この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
どうも、情シスの徳道です。
Azure+Intuneシリーズ、今回は 前回の記事 に続き、アプリケーション(以下、アプリ)を自動インストールする設定のMacOS編を紹介します。
※今回の記事ではMacOS Catalina 10.15 を ベースにしています。
【この記事の目的】
PCサポートでMacマシンの標準インストールとするアプリの配布・インストールの設定をします。 ※弊社ではMicrosoft Office365は必須アプリではないので割愛しますが、今後このシリーズの記事で紹介予定です。
- Google Chromeブラウザ
- Google DriveFileStream
- ESET Endpoint Security
【ご注意ください】
このシリーズでは以下の条件を満たしAzureを既に利用できていることが前提になっています。
- Office365などでAzureでライセンス管理が利用可能であること
- AzureADにユーザー、グループ情報があること(AzureAD Connector連携含む)
- Azureのグローバル管理者アカウントの権限を持っていること
マエセツ:MacOSのアプリインストールについて
Intuneでインストールできるアプリの種類(MacOS)
Intuneで配布できるアプリの種類は Windows編のマエセツ で触れました。
MacOS用も基本的に同じ内容となります。
現状でも業務用は.dmgや.pkgで配布されるアプリが多数派ではないかと思われますので、MacOS編でも「その他」アプリを中心に紹介いたします。
「その他」でインストールできるタイプのアプリの種類(MacOS)
「その他」アプリの中でMacOSでインストールに利用するのは以下となります。
- 基幹業務アプリ:.pkgファイルで提供されるもの
基本、これだけなのです。Windowsの基幹業務アプリとは異なり、そのまま.pkgファイルを登録することはできません。Win32ファイルのように「.intunmac」形式にツールで変換する必要があります。
また、MacOS用アプリは.dmg(仮想ディスクイメージ)ファイルで配布されていることが多く、その中に.pkgファイルが入っていることも多いです。その展開方法についてもこの記事で紹介させていただきます。
【公式】macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法
なお、Apple Volume Purchase Programで購入したアプリを設定できますが、これは「アプリ」からでは設定ができません。この記事での趣旨とは少し異なるため今回は割愛とし、シリーズの別記事で紹介させていただきます。
MacOS用基幹業務(LOB)アプリのIntune設定
今回のインストールベースに利用するのはGoogle Drive File Streamです。
.intunemacに変換するためのツール入手から始めていきます。
Mac用 Intuneアプリラッピング ツールの準備
まず最初に Mac 用 Intune アプリ ラッピング ツール にアクセスして入手しましょう。こちらもWindows版と同じくgit hubからダウンロードとなります。
「IntuneAppUtil」をクリックし、「Download」ボタンで適当なディレクトリにダウンロードします。
変換作業はターミナルのコマンドラインで行います。ユーザーディレクトリに個別の作業用フォルダを作成しておくとよいでしょう。
以降はMac上でターミナルを併用していきます。今回は/users/ユーザーID/tmpフォルダを作業用に作成しそこにIntuneAppUtilを配置しました。
ダウンロードしたファイルには忘れずに実行権限をつけておきましょう。
>mkdir $HOME/tmp
>cp $HOME/Downloads/IntuneAppUtil $HOME/tmp
>chmod 744 $HOME/tmp/IntuneAppUtil
>ls -l $HOME/tmp/IntueAppUtil
-rwxr--r--@ 1 ユーザーID staff 375312 7 27 00:00 IntuneAppUtilMac用アプリの変換対象は単一の.pkgファイルのみです。Windowsと異なり変換対象のアプリごとにフォルダを分ける必要はありません。
dmgファイルから.pkgファイルを取り出す
続いてGoogle Drive FileStreamの.pkgファイルを取り出します。このアプリは.dmgファイルで配布されていますが、中身は.pkgファイルです。
- .dmgファイルをマウント
- 中身の.pkgファイルを作業用ディレクトリにコピー
ダウンロードしてきたgoogledrivefilestream.dmgファイルをダブルクリックしてマウントします。Finderで作業用フォルダにコピーします。
Mac用 Intuneアプリラッピング ツールで.pkgファイルを変換
ターミナルで作業用ディレクトリに移動します。
コマンド例)./IntuneAppUtil -c GoogleDriveFileStream.pkg -o ./
オプションの指定は以下です。
ーc:変換対象ファイルをパス指定
-o:.intunemacファイルの出力先パス、ファイル名で指定 (パスだけ指定の場合は入力ファイル+.intunemacで作成されます)
【コマンドの実行例】
>./IntuneAppUtil -c GoogleDriveFileStream.pkg -o ./
Microsoft Intune Application Utility for Mac OS X
Version: 1.0.0.0
Copyright 2018 Microsoft Corporation
Creating intunemac file for /Users/ユーザーID/tmp/GoogleDriveFileStream.pkg
Composing the intunemac file output
Output written to .//GoogleDriveFileStream.pkg.intunemac.
IntuneAppUtil successfully processed "GoogleDriveFileStream.pkg",
to deploy refer to the product documentation.
>
>ls
GoogleDriveFileStream.pkg IntuneAppUtil
GoogleDriveFileStream.pkg.intunemacこれでアプリをIntuneに登録する準備ができました。
Macアプリパッケージを指定
出来上がった.intunemacのパッケージをIntuneに登録します。
Microsoft Endpoint Manager admin center にログオンし、「アプリ」→「すべてのアプリ」と進みます。
上のメニューで「追加」をクリックしてアプリの種類を「基幹業務アプリ」を選択します。ここはMacとWindowsは共通です。
先ほど作成した.intunemacファイルを指定します。
次にアプリの必須項目を設定しましょう。
必須事項は*がついている項目で手入力をする必要があるのは「発行元」です。これは提供先のベンダーやユーザー名にしておきましょう。
以下、各項目の設定です。
- 最低限のオペレーティングシステム
これは現在社内で利用している最低限バージョンを指定しました。
- アプリのバージョンを無視する
アプリが自動的にアップデートされるタイプのアプリはこの設定を「はい」にしておきます。これはアプリの自動アップデートやユーザーがマシン側でアップデートした場合、古いIntuneに登録されたバージョンで上書きされないようにするためです(Windowsの基幹業務アプリと同じです)。
グループの割当
つづいてグループを割り当てます。カテゴリーの挙動は2つあり、簡単に書きますと以下になります。
- Required:アプリがインストールされる
- Available for enrolled devices:後からポータルサイトでこのアプリをダウンロードインストールできる
Windowsにはあった強制アンインストールの設定はMacOSにはありません。 (公式にはアンインストール設定の記載がありますが、実際にはありません)
ここで一点重要な注意があります。Windows版ではユーザーグループの指定でアプリインストールは問題ありませんでしたが、Macの基幹業務アプリでは「デバイスグループを指定」したほうが無難です。
【公式】Microsoft Intune を使用してアプリをグループに割り当てる
ユーザーグループも指定できるので正常動作しそうなものですが、ユーザーグループのMac基幹業務アプリでの指定条件と挙動については公式にもあまり詳細な記載がありません。
ユーザーグループを指定できるのはMacOS登録の「Enrollment Program トークン」でプロファイルを「ユーザーアフィニティに登録する」と指定した場合である、とマイクロソフトサポートサポートから回答がされていました。
弊社の「Enrollment Program トークン」プロファイルを「ユーザーアフィニティに登録する」指定しているのですが (参考リンク) 、ユーザーグループの指定でアプリインストール動作が安定しないマシンがありました。
マイクロソフトサポートからのアドバイスでMacOSマシンを登録した「デバイスグループ」を指定したところ、安定してアプリインストールが行われるようになりました。
経験則ではありますが、デバイスグループを指定したほうがアプリインストールは安定するようです。
もちろん「Enrollment Program トークン」のプロファイルを「ユーザーアフィニティを使用しない」とした場合はデバイスグループの指定が必須です。
アプリのインストールが安定しない…という場合はこのあたりの設定を確認してみるといいかもしれません。
最後に設定の一覧を確認し、アプリを追加します。
.pkgファイルを入手できる、Google ChromeブラウザやESET Endpoint Seurityも同様に設定をしています。
※Google Chromeブラウザはエンタープライズ版でpkgファイルの提供がされています。
アプリを登録してからインストールまで待ち時間があります
アプリをIntuneに登録してから実際にマシンに反映されるまでの周期が長い(8時間ごと)ので、すぐにすべてのアプリがインストールされないことがあります。
アプリのインストールをすぐに反映したい、という場合には注意が必要です。
※Windowsやその他のデバイスでも同様の制約があります。
【公式】Microsoft Intune でのデバイス ポリシーとプロファイルの一般的な質問と回答
デバイスへのポリシー、プロファイル、アプリの割り当て後にそれらが取得されるまでどれくらいの時間がかかりますか。
さいごに
Macのアプリもこれでインストールできるようになりました。
この登録方法ではカバーできない領域もあるので、そちらについてもまた次の機会に紹介できればと思います。
それではまた次の記事でお会いしましょう!
AzureAD&Intuneに関するまとめ記事
AzureAD&Intuneに関して、以下リンクから参照できます。