mac OSのメジャーアップデートの際に情シスが行うこと

前置き

2022年10月25日より、新しいmacOS Venturaが登場します。
情シスとして初のメジャーアップデートを控え超ビビっています。

macOS Ventura

Venturaはスペイン語で幸運の意味だそうです。
最初は、ずっとVentureだと思っていて、ほほう、ベンチャー精神いいじゃないのと思っていました。

と思っていたら

Ventura は Monterey や Big Sur と同じで、Apple HQ のあるカルフォルニアの知名ですねｗ pic.twitter.com/8LBpIIxNxO

— ろと┊ rotonyan🍣 (@rotomx) October 22, 2022

あらやだ。

調べてみた。「Venturaはスペイン語で幸運の意味」当たらずとも遠からずだったかな…

組織の端末をJamf Proで管理していることを前提として、なんらかの事由により即時のOSアップデートは控えたい場合、どんな対応をするか考えてみました。このnoteは、こうしたら良いんじゃないかな、と悩んでいる私のメモです。過不足については、どうぞコメントをお寄せいただけましたら幸いです。

このnoteの内容は、インターネットで一般に閲覧できる情報を元に構成し、業務上の秘匿情報を含めないことに注意しています。

なお、言うまでもないことですが、ここに書いていることは私個人の独断と偏見であり、所属組織や団体を代表した意見ではないこと、この記事の記載内容を実行したことにより生じたいかなる損害にも対応しかねることを申し添えます。

メジャーアップデート前に準備しておくこと

1. Jamf Proを利用して一定期間はユーザが新しいOSにアップデート出来ないようにする

1-1.構成プロファイル

macOS 11.3 以降、メジャーアップデートに対して遅延設定ができるそうです。

新機能と拡張機能 - Jamf Pro リリースノート | Jamf

コンピュータ構成プロファイル

コンピュータ構成プロファイル - Jamf Pro ドキュメント | Jamf

構成プロファイル＞OS＞オプション＞制限＞functional で注意なのが、諸々の許可するにチェックを入れないと、ユーザがそれを行えなくなること。
私は今回、この点で、メモ帳などの許可するにチェックを入れ忘れてしまい、ユーザからメモ帳が開けないとの声を頂戴する事態になってしまった。ごめんなさい。チェックを入れ直せばメモ帳は開けます。また、メモ帳の中身が消えているような場合には、iCloudで復元できます。

iCloud.comでメモを削除／復元する

1-2.制限付ソフトウェア

プロセス名は現時点では不明ですが、まあVentura.appで合ってるんじゃないかと推察。→合ってたみたいです。

Venturaに限らず、すべてのインストールを制限するという手もありますが、今回のVenturaに合わせて重要なセキュリティアップデートを含むMontereyやBigSurのマイナーアップデートも入ってきたので、その点は注意です。

Apple のセキュリティリリース

Apple、重要なセキュリティアップデートを含む「macOS 12.6.1 Monterey」と「macOS 11.7.1 Big Sur」をリリース。

制限付ソフトウェア

制限付ソフトウェア - Jamf Pro ドキュメント | Jamf

最新版のmacOSのインストーラーアプリをダウンロード

softwareupdate --fetch-full-installer

macOS 10.15 Catalinaのsoftwareupdateコマンドでは「–fetch-full-installer」オプションが追加され、古いmacOSのインストーラーのダウンロードが可能に。

コマンドラインを使ってソフトウェアアップデートをリモートインストールする方法

2. ABMでagreementsにacceptsする

今回はABMの管理者宛てにこんなメールが来ていました。前回も同様のようです。

On October 24th, 2022, Apple will post updated versions of operating system software license agreements to Apple Business Manager. Once posted, your organization won’t be able to enroll devices or deploy new apps until an administrator signs in to Apple Business Manager and accepts the following agreements:

2022 年 10 月 24 日に、Apple はオペレーティング システム ソフトウェア ライセンス契約の更新版を Apple Business Manager に投稿します。 投稿すると、管理者が Apple Business Manager にサインインして次の契約に同意するまで、組織はデバイスを登録したり、新しいアプリを展開したりできなくなります。（Google翻訳）

と、いうわけで、24日なったらABMにサインインしてacceptsしましょう。

ここで注意なのは、On October 24th　は、アメリカ基準だということ。日本時間では、だいたい翌日25日朝にABMにサインインすると下記画像のように自動的に表示されるはずです。

3. 関係者に周知する

あとは、必要に応じて、前日や当日に全社通知を行う、と言ったところでしょうか。
情報キャッチアップが早い人や、新しいものが好きな人は、新OSを早速試したいかもしれません。しかし、それはプライベートの端末ならいくらでも好きにして構いませんが、組織として管理している端末では、様々な理由があるのでちょっと待ってね的なことをアナウンスします。

関連情報

Jamf Pro ドキュメント

JamfProのリファレンス的なもの。いまだによくわかってないです。

Jamf Pro ドキュメント

Jamf Connect

tooさんによる解説。いずれこの領域まで持っていきたいものです…

【番外編】MacのOSバージョン管理をどう考える？Jamf Connectの再有効化について。 | Apple ブログ | Apple | 株式会社Too

Jamf ブログ

An 'easy' button shows how to reinstall a clean macOS with one button.
November 17, 2021 
本当にできる、macOSをボタン一つで再インストールする方法

本当にできる、macOSをボタン一つで再インストールする方法

Apple OS アップグレード 上級編

謝辞

例によって、情シスSlackの皆様からのアツいコメントに助けられています。
また、JMUGの皆さまの温かなコメントにも助けられています。
いつもありがとうございます！

#情シスSlack
#情シス
#コーポレートエンジニア
#コーポレートIT
#Ventura
#macOS
#メジャーアップデート
#Jamf  Pro
#Jamf
#MDM
#JMUG