その他

Apple Configurator for iPhoneを使ってMacをApple Business Managerに登録できるようになったよ!!!

はじめに

どーもみなさんこんにちは。ねもてぃです。

つ!い!に!みなさん待望のMacを後からApple Business Manager(ABM)に登録する方法がリリースされましたね!今までは Apple法人ストア または ABM登録に対応した販売代理店 から購入するしかABMに登録する方法がありませんでしたが、この仕組みが実装されたことでiOSのように後からでもABMに登録することができるようになりました。(Manual DEP、あとからDEP、などいろいろな名前で呼ばれてましたがDEPの名称変更があった現在なんて呼ぶのが正解なんでしょう・・・)

とにかく、これでゼロタッチキッティング的なものをやりたかったのに対応していない店からMacを買ってしまった!みたいな時でも対応できるようになります。

自動デバイス登録(ADE)を利用するメリット

そもそもApple Business Manager(ABM)とMDMを連携させ、自動的にMacをMDMに登録させる仕組みにはどのようなメリットがあるでしょうか。

ゼロタッチキッティングを実現するためには事実上利用が必須である

ユーザーが新規デバイスをネットワークに繋いだ後、MDMに自動的に登録させ初期設定を配布する、といったことを実現するためにはABMと連携させる必要があります。

ユーザーがMDMプロファイルをデバイスから削除できない状態にできる

自動デバイス登録ではなく手動でMDM登録を行った場合、管理者権限を持ったユーザーであればMDMプロファイルを削除できてしまうため、MDM管理下から外れることができてしまいます。

初期化時に再度MDMに自動的に登録される

紛失、盗難または再利用時など初期化を行ったとしても、再度組織のMDM配下に戻ってくる状態にできます。

アクティベーションロックを有効にさせないことができる

悩みの種になりがちなアクティベーションロック(“〇〇を探す”を有効にしている状態で初期化すると有効にした時に入力したApple IDのパスワードを求められます)を制御することができます。

利用できるMDMコマンドが増える

一部MDMコマンドは要件としてApple Business Manager経由の登録が必要である場合があります。(OSのアップデートコマンドやローカルユーザのロック解除/削除など詳細はご利用のMDMをご確認ください。)

Bootstrap Tokenの利用について

このようなメリットが挙げられるため是非とも利用したい機能なのですが、利用するためにはABM経由のMDM登録が必要、でも対応してないところで購入してしまった・・・という問題を今後は解決できるようになった、ということになります。

実際にやってみる

ということで実際にやっていきます。

要件(必要なもの)

  • Apple シリコン または Apple T2 チップ搭載のMac
  • macOS 12.0.1以降
  • iOS 15以降のiPhone
  • Apple Business Managerのテナント
  • Apple Business Managerのデバイス割り当て権限(デバイス登録マネージャ)を持ったアカウント(管理対象Apple ID)

デバイス登録マネージャ権限を持ったアカウントでの作業が必要となるため、基本的には管理者が行う想定となります。デバイス登録マネージャはデバイスの登録以外にも権限を持っているため、エンドユーザーに案内する場合はリスクがあることをご注意ください。

Apple Business Managerの役割権限

iPhoneの準備

  • App Storeから「Apple Configurator」をインストールします。
  • インストールしたApple Configuratorアプリを起動して、”続ける”を選択します。
  • デバイス登録マネージャ権限を持ったABMアカウント(管理対象Apple ID)でサインインします。
  • カメラを利用しますので、”OK”を押して許可します。
  • 「割り当てることができるデバイスを検索中…」で準備OKです。

Macの準備

続いてMac側を触っていきます。

  • 新規購入したMac、または初期化済みのMacを起動し、設定アシスタントの「国または地域を選択」画面でストップします。(誤って進んでしまった場合は”戻る”ではなく”再起動”が必要となります。)
  • この状態で準備したiPhone(「割り当てることができるデバイスを検索中…」の状態)をMacに近づけます。仕組みには関係ないのですが、なんとなく地球マークを円の中に収めるといい感じです。
実際はMacを写さなくても近くにあればOKです。
  • 「このMacを組織/団体に割り当てます」の画面でもやもやした球を円の中に収めます。(うまくいかない場合は左下”手動でペアリング”からでもOKです。)
この画面中心になるもやもや球を
Apple Configuratorアプリに表示されている円の中に収めます
  • すると「Macを割り当て中…」となるので「割り当て済み」となるまで待ちます。

【ハマりポイント!】この状態ですぐに”再起動”や”システム終了”を押さないようにしてください。この時点でABMにMacは登録されていますが、紐付けられているMDMがApple Configuratorとなっています。これを忘れてそのまま再起動してしまうとApple ConfiguratorをMDMとして登録しようとしてしまい、リモートマネジメント画面で「管理サーバに登録できませんでした」というエラーになります。リモートマネジメント画面はキャッシュ的なものを持つため、一度表示されてしまうと修復が少しめんどくさいです。(再設定や初期化、もしくはセーフブート、ネットワーク切断、デスクトップ画面までたどり着いて”すべてのコンテンツと設定を消去”などで無理矢理ゴリ押すなど)

そのまま再起動してしまうと「管理サーバに登録できませんでした。」となってしまう。そりゃそうだ。

ということで、「割り当て済み」画面のままABM側で割り当てを変更します。

ABM側でMDMサーバの割り当てを変更する

  • ABMにアクセスします。
  • サイドバーの”デバイス”より新しく登録したMacを検索します。(シリアル番号検索や「Apple Configuratorによって追加されたデバイス」フィルタなど)
  • “デバイス管理を編集”を選択します。
  • 「サーバに割り当てる」で登録したいMDMサーバを選択して”続ける”を選択します。
  • 「〇〇のデバイス管理を変更してもよろしいですか?」と表示されるので”続ける”を選択します。
  • 変更が完了したら”完了”を選択して画面を閉じます。

【注意事項】ABM上の割り当て変更はMDM側に反映されるまで少し時間がかかる場合があります。MDM側で該当のデバイスが自動デバイス登録の対象として表示がされるようになったかをを必ず確認しましょう!また、MDMによってはMDM側に自動デバイス登録としてリストされたデバイスに設定を割り当てる必要がある場合があるので、併せて確認しておきましょう。(Jamf ProでいうPrestage Enrollments、Intuneでいう登録プロファイル設定、など)

Mac側に戻って・・・

上記のハマりポイントや注意事項に気をつけ、Macに戻り”再起動”を選択します。

ここまで設定ができていれば通常の自動デバイス登録と同じ挙動となります。

補足事項として、Apple Configurator経由でABM登録し、MDM登録されたMacはストア経由でABM登録されたMacと違い、30日間はユーザーが手動でMDMプロファイルの削除が可能な状態となります。30日経過したものに関しては通常の自動デバイス登録と同様に削除できない状態にできます。

(検証)すでに設定アシスタントを完了してしまっているMacを初期化しないで登録してみる

ここから公式情報ではないためやってみた報告レベルの内容となります。やってみる場合は自己責任でお願いします。

ということで、すでに設定アシスタントを完了してしまっているMacを登録できないかをやってみました。

設定アシスタントの完了フラグは、/var/db/.AppleSetupDoneという不可視ファイルが司っています。このファイルを削除してから再起動することで再度設定アシスタントの画面を呼び出すことができるようになります。

なので、ファイル削除→再起動→設定アシスタント画面→「国または地域」画面まで進みiPhoneを近づけてみると・・・

なんと先ほどと同じようにABMへの登録画面に移行しました。

なのでABM側でMDMの割り当てを修正して再起動してみます。

さすがにリモートマネジメント画面にはならないのでそのままログイン。

デスクトップ画面まで進み、ターミナルでsudo profiles renew -type enrollmentを実行すると・・・

自動デバイス登録のプロセスが動き始めました!!!(MDMプロファイルのアンインストールなしでもそのまま上書きしてくれました。)

Jamf Proのインベントリ情報にて「登録方法」が「User-initiated」になってるMacが・・・
「Prestage enrollment」になりました!(登録時のコンピュータ名変更ポリシーによってコンピュータ名が変わってしまっているのはご愛嬌)

MDM登録方法の変更までやらずにABMへの登録までやってデバイス回収時に自動デバイス登録ができればOKって考えもありますし、結局あくまで管理者作業が想定なので実際にこのやり方をやる機会があるかどうかは微妙ですが、どうやら今のところできちゃうっぽいです。という報告でした。まる。

おわりに

いやーこれは便利、になるのではないのでしょうか。調達経路の変更がめんどくさいだとか、デバイスの再キッティングが多い、だとか様々な理由であとからABM登録を行いたいという声はたくさん聞いてきました。手順もiOSのあとからABM登録よりも非常に簡単(ケーブル要らず)なのでやってみる価値はあると思います。初期化されても組織のMDMから抜けてしまわない、組織で利用するデバイスは必ずMDM経由で情報を収集し、アクセス可否を判断する、といった世界にこれでまた一歩近づいたのかな、と思った次第でした。それではまた!

ねもてぃ(nemotea)

2020年10月入社。デバイスチーム所属。
前職ではAppleデバイスとMDM周りのエンジニアをしていました。
漫画・アニメとお酒が好きなギタリストです。

記事一覧