Jamf Pro のユーザ主導登録(個人)で管理対象Apple ID を使う
iPhone の個人デバイスを仕事で使うための BYOD ワークフローとして、アカウント駆動ユーザ登録が iOS15 から実装されましたが、これはなかなかハードルが高め。
なんというかぐレーションの仕方にAppleさんの強引さが際立っているというか、管理対象Apple ID がそもそも分かりにくいというか、ここまでやるなら管理対象Apple ID をMDM側から埋め込ませてくれよといつも思ってしまいます。
などと考えていたら、Enrollment SSO なる OAuth2 を使ったより簡便な手法が実装されるらしいのですが、それはまた次回試すとして、今回はアカウント駆動型ユーザ登録と、URLベースユーザ登録(個人)の違いを見てみたいと思います。
なんというかぐレーションの仕方にAppleさんの強引さが際立っているというか、管理対象Apple ID がそもそも分かりにくいというか、ここまでやるなら管理対象Apple ID をMDM側から埋め込ませてくれよといつも思ってしまいます。
などと考えていたら、Enrollment SSO なる OAuth2 を使ったより簡便な手法が実装されるらしいのですが、それはまた次回試すとして、今回はアカウント駆動型ユーザ登録と、URLベースユーザ登録(個人)の違いを見てみたいと思います。
アカウント駆動型ユーザ登録と、URLベースユーザ登録(個人)の違い
まずは、URLベースでのユーザ登録のワークフローを見てみましょう。アカウント駆動型の場合は、職場アカウントでのサインインをトリガーとして、Jamf Pro のSSO設定された登録カスタマイゼーションが表示されました。URL ベースの場合は、そもそもが MDM をダイレクトにURLで指定しているので、SSOの認証から始まります。それが完了すると、管理対象Apple ID を求められた後に、MDMプロアイルがユーザ承認モードでダウンロードされます。
設定アイコンから、ダウンロードしたプロファイルを使って、MDMへの登録を行いますと、改めて管理対象 Apple ID でのサインインを求められ、これで登録は完了となります。
ここで、あれ?と思った方も多いと思うのですが、Remote Management というのはその画面からどこ
にも遷移せずにMDM登録を完了できるモード、ユーザ登録は設定アイコンからMDMへの登録を選択してユーザが自ら登録するという主体性の違いのようです。
それにしても何故 Apple は管理対象 Apple ID を Azure AD や Google Workplace と統合させておきながら、まだユーザ自身による Apple ID のサインインにこだわるのか不思議です。
とは言っても、アカウント駆動型ユーザ登録も、URLベースユーザ登録(個人)も、できあがりの姿は同じであり、どちらかというと、こちらのユーザ登録ワークフローの方が、いろんな意味で自由度高くていいんじゃないかな?と思ったりもしてしまいますね。
次回は、Enrollment SSO の実装をテストしてみたいと思います。ご期待ください!
皆様、素敵な連休をお過ごしください!!ではまた!
設定アイコンから、ダウンロードしたプロファイルを使って、MDMへの登録を行いますと、改めて管理対象 Apple ID でのサインインを求められ、これで登録は完了となります。
ここで、あれ?と思った方も多いと思うのですが、Remote Management というのはその画面からどこ
にも遷移せずにMDM登録を完了できるモード、ユーザ登録は設定アイコンからMDMへの登録を選択してユーザが自ら登録するという主体性の違いのようです。
それにしても何故 Apple は管理対象 Apple ID を Azure AD や Google Workplace と統合させておきながら、まだユーザ自身による Apple ID のサインインにこだわるのか不思議です。
とは言っても、アカウント駆動型ユーザ登録も、URLベースユーザ登録(個人)も、できあがりの姿は同じであり、どちらかというと、こちらのユーザ登録ワークフローの方が、いろんな意味で自由度高くていいんじゃないかな?と思ったりもしてしまいますね。
次回は、Enrollment SSO の実装をテストしてみたいと思います。ご期待ください!
皆様、素敵な連休をお過ごしください!!ではまた!
RSS Feed
