ソフトブレーン・インテグレーション株式会社
iPhoneやiPadなどのスマートデバイス導入コンサルティング
​ソフトブレーン・インテグレーション株式会社 
​お問い合わせ: 03-6892-1180(平日9:00~17:30)
  • ホーム
  • トピックス
  • サービス案内
    • Jamf >
      • Jamf Pro
      • Jamf Now
      • Jamf Now リモート導入支援
      • [Jamf×Mac] オフィス内の管理されていないMacが企業に脅威をもたらす
      • Jamf Protect
      • Jamf Connect
    • iOS ビジネスコネクト >
      • スマートフォン導入支援サービス
      • iPhone/iPad/Macキッティング
    • AMC (Advanced Mobile Center)
    • Ivanti Neurons for MDM >
      • ACCESS / SENTRY
      • Threat Defense
      • UEM
    • Zoom (Web会議システム)
    • Okta (ID管理クラウドサービス)
    • RemoteOperator Helpdesk
    • iOS 教育サービス >
      • iOS アーキテクチャ講習会
      • iOS ユーザー向け講習会
  • 会社案内
    • 会社概要
    • ご挨拶
    • 企業理念
    • 所在地
    • 採用情報
  • ブログ
  • お問い合せ

iOS16.2 , iPadOS16.2 , macOS Ventura 13.1 , watchOS9.2 等一斉リリース!

12/15/2022

0 コメント

 

iOS16.2 , iPadOS16.2 , macOS Ventura 13.1 , watchOS9.2 など一斉リリース!

写真
お待たせしました、Apple 純正のホワイトボードアプリ「フリーボード(英語名:FreeForm)」の登場です。随分リリースまで時間がかかりましたね。なんと言っても今回の iOS16 , iPadOS16 , macOS Ventura 13 のウリはズバリ「Collaboration」です!Apple さんが気にしているプライバシーやデータを守りつつ、オープンなコラボレーション機能を実現するのはきっと難しいことだったのだろうと推察されます。しかしホワイトボード機能となると、やはり気になるのは Windows 版は?というところですが、iCloud 系のソフトにしても、ブラウザから使える機能はチープの一言に尽きる出来映えなので、仮に出たとしてもあまり期待できないのかな?折角なので、マルチデバイス対応になってくれることを期待していますが・・・まずは、iOS と macOS エンタープライズ機能で追加された内容から確認していきましょう。

今回リリースされたのは、iOS 16.2 , iPadOS 16.2 , macOS Ventura 13.1 , watchOS9.2 , tvOS 16.2 に加えて、macOS Monterey 12.6.2 , macOS Big Sur 11.7.2 , さらに iOS16 , iPadOS16 未対応デバイス向けには ​iOS 15.7.2 、iPadOS 15.7.2 もリリースされております。

iOS 16.2 / iPadOS 16.2 のエンタープライズ機能

iOS 16.2 / iPadOS 16.2 
  • Enrollment Single Sign On - 登録シングル サインオンを使用すると、管理者は MDM 登録中および登録後にサインインに使用する ID アプリを指定できます。
  • MDM は、Rapid Security Responses のインストール/削除の制限できるようになりました。
  • MDM は、Safari でクロスサイト トラッキングが許可されているドメインを指定できるようになりました。
  • ユーザーがバックアップから復元している間、MDM は、バックアップに含まれるすべてのアプリが復元される前に、新しいアプリをインストールできるようになりました。
  • Siri が管理対象の連絡先への通話を開始できない問題を解決しました。
  • サーバー証明書を信頼した後、デバイスが 802.1X ネットワークに参加できなかった問題を解決しました。

iOS 16.1
  • デバイスで eSIM の変更制限が設定されている場合に、割り当てられた eSIM が構成されたままになる問題を解決します。
  • セットアップ アシスタントが完了する前に、MDM でインストールされたアプリがシングル アプリ モード用に構成されている場合、デバイスがセットアップ アシスタントを完了できない可能性がある問題を解決します。

iOS 16.2 , iPadOS16.2 のセキュリティアップデート。
https://support.apple.com/ja-jp/HT213530

macOS Ventura 13.1 のエンタープライズ機能

macOS Ventura 13.1
  • macOS Monterey 12.3 以降を実行している監視対象の Mac コンピューターは、完全なインストーラー アプリを実行したり、管理者として認証したりする必要なく、macOS Ventura 13.1 にアップグレードできます。(*これ Ventura リリース時から言われてましたがやっと実装!)
  • macOS が ACME 証明書 MDM ペイロードをサポートするようになりました。
  • ネットワークの場所の設定には、システム設定からアクセスできます。
  • MDM は、Safari でクロスサイト トラッキングが許可されているドメインを指定できるようになりました。
  • システム設定でログイン項目を管理および表示するための改善が含まれています。
  • DHCPv6 使用時の信頼性の向上が含まれます。
  • 密度の高い Wi-Fi 環境でネットワークが断続的に応答しなくなる問題を解決しました。
    これ(https://gigazine.net/news/20221209-apple-wifi-issues/ で騒がれてたやつですね)
  • ソフトウェアの更新後にプリンターが削除される問題を解決しました。
  • ソフトウェアの更新後に Rosetta 2 が削除された問題を解決しました。

macOS Ventura 13,1 のセキュリティアップデート内容についてはこちら。
https://support.apple.com/ja-jp/HT213532

iOS16.2 で搭載されたホワイトボード機能、カラオケ機能など・・・

フリーボード
  • Mac、iPad、iPhoneで友達や同僚とクリエイティブに作業するための新しい“フリーボード” App
  • 自由自在なキャンバスに、ファイル、画像、付せんなどを追加可能
  • 描画ツールでキャンバス上のどこにでも指でスケッチ可能
Apple Music Sing
  • Apple Music内の何百万もの曲から選んだお気に入りの曲に合わせて歌う新しい方法
  • ボーカルの音量を自在に調整して、原曲のアーティストとデュエットしたり、ソロで歌ったり、それらを組み合わせたりすることが可能
  • 新しく強化された音節に合わせて表示される歌詞で、より簡単にミュージックの進行を追うことが可能
ロック画面
  • iPhone 14 ProおよびiPhone 14 Pro Maxで“常に画面オン”が有効になっている場合に壁紙や通知を非表示にできる新しい設定
  • 睡眠ウィジェットで最新の睡眠データを確認可能
  • 服薬ウィジェットでリマインダーを表示してスケジュールに素早くアクセスすることが可能
Game Center
  • Game CenterのマルチプレイヤーゲームがSharePlayに対応し、FaceTimeで通話中の人とプレイ可能
  • アクティビティウィジェットで、ホーム画面から直接、友達がプレイしているゲームやその達成状況を見ることが可能
ホーム
  • スマートホーム用アクセサリとAppleデバイス間での通信の信頼性および効率の向上
このアップデートには、以下の機能改善とバグ修正も含まれます:
  • “メッセージ”の検索の改善により、犬、車、人物、テキストなどの写真の内容に基づいて写真を検索可能
  • “IPアドレスを公開”設定で再度読み込むとSafariでiCloudプライベートリレーのユーザが特定のサイトでサービスを一時的に無効可能
  • “メモ”の参加者カーソルにより、ほかの人が共有メモをアップデートしている箇所をライブインジケータで表示可能
  • AirDropの設定が10分経過すると自動的に“連絡先のみ”に戻るようになり、望まない相手からのコンテンツの受信リクエストを防止
  • iPhone 14とiPhone 14 Proモデルでの衝突事故検出の最適化
  • アップデート後に一部のメモがiCloudと同期できなくなる問題を修正
  • 日本語キーボードでの入力中にVoiceOverで変更を認識できないことがある問題を修正
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

Oktaと手をつないだ Jamf Proの世界(JamfとOktaの連携について:その1)

12/6/2022

0 コメント

 

Oktaと手をつないだJamf Proの世界​(JamfとOktaの連携について:その1)

ID管理におけるデファクト・スタンダードの地位を確立しているOkta.そして当サイトでは説明不要かもしれませんが、大企業だけではなく​中小企業においてもApple デバイスにおけるデファクト・スタンダードなっているJamf Pro.この2つを連携させたらどのようになるのか、というのが今回のお話。​Okta とJamf Proの連携について書いていきたいと思います。

Jamf Pro × Okta = ∞

ここで書く内容の設定を行うことで、以下のことが実現できます。
  1. [管理者目線]Jamf Pro管理画面に、Oktaのアカウントでサインインできるようになる(Oktaのポリシー設定により、Jamf ProだけではできなかったMFAも実装可能)。
  2. [ユーザー/管理者目線]会社から貸与された、初期化状態のデバイス(Mac/iPhone)を初期設定すると必要な制限とアプリケーションが自動的にインストールされる(→つまり管理者側のキッティングが不要となる)。
  3. [管理者目線]この方法でJamf Proに登録されたデバイスは、Jamf Pro上で自動的にユーザーと紐付けられる(Jamf Proで資産管理を行なっている場合や、部署・建物ごとにアプリケーションや設定を配布している場合に便利!)。
百聞は一見にしかず、かと思いますのでまずは実際の動きを御覧ください。
上記2. に記載した、デバイス初期設定の動画です
​(通常の運用、並びにMacのアクティベーションの流れを思い浮かべながらご覧ください)。
Oktaのアカウントでサインインできる、だけではなくパスワード+Okta VerifyをはじめとしたAuthenticator アプリによる2要素認証により、よりセキュアなサインインが実現できます
​(Jamf Pro単体では多要素認証は行えません)。
端末の初期設定時に、Oktaアカウントのサインインが求められます。
このアカウントが、Jamf Pro上で登録されたデバイスと自動的に紐つけられます。
これによりデバイス登録後の管理者による紐付け作業が不要となります。
またOkta上の部署情報もJamf Pro側への同期が可能となり、Smart Groupを用いた
​柔軟な運用が可能となります(例:特定のアプリを特定のグループにのみ配布したい、等)。

構成設定について

今回、ここで行った連携設定はLDAP連携とSAML連携(シングルサインオン)の2つです。

LDAP連携について

Oktaは現状、Jamf Proとのプロビジョニング(SCIM連携等)には対応しておりませんが、Oktaのユーザー情報をLDAPプロトコルを通じてやり取りを行うためにOkta LDAP Interfaceという機能を持っているため、この機能を使って連携します(Oktaをディレクトリサーバと見做してJamf ProとLDAP接続を行います)。
写真
なお今回は触れませんが、すでにディレクトリサーバとJamf Proを連携している場合、Okta LDAP Agentを経由してディレクトリサーバと連携することも可能です(Okta LDAP Agentは、ディレクトリサーバにインストールするエージェントアプリです)。
写真
参考:Okta+LDAP(英文)

LDAP連携のための設定

以下、Okta及びJamf Proにおける設定の概要となります
(詳細をご希望の方は当社までお問い合わせください)。
Oktaの設定
主に2つの設定を行います。
  • LDAP連携用のユーザーを作成(Read-Only Administratorの権限を付与)
    ユーザーに紐つかない、サービスアカウントとして作成することを推奨(担当者のアカウントを連携させることも可能ですが、この担当者が退職してOktaのアカウントをDeactiveにした場合、以後の連携ができなくなってしまいます)
  • Okta LDAP Interfaceの設定を行う(Directory > Directory Integrations)
    LDAP連携を行うための直接的な下準備です。 これにより、LDAPによる接続設定に必要な情報がOkta内で確認可能となります (ここの情報はJamf Proに設定するため、画面は閉じずにおきます)。​
写真
Jamf Proの設定
LDAP サーバとの連携設定を行う(設定 > システム > LDAPサーバ > [+新規])
ディレクトリサービスとして”Configure Manually”を選択
​LDAPサーバの接続設定画面となるため、必要な設定(接続設定・マッピング設定)を行う
写真
ここで、先程閉じずにおいたOkta上の情報(サーバ名・ポート番号・マッピング時のDN)を入力します。この時、LDAPサーバのアカウントとしてOkta上に作成したLDAP連携用のユーザーアカウントを設定します。
また、Jamf Proにて以下の設定も行います。
  • 『ユーザアカウント及びグループ』にてJamf Pro側にインポートしたいユーザを設定(ユーザ個別でもグループとしても可:Add LDAP Account / Add LDAP Group:このユーザ・グループを、この後Oktaで設定するApplicationのアサイン対象とします)
Oktaの部署情報をJamf Proにインポートしたい場合
  • 『LDAP からユーザと位置の情報を収集』(設定 > コンピュータ管理 > インベントリ収集)
  • 『建物』『部署』の登録(設定 > ネットワーク)(Oktaと同じ情報で別途登録が必要です)

シングルサインオンのための設定

OktaとJamf Proとの間でシングルサインオン(SSO)の為の連携設定を行います。Jamf ProはOkta Integration Network(OIN)に登録されており、簡単にSSOの設定が行なえます。
写真
Applicationから[Browse App Catalog]をクリックし、”Jamf Pro”で検索。候補の中から”Jamf Pro SAML”を選択し、[+Add Integration]をクリック。
基本的な設定を行うと表示される、設定に関する手順が記載された[View SAML Setup instructions]をクリックするとJamf Pro側の手順と設定に必要なMetadata URLが確認できるため、この内容をJamf Pro側に設定すれば基本的な設定は完了します。
写真
写真
写真

Jamf Proにおけるその他の設定

デバイス登録時にOktaの認証を求めるようにするための追加設定は以下のとおりです。
  • 登録カスタマイゼーション
  • PreStage Enrollment
写真
登録カスタマイゼーション設定
デバイスの、登録に関するカスタマイズ設定を行います(ここでシングルサインオン用のペインを作成します)。
写真
PreStage Enrollment設定
自動デバイス登録用の設定において、先ほど作成した登録カスタマイゼーションの設定を行います。

iOSでも同様のことが実現可能です

今回はMacにおける設定を例として上げましたが、デバイス側の『LDAP からユーザと位置の情報を収集』及び『PreStage Enromment』において同様の設定を行えばiPhone/iPadにおいても同様の設定が可能です。
すでにJamf Pro, Oktaを導入済みであれば比較的簡単な設定で実現できるため、是非試してみてください。
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 リリースで、Rapid Security Response について考える

11/10/2022

0 コメント

 

iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 が普通のアップデートでリリース(なので、Rapid Security Response について考える)

写真
さて、早速ですがバグフィックスとセキュリティアップデートがメインの iOS16.1.1 , iPadOS16.1.1 , macOS Ventura 13.0.1 がリリースされたのですが、WWDC2022 で大々的にうたっていた Rapid Security Response 、いわゆる緊急セキュリティアップデートでのリリースではありませんでした。

というわけで、Rapid Security Response 、いわゆる緊急セキュリティアップデートについて書いてみたいと思います。

*2022/12/02 思い違いがあったようなので、改めて書き直しました!

Rapid Security Response 、緊急セキュリティアップデートとは何なのか?

Rapid Security Response 、緊急セキュリティアップデートは、iOS や iPadOS , macOS Ventura になってから搭載される予定の(ここがポイント!)、セキュリティ修正プログラムをより頻繁に迅速にユーザーに配布するメカニズムとして追加されます。これは 16.1.1 などのマイナーリリースとは切り分けて、バックグラウンドでひっそりと(内容にもよって再起動は相変わらず必要にはなりますが)セキュリティアップデートを当ててくれるという優れものです。

デバイス側での設定は以下の通りですが、前述した通りまだOS機能として搭載されていないので何もおきませんがONにしておく方が安心ですね。

  • iOS および iPadOSの場合、 [設定] > [一般] の [ソフトウェア アップデート] で [セキュリティ レスポンスとシステム ファイル] オプションをオンに。
  • macOS Ventura の場合、[システム設定] > [一般] の [ソフトウェア アップデート] の [詳細] オプションで [セキュリティ レスポンスとシステム ファイルのインストール] をオンに。

 近年のデバイス攻撃はモバイルに集中しており、今では財布でもあり、個人を特定する情報の塊でもあるモバイルは格好の攻撃者の的になっています。Apple デバイスとて例外では無く、ゼロデイ脆弱性、ゼロクリック攻撃、しかも悪用実績あり!というものまで最近では結構な割合で対応されるようになっている時代です。

そんな迅速なアップデートを提供してくれる緊急セキュリティアップデートなわけですが、これらを制御する MDM の iOS/iPadOS 用 Restriction キーも既に発表され、Jamf Pro では 10.42 で実装されています。

​allowRapidSecurityResponseInstallation -- 緊急セキュリティアップデートのインストールを許可する/制限する
​allowRapidSecurityResponseRemoval -- 緊急セキュリティアップデートの取り外しを許可する/制限する

というものですが、実際にはまだこの Rapid Security Upodate はOS機能として実装されておりませんので、この機能制限キーをデバイスに配布しても何も起きません。
​

エンタープライズ利用においては頭の痛い問題「OSアップデートの遅延設定」とのコンフリクトも・・・

写真
Rapid Security Response 、緊急セキュリティアップデートは、OSの脆弱性を素早く修復してくれる素晴らしい機能であると同時に、エンタープライズの組織管理においては頭の痛い問題もあります。

Rapid Security Responses は、管理された「OSソフトウェアアップデートの遅延」に対応していません。この緊急セキュリティアップデートは、OS の最新のマイナー バージョンにのみ適用されるため、OS のマイナー アップデートが遅れると、対応も実質的に遅れます。そのため、今まで iOS/iPadOS のアップデートを90日間制限しているような企業様ではどうなるでしょうか?

再度のOSのマイナーバージョンがリリースされてから90日経つと、初めて ​Rapid Security Response 、緊急セキュリティアップデートが機能することになります。90日経過以前に次のマイナーバージョンがリリースされてしまうと、また​ Rapid Security Response 、緊急セキュリティアップデートも90日待たなければならなくなり、実質機能しなくなってしまいます。
写真
ということは、以下のような組み合わせで構成を組んでおく必要があるのかもしれません。
  1. ​悪用実績があるゼロデイ脆弱性を対象とした緊急セキュリティアップデートを優先する場合、常に最新のOSリリースがインストール状態の必要があるため、MDMから設定している「iOSアップデートの90日遅延」は実質適用できず、且つ、常に最新OSインストールをユーザ自ら実施することが求められる。この場合、業務利用目的のシステム、App 利用において不具合が発生し、業務の継続性に問題が出るおそれがある。
  2. 業務利用目的のシステム、App の正常な可用性を優先し、 MDMから設定している「iOSアップデートの90日遅延」は適用し、90日経過後にインストール可能なOSへのアップデートバージョンがその時点での最新である場合に限り、緊急セキュリティアップデートを適用する。この場合、ゼロデイ脆弱性などの危険性は認知された状態で、デバイスにリスクのある状態での利用になるおそれがある。
  3. 対応2の派生形として、 MDMから設定している「iOSアップデート遅延」は適用するが、遅延させる日数を可能な限り短縮するという考え方もあり、この場合は対応2同様のリスクは内在するものの、遅延期間が短縮されることによりリスク軽減につながる可能性がある。

​というわけで、Rapid Security Update の運用について記載してみました。当社では上記対策の3をお勧めいたしますが、皆様はどうお考えになられましたでしょうか?それではまた!
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

Microsoft365 Exchange にスクリプトからアクセスできなくなった!場合の対処法

11/4/2022

0 コメント

 

Microsoft365 Exchange にスクリプトからアクセスできなくなった!場合の対処法

パスワードが消える日

写真
本日は、Microsoft365 Exchange にスクリプトなどから突然アクセスできなくなった!パスワード合ってるのにログインエラーで詰んでる!という場合の対処法を書いてみたいと思います。2022年いっぱいの期間限定テーマですが、早速書いていきたいと思います。

当社がコンサルティングさせていただいているお客様の多くで、Mac 管理ではスクリプトを多様されています。

先日 Jamf Pro API でも、認証方式が OAuth2.0 ベースの Bearer Token 認証に変わるお話しを書きました。

IT業界では現在、認証に関しての進化が爆速で進んでおります。もはやIDとパスワードを使った認証は旧いし、安全ではないのです。

iOS16 と iPadOS16 , macOS Ventura がりリースされて、パスキー ( Passkey )という聞き慣れない言葉が出てきてるのを聞いたユーザも多いかもしれません。パスキーとは、Webauthn をベースとした、パスワードレス認証の W3C規格で、Apple , Google , Microsoft も参加してWebベース認証のパスワードレス化を一気に推進させようと動いています。(数年後に消えてる可能性もありますが)

PayPal が対応を発表してますし、国内では docomo が dアカウントで Passkey 対応をアナウンスしてますし、三大巨頭が旗振ってるし、専用の yubikey みたいのも不要ですし、Android も、iPhone も mac も Windows も対応となるので、パスワードは徐々に消えていく、そのうちログインパスワードって何ですか?という世代が登場する日も遠くないかもしれないですね。

で、Microsoft365 Exchange への IMAP アクセスについて

10月から、Exchange Active Sync が使えなくなります、どうしましょう・・・と、当社のお客様も結構問題になった会社様が少なからずいらっしゃるのですが、EASが使えなくなる、は、すなわちベーシック認証が使えなくなると読み替えられるのでMicrosoftの先進認証に乗り換えてくださいねという話しでした。確かにサーバサイドからパスワードを埋め込むという発想がそもそも、もう旧いですよね・・・

さて、EAS が使えなくなるのが10月から、その他のプロトコル、アプリも段階的に・・・とアナウンスはあったものの、ここに来て「スクリプトが動かなくなった!」という騒ぎがチラホラ起きております。段階的に無効化されているプロトコルは以下のものがあります。幸いなことに SMTP は今回の無効化対象外なので、コピー機の送信とかで問題が出ることはなさそうです。
  • MAPI
  • RPC
  • Offline Address Book (OAB)
  • Exchange Web Services (EWS)
  • POP
  • IMAP
  • Exchange ActiveSync (EAS)
  • Remote PowerShell

bash スクリプト、Python , PHP などから Exchange に上記リストにふくまれた形でアクセスしてるユーザ様は、突如エラーでアクセスできないことに気づきます。それはMicrosoftによってベーシック認証が無効化されたからに他なりません。

Jamf Pro だけではなく、ベーシック認証は OAuth に移行が今のトレンドになりますので、Microsoft Exchange もご多分に漏れずというわけです。

対応方法は以下に記載がありますので、こちらを参考にスクリプトやプログラムを修正してください。

Microsoft公式「OAuth を使用して IMAP、POP、または SMTP 接続を認証」

そんなすぐに OAuth に改修とか無理だし!という方へ

3年前からリリースされたにも関わらず・・・という嘆きが Microsoftさんの公式サイトにも書かれていますが、現在になって、プログラムやスクリプトが動かなくなって、うわ~ってなってる方には以下の魔法のリンクが用意されています。ここに M365 のグローバル管理者のアカウントでアクセスをして、「テストを実行」ボタンを押してください。すると現在のあなたの M365 でどのプロトコルやアプリが無効化されているかが表示されます。その後で有効化したいプロトコルを選択して、チェックボックスをONにしたら「Update」ボタンで該当プロトコルのベーシック認証が再有効化されます。

https://aka.ms/PillarEXOBasicAuth
​
写真
クリックで拡大できます

【注意】再有効化の期限は 2022年12月末までです!!

ホッとするのは早いです。2023年1月からは、上記全てが完全に無効化でプロテクト状態になります。プログラムやスクリプトの修正などは、年内に必ず完了するようにしてください。ため息出ちゃうと思いますが、これの世の流れ・・・これを機にベーシック認証している他のもの全般を改めて見直す良い機会かもしれないです。

それではまた!
​​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

Jamf ProでmacOS Venturaへのアップグレードを止めてみる

10/25/2022

0 コメント

 

Jamf ProでmacOS Venturaへのアップグレードを止めてみる

今回はmacOSのお話。
新しいバージョンのリリースでもしかしたら憂鬱な気分になっているmac管理者に向けた、OSアップグレードの制限について書きたいと思います(Jamf Pro管理者に向けた内容となります)。

Appleの各種アップデートがリリースされました

昨夜から今朝方にかけて、macOS Ventura, iPadOS16, iOS16.1 がリリースされました。
これに伴いApple Business Manager, Apple School Managerも規約が更新され、こちらは管理者による対応が必要となっていますのでご注意ください(参考:support.apple.com/ja-jp/HT203063)。

最近のAppleは6月のWWDC後に新OSのベータ版をリリースし、その後何度かアップデートを繰り返して秋の正式版リリースというサイクルとなっています。これには事前に確認・検証を行い正式版リリース時にはアップグレードしてね、という管理者に対するAppleからのメッセージが含まれていると勝手に考えているのですが、さりとてそんな時間もリソースもない、あるいはアップグレードしたら業務に使っているアプリ・システムが動かなくなる可能性がある、といった具合に最新版へのアップグレードを止めたいという事情もあるかと思います。

Jamf Proにおける、macOSアップグレードの制限について

ここではJamf Proを用いた、macOS Venturaへのアップグレードを制限する方法について紹介します。Jamf Proにある『制限付ソフトウェア』という設定項目を使います。
手順はシンプルで、『制限付ソフトウェア』設定を1つ作成し、制限をかけたいコンピュータに配布するだけです。

制限をかけたコンピュータでソフトウェア・アップデートからVenturaをダウンロードし、アップグレードを行おうとすると以下のポップアップが表示されてアップグレードを制限することができます。
画像

​実際のJamf Pro上の設定は以下のとおりです。
画像
表示名
任意の名称を設定します。
プロセス名
アプリケーションのプロセス名。
ここではInstall macOS Ventura.appと入力します
​(スペース・大文字小文字も正確に)。
完全なプロセス名を制限
上記プロセス名に完全一致した場合に制限がかかります。
​誤爆防止の為にチェックを入れます。
プロセスを強制終了
起動したアプリを強制終了させるためにチェックを入れます。
メッセージ
インストールを行おうとしたコンピュータに表示されるポップアップの文言を記入します。
今回は以下の設定は行いませんでしたが、必要に応じてチェックを入れてください。
アプリケーションを削除:起動したインストーラについて、対象のコンピュータから削除させたい場合はチェックを入れます。
違反に関するEメール通知を送信:違反に関する通知メールを送りたい場合にチェックを入れます(事前設定が必要)。

OSアップグレードの制限は程々に

今回は取り急ぎ、といった形でJamf ProでのmacOSアップグレード制限について書いてみました。
ここまで書いて本末転倒になってしまうのですが、アップグレード自体は新機能の追加やセキュリティ機能の向上といった側面も持っているため、準備ができ次第アップグレードを許可し、展開していくのが理想となります。

アップグレードの制限については他にも構成プロファイルでコントロールをすることも可能です。こちらは最大90日までという期間制限がありますがiOS, iPadOSでも使うことができます。
適宜使い分けて活用してみてください。
0 コメント

Windows Autopilot による Windows PC ゼロタッチキッティング

10/14/2022

1 コメント

 

Windows Autopilot による Windows PC ゼロタッチキッティング​

今回は Ivanti Neurons for MDM (旧 Mobileiron )を使った Windows Autopilot について書いていきたいと思います。

会社から貸与された初期化状態のデバイスを画面の指示通りに設定し、ホーム画面が表示されたら会社で定められた設定が適用され、必要なアプリが自動的に降ってきてすぐに仕事に使うことができる。こんなユーザーにも情シス部門にも夢のようなゼロタッチキッティング。iPhone, iPad,  Macの場合はAutomated Device Enrollment(自動デバイス登録:旧名称DEP)、Androidにはzero-touch enrollment(ゼロタッチ登録)という仕組みで動いています。

ではWindowsは…というのが今回のお話。WindowsではWindows Autopilotという仕組みで実現が可能です(初期設定中にMDMに登録し、設定やアプリケーションを配布することが可能です。合わせてAzure AD上にもデバイス登録が行われます。簡単な流れについては以下の図を御覧ください)。
画像
今回は、このWindows Autopilotを実現するために必要なもの、設定について紹介したいと思います。

Windowsにおけるゼロタッチキッティング:Windows Autopilot

Windows Autopilotですが、Azure ADの環境とMDMが必要です。このMDMについて、Microsoftが提供するIntune以外でも利用が可能です。
今回はMDMとして、Ivanti社のNeurons for MDM(旧名称MobileIron.以後も本名称を使用します)を利用した方法を紹介します。

まずは、Windows Autopilot による Windows セットアップ手順がどのようになるのかをご覧ください。その後に詳細な設定について書いていきたいと思います。
デバイスの登録が完了すると、Mobileiron 上では「 AAD登録済み Intune(オートパイロット)」と表示されるのがご確認いただけると思います。
画像

Windows Autopilotに必要な環境

Windows機
OSですが、次のいずれかあることが必要です
(基本的には現行Microsoftがサポートしている企業向けエディションであればOK)。
  • Windows 10 (バージョン1903以降)
  • Windows 11
いずれもエディションはPro, Pro Education, Pro for Workstations, Enterprise, Education のいずれかであること(Homeエディションでは使えません)。

必要な環境① MDM (Mobile Device Management)

​冒頭でお伝えした通り、今回はMobileIronを利用したWindows Autopilotの説明となりますが、MDMについてはMobileIron, Intune以外にも対応しているものはあります。
※ 現状、国内ベンダー製のMDMでは対応しているものは確認できておりません。
※ 当然のことながら登録するデバイス/ユーザー数のライセンスが必要です。

必要な環境② Microsoft365 のライセンス

Windows Autopilotですが、Azure ADの仕組みを使います。その為Azure ADの環境が必要です。また、Intuneが利用できるライセンスをテナント内に最低1つ用意する必要があります。

ここが今回のポイントになるのですが、MDMとしてMobileIronを使用する為ユーザー数分のIntuneライセンスは必要ありません。ですがAutopilotを実現する為にMicrosoft Endpoint Managerを使用しており、この環境を維持するために最低1つのIntuneライセンスが必要となります(このライセンスは、ユーザーに割り当てる必要はありません)。

Autopilot の準備作業

準備① 対象Windows 端末のデバイス情報を出力

Azureテナント上に(Autopilot用として)コンピュータを登録します。ここで登録されたコンピュータがAutopilot対象となります(iPhoneをゼロタッチキッティングするためにApple Business Managerに登録するのと似ています)。

登録の方法は2つあります。
1つは購入時にメーカー・ディストリビュータに登録してもらうパターン。
もう1つは手動でデバイス情報を登録するパターンです(今回はこちらの方法で進めます)。

前者は購入にあたり必要な手続き・情報についてメーカー・ディストリビュータにご確認ください(可能なメーカーは限られています)。
​
後者は、キッティングを行うコンピュータ上でデバイス情報(ハードウェア ハッシュ)を出力し、Azureテナント上にアップロードする必要があります。
出力方法はいくつかありますが、そのうちひとつをご紹介します。
  1. 対象のコンピュータ上でPowershell(管理者)を起動し、以下のコマンドを実行
    Install-Script Get-WindowsAutoPilotInfo
  2. 設定に関する3つの説明が表示されたらすべて”Y”を入力し、Enter を押下
    ・ PATH 環境変数の変更
    ・ 続行するには NuGet プロバイダーが必要です
    ・ 信頼されていないレポジトリ
  3. 再度コマンド入力画面に戻ったら以下のコマンドを実行
    Set-ExecutionPolicy RemoteSigned –Force
  4. 続けて以下のコマンドを実行
    cd C\Users\<ユーザー名>\Desktop
  5. ” PS cd C\Users\<ユーザー名>\Desktop> ”と表示されたら、以下のコマンドを実行
    Get-WindowsAutoPilotInfo.ps1 –OutputFile hash.csv
  6. exit でPowershellを終了
  7. デスクトップ上にhash.csv という名前のファイルが出力されることを確認
    (このファイルがハードウェア ハッシュとなります)

準備② Azure AD と MDM (Mobileiron) の設定

Azure AD 側の設定

Azure AD側でMDM(MobileIron)との連携設定を行います。
​その前に、Autopilot対象デバイスが自動的に所属されるデバイスグループを作成します(この後の設定で使用します)。

グループ > 新しいグループ > メンバーシップの種類を「動的デバイス」と設定し、『動的クエリの追加』をクリック。規則の構文として(device.devicePhysicalIDs -any _ -contains "[ZTDId]") と設定。
画像
次に、Azure AD管理画面より「モビリティ (MDM および MAM)」>[+アプリケーションの追加]よりMobileIron_EMMを選択し、追加。
追加後、対象となるユーザーをMDMユーザースコープよりを設定(合わせてIntuneのユーザースコープを「なし」に設定します)。
画像

MDM (Mobileiron) 側の設定

​Azure ADとの連携設定
MobileIron側でAzure ADとの連携設定を行います。
管理 > Microsoft Azure > Windows デバイス管理 より必要箇所にチェックを入れ、Azure ADドメインを入力後[アカウントを接続]をクリック。
画像
その後Microsoftの認証画面が表示されるため、Azure ADの管理者アカウントでサインイン。
​その後連携に関する確認画面が表示される為[承諾]をクリックします。

接続に成功すると、管理 > Microsoft Azure > デバイスのコンプライアンス 画面において以下の通りAzure ADドメイン:有効と表示されます。
画像
Autopilotプロファイルの作成
AutopilotにてWindowsの初期設定を行うコンピュータの振る舞いを決めるプロファイルの作成を行います。

​管理 > Windows > オートパイロット > Autopilotプロファイルタブ より[+追加]をクリックし、プロファイルの設定。

設定内容は原則運用に即したもので構いませんが、次の2点は以下の通り設定を行います。
  • 導入形態:ユーザー主導
  • 「すべての対象デバイスをAutopilotに変換します」にチェック

その後Azure ADより同期したグループが表示されるため、対象グループとして先程Azure AD上に作成した動的デバイスグループを選択し、設定を完了させます。
画像
ハードウェア ハッシュのアップロード
先程Windows機から取得したハードウェア ハッシュをアップロードします。

管理 > Windows > オートパイロット > Autopilotデバイスタブ より[アップロード]をクリック。アップロード画面が表示されるため、先程取得したハードウェア ハッシュファイルを指定し、アップロードします。

しばらくするとデバイスに対してAutopilotプロファイルが割り当たります(プロファイルステータス:割り当てましたと表示)
画像
ユーザーの作成
MobileIron上に、同じアカウント名を持つユーザーを作成します。
これで Autopilot の設定は完了です。

Windows Autopilot に関するまとめ

WIndows機をMDMに登録する場合、他のOSの端末と比べてその方法が分かりづらく(他のOSは基本的にブラウザでMDM登録用サイトにアクセスすれば良いのですがそうはいかない)、ユーザー自身に対応をお願いするのはなかなか難しいと思います(その分問い合わせも増えることが容易に想像できます)。
Windows Autopilotは確かに既存の端末を登録する方法(ハードウェア ハッシュの取得作業)が非常に面倒な感じは否めませんが、一度登録さえできればアクティベーション時にAzure ADのユーザー情報(多くの場合会社のメールアドレス)を入力するだけで
 ・MDMの登録
 ・Azure ADへのデバイス登録
 ・制限、設定の配布
 ・アプリケーションのインストール
というキッティングの殆どが完了します。
デバイス情報の登録についても、今後購入時にメーカー・ディストリビューター経由でAzureテナントに登録を依頼すれば不要となるため、キッティングの手間は劇的に減ることが期待できます。

まだ情報が多くなく、Microsoft側も一部プレビューと謳っている機能があるためまだまだ使いづらい点があるのは否めないですが、将来的にはiPhoneの自動デバイス登録のようにWindowsの初期設定はAutopilotが当たり前になるかもしれませんね。​

iOS以外の導入支援も承ります

今回、いつもとは趣向を変えてWindows / MobileIronを主体とした内容を書かせていただきました。
ここで取り上げたマルチOS対応MDMのMobileIron, もといNeurons for MDMは当社にて取り扱っております。導入のご支援も勿論承りますのでデバイスの一元管理をご検討の方はお気軽にお問い合わせください!
1 コメント

iOS 16.0.3 がリリース

10/11/2022

0 コメント

 

iOS 16.0.3 がリリース

iOS 16.0.3 のアップデート内容

主に iPhone 14 本体に関連する不具合の修正と、1件のセキュリティアップデートが含まれています。
​
  • iPhone 14 ProとiPhone 14 Pro Maxで着信やAppの通知が遅延、または届かないことがある問題
  • iPhone 14モデルでCarPlayでの通話中にマイクの音量が下がることがある問題
  • iPhone 14 ProとiPhone 14 Pro Maxでカメラの起動やモード間の切り替えに時間がかかることがある問題
  • 不正なメールの受信後、“メール”が起動時にクラッシュする問題

セキュリティアップデートは iOS16 メールクラッシュ脆弱性の対応

詳細は書かれていませんが、悪意のあるメールメッセージでメーラがクラッシュする問題に対応されています。この手のクラッシュ問題は、一度引っかかると永遠にアプリが起動できなくなり、クラッシュの度に、デバイスの中の何らかの情報を搾取される恐れもあります。早めにアップデートをお願いします!
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

Jamf Pro のユーザ主導登録(個人)で管理対象Apple IDを使う

9/16/2022

0 コメント

 

Jamf Pro のユーザ主導登録(個人)で管理対象Apple ID を使う

画像
iPhone の個人デバイスを仕事で使うための BYOD ワークフローとして、アカウント駆動ユーザ登録が iOS15 から実装されましたが、これはなかなかハードルが高め。

なんというかぐレーションの仕方にAppleさんの強引さが際立っているというか、管理対象Apple ID がそもそも分かりにくいというか、ここまでやるなら管理対象Apple ID をMDM側から埋め込ませてくれよといつも思ってしまいます。

などと考えていたら、Enrollment SSO なる OAuth2 を使ったより簡便な手法が実装されるらしいのですが、それはまた次回試すとして、今回はアカウント駆動型ユーザ登録と、URLベースユーザ登録(個人)の違いを見てみたいと思います。

アカウント駆動型ユーザ登録と、URLベースユーザ登録(個人)の違い

まずは、URLベースでのユーザ登録のワークフローを見てみましょう。アカウント駆動型の場合は、職場アカウントでのサインインをトリガーとして、Jamf Pro のSSO設定された登録カスタマイゼーションが表示されました。URL ベースの場合は、そもそもが MDM をダイレクトにURLで指定しているので、SSOの認証から始まります。それが完了すると、管理対象Apple ID を求められた後に、MDMプロアイルがユーザ承認モードでダウンロードされます。

設定アイコンから、ダウンロードしたプロファイルを使って、MDMへの登録を行いますと、改めて管理対象 Apple ID でのサインインを求められ、これで登録は完了となります。

ここで、あれ?と思った方も多いと思うのですが、Remote Management というのはその画面からどこ
にも遷移せずにMDM登録を完了できるモード、ユーザ登録は設定アイコンからMDMへの登録を選択してユーザが自ら登録するという主体性の違いのようです。

それにしても何故 Apple は管理対象 Apple ID を Azure AD や Google Workplace と統合させておきながら、まだユーザ自身による Apple ID のサインインにこだわるのか不思議です。

とは言っても、アカウント駆動型ユーザ登録も、URLベースユーザ登録(個人)も、できあがりの姿は同じであり、どちらかというと、こちらのユーザ登録ワークフローの方が、いろんな意味で自由度高くていいんじゃないかな?と思ったりもしてしまいますね。

次回は、Enrollment SSO の実装をテストしてみたいと思います。ご期待ください!

皆様、素敵な連休をお過ごしください!!ではまた!
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

iOS16 , iPadOS16 アップグレードがリリース、iOS15.7 , iPadOS15.7 の緊急セキュリティアップデートも公開

9/13/2022

0 コメント

 

iOS16 , iPadOS16 アップグレードがリリース、iOS 15.7 , iPadOS 15.7 の緊急セキュリティアップデートも公開

いよいよ新しい iOS16 がリリースされましたね。ロック画面が変わったり、ショートメッセージやメールの送信後の取り消しや、編集(ショートメッセージのみ)ができたりと便利な機能も沢山、お節介な機能も沢山搭載された新OSなのですが1つとても重要なアップデートが含まれます。

iOS15.7 , iPadOS15.7 の緊急セキュリティアップデート

画像
その前に、緊急セキュリティアップデートについてお知らせいたします。またまた、Apple がエクスプロイトが悪用されたことを認めたゼロデイ脆弱性への対応が含まれています。Apple 終わったな的な書き込みを最近よく目にしますが、それだけモバイルデバイスが攻撃対象として魅力的になっているということの現れであり、財布でもあり、免許証でもあり、社会保障カードでもあり、個人の生活の記録の集約でもあるデバイスです。今やパソコンよりも攻撃者にとっては欲しい情報の塊と言っても差し支えないのです。また、この手のセキュリティアップデートについて自分は無関係とお考えの方も、いざやられたら取り返しがもうつきません、1日も早いアップデートをお勧めします!

本セキュリティアップデートですが、macOS Monterey 12.6 , 及び macOS Big Sur 11.7 も同時に公開されております。macOS の方も忘れずアップデートをお願いいたします。
​
  • 入力値のチェックの問題で、アプリがプライバシー設定をバイパスできる問題(Contacts)
  • メモリハンドリングの問題で、アプリがカーネル権限で任意のコードを実行できる問題(Kernel)
  • メモリハンドリングの問題で、アプリがカーネル メモリを開示できる問題(Kernel)
  • メモリ境界チェックの問題で、アプリケーションがカーネル権限で任意のコードを実行できる(Kernel)*悪用実績あり
  • 制限ロジックの問題で、地図アプリが機密の位置情報を読み取れる問題(Map)
  • メモリ破壊の問題で、ユーザーが権限を昇格できる問題(MediaLibrary)
  • 入力値のチェック問題で、悪意のある Web サイトにアクセスすると、アドレスバーのなりすましにつながる問題(Safari)
  • ステート管理ロジックの問題で、Web サイトが Safari Web 拡張機能を介してユーザーをトラッキングできる問題(SafariExtention)
  • 制限ロジックの問題で、iOS デバイスに物理的にアクセスできる人物が、ロック画面から写真にアクセスできる問題(Shortcut)
  • メモリバッファオーバーフローの問題で、悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される問題(WebKit)
  • メモリ境界チェックの問題で、悪意を持って作成された Web コンテンツを処理すると、任意のコードが実行される問題(WebKit)

iOS 16 , iPadOS 16 で搭載された重要セキュリティ機能

iOS 16 , iPadOS 16 , macOS Ventura では、エンタープライズユースとしても、昨今のモバイルデバイスを狙った攻撃への対応として、全く新しい Rapid Security Response 機能が追加されました。

メジャーバージョン、マイナーバージョンという概念とは別に、セキュリティアップデートが行えるようになります。これによって、再起動やWi-Fiを必須としたアップグレード、アップデートから。より迅速で、業務を止めずにセキュリティアップデートを行うことができるようになります。

iOS16 がインストールできるデバイスは、iPhone SE 第2世代、iPhone8 , iPhone X 以降のデバイスです。
​
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント

iOS , iPadOS , tvOS 16 , macOS Ventura 13 対応の Jamf Pro 10.41.0 リリース!

9/7/2022

0 コメント

 

iOS16 , iPadOS16 , tvOS16 , macOS Ventura 13 に正式対応した Jamf Pro 10.41.0 をリリース!

画像
8日の 2:00AM から、いよいよ Apple イベントが開始になります。iOS16 , iPadOS16 , tvOS16 , macOS Ventura 13 のリリースに加えて、iPhone , Apple Watch 、さらには MacBook Pro M2 Pro版の噂もありますが、どんなハードウェアが発表されるのかワクワクしますね!

長らく Apple イベントと同日にゼロデイアップデートをコミットしてきた Jamf 社は Apple の発表同日に iOS16 , iPadOS16 , tvOS 16 , macOS Ventura 13 に正式対応した Jamf Pro をリリースいたしました。

*情報ま違えていたので一部訂正しております。

Jamf Pro 10.41.0 にアップデートする際に注意いただきたい点

以前もブログに書きましたが、Jamf Pro Classic API の基本認証は、バージョン10.43.0 以降、Allow Basic authentication and addition to Bearer Token authentication がデフォルトになりますので API で色々やってらっしゃる admin の方はくれぐれも注意ください。Settings > Jamf Pro User Accounts & Groups > Password Policy で、m上記のチェックボックスをオフにすれば当面は基本認証がまだご利用いただけます。(そのうち消えると思いますが)

リリース内容の詳細については、下記リンクを参照ください。
https://docs.jamf.com/10.41.0/jamf-pro/release-notes/index.html

標準クラウド環境をお使いのユーザ様、Jamf 社からのアップデート日時に関するアナウンスがありましたのでこちらをご参照ください。

それではまた!!
当社の「iOS デバイス導入支援サービス」についての詳細はこちらをご覧ください。
0 コメント
<<前へ
次へ>>

    Author

    ソフトブレーン・インテグレーション株式会社
    代表取締役
    柴崎忠生
    ビジネス・インキュベーター
    セキュリティ・コンサルタント
    ITIL プロフェッショナル

    Archives

    4月 2025
    3月 2025
    1月 2025
    11月 2024
    10月 2024
    9月 2024
    7月 2024
    6月 2024
    3月 2024
    1月 2024
    12月 2023
    10月 2023
    9月 2023
    6月 2023
    5月 2023
    4月 2023
    3月 2023
    2月 2023
    1月 2023
    12月 2022
    11月 2022
    10月 2022
    9月 2022
    8月 2022
    7月 2022
    6月 2022
    5月 2022
    4月 2022
    3月 2022
    2月 2022
    1月 2022
    12月 2021
    11月 2021
    10月 2021
    9月 2021
    7月 2021
    6月 2021
    5月 2021
    4月 2021
    3月 2021
    2月 2021
    1月 2021
    12月 2020
    11月 2020
    10月 2020
    9月 2020
    8月 2020
    7月 2020
    6月 2020
    5月 2020
    4月 2020
    3月 2020
    12月 2019
    10月 2019
    9月 2019
    8月 2019
    7月 2019
    6月 2019
    5月 2019
    3月 2019
    2月 2019
    12月 2018
    9月 2018
    8月 2018
    7月 2018
    6月 2018
    5月 2018
    4月 2018
    3月 2018
    2月 2018
    1月 2018
    12月 2017
    11月 2017
    10月 2017
    9月 2017
    7月 2017
    6月 2017
    5月 2017
    4月 2017
    3月 2017
    1月 2017
    12月 2016
    10月 2016
    9月 2016
    8月 2016
    7月 2016
    6月 2016
    5月 2016
    4月 2016
    3月 2016
    2月 2016
    1月 2016
    12月 2015
    11月 2015
    10月 2015
    9月 2015
    8月 2015
    7月 2015
    4月 2015
    3月 2015
    12月 2014
    11月 2014
    10月 2014
    9月 2014
    8月 2014
    7月 2014
    6月 2014
    5月 2014

    Categories

    すべて
    Apple Transport Security
    Apple TV
    Apple Watch
    AppleConfigurator2
    Google Chrome
    ICloud
    IOS Security
    IOS ウィルス
    IOS セキュリティ
    IOS マルウエア
    IOS 安全性
    IOS7
    IOS8
    Ios8.2
    IOS9
    IOS9 コンテンツブロッカー
    IPad
    IPhone
    IPhone 6 Plus
    IPhone 6 Plus カメラ交換プログラム
    IPod Touch
    ITunes
    MacOSX
    MacOSX EL Capitan 10.11
    Microsoft Exchange
    WatchOS2
    XCodeGhost
    スクリプト
    セキュリティ
    バッテリー
    ベーシック認証廃止
    モバイルセキュリティ
    モバイル安全性
    モビリティ設計
    運用
    設計
    年金情報流出
    年金情報漏洩

    RSSフィード

ソフトブレーン・インテグレーション株式会社
〒103-0012 東京都中央区日本橋堀留町2丁目3-5 木下ビルディング8階
tel 03-6892-1180 fax 03-6892-1183 url https://www.sbi.co.jp/
ホーム  | トピックス | セミナー情報  | お問合せ
会社案内 | 会社概要 | ご挨拶 | 企業理念 | 所在地
サービス案内 | 導入支援 | キッティング | AMC | ​Jamf Pro | Jamf Now | Jamf Nowリモート導入支援 | Mobile Iron | Zoom | Okta | iOSアーキテクチャ講習会 | iOSユーザ向け講習会 
サイトポリシー | サイトマップ 
Picture
ソフトブレーン・インテグレーション株式会社は、Apple Consultants Network に参加しています。Appleに認定されたコンサルタントとしてiOS/MAC 等Apple製品の導入支援事業を行っております。
▲上に戻る
Copyright(C) SOFTBRAIN INTEGRATION Co.,Ltd. All Right s Reserved.