」を押して新しくスクリプトを登録します。

表示名にスクリプトの名前を指定します。

ここでは、コマンド名の「policy」とします。

スクリプト タブに移動して、以下のスクリプトを入力します。

sudo jamf policy

※このコマンドは、ターミナルでも実行可能です。

入力したら、右下の「保存」を押します。

保存できましたら、jamf管理画面の「コンピュータ」のタブに移動します。

「コンテンツ管理」の「ポリシー」で「+新規」を押して新しいポリシーを作成します。

今回、表示名は「ポリシー再配布」としました。

Self Serviceタブに移動して、セルフサービスの設定を行います。

Self Service 表示名、開始ボタン名、開始後のボタン名を設定します。 説明文の表示やアイコンを変更することもできます。

次に、「scope」タブで、配布先となるコンピュータを指定します。

ここでは、全てのコンピュータに配布しますので、デフォルトの「All Computers」を選択します。

「保存」を押します。

これで、全ての登録されたMacのセルサービスに「ポリシー再配布」が表示されるようになります。

Macの情報をjamfサービスに送信する

jamfはある一定のタイミング(ログアウト/ログイン、再起動等)でしか、Macの情報をjamfサービスに送信しません。

ただ、いろいろなサポートを行っている中で、いちいちログアウトや再起動をしてもらうのは、時間もかかりますし手間もかかります。

そこで、jamfのコマンドでReconという機能をスクリプトで用意して、セルフサービスで配布しておくことで、指示したタイミングで情報を収集することが可能になります。

設定方法は、上記のポリシー再配布と同様にスクリプトを登録して、ポリシーでセルフサービスに配布するという方法になります。

スクリプト

Macの情報送信のスクリプトは以下になります。

sudo jamf recon

上記のコマンドは、ターミナルでも実行可能です。

ターミナルで使えるコマンド

ポリシー再配布や、Macの情報送信以外でターミナルで使えるレスキューコマンドがありますので、紹介いたします。

Microsoft Intuneとの統合で正常に登録できない時に使用できるコマンド

jamfには、MicrosoftのMDMであるIntuneに情報を送信して、WindowsPCと一緒にデバイスを管理できる機能があります。 通常は、jamfのIntune統合のポリシーを設定して、そちらから実行するのですが、何らかの原因でこれがうまく動作しない場合があります。

その場合、以下のコマンドを使用して、再設定を行うことが可能です。

/usr/local/jamf/bin/jamfAAD clean
/usr/local/jamf/bin/jamfAAD registerWithIntune

AzureADへの登録はうまく行っているが、Intuneへの登録が失敗する時に使用するコマンド

Intune統合を実施する場合、AzureADでのユーザー認証と、デバイス登録が行われますがIntuneへの登録だけが失敗する場合があります。

この場合には、以下のコマンドを使用してIntuneへの再登録を行うことができます。

sudo /usr/local/jamf/bin/jamfAAD gatherAADInfo -verbose

この状態は、あくまでAzureADではデバイスを確認できるが、Intuneの管理画面には表示されない場合に使用できます。

Intuneの表示にはタイムラグがあることがありますので、ある程度時間が経っても、表示されない場合に実行してください。

さいごに

今回ご紹介したコマンドは、jamfが提供している多くのコマンドの中のほんの一部です。

jamfはMacのデバイス管理のためのツールとしては、非常に良くできていると思います。

Webの画面だけではなく、色々なコマンドやスクリプトを使用しての状況確認やリカバリーが可能となっており、情シスにとってはありがたい機能が満載です。

ドキュメントも、jamf NATIONというサイトで公開されておりますので、是非、活用してみてください。
jamf NATION

関連サイト

会社のMacをjamfでリモート管理してみた

[小ネタ] jamfに登録したMacがjamfと通信できなくなった時の解決方法

くらめその情シス:Macのゼロタッチデプロイをjamfでやってみた