この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは。くらめそ情シスの畠山です。 当社では以前から会社で使用するPC(Windows、Mac)をMDMを使って管理することを進めてきました。
今回は、購入したMacを情シスにてキッティングすることなく、ユーザーがMacを使用開始できてしまう、 ゼロタッチデプロイについてご紹介します。
前提条件
今回の仕組みを実現するために必要なこと
- ABM(Apple Business Manager)(旧DEP(Device Enrollment Program))の契約(無料です)
- jamfPROの契約(期間限定だが試用版でも可)
- ABMへのjamfPRO(MDM)の登録
なお、ABMに購入したMacを自動的に登録するためには、別途専用のApple Storeの契約と、お客様番号の取得とABMへの登録が必要になります。
これにより、専用Apple Storeで購入したApple製品は、自動的にABMに連携され、デフォルトで使用するMDMを設定しておけば、自動的にjamfPROにもデバイス情報が連携されます。
できたこと(良いこと)
そもそも、ゼロタッチデプロイとは、通常、購入したMacをユーザーに渡す前に情シスなどで、Macのセットアップを行って、会社で必要なセキュリティ対策アプリや各種エージェントの登録、会社標準のブラウザのインストール、Macを業務で使用する上でのセキュリティ設定(パスワードの長さや複雑性、スクリーンセーバーのパスワード解除設定など)など大変多くの設定作業を行った上で、やっとユーザーに渡せる様になります。
このような、単一操作で多くの工程が必要な作業では、ミスも発生しますし多くの作業時間が必要になってしまいます。
これらの全てを、情シスを介さずにユーザーが電源を入れてネットに接続した際にjamfサーバーから自動的に行うことで、情シスのキッティング作業をゼロにすることができました。
当社のゼロタッチデプロイ時の自動設定項目(これは一部です)
- パスワードポリシー設定
- ローカル管理者作成
- ローカル管理者パスワード設定
- 各拠点オフィスのWi-Fi設定
- コンピュータ名の設定アプリ配信
- デバイスの暗号化設定
- セキュリティソフトウェアインストール
- VPPアプリケーション配信のセルフサービスポータルインストール
- その他
これらを全て自動で行い、インストール状況をjamfの管理画面で監視することが可能です。
では、どの様な仕組みで実現できるのでしょうか。
以下の構成は、当社の場合は、MacのみではなくWindowsPCも使用していますので、MacとWindowsの両方に対してゼロタッチデプロイを実現しているための構成となりますので、Macのみの場合はAzureADやIntuneは必須ではありませんので、ご注意ください。
構成
ゼロタッチデプロイのプロセス
- ABMに登録されたMacデバイスは、自動的にjamfに登録連携する様にABMにて設定されているため、インターネットに接続時にjamfへの登録が開始されます。
- その時、jamfのPrestage Enrollmentポリシーによって、Macのデフォルトのセットアップで出てくる各種設定をスキップすることも可能で、セットアッププロセスの 時間短縮も行いつつ、設定プロセスが走ります。
- 設定プロセスは、jamfに設定した各種ポリシーのプロパティに従って行われ、それぞれのプロセスの結果をログとして残しながら、実施されます。
- 設定プロセスが完了すると、jamfの管理画面にて登録のログを見て正しく登録できたかを確認することが可能です。
できないこと(今後の課題)
jamfPROのみでできないことは、いくつかありますがそれは、jamfの他のソリューションを併せて使用することによって、カバーすることが可能になっています。
また、MacのAutoMetorなどで、作成したアプリを配信することも可能ですので、jamf単体では実現できなくても、別途アプリケーションを配信して、実行させることで実現する方法もあります。
当社では、Macのログイン認証自体をAzureADにて行うことを目標に、jamfCONNECTの検証を進めています。
jamfCONNECTは、Macのログイン時にAzureAD等の外部のIDPを使用した認証を行って、正しいユーザーが会社管理のデバイスを使用しようとしているかを管理できる仕組みを構築できる製品になります。
ただし、jamfCONNECTは、既存のユーザープロファイルを使用することはできず、新しいユーザープロファイルを作成することになりますので、環境移行等の手間がかかるため、導入に関してハードルが高くなってしまう部分があります。
おわりに
jamf社は、Apple製品に特化したソリューション開発を行っている会社であり、iPadOS、iOS製品の管理もjamfPROを使って行うことができます。
企業では、会社貸与の携帯電話やタブレットにApple製品をお使いで、それらのデバイス管理やアプリの管理等でお困りの企業も多いかと思います。
当社でもオフィスの受付システムにiPadを使用していますが、順次jamfに登録してリモートで管理できる環境作りを進めています。 こちらで詳細に記載していますので、ご興味がある方はご参考にしてみてください。
是非、企業でのMac導入が進んできている中で、お困りのことがございましたらご相談ください。
なお、WindowsのMDM導入に関しても、以下の関連記事をご参考にしてみてください。
5
