はじめに
Apple Configuratorについては、以前にねもてぃさんの方でブログ化されてますが 今回は社内余剰端末の実機確認(棚卸し)のついでに、iMac Pro(Intel)をADE登録したよ!なネタです。
Apple Configurator for iPhoneを使ってMacをApple Business Managerに登録できるようになったよ!!!
リモートワーク前提でも”現地対応”が必要な事もある
部署や業務によって、現地対応が必要な業務もあると思います。今回は弊社従業員が使用する業務端末やその他周辺機器などの実機在庫確認(棚卸し)を行ないました。
日々、在庫リストを更新していても実機を目の当たりにすると「案外出てくるものがあるな?」と感じました。当社の場合「業務端末」だけでなく、ネットワーク周りの周辺機器や”それら”を繋ぐケーブルなどが、わらわらと。。
利用する周辺機器については、従業員に”ある程度自由に選ぶ権利”があります。
ハードウェアやガジェットなど、比較的多くの物に触れる立場ですが、全く見たことのないデバイスやケーブルで「これ何に使うものだろう?」と思うものが散見されましたが、分かる範囲でメモ記載+ジップロックでまとめました。また端末については「再利用する端末」「売却する端末」などを仕分け、この日の作業は完了しました♪
※ 棚卸作業に夢中で作業風景の撮影を忘れてました^^;
片付けが終わったので早速ADE登録を!
そもそもADEって何だっけ? → 昔「DEP」(=Device Enrollment Program)と言われていたものです。今は名称が変わり、ADE(=Automated Device Enrollment)という表現になりました。
このADE登録をしておくと端末セットアップに手がかからず、とてもお勧めです。
ADE/DEPって何?何かいいことあるの?という方はこちらなどを参照してみてください。
早速ですが、今回はiMac Pro(Intel)をADE登録します。
対応(対象?)機種
Apple T2 セキュリティチップ搭載モデルのMacが対象となっています。
ADEで端末を購入していればこちらの手段は不要ですが、何かしらの都合で非ADE状態での購入をされるパターンもあるかもしれません。そんな時にはこちらのリストを参照の上、選定すれば迷いなく購入+登録する事ができると思います。
自社端末在庫を確認してみる
弊社社内デバイスを確認した所、ADEで購入したMacからT2セキュリティチップ非搭載モデルまで多数ありました。その中で上記リストに掲載されていない”Apple T2セキュリティチップ搭載モデル”が社内端末に存在している事に気がつきました。
Webリストに記載のあるiMac、iMac Pro 、Mac Proはこのあたり。
今回ADE登録しようとしている弊社の端末はこちら。
こちらはJamfの管理画面ですが、ハードウェアが「iMac Pro Intel(Retina 5k,27-inch,Late 2017) 」(MQ2Y2J/A)であることと、このタイミングではADE登録されてない。いうことがわかるかと思います。
マシンとしては「Intelプロセッサー」と「T2セキュリティチップ」を搭載したモデルですが、なぜか?リストに掲載されてない・・・というわけでADE登録が出来るかどうか?検証です。
早速試してみる
アプリを用いてMacとiOSデバイスをペアリング
あらかじめインストールしておいた「AppleConfigurator」をiOSデバイスで起動+ログインし、iMac Proのセットアップ画面で「言語を選択」して「地域を選択」の画面(ここ重要!)が表示された所で、iOSデバイスをiMac Proに近付けます。
するとiOSデバイスで端末データ引き継ぎを行う際に使われる砂嵐(伝わるでしょうか)のような照合画面でiOSデバイスとMacをペアリングし、登録作業を進めていきます。
ペアリングが完了すると、ローカル環境のWi-Fi情報などが伝達され 端末が自動的にネットワークに接続しようとします。この辺り入力の手間が省けるのはとても良いですね。
そしてABM(=AppleBusinessManager)上に端末情報の登録が完了すると、以下のような画面に切り替わりますが、まだ今の段階では再起動を行ってはいけません。
次にABM上で該当端末が所属するMDMサーバの選択を先に実行します。
ABM上の端末の見え方
(ABMで)登録前の状態
左側の縦カラムの「デバイス」を開き、該当シリアルを入力、検索します。
対象端末を選択する
端末を選択し、詳細情報を開きます。しかしこの画面では「Apple Configurator 2 によって追加されたデバイス」という表記のみで、まだMDMサーバへの紐付けがされていません。この「MDMサーバへの紐付け」が大事な作業です!(弊社では本番環境、検証環境など複数存在します!)
画面上部の「MDMサーバを編集」よりMDMサーバを選択します。
(ABM上の)MDMサーバの選択画面
対象デバイスにMDMサーバを割り当てします。
既にMDMサーバに割り当てされている端末の場合はこちらの画面から 割り当ての解除 または 別のMDMサーバへ割り当てを変更する事も出来ます。
プルダウンから該当の環境を選択する
所属する環境をプルダウンから選択し、続けるボタンで次に進めます。
正しく設定されると?
「MDMサーバ」の項目に選択したMDMサーバ名が表記されます。
MDMサーバを登録(選択)しても、画面内の表記は自動では変わりません。
手動でデバイス情報を再読み込みして、意図した通りに選択されているか?確認します。
問題なく登録完了♪
ABM側のスタンバイが完了したらADE登録した端末を再起動する
リモートマネージメントに従ってサインイン・セットアップを進めていきます。
アプリの自動配布画面
弊社環境ではDEP Notifyを組み合わせて業務に必要なアプリケーションの自動配布を行っております。
無事完了!
20分足らずで完了しました♪
デスクトップ画面へ
一部アプリケーションの通知が映ってますが、こんな感じ。
登録が終わるとSlackに通知が来ます
弊社環境ではJamf Proに端末登録が走った際に、Slackに通知が飛びます。
実際の画面はこんな感じ。
デバイスのシリアルナンバーやアカウント情報が表示されているため モザイクをかけてますが、
リモートでセットアップしてても状況が手に取るようにわかり、とても便利です。
再起動後のMacのログイン画面
壁紙と色被りしてますが、ログイン画面上に弊社ロゴもしっかり入っています。
ADE端末を見慣れている人には”お馴染みの”ログイン画面ですね。
Jamf Proの管理画面
登録が終わった後にJamfのコンピュータ情報を開くと「登録方法」が先ほどと異なり「cloudnative-DEP」に切り替わっていることが確認できますね。
無事完了しました
あとは端末で各SaaSにログイン&システム環境設定から権限調整を行い、通常利用開始です♪
というわけで、”Apple T2セキュリティチップ搭載モデル”のリストにない、けど、T2セキュリティチップを搭載している端末でも登録作業(ABM&ADE化)ができました。
最後に
良い点
MDMサーバの選択を変更する事がなければ、この登録作業(ABM&ADE化)は一度で済みます。また端末初期化+アプリケーションセットアップも非常に簡素化され、セットアップ時の手離れもよく、一度環境を整えるとABM&ADEの無い環境には戻れなくなると思います。
悪い点
「悪い点」というと大袈裟ですが、何かしらの事情で端末を処分・売却するまでは紐づけられたMDMサーバの情報を元にゼロタッチデプロイが有効となるので「検証目的」など頻繁に環境を変えてセットアップして使う場合等には、こちらの運用はマッチしないかもしれません。
※ ABMでのMDMサーバの設定作業は管理者権限が必要となります。
