ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 
​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

Jamf ProでmacOS Venturaへのアップグレードを止めてみる

10/25/2022

0 コメント

 

Jamf ProでmacOS Venturaへのアップグレードを止めてみる

今回はmacOSのお話。
新しいバージョンのリリースでもしかしたら憂鬱な気分になっているmac管理者に向けた、OSアップグレードの制限について書きたいと思います(Jamf Pro管理者に向けた内容となります)。

Appleの各種アップデートがリリースされました

昨夜から今朝方にかけて、macOS Ventura, iPadOS16, iOS16.1 がリリースされました。
これに伴いApple Business Manager, Apple School Managerも規約が更新され、こちらは管理者による対応が必要となっていますのでご注意ください(参考:support.apple.com/ja-jp/HT203063)。

最近のAppleは6月のWWDC後に新OSのベータ版をリリースし、その後何度かアップデートを繰り返して秋の正式版リリースというサイクルとなっています。これには事前に確認・検証を行い正式版リリース時にはアップグレードしてね、という管理者に対するAppleからのメッセージが含まれていると勝手に考えているのですが、さりとてそんな時間もリソースもない、あるいはアップグレードしたら業務に使っているアプリ・システムが動かなくなる可能性がある、といった具合に最新版へのアップグレードを止めたいという事情もあるかと思います。

Jamf Proにおける、macOSアップグレードの制限について

ここではJamf Proを用いた、macOS Venturaへのアップグレードを制限する方法について紹介します。Jamf Proにある『制限付ソフトウェア』という設定項目を使います。
手順はシンプルで、『制限付ソフトウェア』設定を1つ作成し、制限をかけたいコンピュータに配布するだけです。

制限をかけたコンピュータでソフトウェア・アップデートからVenturaをダウンロードし、アップグレードを行おうとすると以下のポップアップが表示されてアップグレードを制限することができます。
画像

​実際のJamf Pro上の設定は以下のとおりです。
画像
表示名
任意の名称を設定します。
プロセス名
アプリケーションのプロセス名。
ここではInstall macOS Ventura.appと入力します
​(スペース・大文字小文字も正確に)。
完全なプロセス名を制限
上記プロセス名に完全一致した場合に制限がかかります。
​誤爆防止の為にチェックを入れます。
プロセスを強制終了
起動したアプリを強制終了させるためにチェックを入れます。
メッセージ
インストールを行おうとしたコンピュータに表示されるポップアップの文言を記入します。
今回は以下の設定は行いませんでしたが、必要に応じてチェックを入れてください。
アプリケーションを削除:起動したインストーラについて、対象のコンピュータから削除させたい場合はチェックを入れます。
違反に関するEメール通知を送信:違反に関する通知メールを送りたい場合にチェックを入れます(事前設定が必要)。

OSアップグレードの制限は程々に

今回は取り急ぎ、といった形でJamf ProでのmacOSアップグレード制限について書いてみました。
ここまで書いて本末転倒になってしまうのですが、アップグレード自体は新機能の追加やセキュリティ機能の向上といった側面も持っているため、準備ができ次第アップグレードを許可し、展開していくのが理想となります。

アップグレードの制限については他にも構成プロファイルでコントロールをすることも可能です。こちらは最大90日までという期間制限がありますがiOS, iPadOSでも使うことができます。
適宜使い分けて活用してみてください。
0 コメント

Windows Autopilot による Windows PC ゼロタッチキッティング

10/14/2022

0 コメント

 

Windows Autopilot による Windows PC ゼロタッチキッティング​

今回は Ivanti Neurons for MDM (旧 Mobileiron )を使った Windows Autopilot について書いていきたいと思います。

会社から貸与された初期化状態のデバイスを画面の指示通りに設定し、ホーム画面が表示されたら会社で定められた設定が適用され、必要なアプリが自動的に降ってきてすぐに仕事に使うことができる。こんなユーザーにも情シス部門にも夢のようなゼロタッチキッティング。iPhone, iPad,  Macの場合はAutomated Device Enrollment(自動デバイス登録:旧名称DEP)、Androidにはzero-touch enrollment(ゼロタッチ登録)という仕組みで動いています。

ではWindowsは…というのが今回のお話。WindowsではWindows Autopilotという仕組みで実現が可能です(初期設定中にMDMに登録し、設定やアプリケーションを配布することが可能です。合わせてAzure AD上にもデバイス登録が行われます。簡単な流れについては以下の図を御覧ください)。
画像
今回は、このWindows Autopilotを実現するために必要なもの、設定について紹介したいと思います。

Windowsにおけるゼロタッチキッティング:Windows Autopilot

Windows Autopilotですが、Azure ADの環境とMDMが必要です。このMDMについて、Microsoftが提供するIntune以外でも利用が可能です。
今回はMDMとして、Ivanti社のNeurons for MDM(旧名称MobileIron.以後も本名称を使用します)を利用した方法を紹介します。

まずは、Windows Autopilot による Windows セットアップ手順がどのようになるのかをご覧ください。その後に詳細な設定について書いていきたいと思います。
デバイスの登録が完了すると、Mobileiron 上では「 AAD登録済み Intune(オートパイロット)」と表示されるのがご確認いただけると思います。
画像

Windows Autopilotに必要な環境

Windows機
OSですが、次のいずれかあることが必要です
(基本的には現行Microsoftがサポートしている企業向けエディションであればOK)。
  • Windows 10 (バージョン1903以降)
  • Windows 11
いずれもエディションはPro, Pro Education, Pro for Workstations, Enterprise, Education のいずれかであること(Homeエディションでは使えません)。

必要な環境① MDM (Mobile Device Management)

​冒頭でお伝えした通り、今回はMobileIronを利用したWindows Autopilotの説明となりますが、MDMについてはMobileIron, Intune以外にも対応しているものはあります。
※ 現状、国内ベンダー製のMDMでは対応しているものは確認できておりません。
※ 当然のことながら登録するデバイス/ユーザー数のライセンスが必要です。

必要な環境② Microsoft365 のライセンス

Windows Autopilotですが、Azure ADの仕組みを使います。その為Azure ADの環境が必要です。また、Intuneが利用できるライセンスをテナント内に最低1つ用意する必要があります。

ここが今回のポイントになるのですが、MDMとしてMobileIronを使用する為ユーザー数分のIntuneライセンスは必要ありません。ですがAutopilotを実現する為にMicrosoft Endpoint Managerを使用しており、この環境を維持するために最低1つのIntuneライセンスが必要となります(このライセンスは、ユーザーに割り当てる必要はありません)。

Autopilot の準備作業

準備① 対象Windows 端末のデバイス情報を出力

Azureテナント上に(Autopilot用として)コンピュータを登録します。ここで登録されたコンピュータがAutopilot対象となります(iPhoneをゼロタッチキッティングするためにApple Business Managerに登録するのと似ています)。

登録の方法は2つあります。
1つは購入時にメーカー・ディストリビュータに登録してもらうパターン。
もう1つは手動でデバイス情報を登録するパターンです(今回はこちらの方法で進めます)。

前者は購入にあたり必要な手続き・情報についてメーカー・ディストリビュータにご確認ください(可能なメーカーは限られています)。
​
後者は、キッティングを行うコンピュータ上でデバイス情報(ハードウェア ハッシュ)を出力し、Azureテナント上にアップロードする必要があります。
出力方法はいくつかありますが、そのうちひとつをご紹介します。
  1. 対象のコンピュータ上でPowershell(管理者)を起動し、以下のコマンドを実行
    Install-Script Get-WindowsAutoPilotInfo
  2. 設定に関する3つの説明が表示されたらすべて”Y”を入力し、Enter を押下
    ・ PATH 環境変数の変更
    ・ 続行するには NuGet プロバイダーが必要です
    ・ 信頼されていないレポジトリ
  3. 再度コマンド入力画面に戻ったら以下のコマンドを実行
    Set-ExecutionPolicy RemoteSigned –Force
  4. 続けて以下のコマンドを実行
    cd C\Users\<ユーザー名>\Desktop
  5. ” PS cd C\Users\<ユーザー名>\Desktop> ”と表示されたら、以下のコマンドを実行
    Get-WindowsAutoPilotInfo.ps1 –OutputFile hash.csv
  6. exit でPowershellを終了
  7. デスクトップ上にhash.csv という名前のファイルが出力されることを確認
    (このファイルがハードウェア ハッシュとなります)

準備② Azure AD と MDM (Mobileiron) の設定

Azure AD 側の設定

Azure AD側でMDM(MobileIron)との連携設定を行います。
​その前に、Autopilot対象デバイスが自動的に所属されるデバイスグループを作成します(この後の設定で使用します)。

グループ > 新しいグループ > メンバーシップの種類を「動的デバイス」と設定し、『動的クエリの追加』をクリック。規則の構文として(device.devicePhysicalIDs -any _ -contains "[ZTDId]") と設定。
画像
次に、Azure AD管理画面より「モビリティ (MDM および MAM)」>[+アプリケーションの追加]よりMobileIron_EMMを選択し、追加。
追加後、対象となるユーザーをMDMユーザースコープよりを設定(合わせてIntuneのユーザースコープを「なし」に設定します)。
画像

MDM (Mobileiron) 側の設定

​Azure ADとの連携設定
MobileIron側でAzure ADとの連携設定を行います。
管理 > Microsoft Azure > Windows デバイス管理 より必要箇所にチェックを入れ、Azure ADドメインを入力後[アカウントを接続]をクリック。
画像
その後Microsoftの認証画面が表示されるため、Azure ADの管理者アカウントでサインイン。
​その後連携に関する確認画面が表示される為[承諾]をクリックします。

接続に成功すると、管理 > Microsoft Azure > デバイスのコンプライアンス 画面において以下の通りAzure ADドメイン:有効と表示されます。
画像
Autopilotプロファイルの作成
AutopilotにてWindowsの初期設定を行うコンピュータの振る舞いを決めるプロファイルの作成を行います。

​管理 > Windows > オートパイロット > Autopilotプロファイルタブ より[+追加]をクリックし、プロファイルの設定。

設定内容は原則運用に即したもので構いませんが、次の2点は以下の通り設定を行います。
  • 導入形態:ユーザー主導
  • 「すべての対象デバイスをAutopilotに変換します」にチェック

その後Azure ADより同期したグループが表示されるため、対象グループとして先程Azure AD上に作成した動的デバイスグループを選択し、設定を完了させます。
画像
ハードウェア ハッシュのアップロード
先程Windows機から取得したハードウェア ハッシュをアップロードします。

管理 > Windows > オートパイロット > Autopilotデバイスタブ より[アップロード]をクリック。アップロード画面が表示されるため、先程取得したハードウェア ハッシュファイルを指定し、アップロードします。

しばらくするとデバイスに対してAutopilotプロファイルが割り当たります(プロファイルステータス:割り当てましたと表示)
画像
ユーザーの作成
MobileIron上に、同じアカウント名を持つユーザーを作成します。
これで Autopilot の設定は完了です。

Windows Autopilot に関するまとめ

WIndows機をMDMに登録する場合、他のOSの端末と比べてその方法が分かりづらく(他のOSは基本的にブラウザでMDM登録用サイトにアクセスすれば良いのですがそうはいかない)、ユーザー自身に対応をお願いするのはなかなか難しいと思います(その分問い合わせも増えることが容易に想像できます)。
Windows Autopilotは確かに既存の端末を登録する方法(ハードウェア ハッシュの取得作業)が非常に面倒な感じは否めませんが、一度登録さえできればアクティベーション時にAzure ADのユーザー情報(多くの場合会社のメールアドレス)を入力するだけで
 ・MDMの登録
 ・Azure ADへのデバイス登録
 ・制限、設定の配布
 ・アプリケーションのインストール
というキッティングの殆どが完了します。
デバイス情報の登録についても、今後購入時にメーカー・ディストリビューター経由でAzureテナントに登録を依頼すれば不要となるため、キッティングの手間は劇的に減ることが期待できます。

まだ情報が多くなく、Microsoft側も一部プレビューと謳っている機能があるためまだまだ使いづらい点があるのは否めないですが、将来的にはiPhoneの自動デバイス登録のようにWindowsの初期設定はAutopilotが当たり前になるかもしれませんね。​

iOS以外の導入支援も承ります

今回、いつもとは趣向を変えてWindows / MobileIronを主体とした内容を書かせていただきました。
ここで取り上げたマルチOS対応MDMのMobileIron, もといNeurons for MDMは当社にて取り扱っております。導入のご支援も勿論承りますのでデバイスの一元管理をご検討の方はお気軽にお問い合わせください!
0 コメント

iOS 16.0.3 がリリース

10/11/2022

0 コメント

 

iOS 16.0.3 がリリース

iOS 16.0.3 のアップデート内容

主に iPhone 14 本体に関連する不具合の修正と、1件のセキュリティアップデートが含まれています。
​
  • iPhone 14 ProとiPhone 14 Pro Maxで着信やAppの通知が遅延、または届かないことがある問題
  • iPhone 14モデルでCarPlayでの通話中にマイクの音量が下がることがある問題
  • iPhone 14 ProとiPhone 14 Pro Maxでカメラの起動やモード間の切り替えに時間がかかることがある問題
  • 不正なメールの受信後、“メール”が起動時にクラッシュする問題

セキュリティアップデートは iOS16 メールクラッシュ脆弱性の対応

詳細は書かれていませんが、悪意のあるメールメッセージでメーラがクラッシュする問題に対応されています。この手のクラッシュ問題は、一度引っかかると永遠にアプリが起動できなくなり、クラッシュの度に、デバイスの中の何らかの情報を搾取される恐れもあります。早めにアップデートをお願いします!
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る
Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.