この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
IT推進室の畠山です。
BYODを実現するためのEMM製品のPoCシリーズの2本目となります。
今回は、jamf社のjamf PROのPoCのレポートを紹介します。
jamf PROとは
その前に、jamf PROは、もとはCasperという製品名で主に海外で市場を展開していた製品です。 EMM製品の中でも、Apple社製品専用としては非常に優秀であると評価されている製品になります。
日本のシステム開発現場でもMacが使用される機会が増えています。 また、iPadをビジネスで利用する機会も非常に多くなってきている中で、デバイスの管理が必須課題となってきています。
Jamf PROは、それらの課題を解決しつつ、デバイスの設定工数の削減や利用時の適切な認証、デバイスのロック・消去機能をはじめ、より細かい設定制御が可能な製品になっています。
では、トライアルを始めましょう。
トライアルの実施
トライアルの実施は、jamfのWebサイトから、必要事項を入力して申し込みを行います。 しばらくすると、jamfよりトライアル環境の準備完了のメールが届きます。
トライアル用のマニュアルも一緒に送られてきますので、それに従って環境設定を行います。
実施したいトライアルの内容によっては、jamf社が色々相談にのってくれますので、事前にトライアルのシナリオや、制限したい設定項目等を準備しておくことをお勧めします。
トライアル環境の構築
メールで送られてくる、トライアル実施用のサイトURLにアクセスして、指定のユーザ、パスワードでログインすると、jamf PROサーバのダッシュボード画面に遷移します。 ダッシュボード画面は、多言語対応されており、日本語での表示も可能です。
まずは、ログインした管理用のユーザのパスワードを変更します。 作成したユーザ毎に言語設定が可能となっており、タイムゾーン、使用言語を設定します。
ログイン画面や各種サーバの設定を行う画面でのフィールドタイトルやボタンの名称は、言語に合わせて管理者が設定する必要があります。
クライアントのサーバ接続
いよいよ、クライアントをサーバに接続します。 新規のMacの場合は、Apple Business Manager(Apple社のビジネス向けサイト)より、MDMに自動連携できますので新品のMacが会社に届いて電源投入すると 自動的にサーバに接続して、初期設定や利用ポリシー等が配布設定されるようにできます。 これによって、従来新しいMacが届いた際に情シスの方が何台分も手動で初期設定してきた作業は無くなって、利用する方に未開封の状態で渡すことになります。
さて、既存のMacの場合、いくつかの初期設定方法があるようですが、今回のトライアルではサーバの初期設定用のURLにアクセスして、プロファイル設定情報をダウンロード して、プロファイルを作成します。 その時に、jamfの管理者アカウントも自動で作成されます。
ダウンロードしたプロファイル設定情報をインストールします。 すると、コントロールパネルにプロファイルというアイコンが追加され、開いてみるとjamfサーバに設定したポリシー情報、構成プロファイル情報、各種証明書情報を 見ることができます。
この状態で、すでにjamfサーバの管理下にクライアントMacはリストされたことになります。
サーバからクライアントの設定を変えてみる
クライアントMacがjamfサーバに登録されましたので、サーバ側でクライアントの設定を変えてみたいと思います。
今回のトライアルでは以下の項目について確認したいと思います。
- Dockのサイズ変更と表示位置の変更
- Dock設定の変更不可
- コントロールパネルの「省エネルギー」、「Bluetooth」の無効化
- Macのリモートロック
- プロファイル設定情報の削除
まずは、サーバ側でポリシーの配布タイミングを設定します。 設定できるタイミングは以下になります。
- コンピュータで1度
- コンピュータ、ユーザで1度
- ユーザで1度
- 1日に1度
- 1週間で1度
- 1ヶ月で1度
- いつでも
今回は、トライアルなので「いつでも」を選択します。
Dock設定の変更
では、最初にDockのサイズと位置を変えてみましょう。 構成プロファイルメニューで、新しく構成プロファイルを作成します。名前とかは適当にdockとします。 オプションタブの中の対象項目からDockを選択します。 Dockのサイズ、ポジション、倍率等設定します。 ここでは、Dockに表示したいアイテム(アプリケーションやフォルダ)を指定することもできます。 設定したら、保存して、配布します。
変更前のDock
変更後のDockの位置とサイズ、倍率設定が変わりました。
当然、サーバ側でプロファイルをコントロールしていますので、クライアント側では変更できません。 (グレーになって操作できなくなっています。)
次に、コントロールパネルの機能を制限してみます。
コントロールパネルの利用制限
コントロールパネトの利用制限は、「コンピュータ」→「構成プロファイル」で、新規にプロファイルを作成します。 プロファイル名は、適当に「controll」とします。 オプションメニューの中から、「制限」を選択します。 「システム環境設定の項目を制限」のチェックボックスが表示されますので、チェックすると、下に、有効にするか、無効にするかの選択ボタンが出ますので、disableを選択します。 その下層にある各コントロールパネルの機能で、無効にしたい機能を選択します。(今回は、BluetoothとEnergy Saver(省エネルギー)を選択)
チェックしたら、保存ボタンを押すと、配布の確認メッセージが表示されるので、保存ボタンを押して反映します。(今回は、配信タイミングを「いつでも」に設定していますので、即時反映されます)
反映後のクライアント側のコントロールパネルでは、省エネルギーとBluetoothが薄く表示され使用できなくなります。
クライアントのロックとプロファイル削除
ここまで、クライアントへのプロファイル登録から、各種設定変更、制限の実施を行いました。 今回ご紹介した、設定変更の種類や制限のほか、アプリケーションのインストールや様々なポリシーの適用をサーバ側で設定することで、会社で使用するMacの使用環境の管理や、使用状況の確認を行うことが可能になります。
次に、もしこのMacを紛失した場合の対処の一つとして、クライアントのロックの実施、プロファイルの削除、デバイスの消去についてお話ししようと思います。
クライアントのロック
クライアントのロックは、サーバ側でコンピュータを選択して、管理メニューから「コンピュータのロック」ボタンで実施できます。 ロックの解除用に、6桁のPINコードを設定します。 その後、即座にそのコンピュータは再起動されてPINコードの入力画面になります。
正しいPINコードを入力すれば、ロックは解除されて再び使用できるようになりますが、もし、紛失したMacが見つからない場合は、コンピュータの消去を実施します。 消去を実施した場合は、全ての情報が工場出荷時になりますので、格納されていたデータは全て初期化されますのでご注意ください。
プロファイルの削除
もし、 そのMacがBYODで個人の持ち込みだった場合、会社で使用するために設定したプロファイルを削除することで、設定および各種制限は全て解除されます。
ロックと同様に、コンピュータを選択して、管理メニューから「プロファイルの削除」ボタンを押すことで、実施できます。 確認のメッセージが表示されますので、「OK」ボタンを押すとクライアント側のプロファイルが削除され、設定が元に戻ります。
まとめ
今回は、jamf PROのPoCを実施しましたが、やはり、Apple製品に特化したEMMだけに、Macの機能を知り尽くした作りになっていると思いました。 ただ、AppleもBusiness向けに動き出してから日が浅く、jamfのGUIにも学校向けの機能やユーザ管理などが随所に残っており、多少操作に迷う部分が残っていると感じました。
最初にPoCを実施したVMware Workspace ONEと比較すると、AWS上で動いているだけあってレスポンスも悪くなく比較的快適に操作できました。 今回は使用しませんでしたが、AzureADと連携したユーザ管理や、Apple Business Managerとの連携、Microsoft Intuneと連携する機能も搭載されていますので、 会社の環境で、MacだけではなくWindowsもあるという場合は、それらの機能を利用することで、柔軟な使い方ができると思われます。
Apple製品の管理に関しては、iPhoneやiPad、AppleTVにも対応し、Macに関しても隙のない設定管理が可能な製品だと思いますが、教育現場向けを意識した部分が多少残っており、 今後の、ビジネス向け対応強化に期待したいと思います。
BYODで「働き方改革」の実現を考えてみた(VMware Workspace ONE編)
BYODで「働き方改革」の実現を考えてみた
5
