Jamfをenrollする前に確認したら良かったこと
株式会社Mobility Technologies IT戦略本部 IT戦略部の白井です。
端末管理をはじめ社内のITシステムの運用・保守などを担当しています。
今回は、弊社が昨年導入したJamf Pro及びJamf Connectについて、導入する前にこれらを知っていれば、トラブルを避けられたかもしれないという点について、ご紹介させていただきます。
この記事が役に立ちそうな人
これからJamf ProとJamf Connectを導入する人
もう導入したけど、取りこぼしがあった人
Jamf Pro・Jamf Connectの導入が決まった時の状態
弊社は2020年4月に事業統合しており、Jamf Pro・Jamf Connectの導入が決まった時点には3種類のMacたちが勢揃いしていました。
DeNA出身のMac
JapanTaxi出身のMac
Mobility Technologies のMac
さらに元々はIntuneでWindowsとMacを両方とも管理していたので、やらなければいけないことがJamfへ登録するだけでは終わりません。さらにAzure AD条件付きアクセスへも対応する必要がありました。
Intuneから端末を削除する
Jamf Proにenrollする
Jamf Connectに接続する
Jamf経由でIntuneに登録する
Intuneで「準拠したデバイス」として認識させる
Azure AD条件付きアクセスでは、「準拠したデバイス」以外からのアクセスをブロックするように設定していたため、Jamf Proがコンプライアンスポリシーを共有できることが非常に重要でした。
やはり、端末管理は理想を言えば最初から導入しておくのが一番だと思います。ただ、そうは言っても今使っているツールから乗り換えたいとか、MacとWindowsはそれぞれに適切なツールを用意したいとか、事情はあると思います。少しでもお役に立てましたら幸いです。
導入前に確認するポイント6つ
以下のポイントは、実際に弊社で導入したときにトラブルの起こったところです。ただし、あくまでも弊社での事象ですので、その点をご認識ください。
ABMに登録していないならすぐにアカウント作成
Apple Business Manager (ABM) とは、Appleの提供している管理ツールです。端末を購入時点でABMに登録、Jamf Proへ連携することで、一台一台enroll手順を踏まずに、電源オンからのゼロタッチデプロイが可能になります。
弊社では元々違う会社同士が資産を持ち寄っていたこともあり、全てをABMに登録することは現実的ではなかったため、ユーザーにenrollを依頼しました。後からABMへ登録することも不可能ではないのですが、初期化が必須になるため、新規購入端末から自動enrollができるように設定しています。
Jamf Connectの配布は先にリカバリキーを回収してから
enrollを行う上で、やりたいことは色々あれど、「端末の暗号化」は必ず行うと思います。FileVault 2 を有効化した後でリカバリキーを回収しますが、Jamf Connectの配布はこの後にしましょう!
というのも、Jamf Connectを使ってIdPのパスワードとローカルパスワードを同期した後で、
ユーザー「同期した時パスワードマネージャーを使って入力したので、Azure ADの64文字あるパスワードを覚えていなくてログインできません。」
私「😇」
そんな問い合わせがあってもリカバリキーがあれば、安心ですね!!!
オンプレのADに参加していた端末に注意
過去にオンプレADに登録して、ユーザーを作成していた端末は、AD情報を削除していても、Jamf Connectの導入時に「IdPのパスワードとローカルパスワードを同期」が失敗し続けるといった事象が発生しました。これが明確な原因かどうか、不明なところがありますが、最終的には端末交換で対応することになりました。
Jamfの導入を決めたら、移行アシスタントは使わせない
こちらは有名なお話ですが、Jamf登録端末で移行アシスタントを使うと、古い端末のJamfの情報を連れてきてしまい、通信が失敗してしまうようです。
うまく回避する方法もあるにはあるのですが、なかなか手順が複雑になって大変だったので、いい大掃除の機会だと思って対応してもらうようにしましょう。
Wi-Fiをパスワード認証していたら、キーチェーンから削除する
MDMの構成プロファイルなどでWi-Fi情報を配布していれば特に問題ないのですが、トラブル対応などで一時的にパスワードを手で登録していた場合などもあると思います。
キーチェーンに登録されたWi-Fiパスワードは、削除しておきましょう。
SSIDが同じ場合、競合してしまいある日突然オフィスWI-Fiに接続できなくなる日がやってきます。
enrollはネットワークに阻まれがちなので、出社してもらうのが吉
Jamf Proへenrollするときに、プロファイルが作った分だけポコポコと入ってきますが、5つほど入った時点でそれ以上進まなくなってしまうことがありました。
これに関しては方々原因を聞いて回ったのですが、「ネットワーク起因」のようです。自宅のインターネットからだと速度の問題や、フィルタリング等原因の切り分けが難しいので、この登録作業についてはなるべく出社して対応していただく方が、結果的に時間がかからないかもしれません。
全員出社が難しい場合は、失敗した時点で出社するというお願いを事前にしておくのが良いと思います。
とはいえ、Jamf APIを使ってプッシュするとうまくいくこともありました!
参考ブログ:備忘! Mac の Jamf Proへの再登録方法https://blog.magichat.jp/n/n0351ffcae6fb#27c51fd9-5590-412b-a2e5-06d849615053
まとめ
以上、弊社がJamf導入時に出会った事象のご紹介でした。これからJamfを導入する方のお役に少しでも立てればと思います。
※掲載内容は、2023年3月27日時点の情報となります。
※記載されている会社名、サービス名、製品名は、一般に各社の登録商標または商標です。
弊社では、私たちと共に働く仲間を募集中です。
興味がある方は、お気軽にご連絡ください!
