会社のMacをjamfでリモート管理してみた

2021.03.02

はじめに

こんにちは。

情シス担当、アノテーションの畠山です。

これまで、jamfの導入や設定について書いてきましたが、今回はそれらの運用についても書いてみたいと思います。

運用と一口に言っても、会社で使用するMacには必要なことが色々とあります。

特にセキュリティに関しては、ウィルス対策ソフトや資産管理、使用するデバイスの使用期間等さまざまです。

今回当社で導入したjamfはそれらの情報の一部を管理して、現在どのような状態で使用されているかを管理することが可能です。 もちろん、MDM(Mobile Device Management)として、リモートからのワイプ(完全消去)も可能となっています。

jamfを導入した運用について、もう少し詳しく書いていきます。

できること

jamfは、macOSおよびiOSデバイスをリモートで管理するためのクラウドサービスです。

なお、Apple製品を導入されている企業であれば、Appleから提供されるApple Business Manager(ABM)を導入されることを、強くお勧めいたします。 こちらは、販売されたApple製品を管理するサイトで、jamfとの連携を設定すれば自動的にjamfに購入したApple製品の情報を流してくれます。 これによって、いちいち購入した製品を手動で登録する必要はありません。

また、AppleIDを使用して社員に個別にインストールしていたストアアプリもこちらで必要数購入しておけば、jamfのセルフサービスアプリから、AppleIDの入力の必要がなくインストールをすることが可能になります。なお、ABMで購入したアプリは、個別のAppleIDで購入した時とライセンス体系が違ってデバイスライセンスになるため、使わなくなったライセンスを他のデバイスで再利用することが可能になります。

運用面では、購入したデバイスはABMに登録された時に自動でjamfに連携され、プロファイルの割り当てがされますので開封して電源を入れ、ネットに接続してセットアップを開始した瞬間に、jamfから会社個別のポリシーやプロファイルが割り当てされます。

すなわち、情シスでは何もやる必要がありません。

これが、真のゼロタッチデプロイと言えます。

ですので、本来未開封のまま送ってもいいのですが、会社資産としては一応、デバイス識別のために資産管理番号シールを貼る必要がありますので、開封してシールだけ貼り付けを行っています。

従来行っていたセットアップ作業は、デバイスを受け取ったユーザーご自身にて自動で実施できることになります。

なお、ご参考までに当社で自動で登録を行っている設定は以下になります。

  • オフィス使用時に使用するWi-Fi設定
  • パスワードの文字数や種類を制限するポリシー設定
  • ストレージの暗号化を強制するポリシー設定
  • ユーザー以外に緊急時にログインできるようにするための管理者アカウントの作成とパスワードの設定
  • 管理者アカウントのパスワードを定期的に変更するスクリプト実行ポリシー
  • 資産管理用のクラウドサービスをインストールするためのポリシー

これら以外にも、スクリプトを使用して様々な設定やポリシーを配布することが可能です。

また、デバイスをグループ分けしてSmart Computer Groupを作成することによって、グループごとに違うポリシーを設定したりすることも可能になっています。

昨年、macOSの最新版(Big Sur)が公開されましたが、会社で使用するアプリケーションの対応が確認できるまで、アップデートを遅延させたり、インストールを禁止するなども実施しています。

逆に、バージョンの古いOSを使用し続けているMacを抽出して、アップデートを促すなども可能になり、Macの脆弱性に対するリスクを最小限にする運用も行うことができます。

Microsoft Intuneとの連携について

当社では、Mac以外にWindowsPCも使用しています。

WindowsPCの管理はjamfで行えないため、Microsoft社のIntuneというサービスを使用しています。

Intuneは、AzureADと連携したサービスで、最近では徐々にAzureADに統合化が進んでいるようです。

WindowsはIntune、Macはjamfということで、一元的に社用PCを管理できないということになりますが、ここで、jamfのIntune統合機能を使用することによって、jamfの情報を定期的にIntuneに送ることで、Intune上で、両方のデバイスを一元的に管理することができるようになります。

また、これを実施する大きな目的が他にあります。

それは、AzureADの「条件付きアクセス」という機能の使用です。

条件付きアクセスについての詳しい記事は、また別の機会に記載しようと思いますが、3つの条件(デバイス、ユーザー、使用するアプリケーションの権限)が揃って初めて、会社で使用するアプリケーションにアクセスできるという条件を設定できる物です。

これによって、社員はいつ、どんな場所からでも、セキュアに会社の情報にアクセスできるようになります。

リモートからデバイスの初期化

jamfに限らず、多くのMDMが装備している機能ですが、この機能をワイプと呼びます。 基本的に、初期化のことなのですが、一般的に初期化してしまえばあとは会社のPCではなくなるとお考えの方も多いかと思います。 確かに初期化しただけであれば、そうとも言えますがコンピュータはOSがないと何の意味もない文鎮です。

もし、ワイプされたMacにOSを再インストールしようとしても、再び会社用のポリシーやプロファイルが適用され、上記3つの条件が揃わない限り、使用できないことになります。 そういう意味では、デバイスを管理下から外さない限り使用できないデバイスになり、デバイス自体のセキュリティを高める効果も得られます。

できないこと(やらないこと)

古くなったMacを新しいMacに入れ替えを行うことも発生しますが、移行はjamfでは行えません。

新しいMacは自動で、会社用として使用できる環境には自動でセットアップが行われますが、旧Macからの移行はご自身で行っていただく必要があります。

注意点として、Apple純正の移行アシスタントを使用すると、jamfの環境情報が旧Macの情報で上書きされてしまい、新しいMacの方がjamfクラウドサービスと通信できなくなってしまいます。

これに関しては、こちらの記事に詳しく記載していますので、こちらを参考にしてください。

[小ネタ] jamfに登録したMacがjamfと通信できなくなった時の解決方法

ゼロタッチデプロイについて

ゼロタッチデプロイは、あくまで新規のMacに適用できる物で、既存で使用中のMacをjamfに登録するには、セルフエンロールという機能で手動での登録が必要になります。

ゼロタッチデプロイの実現には、前述のApple Business Manager(ABM)の契約が必須です。

ABMの契約については、Appleのサイトに詳しい記載がありますので、こちらを参考に契約についてご相談されることをお勧めいたします。

https://www.apple.com/jp/business/it/

ABMの契約ができたましたら、組織IDが発行されますので、購入ベンダーに組織IDを伝えることで、ABMに登録していただけるようになります。

ABMには、管理者を含めて5つの役割(管理者、ユーザマネージャ、デバイス登録マネージャ、コンテンツマネージャ、職員)が設定でき、役割に応じて管理できる内容が異なってきます。 これらを活用することによって、デバイスの管理、アプリの管理、購買情報等を管理することができます。

MDMの登録情報もこちらで管理します。 デバイスによって違うMDMを使用することも可能で、その設定によってデバイス情報がそれぞれのMDMに連携されます。

しかし、基本的によほどの事情がない限り、MDMは一本化した方が管理する方の立場としてはよろしいかと思います。

さいごに

今回は、jamfの運用に関するまとめ記事的な内容となっていますが、いかがでしたでしょうか。 テレワークが徐々に浸透してきていますが、これからMDMの導入をお考えの企業の方々に少しでも参考になるような記事を書いていければと思っています。

詳しい内容は、以下の記事もご参考にしていただければ幸いです。

jamfに関する記事

くらめその情シス:Macのゼロタッチデプロイをjamfでやってみた

RFECEPTIONIST端末(iPad)をjamfPROで管理してみた