ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 

​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

iOS15 で追加されたデバイス登録ワークフローの「アカウント駆動型ユーザ登録ワークフロー」( account-driven User Enrollment ) を JamfPro 10.33 で構成する

11/14/2021

0 コメント

 

iOS15 で追加されたデバイス登録ワークフローの account-driven User Enrollment を JamfPro 10.33 で構成する

今回は少し記事としては長いテクニカルなものになりますが、iOS15 で追加となった「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment) 機能が、 JamfPro 10.33で対応となりましたので、実際の動作させた動画と設定方法について書いてみたいと思います。(やるやると予告ししておきつつ、個人的に多忙な時期が続いていて、なかなか着手できませんでした、すいません)
​
このアカウント駆動側ユーザ登録の実現によって、企業における BYOD の利用が少し進むのかもしれません。(今まで Apple のデバイスに関しては BYOD 利用の決定打と呼ばれるものが無かったのも事実)

iOS15 で追加された​「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment) とは何なのか?

さてそれではMDMへのデバイス登録に関してのおさらいです。iOS という記載は iPadOS も含んでるいます。
デバイス登録方法
監視対象
備考
ユーザ登録
×
iOS13.1 以降 , iOS14 迄でブラウザから MDM の URL を指定して登録。BYOD モードとして追加された個人所有のデバイス内に企業領域を作成し企業領域のみをMDMから管理できる。(将来的には廃止となる予定)
アカウント駆動型
​ユーザ登録
×
iOS15 で追加されたユーザ登録ワークフローで、iPhoneの「設定>一般>VPNとデバイス登録」から管理対象 Apple ID を指定することによって、管理対象 Apple ID の iCloud 設定、MDM認証と登録および企業領域の作成までワンストップで行うことができるワークフロー。
デバイス登録
×
macOS は ○
ブラウザから MDM の URL を指定して登録。組織所有デバイスとして登録・管理する。この方法を個人デバイスの BYOD 管理として使用することはプライバシーの侵害にあたり推奨されません。また、監視対象にならないため組織デバイスとして重要な機能制限も行えないため推奨されません。macOS に関してはこの方法によって、デバイスを監視対象にすることができ組織デバイスの管理として利用されます。
自動デバイス登録
○
Apple Business Manager 、Apple School Manager と連携した、ゼロタッチで iOS , macOS , tvOS デバイスを MDM に登録できる最もスマートな管理手法。特に iOS デバイスに関しては、自動デバイス登録を使うことを推奨します。

iOS15 で追加された​「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment)の動作を見てみよう

まずは設定すると、この新たなデバイス登録ワークフローがどのように動作するのかを見てみることにしましょう。動画内にもありますが、管理対象 Apple ID と、JmafPro アカウントは全て Azure AD に統合されているため、ユーザが指定するアカウントは Microsoft365 アカウントのみとなっているところがミソです。

iOS15 で追加された​「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment) 動作の仕組み

今回の動画でば、JamfPro ユーザはクラウドアイデンティティプロバイダーとして Azure AD と SSO 設定されており、Apple Business Manager の管理対象 Apple ID も Azure AD とフェデレーションおよび SCIM 設定がなされています。
​図で書くとこんな感じになります。
この設定によって、アカウント駆動型ユーザ登録は、Azure AD ユーザを指定するだけで、JamfPro 認証も、管理対象 Apple ID 認証も行えるようになっています。
​それでは、実際の設定をやっていきましょう。
画像

JamfPro 10.33 でアカウント駆動型ユーザ登録を有効にする

これを忘れると動作しないですね。JamfPro >管理>一括管理>User-Initiated Enrollment  で「​アカウント駆動型ユーザ登録」で個人デバイスに対して有効にするをチェック入れます。
画像

JamfPro 10.33  でクラウドアイデンティティプロバイダーを構成する

JamfPro でクラウドアイデンティティプロバイダーを構成します。これとても簡単に設定できて、Azure AD 側の Enterprise Application である Jamf Pro Azure AD Connector の設定まで自動でやってくれるので、必要なのは Microsoft365 (Azure AD) 管理者アカウントでログインするだけとなっています。完了したら接続テストしてみてください。接続完了となれば問題ありません。
Azure AD 側で必要な作業としては、Jamf Pro Azure AD Connector の対象となる Azure AD ユーザまたはグループのアサインのみです。(アサインされていないと Jamf Pro 認証でエラーになります)
画像

Apple Business Manager で Federation と SCIM を有効にする

ここを説明し出すと長くなるので簡潔に書きます。
  1. Microsoft365 と同じドメインを ABM のドメインとして登録します
  2. Microsoft365 と同じドメインを DNS 設定した TXT 内容をもとに存在確認します
  3. Federation を有効にします ( Microsoft365 (Azure AD) 管理者アカウントでログインが必要 )
  4. SCIM を有効にします ( Azure AD 側の Enterprise Application の Apple Business Manager の設定を行います )
  5. ​Azure AD 側の Enterprise Application の Apple Business Manager との SCIM 対象となるユーザまたはグループをアサインします

SCIM が正常に接続されると、ABM の管理者宛メールに「SCIM ガ正常に接続されたました」というメールも来ますので合わせて確認すると良いでしょう。
画像
画像

Microsoft365 ドメインの Webサーバに 「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment) に必要な JamfPro サーバ情報をホストする

上記の手順で JamfPro 側の設定と、ABM 側の設定を行うと、最初に掲載した図の通り JamfPro と ABM が Azure AD とつながったと思います。ここまで来たらゴールはもうすぐです。
​
さて、次は Microsoft365 用のドメインで構成された Web サーバを準備してください。当社のテスト環境は以下で構成しました。ここら辺の設定が苦手な方には、ちょっと辛いのがこの「アカウント駆動型ユーザ登録ワークフロー」(account-driven User Enrollment) の難点と言えますね。
  • Amazon Web Service - Ubuntu 20.04.3 LTS , Apache/2.4.41
  • Let's Encrypt でWeb サーバ証明書で https アクセス可能に構成

さて、環境が出来たらドキュメントルートに対して、以下の3つを構成します。
  • .well-known フォルダーの作成
  • .well-known フォルダーに対して、MIME タイプ application/json の設定
  • .well-known フォルダー内に com.apple.remotemanagement という名前で以下の内容でファイルを作成。
 {
  "Servers": [
    {
      "Version": "mdm-byod",
      "BaseURL": "https://YOURCOMPANY.jamfcloud.com/servicediscoveryenrollment/v1/userenroll"
    }
  ]
}

以上で設定は完了!動画を改めて見直してワークフローを確認しましょう

以上で設定は完了しました。ワークフローを改めて確認してみましょう。
  • ユーザは、iPhone の「設定>一般>VPNとデバイス登録」で、管理対象 Apple ID として自動作成して欲しい 自身の Microsoft365 アカウントを指定します。
  • iOS は入力されたユーザ名とドメイン名を分離して、ドメイン名から次の Web サーバの URL を自動生成して JamfPro の認証画面を呼び出しします。
https://MICROSOFT365DOMAIN/.well-known/com.apple.remotemamnagement
  • JamfPro (10.33 以上) に自動作成されるユーザ情報として、Microsoft365 アカウントの ID とパスワードを入力して認証します。
  • ​最初に入力した組織の管理対象 Apple ID として自動作成して欲しい 自身の Microsoft365 アカウントが 管理対象 Apple ID として作成されたことを確認します。
  • ​管理対象 Apple ID へのサインインとして、Microsoft のモダン認証ログインを行います。
  • Microsoft 認証が完了したら、同じ管理対象 Apple ID で iCloud としてサインインされることを確認します。
  • ​リモートマネジメントの許可を選択します。
  • ​デバイスのロック解除パスコードを入力します。
  • デバイス内に管理対象 APFS 領域が作成され、管理対象 Apple ID で iCloud への企業情報の保存が可能になったことが確認できます。

ユーザにとって監視、監理という言葉は怖いものの心配なし

この登録手順は BYOD を実現するためのものなので、以下のようなユーザのプライバシー情報は完全に護られます。
  • どんなアプリケーションをインストールしているか
  • いつデバイスを使ったか?
  • ユーザがどこにいるか?
  • ユーザが行った電話を含むコミュニケーションの履歴や内容
  • ユーザの連絡帳やメモ、予定表やTODOの中身
  • 管理者によるパスコードの初期化やデバイスの初期化は不可

組織としてはこのワークフローを実現することで、ユーザは Microsoft365 と統合されたアカウント情報だけを使うことで、ユーザが自身のデバイスを使って、プライバシーは完全に護られたまま、組織から必要なアプリを配布してもらったり、業務で利用するメモ、ブックマーク、連絡帳の内容を、個人のものではない組織の Apple ID に保管することができるようになります。もしユーザにとって BYOD として利用継続する意思がなければ、ユーザは自身の判断によって管理対象 Apple ID からサインアウトすれば、MDM の管理下から離れ、元通りのユーザ個人の iPhone の姿に戻すことができます。

組織が管理できるのは、あくまでも管理対象 APFS という企業領域の中だけで、もしユーザがデバイスを紛失したような場合には、ワイプ(消去)できるのも企業領域のみとなります。

以上、iOS15 で新たに追加されたユーザ登録ワークフローについて記載いたしました。Web サーバの準備はちょっとハードルが高いかもしれませんが、一度構成してしまえば非常にユーザにとっても利便性が高まり、より BYOD の企業利用も導入し易くなることでしょう。

当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント



返信を残す

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    4月 2025
    3月 2025
    1月 2025
    11月 2024
    10月 2024
    9月 2024
    7月 2024
    6月 2024
    3月 2024
    1月 2024
    12月 2023
    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒
103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る

Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.