こちらの記事はhacomono Advent Calendar 2023の24日目の記事です
こんにちは!情シスのえんどうです。
hacomono発のアドベントカレンダーということで、今回はJamf ProのPrestage Enrollment(所謂ゼロタッチデプロイ)という少しコアな話をしようと思います。
Jamf Proを運用している情シスの皆さんのためになる記事であれば嬉しいです🙇
Jamf Pro導入からもうすぐ2年
2022年4月にhacomonoがJamf Proを導入してからもうすぐ2年経とうとしています。
hacomonoの就労環境はフルリモートで私も福岡に住んでいる都合上、導入直後からPrestage Enrollmentの利用は必至で早々にゼロダッチデプロイの環境を作り上げました。
それから1年以上経った今もJamf Proはhacomonoのフルリモート環境を支えてくれている、重要なサービスです。
ただ、最近ふと思ったことがあります。
Prestage Enrollmentの中身を見直せていない…
正確に言うと、”問題が起きた部分だけ”都度修正して解消させていました。
ただ、抜本的な見直しは行なっておらず、今では必要なくなったポリシーなどもそのまま流し込んでしまっていました。
今回のテックブログでは実際に行なった”お掃除”を紹介出来ればと思います。
ポリシー
お恥ずかしながら今は既に使っていない複合機のドライバインストールが残っていました…
また、これを機にカスタムイベント名をinstallHogehogeと統一することにしました。
また、全従業員が利用しているSlackやZoom,Google Chrome,Okta Verifyですが、これまでDEPNotify(オンボーディングを効率化するスクリプト)後にSelfServiceからインストールしてもらっていましたが、どうせ全従業員が利用するのであればDEPNotifyでインストールさせることにしました。
構成プロファイル
macOS 13 Venturaからバックグラウンドで実行されるアプリケーションなどがインストールされると、ユーザーに確認を求められるようになりました(面倒)
この設定は通常であればユーザーもオフにすることが出来るようになっていますが、セキュリティソフトなど必須のアプリをオフにされると困ってしまいます。
ということで、下記の知見を参考にJamf Proから設定のオンを強制させています(Jamf Pro 11.1.1現在ではGUIで設定を追加出来るようになっています) zenn.dev
スクリプト
皆さんも忘れがちなスクリプトの更新、ちゃんとやっておきましょう(1敗)
Jamf ProユーザーであればInstallomatorを、Netskopeも利用しているのであればNetskope公式が提供しているJAMFScriptも定期的に更新していた方が良いと思います。
ご存じの通りDEPNotifyは2年以上更新されておらず、Jamf Pro側でmacOSオンボーディングなる機能が登場したので、皆さん今後はそちらに移っていくんですかね…?
パッケージ
Enroll時にインストールされるアプリは要注意です。
セキュリティソフト系は定期的に最新の安定版パッケージをJamfに登録しておくようにしましょう。
従業員が関係する変更点
インストールアプリケーションの追加
前述したように、DEPNotifyでインストールするアプリを増やしたことでセットアップの待ち時間が増えるようになりました。
ただ、ここでインストールしなければ後々SelfServiceでインストールする必要があるので、待ってもらうこととしました。
DEPNotify後の再起動
これまで、DEPNotifyが終了した後は自動ログオフ→サインインをしてもらっていました(FileVault有効化のため)
が、稀にインベントリの収集が走らなかったりしたことがあり、ヘルプデスクから再起動してもらうことがあったので、いっそのことDEPNotify後に再起動するように変更しました。
User-Initiated EnrollmentでもDEPNotifyを起動
後述もしますが、近々でインターネット接続直後にリモートマネジメントに入ってくれない端末が出現しており、User-Initiated Enrollment(以降UIE)を再び利用することが出始めました。
UIEは約2年前の既存従業員のJamf Pro登録のためだけに利用していたので、これを機にUIEでもDEPNotifyを起動させ、必要なソフトをインストールさせることにしました。
設定アシスタント内でFileVault有効化
Jamf Pro 10.50から、FileVaultの有効化を設定アシスタント中に有効にすることができるようになりました。
これまではセットアップ後にサインアウト or 再起動しないとFileVaultが有効にならなかったのでありがたい機能更新です。
細い問題点と課題
リモートマネジメントに入ってくれない
明確な原因は分かっていないのですが、PreStage Enrollmentとして登録しているmacであるにも関わらずリモートマネジメントに入らず、組織外のmacとしてそのままセットアップが走ってしまう現象が発生しています。
ネットの速度が遅いと発生しているのでは…?という推測まで至ってはいますが、現状は発生したらそのままセットアップを進めてもらい、UIEでJamf Proに登録してもらっている状況です。
2台目のPCをセットアップするとDEPNotifyが終わらない
例として、AユーザーのmacがJamf Proに登録済みかつユーザーと位置に従業員情報が入っている状態で、Aユーザーが2台目のmacをセットアップすると、2台目のインベントリではユーザーと位置が空白になってしまいます(登録カスタマイゼーションでOktaを選択しセットアップ時にOktaにログインさせています)
この件をJamf Proのサポートにも問い合わせてみたところ、Jamf社側も問題を認知してくれましたが、現状では解決方法&予定も無いので、途方に暮れています。
Jamf ProでLDAPを利用している方であれば、手動で入れればOKじゃないか?と思われるかもしれませんが、セットアップ時点でユーザ名が入っていないことでNetskopeのインストール時にユーザーを認識できずコケてしまう。という問題に直面しています。
結論
ここまでJamf Proの細かい設定等々を説明してきましたが、結論として「Enrollmentで使用している設定は定期的(最低半年に1度)は見直すようにしましょう」ということです。
1年前には最新で最善と思っていたことが今では陳腐化してしまった。ということはよくあることです。
SaaSは構築して終わりではなく運用も大事ですので、ぜひ皆さんの環境でも見直してみてください!
株式会社hacomonoでは一緒に働く仲間を募集しています!
採用情報や採用ウィッシュリストも是非ご覧ください!
