Jamf Proの設定についてわかっていることの棚卸し

Jamf Proを触り始めてそろそろ1年が経ちます。といっても自分でイチから環境を構築したことはなく、業務委託のつよつよ情シスの方が構築した環境を引き継ぐ形で運用しているだけです。

そんな中で初めてJmugに参加して他社事例などについて話を聞いてみて、まだまだ自分が知らないことがあるなあと実感し、逆に今知っていることは何なのかが分かっていないことに気がついたので、メモレベルですが棚卸ししてみることにしました。

Jamf Proを初めて触ったときの自分の状況は下記の通りです。

• Jamf自体触るのが初めて

• Jamf Proには必要なポリシーやプロファイルは設定済み

• 既存デバイスはJamf Proの管理下

• ABMへMacは登録されていない

環境の把握のためには、設定値を見て動作検証したりググったりしておおよそを理解しました。

契約＆デバイス登録について

契約体系

年契約・年更新で、デバイスの台数分のライセンスを購入する。契約期間中にライセンス追加をする場合は、年契約の月を起点として残月数を月割りで請求される。

ライセンス契約数以上の台数を登録していても使えてしまうので注意。

新しく購入したMacをJamf Proに登録する

新規購入したMacをJamf Proに連携をするには、まずABMにMDMサーバーとしてJamf Proを登録する必要がある。

ABMへの登録は購入先の代理店が対応していれば代理店が出荷時にやってくれる。対応していない場合でも、Apple Configuratorを使えば自分でABMにデバイスを登録できる。

MacをABMに登録したら、MDMサーバーにJamf Proを指定する。少し待つとJamf Proの「事前登録」にデバイスが登録される。

既に利用中のMacをJamf Proに登録するには

ABMへの登録は出荷時か初期セットアップの時しか行えない(たぶん)。そのため既に利用中のMacをJamf Proに登録する場合は別の方法で登録する。

Jamf Proにユーザーを作成し「https://【instancename】.jamfcloud.com/enroll」からログインしてプロファイルをダウンロードすることでMacをJamf Proに登録できる。

【instancename】の部分は自社のJamf Cloud環境にあわせる。他にも利用中のMacの登録方法があるようだが、これしか知らない。

プッシュ証明書の更新

Jamf Proの継続利用のためには、年に1回プッシュ証明書の更新が必要になる。プッシュ証明書の更新には前年作業時に利用したAppleIDを利用する必要がある。

JamfIDも作業工程上必要になるが、これについては前年と一緒じゃなくても大丈夫なのを確認済み。手順は公式や代理店にもらえる。

新しく作成した証明書をアップロードする際に、前年のIDと異なるものをアップロードしようとするとちゃんと警告が出るようなので、間違って証明書をアップロードすることは無さそう。

あわせてABMのトークンの更新も必要になる。これについても手順通りにやれば大丈夫。

設定について

ポリシー

スクリプトの設定項目で実行したいスクリプトを指定してやることで、好きなアプリのインストールなどが可能。スクリプトは管理設定の「スクリプト」から登録しておくことができる。

構成プロファイル

デバイスで制御したい設定について定義することができる。構成プロファイルは設定後、適用対象デバイスがネットワークに接続されていれば即時反映される。

グループ

スタティックグループとスマートグループの2種類がある。スタティックはデバイスを直接指定、スマートはOS等バージョン等で条件付けして動的にグループを作成できる。

スタティックかスマートでグループを作成しておけば、ポリシーや構成プロファイルのスコープに利用できる。

Recurring Check-in

ポリシー等のトリガーに「Recurring Check-in」という項目がある。結構設定に使われているので調べてみると

Recurring check-in frequency (Recurring check-in の頻度) とは、ポリシー確認のためにコンピュータが Jamf Pro へチェックインする間隔を意味します。デフォルト設定は「15分おき」です。

とのこと。頻度を変えることも可能。

ポリシー等の実行ログについて

各ポリシーを開いて右下「ログ」から実行ログを確認できる。 反映が遅かったりした場合はログを見れば配布状況がわかる。

便利なスクリプトについて

Installomator

Installomatorというスクリプトを使うと、常に最新バージョンのアプリを配布できる。ポリシーでスクリプトにInstallomatorを指定し、パラメータにInstallomatorに記載されているアプリ名を指定することで、そのアプリの最新版をインストールできる。

DEPNotify

DEPNotifyという無料アドオンがある。これにデプロイ時に実行したいポリシーを追記してスクリプトに追加する。

次にこのスクリプトをポリシーに登録し、トリガーを「登録完了」にしておくと、デバイスのデプロイ時にDEPNotifyに記載したポリシーが実行されるようになる。

アプリについて

AppStoreアプリの配布

Self Service経由でAppStoreのアプリを配布する場合、まずABMでアプリを購入しておく。ABMのAppとブックから追加したいアプリを検索して表示し、割当先を「Jamf Pro」にして必要な数量を入れて「入手」をクリックする。

少しするとJamf Proの「Mac App」(iphoneなら「モバイルデバイス App」)にアプリが追加されているので、Scopeで適用範囲を決める。対象のMacでSelf Serviceを起動するとアプリの一覧に今回追加したアプリが表示されているので「install」をクリックするとインストールできる。

なお、対象アプリの「管理配布」で「一括購入コンテンツの割り当て」にチェックを入れないとインストールにAppleIDが要求される。


あとなぜかXcodeは「一括購入コンテンツの割り当て」にチェックを入れてもエラーを吐いてインストールできなかった。Appleの開発者用のサイトからXcodeはダウンロードできるので、そこからダウンロードする運用も一応可。

MacにiOS専用のアプリを配布する

下記の方法で可能。

macOSへiPhoneアプリをJamf Proを利用して配信する方法 | システム運用日記macOSへiPhoneアプリをJamf Proを利用して配信する方法

その他設定について

MDEのクイックスキャンの定期実行をさせる

Jamf Pro経由でMacにMDEを配布した場合、デフォルトではクイックスキャンの定期実行は行われないので別途設定を入れる必要がある。Jamf Proで新規スクリプトを登録する。

表示名は「MDE QuickScan」とし、スクリプトはShell/Bashモードで下記を登録。 オプション等はなし。

#!/bin/bash
/usr/local/bin/mdatp scan quick

次にポリシーを登録する。トリガーは「Recurring Check-in」にチェックを入れ、実行頻度は「Once every day」に。これで毎日1回実行される。

スクリプトで「MDE QuickScan」を追加して完了。Scopeタブでターゲットを全Macを対象にする。

実行確認は別途下記を参照して仕込んだ拡張属性経由で行う。拡張属性に最終スキャン実施日が記録されたらOK。

Jamf ProでMicrosoft Defender for Endpointのステータスを取得する

USBの利用を禁止する

MacでUSBを利用できなくするには、MDE側で制御させる。やり方は下記にて。

Microsoft Defender for Endpoint on macOSでUSBデバイス制御試してみた

上記の説明との相違点としてはUSBを差してもエラーメッセージなどは出ず、USBが反応しないだけだった。

AppleIDでログインできなくする

Jamf Proの構成プロファイルで設定可能。「制限」オプションで「システム環境設定の項目を制限」にチェックして「disable selected items」を選択、「Apple ID Preference Pane」にチェックを入れると、環境設定画面からAppleIDにログインできなくなる。

ただこれだけだと、AppStoreからアプリをダウンロードしようとした時に普通にログインできる。というか、icloud系のサービスは普通にログインできる。

同じく「制限」の「Functionality」にicloudに関する項目があったので、ここでicloud系のチェックを外したら使えなくなった。

また、ABMに組織ドメインを追加することによって、取得自体を防ぐことが可能らしい。

Apple Business Managerで新しいドメインにリンクする

翻って分かっていないこと

今の知見としてはこれくらいです。まあ、その時々で書きなぐっていたメモを一部手直しして転記しただけなのでかなりざっくりですし、内容が間違ってる部分もあるかもしれません。

あと、こうやって分かっていることを並べてみて、今実現できていることとの差分を比較すると、以下の点についてよく分かっていないことにも気が付きました。

• Self Serviceがどう動いているのか、どこで管理されているのか

• ABM→Jamf Proの事前登録への登録はどこかで管理されているのか、自動的なものなのか

• enrollの設定はどこで行っているのか

先日のJmugでSelf Serviceの話が出たんですが、会社のロゴマーク設定すると〜という話が出たとき、へーしゃ環境は最初からロゴマーク設定してあるけど、その辺どこで設定してるか分かってないなあと思ったり。

その他細かいこと挙げるとキリがないですが、Jamfについてまだまだフルに活用できているとは思ってないので、改めて時間を取って色々弄り回してみたいと思います。

あと基礎の習得のためにJamp Startを受けたいなーとも思ったり。できればタダで。。。