Apple製品の端末管理といえば、Jamfで決まり
アップル本体もJamfを使っている(らしい?)ので、Jamfが一番良いのは確かでしょう
で、昨年、2022年より、JamfのスモールスタートなプランのJamf NowにFundamentalsという上位プランが追加された
Jamf Nowは、Jamf ProtectによるMalware Preventionで、悪意のあるソフトウェアをはじめとした脅威がお使いの環境のMacデバイス上で実行されるのを防ぎます。以下の機能により、お使いのMacデバイスのセキュリティを維持することができます。
(snip)
Jamf Fundamentalsは、Jamf Nowの直感的で使いやすいプラットフォーム内で、強化されたデバイス管理に加え、ID管理とセキュリティの核となる機能を提供する新しいプランです。Malware Preventionに加え、パスワードの同期、Self Service機能、インハウスアプリのインストール、カスタム構成プロファイル、macOSパッケージのデプロイメント、サポートの強化などを含みます。
(snip)
Jamf Nowアカウントにサインアップして、Jamf Fundamentalsにアップグレードし今すぐお試しください。最初の3台まで無料で管理できます。
Jamf FundamentalsによるmacOSへのマルウェア対策
以前は、Jamf Pro Plusを呼ばれていたプランの置き換えらしい
Jamf Fundamentalsは、Jamf Nowで可能なMacの管理範囲を拡張した新プラン。
Jamf Fundamentals登場!追加機能とMac管理時のポイント | Apple ブログ | Apple | 株式会社Too
これはかつてのPlus Planに替わるもので、以下の表のような機能差があります。
Jamf Fundamentalsにすると、なんと、macOS向けの端末に対する脅威保護、アンチウィルスの機能が提供されるとのこと
しかも、3台までは無料!
MacBookを買ったは良いが、ウィルス対策どうしよう… という方は、このJamf Fundamentalsを使ってはどうか?というお話です
インターネットにNuro回線を利用しているので、Nuroから無償提供されているアンチウィルスソフトのカスペルスキーを去年までは利用していて、NuroがカスペルスキーをやめてMcAfeeに変更するということで、McAfeeに乗り換えたが… McAfeeのmacOS対応の品質が… とてもじゃないが使えたものじゃなかった
Nuro経由で手に入るMcAfeeのバージョンでは、最新のmacOSのVentureに対応していないし、それをMcAfeeのサポートに相談したら最新の対応バージョンを提供してくれたが、そちらも起動するたびにファイアウォール絡みでエラーが出たりして、継続して使うにはストレスフルで、もう無理
McAfeeは、コマンドでキレイさっぱりアンインストールして消し去った
コマンドラインを利用したアンインストール
オプションサービス:マカフィー セキュリティサービス(Mac版アンインストール方法) | So-net
/usr/local/mcafee/uninstallMSC
そんなわけで、Jamf Fundamentalsを利用して、Jamf Protectを導入したので、その導入方法を紹介
手順確認
作業を開始する前にあらかじめ手順を把握しておくため、公式のドキュメントをチェック
ステップ 1:Apple Push Notification service (APNs) の設定
ステップ 2:自動デバイス登録の設定
ステップ 3:Volume Purchasing の設定
ステップ 4:Blueprints の構成と割り当て
ステップ 5:デバイスの登録
Jamf Now を始める – Jamf Now ドキュメント | Jamf
いくつか、公式の手順のままだと簡単に進められない部分もあるので、その辺りはうまく割愛して設定することにする
巷の紹介手順も見ておく
以下は、証明書登録とデバイス登録の簡易的な紹介記事
以下は、iPhoneのデバイス登録まで紹介してある記事
事前準備
導入手順に進める前に以下の準備は終わっているものとします
- Apple IDの取得
- MacBookやiPhone持っていればすでにありますよね?
Jamfテナント&アカウント作成
以下のリンクを辿りアカウント作成の画面を表示
入力完了して、Get Startedをクリックすると登録したアドレスにメールが届きます
メール本文のActive your accountのボタンリンク、もしくは「Or, paste this link into your browser:」に掲載されているURLをクリックして、アカウントの有効化を実行
指定のURLにアクセスするとサインインができ、Jamf Fundamentalsの紹介のポップアップが表示され…
次に、規約同意のポップアップが表示されるので、内容確認してI Agree
同意完了すると、Connect APNsと書かれたページが表示される
Apple Push Certificate 証明書発行
続けて、端末をJamfを連携させるためには、Apple社のサイトから証明書を発行して、Jamfに登録する必要があるため、その手順を紹介
ログイン後に表示される画面のConnect to APNsをクリックすると、Appleの証明書発行ポータルサイトにアップロードするためのJamfの署名ファイルを取得できるので、そちらをダウンロード、ダウンロードしたらNext
Apple Push Certificateを作成するように促されるので、Appleの証明書発行サイトにアクセス
Appleの証明書発行サイトにアクセスするので、普段利用しているApple IDでログイン
証明書作成のボタンが表示されているのでCreate a Certificateを実行
利用規約に同意のチェックを入れてAccept
jamfのサイトで入手した署名ファイルをアップロード
発行された証明書をDownloadで入手
Manage Certificatesをクリックすると発行した証明書の一覧が見られる
証明書登録
取得した証明書をJamfのサイトに登録するが、Jamfの先ほどのページはセッションが切れている場合があるが、その際は、再度サインインして、Open the Apple Push Certificates Portalの画面まで進めて、Nextをクリック
取得した証明書をアップロードするように指示が出るのでドラッグ&ドロップかbrowseからファイルを選択してアップロード実行
アップロード完了すると、証明書を発行した時のApple IDのメールアドレスを入力するように促される、というのも、この証明書は毎年更新する必要があるため、1年後の有効期限切れ前にJamfがそのアドレス宛に更新案内をメールでくれるようだ
(通知メールが不要であれ、左下のSkipをクリックすれば良い)
アドレスを登録しないと、以下のようにApple ID: Not Availableと表記された…
更新期限を忘れないよう、Jamfから通知してもらえるようアドレスは登録しておく方が無難でしょう
Jamf Fundamentalsにプラン変更
ようやく、Jamfの管理テナントを使えるようになったわけだけど、このままではまだウィルス対策の機能は利用できない
Jamf NowのエントリープランからFundamentalsに、プラン変更が必要
左メニューの下から自分のアカウントページにアクセス
プランのCompare Plansをクリック
Jamf NowとFundamentalsの機能比較表が表示されるので、Fundamentalsの下方にあるUpgradeを実行
左下にプラン変更が成功したとメッセージが出ればOK
管理テンプレートBlueprintsを変更
この後、手元のMacBookを管理端末として登録するが、その前に管理設定のテンプレートでウィルス対策の機能を有効化しておくとよい
Blueprintsというのが、この管理テンプレートのこと、Blueprintsの細かい紹介は公式のドキュメントに記載があるので要参照
Blueprintsは複数持てるのだけど、今回は既存のDefalutを編集していく
詳細設定の項目よりSecurityをクリックして、その中の項目Enable Malware Prevention with Jamf Protectにチェックを入れて、Save Changesで変更内容を保存
デバイス登録
いよいよ用意した管理テナントにMacBookを登録する!ための準備
Open Enrollmentの有効化
左のメニュー項目のDevicesにアクセスすると、2種類の端末登録方法が提供されていることがわかる
マシン初期化時の初回起動時に、自動的にJamfの管理テナントと関連付けして、起動時の初期セットアップなども含めて処理してくれる端末登録の方法
既存の利用しているマシンに対して、管理端末として手動登録する方法
今回は、後者のEnable Open Enrollmentを利用
左のメニュー項目のOpen Enrollmentのページに遷移するので、そちらで以下の設定を行う
- Enable Open Enrollmentにチェックを入れて
- アクセスコードも適当に入力して(忘れないようにメモしてね)
- 任意のタイミングで端末登録はできるように登録期限は設けないUntil Disabledを選択
- iPhoneであればQRコードを読み込むか、MacBookなどの端末の場合は、URLにアクセスして端末登録することになるので、URLをコピーしておく
- 最後に、Save Settingsで入力内容を保存
Enrollmentプロファイルインストール
上記で入手した端末登録のためのURLをMacBookで開く前に、プロファイルの状態を確認しておく
システム設定 > プライバシーとセキュリティ > セキュリティよりプロファイルにアクセス
iMovieのコレがなんだったか… は、忘れてしまったが、それはどうでもよくてw
他に何もない状態であることを確認
端末登録のURLにアクセスするとアクセスコードと、名前を求められるので適当に入力して、Start Enrollment
利用するブラウザにも依ると思われるが、自動でプロファイルのファイルが開かない場合は、ダウンロードしたenroll.mobileconfigのファイル名のファイルを手動で開いて端末登録して、とある
A file named enroll.mobileconfig will be saved to your computer. If this file does not open automatically, you will need to locate and open it to start device enrollment.
多分、Safariだと自動的にインストールが走るのだと思うが、今回はChromeでURLにアクセスしたためかプロファイルはダウンロードされただけだったので、ダウンロードしたファイルを右クリックでプロファイルインストーラから開いた
そうすると、システム設定からインストールを続行するように通知が出てきた
システム設定からプライバシーとセキュリティ > プロファイルを開くとダウンロードしたプロファイルがダウンロード済みとなっているので、ダブルクリックで詳細を開く
ダイアログ形式で詳細が表示されるので、左下のインストール…を実行
「プロファイルをインストール中…」の表示になり、しばらくすると管理者のパスワードを求められるので入力して登録を実行!
プロファイルのインストールが完了すると、プロファイルの画面に
「このMacの監視および管理者: ***」
と注釈が追記されていた、*** の部分は、Jamfの管理テナントのCompany名が表示されていた
Enrollmentのプロファイルをダブルクリックで開くと、どのような権限が付与されているのかなどの詳細が見られる
Jamf Protectの構成ファイルの反映
そうこうしていると、次に、別のプロファイルが追加された
Jamf Now Plan - Jamf Protect Configuration
Jamf Protectということなので、ウィルス対策、脅威保護のための設定が自動的に反映されたと考えて良さそう
細かい情報は、Enrollmentのプロファイルと同様、ダブルクリックで確認できる
登録状況
Jamfの管理テナントのDevicesを覗くと手元の端末が登録端末としてリストされていた
マシン名やディスクの容量や暗号化状態、OSのバージョンなども見れ、細かく設定をすればWiFiの設定を自動化できたり、常用しているアプリを自動インストールさせることもできる
今回重要なのは、Jamf Protectが有効である点
Jamf Protect以外にも色々な機能が提供されているのと、もっと本格的に利用する場合は、Apple Business Managementの管理テナントを開設することで、Auto Enrollmentやアプリの自動配布などもできるようになるので、是非、その辺りまで使い込んでみると良いでしょう
コメント