こんにちは、コーポレートチームの宮川です。以前Windowsについての資産管理のことについて書きましたが、Macの管理方法についても書こうと思います。
本記事では、Macにおける資産管理について共有いたします。
PR TIMESでのMacの需要
PR TIMESでは、Webサービスの「PR TIMES」や動画広報サービスの「PR TIMES TV」などのサービスを提供しています。ソフトウェア開発や動画制作においてMacに需要があります。そのため、開発チームや動画チームにはMacを貸し出しています。
PR TIMESにおけるMacの資産管理
MDMによる資産管理
PR TIMESでは、Macを管理しているMDMとしてJamf Proを活用しています。Jamf Proは設定配布、情報収集、遠隔制御の三つの文脈で活用しています。
https://www.jamf.com/products/jamf-pro
当社でのDEP登録について
Apple製品を法人で使う場合、DEP登録を行い、Apple Business Managerで管理することができます。しかし、当社では急ぎでApple Storeから直接購入することがあることから、DEP登録をするには購入時に手間がかかるため、新たに買うMacはDEP登録をしていません。
対して、当社では社用携帯としてiPhoneを採用しており、iPhoneはApp Storeからアプリを配布するためにDEP登録をしています。DEP登録をすることで、キッティングの自動化をほぼ実現しています。
https://support.apple.com/ja-jp/102300/
Apple IDについて
iPhoneが必要な人にはApple IDを発行していますが、iPhoneが必要ではない部署もあります。そのような部署に貸し出すMacにサインインするApple IDは、管理者の負担軽減や従業員の自由度の向上のために個人のApple IDの利用を推奨しています。
しかし、個人のApple IDでサインインすると初期化時にアクティベーションロックがかかる場合があり、Macを再利用できなくなる問題があります。そこで当社ではJamf Proを利用してこの問題に対処しています。詳しくは後述します。
Macのキッティングについて
ローカルアカウントの作成
初期化後のMacは、まずローカルアカウントを作成しておきます。様々な理由でローカルアカウントを作成する運用になっていますが、ローカルアカウントは将来的に削除したいと思っています。
ユーザーアカウントの作成
次に、ユーザーアカウントを作成します。MDMプロファイルをインストールする際に管理者権限が必要になるので、管理者権限でユーザーアカウントを作成します。この時ユーザーアカウントの名前はローマ字で、「名.性」で、taro.yamadaのようなフォーマットにしています。
MDMのエンロール
ユーザーアカウントでJamf Proにエンロールさせます。
アプリケーションのインストール
MDMをエンロールしたタイミングで、以下のアプリケーションが自動的に配布されます。
- Google Chrome
- Slack
- Google Drive
- Zoom
- Crowd Strike
- Cisco Umbrella
また、ISM Cloud OneはJamf Proでは配布ができないので、個別にインストールをしています。
Jamf Proはダイアログによってアプリケーションのインストールが終了したか明白なのでキッティング時には助かっています。
ディスク暗号化と復旧キーの収集
ディスク暗号化と復旧キーの収集は、システム設定から暗号化とJamf Proのサーバーに復旧キーを保管する作業をします。この処理はJamf Proからの収集もできますが、タイミングがわからないので、確実にキッティング時点でやってしまいます。
上記のように当社では、Macの場合は、MDMによってほとんどのキッティングのプロセスが自動的に進みます。
MacにおけるMDMの活用
Jamf ProはMacにおけるMDMです。Jamf Proはキッティング時のアプリ自動配布や設定配布、インベントリ確認、デバイスやソフトウェアの制御などに主に用いています。
アプリ、設定配布
キッティングの時間短縮、及び、確実なキッティングのために、Jamf Proを活用して、キッティング時に入れるアプリケーションや1PasswordとOneloginに必要なChrome拡張機能を配布しています。
情報収集
Jamf Proからは、インストールされているアプリケーションや最終チェックイン日時、PCのインベントリなど、様々な情報が取得できます。この情報は、端末の状況確認に用います。
遠隔制御
当社では、Jamf Proを使って以下の遠隔制御を行なっています。
- デバイス管理:Intuneと同様に、ワイプ、再起動、ロックなどの機能を利用しています。
- ソフトウェアの管理:先日macOSは、新バージョンであるSequoiaがリリースされましたが、他に導入しているソフトウェアとの互換性があるため、Jamf Proを通じてSequiaのインストールを一時停止しています。
- アクティベーションロックの解除:個人のApple IDでサインインした場合、初期化時にアクティベーションロックの問題が発生することがありまが、Jamf Proにデバイス情報が登録されていれば、アクティベーションロックのバイパス機能を使って問題を解決できます。
このように当社ではJamf Proを使うことで、デバイス管理を効率的に行い、セキュリティと利便性を向上させています。
まとめ
DEP登録したMacを仕入れれば、ゼロタッチキッティングもできそうですが、現状では手動で入れているアプリケーションがあったり、Macの購入時のオペレーションの関係で、このような運用方法になっています。Jamf ProとApple Business Managerを十分に活用することができれば、Macにおける資産管理やキッティングをより良い効率化ができそうだと感じています。
また、他拠点で活動している社員やリモートワークで仕事をしている社員がいることや、個人のApple IDの利用を推奨している当社にとって、MDMの活用は、リモート環境におけるPCの制御や個人のApple IDにおけるアクティベーションロックを解決し、管理上における問題点を解決してくれます。
これからも、コーポレートチームの機器管理やPCの制御、キッティングプロセスの最適化などで活用の幅を広げていければと思います。
