本日 macOS Monterey 12.01 、iOS15.1 , iPadOS15.1 リリースに伴い、Apple Business Manager の利用規約同意が必要です。

利用規約同意を行っていただかないと、Apple Business Manager と MDM の「自動デバイス登録」「Volume Purchasing」の導通が取れなくなりますので早めにご対応をお願いいたします！


​

今日はちょっと長いですが、「JamfPro で Microsoft Endpoint Manager の条件付きアクセスのための iOS デバイス・コンプライアンスを構成する」のをやってみたいと思います。Intune のこと、Azure AD のこと、Endpoint Manager のことなんて詳しいから説明不要！って方は、途中の手順まですっ飛ばしていただいてOKです。
​

最近「Intune の条件付きアクセス」という言葉をよく耳にします。実際には「Azure AD の条件付きアクセス」が正しい言葉なのでしょうが、マイクロソフト社はあたかもそれが Intiune で実現されているかのように表現しようとしている感じを受けます。

　条件付きアクセスでは、Microsoft365 へのアクセスとして、以下のような条件に応じたアクセス許可を行うことで、様々なシーンに応じたアクセス許可を与えることができるようになります。

• 社内のネットワークからアクセスしているPCまたはMacのみアクセス可能
• 社外の場合はデバイスコンプライアンス準拠の iOS デバイスのみ MFA と組合せてアクセス可能
• 等など

　ここ数年のコロナ禍での働き方の特徴で、Microsoft365 にアクセスしたり、経費精算をするとか、今までPCでやっていた仕事の多くがモバイルデバイスから行われるようになりました。

　さて、​Azure AD の条件付きアクセスのためのシナリオを構成する1つの条件として、デバイスコンプライアンスと呼ばれるものがあります。Azure AD の立場は設定されtた条件に合致するかどうかを判断して、然るべきユーザに、然るべきタイミングで、然るべきサービスへのアクセスを許可するかどうか判断することにあります。Azure AD は差し出されたものを判断しますが、判定はしません。

　例えば、オフィスの前に立っている守衛さんは、入る人がちゃんとした社員証や許可証を持っていることを判断して、入室を許可しますが、社員証を発行したりはしません。Azure AD はこの守衛さんの役割だと思えば良いでしょう。

そうなんです。やっとここでMDMの話しをできるようになるのですが、社員証を発行する＝デバイスがコンプライアンス準拠していると判定するのは MDM の役割なのです。ここで初めて Intune というサービスが出てきます。

Microsoft Ignite の「Microsoft Endpoint Manager の Intune のチュートリアル」を読んでみると、冒頭に以下のような記載があります。

“Microsoft Endpoint Manager の一部である Microsoft Intune によって、クラウド インフラストラクチャ、クラウドベースのモバイル デバイス管理 (MDM)、クラウドベースのモバイル アプリケーション管理 (MAM)、クラウドベースの PC 管理が組織に提供されます。” 

簡単に言ってしまえば Intune は MDM なんですね。あれれ？デバイス管理の MDM は共存できない筈なのに？と思ってしまいますね。

では、Microsoft Endpoint Manager とは何なのか？というと、Microsoft Ignite の「Microsoft Endpoint Manager の概要」に複合サービスを統合したサービス名称だということが書いてあります。私たちが普段アクセスしている、Endpoint Manager 管理センターもそのサービスのうちの1つということ。

“Microsoft Endpoint Manager は、クラウドとオンプレミスでデータを安全な状態に保つための最新のワークプレースおよび最新の管理を実現するのに役立ちます。 Endpoint Manager には、モバイル デバイス、デスクトップ コンピューター、仮想マシン、組み込みデバイス、およびサーバーを管理および監視するために使用するサービスとツールが含まれています。” 

　Endpoint Manager の管理センターを操作していると、何故こうも複雑怪奇な入れ子構造になった？と疑問を感じますが、こうして改めて見るとなるほどと納得せざるをえませんね。Azure AD や 旧SCCM も全て統合されたサービス名称だったわけです。

• Microsoft Intune
• Configuration Manager
• 共同管理
• Desktop Analytics
• Windows Autopilo
• Azure Active Directory (AD)
• Endpoint Manager 管理センター

　ですので、条件付きアクセスにおける Intune の役割を詳しく言うなら、こういう事になります。

"Azure AD の条件付きアクセスの1つの条件として、モバイルデバイスやデスクトップPCや Mac コンピュータが、コンプライアンスに準拠しているかどうかは、Endpoint Manager の一部である Intiune から報告させることにしよう。"  

　と言ったかどうか分かりませんが、賢いマイクロソフト社はここに余所者の入る隙を与えてくれません。そのため、コンプライアンスパートナーとして認定された、サードパーティMDMベンダーであれば、デバイス管理しているデバイスのコンプライアンス状況を Intune にレポート可能となりました。Mobileiron , VMWare Workspace ONE , IBM MaaS360 , BlackBerry など名を連ねる中に Jamf 社も入っているというわけです。気を付けたいのは、デバイス コンプライアンス パートナーとのインテグレーションのために Intune を構成する場合、1 OS カテゴリにつき、1社1MDMのみ登録が可能です。しかしまぁ、この Intune に報告させようという仕組みのおかげで、「じゃ Intune でデバイスも管理すればいいんじゃない？」となるのは火を見るよりも明らかで、結果として Intune に乗り換えた方々がとても苦労されているのをよく耳にします。

改めて「デバイス コンプライアンス パートナーと連携するように Intune を構成する」ために必要なものを確認していきましょう。
​

• Microsoft Intune
• Microsoft Azure AD Premium
• Microsoft 365 アカウント （ onmicrosoft.com ではない存在確認済みドメインのもの）
• 対象のデバイスには Microsoft Authenticator がインストールされている必要があります。
• iOS 11 以降、またはSafariがデフォルトのブラウザとして設定されているiPadOS13以降です。
• 対象のデバイスを Jamf Proへの登録、App として Self Service がインストール必須です。
• User Enrollment デバイス（個人所有）は利用できません

まずは JamfPro 上で登録されているデバイスに対して、デバイスコンプライアンスに準拠する条件をスマートデバイスグループとして作成します。スマートデバイスグループの対象となるデバイスは、マネージド（管理）状態のものだけが対象になりますので、それに加えて iOS バージョンが 13以上、パスコードポリシーが適用されていることなどで条件を作成します。スマートデバイスグループを作成したら、そのグループに含まれるデバイス数が適正か確認をしてください。
​

Connect ボタンをクリックすると、マイクロソフトの認証が開始されます。管理権限をもったユーザで認証を2回実行します。
​

先ほどまでの手順で、 JamfPro 側の準備はできたので、今度は MSEM 側に受け口となるコンプライアンスパートナーの追加を実施します。詳細な手順はこちらをご覧ください。

Endpoint Manager ＞[テナント管理] > [コネクタとトークン] > [パートナー コンプライアンス管理] > [コンプライアンス パートナーの追加] とクリックしていきます。
​

コンプライアンスパートナーとして Jamf Device Compliance を選択し、プラットフォームに iOS を選択します。

割当先に全てのユーザを指定すると動かないと書いてあるので、グループを作成して指定するのが良いでしょう。
​
全てが完了すると。図のようにパートナーステータスが「アクティブ化の保留中」から「アクティブ」に変更となります。

2021/10/15 追記
Azure AD に JamfPro から Intune に報告された iPhone と、Intune にダイレクトに登録されている iPhone では、両方とも準拠しているになっているのが確認いただけると思います。
何故か OS の欄が、JamfPro 経由は iOS で、Intune 経由だと iPhone になっていますｗ （最初 iOS でフィルタしたら出てこなかったので焦りました）
取りあえずこんな感じで、jamfPro から Intune へデバイスコンプライアンスを報告するのはこんなに簡単というレポートでした！
​

いや、もうこれに尽きますｗ　どんだけ不便だったか。あ、いや、そんなにいつも何か忘れ物ばっかりしてるわけじゃないんですが、いざって時のために使ってるのにそれが探せないとかシャレになりません。

新しい iOS , iPadOS が対応しているデバイスは以下の通り。

• iPhone 6s 以降のiPhone
• iPad Pro 全モデル
• iPad Air 2 以降の iPad Air
• iPad 第5世代以降の iPad
• iPad mini 4 以降の iPad mini
• iPod touch 第7世代

あと、watchOS 8.01 もリリースされていますね。こちらは Apple Watch 3 シリーズ以降となっています。

iOS では探す関係のバグとメッセージ関係のバグなどが修正されています。

• 写真を保存したスレッドまたはメッセージを削除すると、“メッセージ”からライブラリに保存された写真が削除される可能性がある問題
• MagSafe対応iPhoneレザーウォレットが“探す”に接続されないことがある問題
• AirTagが“探す”の“持ち物を探す”タブに表示されないことがある問題
• CarPlayで、再生中にオーディオAppを開けないことや接続を解除できないことがある問題FinderまたはiTunesを使用してデバイスの復元やアップデートを実行するとiPhone 13モデルで失敗することがある問題

iPadOS に関してもどう同様のFixに加えてキーボード関係のバグFixが行われています。

• 写真を保存したスレッドまたはメッセージを削除すると、“メッセージ”からライブラリに保存された写真が削除される可能性がある問題
• AirTagが“探す”の“持ち物を探す”タブに表示されないことがある問題
• 日本語配列の外部キーボードに誤って英語（US）配列が使用されることがある問題
• FinderまたはiTunesを使用してデバイスの復元やアップデートを実行するとiPad mini（第6世代）で失敗することがある問題

CVE-2021-30883 でナンバリングされたゼロデイ脆弱性は IOMobileFramebuffer に存在し、メモリ破壊によってカーネル権限で任意のコードを実行できる問題があり、Apple はこの脆弱性が悪用された実績があることを認めています。カーネル特権へのアクセスを取得すると、攻撃者はiOSデバイスを完全に制御できるようになるとのこと。
​

以下の2件のバグが修正されている模様です。セキュリティアップデートはありません。

　しかしながら、AirTag が消えちゃう問題は解決されていないですね。この AirTag 問題ですが iOS/iPadOS 14 のデバイスであれば設定が消えたわけではなく、ちゃんと AirTag を探すことができるので、慌てて AirTag 再登録とかしない方が良さそうです。（早く ArTag 問題も直して欲しい・・・）

1. iPhone 13モデルで“Apple WatchでiPhoneのロック解除”が機能しないことがある問題
2. “設定” Appに間違って“空き容量が残りわずかです”という警告が表示されることがある問題

​