SaaS

【検証】Jamf Connect 2.0 を試してみた。

こんにちは、デバイスチームの森です。

テレワークが主流となった2020年度、対面を伴う機会が大幅に減ったことで様々な変化があったかと思います。変化があったのは生活環境だけでなく、ニーズに合わせて生み出されるシステム周りもアップデートが行われ、テレワークに最適なシステムが生み出されている事を強く感じます。

そんな中で、今回はリリースされて日の浅い「Jamf Connect 2.0」について 導入、検証をまとめたのでブログに記していきます。

このブログの内容について

「Jamf Connect 2.0」の導入(手順、設定方法)について、まとめてみました。 自分自身、このブログを見直すことで解決できるよう備忘録的な観点で書いてます。

このブログを読むとできるようになること

差込画像)Jamf Connect 2.0 + Azure AD 認証を連携させた際のログイン画面

  • Jamf Connect 2.0 の導入
    • Azure AD と Jamf Connect 2.0の連携設定含む

Jamf Connect を使うことで、できること

  • ログインプロセスをシンプルに。
  • シームレスな認証
  • 社内システムへのアクセスを容易に。

コストイメージ(ざっくり)

  • ライセンス
    • Jamf Connectライセンス
      • 約3,400円/台(1年)程度
  • Jamf Connect 25ライセンス〜 (iOS版は未提供)
  • Jamf Connect は年間契約/更新が必要となります。
  • JumpStart(導入時のフォロー)研修必須 (別途費用発生)
    • 導入プラン、デバイスによって2−3日のトレーニングとなる。

準備するもの

  • Jamf Pro / Jamf Connect 運用環境
  • Jamf Connect 2.0 プログラム(Jamf Nationから入手可能)
  • macOS10.14以上を搭載したMac端末
  • IdP連携するAzure AD環境

※ 本検証は Jamf Pro と Jamf Connect にて進めていきます。

作成するもの

作成物の配布順序、手順について

  1. Jamf Connect 2.0 用プロファイル(2個)の作成
  2. Jamf Connect 2.0パッケージファイルのアップロード
  3. Jamf Connect ライセンス用 プロファイルの作成

注) 各プロファイルは「Jamf Connect 1.xx」とは互換性は無いため、Jamf Connect 2.0 用として、構成プロファイルを作成します。
注) Jamf Connect 2.0 の仕様で、必ず構成プロファイルを先にインストールしてからpkgをインストールする必要がある為、以下順番にて解説を進めます。

Jamf Connect ライセンスについて

既存のJamf Connect ライセンス(=契約期間)がある場合、手続き不要でJamf Connect 2.0 が利用可能です。前項でも触れましたが、システムとしての互換性が無いため、Jamf Connect 2.0向けに各種プロファイルの作り直しが必要となります。

事前準備(必要なツールのダウンロード)

  1. Jamf NationからJamf Connect 2.0 を入手します。
  2. Jamf NationアカウントでJamf Nationにログインし、右上の「account」からメニューを開き「My Assets」をクリックします。
  3. 画面が切り替わり、Jamf Connect 2.0 のダウンロードリンクが画面左側に表示されます。最初は「Jamf Pro」が選択されている為、左側に表示されている「Jamf Connect」をクリックし、画面を切り替え、ダウンロードボタンより、パッケージファイルをダウンロードします。

注)「Jamf Connect」のパッケージのダウンロードについては、予めJamf Connectのライセンス契約が必要となります。ライセンス購入を前提に試用をご希望される場合は、当社窓口までお問い合わせください。

ダウンロードしたAssetsについて

dmgファイルを開くといくつかのファイル、フォルダが出てきますが、今回利用するのは「JamfConnect.pkg」と「Jamf Connect Configuration」の2つで、それぞれ以下のように使います。 ※ 今回の構築ではdmgファイル内、サブフォルダの他のファイルは使用しません。

  • JamfConnect.pkg
    • Jamf Connect 2.0 のプログラムファイルです、Jamf Pro にアップロードしてクライアント端末に配信します。
  • Jamf Connect Configuration
    • Jamf Connect 環境構築のプロファイルを作る為のプログラムファイルです。

Jamf Connect と Azure ADの連携設定

「Azure AD」と「Jamf Connect」で連携させる為にAzure AD上で連携作業(アプリの登録)を行います。

アプリの登録について

「Azure AD」メニュー内「アプリの登録」内「新規作成」より登録を進めます。

作業内容

  1. AzureAD とJamf Proを連携させる為の「Appの登録」
  2. API呼び出し設定の変更(管理者の同意の付与)
  3. 認証設定の変更
  4. ユーザーの割当、役割指定(任意設定)

入力内容について

名前は任意の名称を入力し、下記の通り設定を施します。この辺りの設定は公式ドキュメントにも記載がありますが、設定値、設定箇所を記しておきます。(https://docs.jamf.com/ja/jamf-connect/2.0.0/administrator-guide/Microsoft_Azure_AD_%E3%81%A8%E3%81%AE%E7%B5%B1%E5%90%88.html)

Appの登録

「サポートされているアカウントの種類」と「リダイレクトURI」を下記画像同様に選択し「https://127.0.0.1/jamfconnect」と入力し、登録を進めます。

API呼び出し設定の変更(管理者の同意の付与)

APIのアクセス許可についてですが、標準では「管理者の同意」が行われていないため、手動で「管理者の同意」を与え、状態欄にチェックが入るようにします。

  1. 許可を与えていない状態。
  2. 許可後の画面。

認証設定の変更

先の設定で入力した「リダイレクトURI」が反映されていることを確認します。表示されていればOKです。

画面下「パブリック クライアント フローを許可する」 が標準では「いいえ」になっているため、「はい」に変更します。

ユーザーの割当、役割指定(任意設定)

細かいレベルでユーザー制御を行う場合に「Appの登録」内「マニフェスト」よりテキストベースの構文を追加する事で「ローカル管理者」や「ユーザ」など、レベル別で分けることが可能となりますが、個別の設定を施さない場合は本項目の設定は不要です。以下公式ドキュメントに詳細が記述されています。

Jamf公式ドキュメント:https://docs.jamf.com/ja/jamf-connect/2.0.0/administrator-guide/Microsoft_Azure_AD_%E3%81%A8%E3%81%AE%E7%B5%B1%E5%90%88.html

登録後の設定内容確認

本スクリーンショットではモザイクを入れてますが、「アプリケーション(クライアント)ID」を次項目で紹介する「Jamf Connect Configuration」に入力する事でPLISTファイルを作成できます。

これでAzure AD側の設定は完了となります。

Jamf Connect 2.0用プロファイル(2個)の作成

Jamf Connect 2.0のパッケージファイル内に含まれているプログラム「Jamf Connect Configuration」を用いて、Jamf Connect用の構成プロファイルを作成します。本手順はIdPにAzureを利用して作成する手法となります。

Jamf Connect Configurationを用いたプロファイル作成

Jamf Connect Configuration にテナントの値を入力することで、専用プロファイルの作成が可能です。

  1. プロファイル(Jamf Connect Login用プロファイル、Jamf Connect 用プロファイル)
  2. 形式 (「.mobileconfig」形式、「.plist」形式)

使いやすい形式を選択しましょう。今回は「.plist」形式にて作成します。 本プログラム(Jamf Connect Configuration)は Mac専用アプリケーションとなります。

Jamf Connect Configuration 上での入力

「OIDCクライアントID」と「ROPGクライアントID」はAzure ADの「アプリの登録」にて作成したプロファイル内に表示される「アプリケーション(クライアント)ID」を入力します。 紛らわしいですが、Azure AD上の「アプリケーション(クライアント)ID」 をJamf Connect Configurationの「OIDCクライアントID」、「ROPGクライアントID」に入力します。

プルダウンからIdPを選択します。今回はAzure ADになるので変更しませんが、Oktaなども選択可能です。

必要な項目(各クライアントID)の入力が終わったら右上の「テスト」をクリックし、それぞれ動作確認を行います。

「テスト」をクリックすると、何のテストをするか確認されます。 このプログラムの「テスト」機能を使うことで、PLISTファイルを本番環境にアップロードせずとも、入力した内容に誤りがないか?Jamf Connect Configuration上で設定テストが出来ます。

テストの様子 ボタンをクリックすると、それぞれのテストが実行できます。設定が正しく、認証ができると「完了」となります。このテスト機能で動作チェックが数十秒で完了するため、Jamf Proでプロファイル作成や配信設定を行い、実機確認を行う事を考えると、大幅な作業時間の短縮が見込めます。

テスト画面(OIDC)

テスト画面(ROPG)

正しく認証出来なかった場合、以下の画面のようにエラーが出て弾かれます。また、エラーメッセージ内にエラーコードが表示される事もあります。エラーメッセージ内にエラーコードが表示されている場合はエラーコードでWeb検索すると、解決の糸口が掴めるかもしれません。

各種プロファイル保存時の注意事項

ファイル→保存、または Command(⌘)+Sキーを押して、保存します。

保存時のファイル形式を選択

「.plist」形式にてそれぞれのプロファイル(ファイル名変更不可)を保存し、Jamf Proにアップロードします。
Jamf Connect Login用ファイル名:com.jamf.connect.login
Jamf Connect 用ファイル名:com.jamf.connect

作成したプロファイルをJamf Proへアップロード

Jamf Proの一般的な作り込み同様に、パッケージアップロード、パッケージ配布ポリシー作成、プロファイル作成を行います。

PLISTアップロード時の注意点 プロファイル作成時に表示される画面上部の「アップロード」ボタンよりファイル選択した場合、エラーとなり弾かれてしまいます。(こちらは構成プロファイルmobileconfigファイルをアップロードする際に利用します。)

アップロードボタン隣の「新規」ボタンよりプロファイル作成へ進み、ペイロード内[アプリケーションとカスタム設定]を開き、「ファイル(PLISTファイル)をアップロード」から進める事でエラーを回避できます。

またアップロードするときの注意事項として、以下2点を確認の上、次に進みます。

  1. プロファイル生成時からファイル名を変更してないこと
  2. プロファイルアップロード後、環境設定ドメインが正しく認識/入力されているか?

今回は各プロファイルで2つにわけてアップロードしています。 注意すべきは環境設定ドメインです。ここの入力を間違うと正しく認証ができません。

Jamf Connect 2.0 用プロファイル

Jamf Connect Login(AzureAD連携用)

それぞれ、任意のプロファイル名を入力し、scopeを忘れずに適用して、作成完了となります。

Jamf Connect 2.0 パッケージファイルのアップロード、配信

端末で使用するアプリをJamf Proへアップロードします。まずはJamf Proを開き、右上の歯車マークの 設定 > コンピュータ管理 > パッケージ(画像内1,2,3)の順でクリックし、パッケージファイル管理画面を開きます。

次の画面で該当のテナントでアップロードされているパッケージファイル一覧が表示されます。画面右上の「+新規」ボタンをクリックし、パッケージファイルをアップロードします。

画面中央の「ファイルを選択」ボタンより「JamfConnect.pkg」ファイルをアップロードします。表示名を入れなくても、パッケージファイルをアップロードする事で自動で表示名が入力されます。その他の項目は入力必須ではありませんが、注記などにVersionや日付などを入れておくと管理しやすくなります。

無事アップロードが完了すると、ファイル名がそのまま反映されこのように一覧に表示されます。右側に表示されている「JamfConnect」の部分は、分野毎にカテゴリ分けできるようになっています。(任意で名称変更、作成可能)

Jamf Pro上で 「Jamf Connect」パッケージファイル配布方法

前章でJamf Connectパッケージファイルのアップロードが出来ましたので、続いてパッケージファイルを該当端末に配布する為のポリシーを作成します。Jamf Proのホーム画面より、「ポリシー」を開き画面右上の「+新規」よりパッケージファイル配布ポリシーを作成します。

ポリシーの基本的な内容を入力し、ペイロード(画面左側)の「パッケージ」より進み、配布するパッケージを探し、追加します。「Scope」(配布端末)設定を忘れずに行いましょう。

Jamf Connect ライセンス用 プロファイルの作成

Jamf Connect契約時に受領しているライセンスファイルをJamf Proの構成プロファイルにアップロードします。

Jamf Connect ライセンスキー プロファイル

Jamf Connect 2.0 Macでのログイン画面

当社、社内の標準環境はOktaを介してますが、今回はJamf ConnectとAzure ADの連携という事で、Oktaを介さないアカウントで検証を行いました。ログイン画面でAzure ADアカウントを入力します。

認証通過!

無事認証が確立し、該当アカウントの初期設定を行いながらPCの使用準備を進めていきます。

無事ログイン!

準備が完了して、デスクトップ画面が表示されました!

Jamf Connect 2.0 アプリケーション画面

ログイン後に再度認証のポップアップが表示されていましたが、2.0へのアップデートでJamf Connect Login と連動することで、ログイン後の追加認証が不要となりました。

まずはここまで

Jamf Connectネタにて、もう何本かブログ投稿を予定しており、続いてDEP(Apple Business Manager)とJamf Proのプレステージエンロールメント機能を組み合わせてMacの初回起動時からJamf Connectを配信する話、Jamf Connect Login画面を企業ロゴに変更する設定を送る話、その他、について触れていきたいと考えてますので、楽しみにお待ち頂けたら幸いです。

参考サイト

  • Jamf Nation Jamf Connect 2.0 提供開始案内 https://www.jamf.com/jamf-nation/discussions/36856/the-new-version-of-jamf-connect-is-now-available
  • Jam Nation Jamf Connect 1.**シリーズから2.0へのアップデート時の注意事項 https://www.jamf.com/jamf-nation/articles/788/upgrading-to-jamf-connect-2-0-0-or-later
  • Jamf Connect 管理者ガイド 2.0.0 https://docs.jamf.com/jamf-connect/2.0.0/administrator-guide/Release_History.html
  • Jamf Connect 管理者ガイド 2.0.0 (日本語版/公式) https://docs.jamf.com/ja/jamf-connect/2.0.0/administrator-guide/%E6%9C%AC%E3%82%AC%E3%82%A4%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.html
  • Jamf Connect 2.0.0 with Azure ADを検証してみた(動作確認編) https://qiita.com/ao_Tetsu/items/3cf82bb58f60ab1d7d8c
  • Jamf Connect 2.0.0 with Azure ADを検証してみた(設定編) https://qiita.com/ao_Tetsu/items/272a7eaa38af2a546050

ご覧頂き、有り難うございました。

もりちゃん

国内PCメーカーでマーケティング、販売、物流を経験し、次はクラウドの世界へ。ガジェットデバイスとスポーツカーに目が無い情報システムセキュリティアドバイザー。 クラウドネイティブ2020年4月入社 みなさまよろしくお願いします!