SaaS

運用で差が出る。Appleデバイス管理に迷ったらJamfを選ぼう!

はじめに

どーもみなさんこんにちは。ねもてぃです。
会社のデバイス管理問題、ありますよね。基本的にはMDMを利用して管理して行くことになると思いますが、ここで直面するのがどのMDMにしようかな問題。
特にAppleデバイスの管理なんてもう全然わからんちんだからどうしよう・・・なんてことも多いのではないでしょうか。

今日はそんな中、私の最推しMDMであるJamf Proについて語ろうと思います。

確かにMDMを比較検討しているとJamf Pro以外にもiOSやmacOSに対応しているMDMはいくつもあります。そこでなぜJamf Proを選択するのかについて、約3年ほど触ってみた感想を踏まえて考えてみました。

そもそもMDM選定にあたって大切なことってなんだっけ?

単純な機能比較ではない視点で考えてみます。例えば他のMDMだってMacに設定を配れるか配れないかで言ったら配れるでしょうし、ベンダーさんにお願いしたら機能比較表みたいなものは貰えるかもしれません。リモートロック?ワイプ?そんなできて当たり前な機能の話はしません。

そもそもMDMを導入して設定を配ることができればOKなのか、と聞かれたら、そうじゃないですよね。その先の日々の運用があって初めてセキュリティが担保されていると言うことができると思います。

それを踏まえてどのようなことが大切になりそうかを挙げてみます。

OSアップデートの追従性

デバイスを利用する上で避けられないのがOSのアップデートです。これにはセキュリティアップデート等が含まれるため極力最新バージョンに保つ必要があります。他のシステムとの兼ね合いでアップデートを延期することはあるかもしれませんが、デバイス管理のベースとなるMDMがOSのアップデートに追従していることは必須要件になるはずです。

設定変更の簡易性と即時性

新しくアプリケーションを展開する必要があったり、セキュリティ要件の変更やなんらかの脆弱性が公開された場合などデバイスの設定の変更が必要になった際に遠隔から速やかに実行できることが好ましいはずです。

デバイスの状態の網羅性とリアルタイム性

デバイスの状態は取れれば取れるほど良いはず。基本的なハードウェア情報やインストールされているアプリケーション情報は当然として細かいセキュリティ設定が有効になっているかどうか等の情報は必要なはずです。さらに取得できる情報は極力リアルタイムなのが好ましいと思います。

デバイスの状態のモニタリングしやすさ

どんなにデバイスの状態を取得できても放置していては意味がありません。ユーザーが設定を変更してしまった場合などなんらかの方法によってデバイスが意図しない状態となってしまった場合にユーザーあるいは管理者が認識できる状態であることが理想です。強制できるものは当然強制すべきですが、何事にも抜け道はあるものです。

思いつきで書いてますがデバイスを展開した後の運用にフォーカスをしています。当たり前の話ですがデバイスは配って終わりではなく使ってもらうことが本命ですし、配る時間より使う時間の方が圧倒的に長いはずです。そのためMDM選定に大事なことはどれだけ運用がしやすいか、ということだと私は思います。

MDMアーキテクチャのおさらい

ここでMDMの仕組みについて少しだけおさらいをします。
Appleデバイスに対するMDMの仕組みは、Appleが用意しているMDMフレームワークと呼ばれる各種設定一覧、のようなものを使用して行われます。Appleが提供しているものなので設定に強制力があり非常に強力なものとなっています。iOS/macOS対応を謳っているMDM製品は大半がこのフレームワークを基にして実装されています。

Jamf ProはこのMDMフレームワーク + Jamf Agentと呼ばれる機能がインストールされます。macOSのみの機能ではありますが、Jamf Agentは非常に強い権限を持っているため大抵のことはなんでもできるようになります。アプリケーションのインストールやスクリプトの実行などはこのJamf Agentの権限で行われます。

Jamf Proの優位性について

と、いうことで本題のJamf Proの推しポイントについて挙げていきます。Jamf Pro自体の紹介等はこちらをご覧ください。

他のMDMだと痒いところに手が届かないんだよなーと思うところにある程度絞ってますが、さらに好きなところには☆つけてます。

デファクトスタンダードである

いきなりかよ、と思うかもしれませんが意外と大事です。IBMSAPをはじめとした多くの企業で採用されています。

  • Jamf は 2018 年を終え、約 1,200 万台の Apple デバイスを管理し、今年だけで 300 万台以上のデバイスと 7,100 の顧客を追加しました。これらの組織には次のものが含まれます。
  • フォーチュン 500 の上位 25 社のうち 19 社
  • グローバル マーケティング グループの上位 10 社のうち 10 社
  • Forbes がランク付けした、最も価値のあるグローバル ブランド 25 社のうち 22 社
  • 米国のメディア企業の上位 10 社のうち 9 社
  • テクノロジー企業の上位 10 社のうち 9 社
  • 7,700 K-12 以上の教育機関

【参考リンク】より

多くの企業で採用されているということはそれだけケーススタディがありナレッジが溜まっているということでもあります。

Jamf社が提供しているJamf Nationと呼ばれるコミュニティスペースでは日々Appleデバイス管理のあれこれやトラブルについてディスカッションがされており、大抵のトラブルや設定方法はここを見れば情報があります。(Jamfユーザーでなくとも利用可能です)

というかAppleが自社デバイスの管理にJamf Proを使ってるぐらいだからもうそういうことなんですよ。

Same Day対応(同日対応)

Appleと協力しているのでOSアップデートの同日対応ができちゃうマンです。2012年ごろから同日対応を続けており、「OSをアップデートしたら〜」で悩まされたことは(ほぼ)ありません。当然他のシステムが未対応でトラブったことはありますが、少なくともJamf Proが要因でユーザーのOSアップデートを止めなければいけなくなったことはないです。

☆ログの追従性☆

構成プロファイルやアプリケーションのインストールログを始めとし、スクリプトの実行ログなどが簡単にみれます。これが本当に有用で何らかの原因により意図した設定の配布がうまくいかなかった場合にぽちぽちーと押すだけで原因の確認ができます。配布の設定にあたり、そもそも配布しようとしたインストーラーパッケージに問題があったり、特定のパラメーターが足りていなかったりなどで試行錯誤することも多かったりしますが、このログのおかげで原因究明時間を大幅に短縮できます。タイミングの問題だけでコケてしまった場合に自動的にリトライしてくれるのもGoodです。

構成プロファイルやMDMコマンドの実行状況。パラメーターが間違ってそう。
スクリプトのログを見るには・・・
ステータスがFailedなのでDetailsをみてみます。(ちなみにFlushで再実行ができます)
スクリプトの52行目でなにかひっかかっている&指定しているディレクトリがないよってエラーがでてるっぽい

☆管理コンソールの完結性☆

SaaSなので管理コンソールへはOS問わずアクセスが可能です。

それだけではなくpkg形式のインストーラーをそのまま直接アップロードして配布ができるのと、実行したいスクリプトをJamf Pro上で直接確認/編集できるのがめっちゃ良いです。当然Windowsからでもできます

これがIntuneだとMac用に配布するものはMacを用意して配布用に変換してアップロードするという作業が発生したりするのでこれをしなくて良いのは非常に助かります。

例えばスクリプトに修正を加えなければいけない場合や、チームメンバーが作成したスクリプトの確認を行う際に、いちいちダウンロードして編集してアップロード、ということをしなくて良いのはめちゃくちゃ楽ちんです。

配布設定とインストールパッケージが独立しているので設定はそのままで使用するパッケージだけ入れ替えることもできます。
使用しているスクリプトの中身です。編集ボタンを押せばそのままエディタモードになります。

☆Smart Groupの柔軟性☆

このSmart Computer Group、Smart Device Groupと呼ばれる動的グループの作成機能が運用する上で非常に便利です。

そもそもJamf Proは他のMDMに比べ収集できるインベントリ情報の量が圧倒的に多いのですが、この情報をもとに様々な条件を設定したグループを作成できます。さらにスクリプトを利用して収集した情報をインベントリに追加することができる”拡張属性”というのがあるのですが、その情報も動的グループの条件として利用することができます。

例えば「1週間以上オフライン」のデバイスグループを作成し、そのグループにデバイスが追加されたら管理者に通知を送る、といったことや、「特定のバージョン未満のアプリケーションがインストールされている」デバイスグループに対してアップデータを配布したりユーザー通知を送る、といったことが可能になります。拡張属性を利用して接続中のWi-Fiの暗号化方式なんかも取得できるので在宅ワーク中に接続しているWi-Fiなんかも確認できちゃいます。Webhookが利用できるのでそのままSlackに通知することも可能です。

拡張属性を利用してスクリーンセーバーの設定時間や接続しているWi-Fiの暗号化方式なんかを確認しています。みんな起動しっぱなし・・・
ダッシュボード上に表示することもできます。そろそろ棚卸ししなければ・・・

Self Serviceによるユーザー主導の設定

Self Serviceというポータルアプリのようなものがエンドユーザーに提供されます。アプリケーションのインストーラーや様々な設定をSelf Serviceに置いておくことでユーザーが好きなタイミングで実行することができます。MDMから一方的に配布するのではなく、ユーザーが任意のタイミングで設定を行えることは非常に有用です。

弊社は先日Netskopeの切り替え作業を行ったのですが、切り替えの際に一時的にネットワークが遮断されてしまうため自動で配布するのではなくユーザーのタイミングで実行してもらう形をとりました。Zoomで打ち合わせ中とかに実行されたら嫌ですもんね。

検証用に設定しているものもありますが再インストール用含めいろいろ用意してあります。

そのほかにも管理者権限を30分だけ付与するボタンやキャッシュの消去ボタンなど困ったらとりあえず実行して欲しいボタンを置いておくことでヘルプデスクの負担軽減にもつながります。

「もう一回くれ」ボタンを押すと現在利用しているアカウントに30分間管理者権限が付与されます。(with ログ保持)

ゼロタッチデプロイといったデプロイフローの設計のしやすさ

ゼロタッチデプロイに必要なApple Business Managerとの連携機能を要するMDMは増えてきてますが、この機能でカバーするのはデバイスをMDMへ自動で登録するところまでです。実際のゼロタッチデプロイで大切なのはMDMに登録されたデバイスに様々な設定やアプリケーションをどのような順番でインストールしていくか、になります。

Jamf Proでは実行タイミングを登録時/ログイン/ログアウト/チェックイン(次回通信時)などから選ぶことができますが、それに加えて「カスタムトリガー」と呼ばれる機能があります。この機能はコマンドを実行することで特定の配布設定を呼び出すことができる機能なのですが、カスタムトリガーを設定することで〇〇の配布設定が終わったら〇〇の配布設定を実行するといった実行順序の統制を取ることが可能になります。Smart Groupと組み合わせることで〇〇の設定が完了していないデバイスには配布しない、といったこともできるため、フロー設計が必要なデプロイにも対応可能です。他のMDMだと配布のタイミングや順序の制御といったことができないことが多く、失敗した時のリカバリーをしなければならなかったりするので非常に良い機能だと思ってます。

例えばM1チップのMacは一番最初にRosetta2をインストールしたいのでインストールしてからその他のプロセスを走らせるようにしています。

(その他)Azure ADの条件付きアクセスが使える

Intuneと連携させることができるのでmacOS/iOS共にAzure ADの条件付きアクセス機能を利用することができます。

(余談)ライセンスプラン

ライセンスプランは1つしかないのでどのライセンスを買えばいいかは悩まなくていいです。

Jamf Proは運用のしやすさが圧倒的だと思う

いろいろと挙げましたが運用面において、

  • 配布設定の変更や追加が容易に行える
  • 実行ログが簡単に確認できる
  • 実行タイミングを柔軟に設定できる
  • Smart Computer/Device Group + 通知機能などによる見落としの防止

といった点が他のMDMより優れているところだと私は思います。当然会社によってはそんな多機能いらないんだけど・・・とかあるかもしれないですが逆です。要求事項は後から変わる、加わるのが当たり前なのでそれに対応できる、対応しきれるMDMを選び備えておくのがベターです。その時はその時でMDMを変えればいいやーって思いもあるかもしれないですが、MDMの乗り換えは実機作業を伴うので結構キツいです。(台数にもよりますけど)

おわりに

と、いうことでJamf Proについて色々と語ってしまいました。さてはJamfの回し者だな?と思ったかもしれません(だいたいあってる)

とにもかくにも、単純な機能比較ではなく「使いやすさ」というどうしても伝わりにくい事項について語ってみたかったので「Jamf Proはいいぞ」が少しでも伝わりお役に立てれば幸いです。

それでは良いMDMライフを!

ねもてぃ(nemotea)

2020年10月入社。デバイスチーム所属。
前職ではAppleデバイスとMDM周りのエンジニアをしていました。
漫画・アニメとお酒が好きなギタリストです。