ぼっち情シスがJamf Proを導入してみた件
メリークリスマス!今日はクリスマスイブですね。皆さん素敵な1日をお過ごしでしょうか?そんな24日のアドベントカレンダーの担当は、株式会社エウレカ(eureka, Inc. -)のぼっちモダン情シス担当池ぴょん(Ken Ikezaki)が担当させて頂きます。
今回は、そんなぼっちモダン情シスがJamf Proを全社導入した際のお話をしようと思います。
Jamf Proって何?
みなさんは、Jamf Proってご存知ですか?
ざっくりいうとAppleデバイス管理ソリューション。AppleのネイティブのMDM(Mobile Device Management)フレームワークを利用してMacOSや iOSデバイスを管理できちゃう優れものです。
一番の売りはゼロタッチデプロイメントができちゃう点。例えば、社内で決められた設定やappを毎回設定しなければならないとしますよね。
Macbook Proを購入して箱を開けた瞬間からそんな面倒な設定が済まされた状態だったら嬉しくないですか?
そして、Jamf Proに登録されたデバイスは管理コンソール上で一括管理されています。そのため例えば社員がパソコンを紛失しても遠隔でワイプできちゃったりするので、デバイスからの社外秘な情報の漏洩は防止できます。
そんなことができちゃうのがこのJamf Proというツールなのです。
なぜ弊社でJamf Proを取り入れたか
まず現在弊社には、200人弱の社員います。そしてMac利用を推奨しており社員の8割以上がMacユーザーです。もともと自主性を尊重するため、初期化されたパソコンを社員に渡し、社員は弊社のマニュアルを読んで基本的なものを設定してもらった後、個人の環境構築などを行なっていました。
そのため、社員のお好みのカスタマイズができるし、プライバシーも守られますよねっていう環境でした。だがしかし、最大のデメリットとして、時間がかかる。人によってはめちゃくちゃ時間かかるんです。もともとWindowsユーザーだった人だっていますしね。
エンジニアと言えども専門分野には詳しくても、Mac自体にはそこまで詳しくないよって人も結構数いて、環境構築やらなんやら全て終わるまでに3日とかかかっちゃうわけなんです。その作業コストが情シスとして悩みのタネだったわけです。
それに加えて、弊社会議室や受付システムappを全てiPadで管理しているのですが、それらのデバイス管理もできてない状態だったのも問題でした。
そこで”社内を平和にする”をモットーにしている私は、Jamf Proを導入してこういった面倒な作業や管理を自動化し、少しでもストレスフリーな環境作りができないかと考えたわけです。
具体的にいうと
プランA
社内で必要なappのインストールの自動化
例) Cylance、Google Chrome、Slackなどのインストール
システム環境設定への社内マニュアルの自動設定
例) 2FAの強制化、プリンタ設定、 Wifi設定など
コンピュータ名の変更の自動化
例)社内の命名規則に則った設定に変更
→これらをゼロタッチデプロイメントで社員に提供する。
うん、かっこいいではないか!
これが私のFirst Missionでした。
ゼロタッチデプロイメントできない問題
だがしかし、導入に当たって大きな問題に直面しました。ゼロタッチデプロイメントできへんやん!問題です。これに関しては薄々感づいていたものの、結構凹みました。というのも、そもそもこのゼロタッチデプロイメントってApple Business manager上でDEP登録されていないと使えないのです(iOSは裏技登録可能)。当然ながら、弊社の既存端末のほとんどは登録されていなかったですし、全て新しくDEP登録したMacにするっていうのも非現実的な話だったので詰みました。なのでプランAに関しては、2年後に完遂させるようにし(弊社のPCに関しては2年間の償却期間の縛りがあるため)、情シスの作業工数は少し増えるものの、下記のプランBへの変更を余儀なくされました。
プランA
社内で必要なappのインストールの自動化
例) Cylance、Google Chrome、Slackなどのインストール
システム環境設定への社内マニュアルの自動設定
例) 2FAの強制化、プリンタ設定、 Wifi設定など
コンピュータ名の変更の自動化
例)社内の命名規則に則った設定に変更
→これらをUser-Initiated Enrollmentという方法を利用して完了させた後、社員に提供する。
User-Initiated Enrollmentとは
User-Initiated Enrollmentとは、 ユーザー自身にJamf Proへの登録を行ってもらう方法です。具体的には、
こんな感じのURLにアクセスしてもらいJamf Proに必要なファイルをインストールしてもらいます。
おそらく今から新しく起業される会社や今からMacを全社導入する会社以外の会社はこの方法を選択することになると思います。
この方法の場合、新入社員へPCを渡すまでに下記の工程を経ます。
- 初期設定する
- https://jss.mycompany.com:8443/enrollをブラウザに入力する
- 必要なプロファイルをインストールさせる
弊社でのJamf Pro導入の成果
少なくとも上記工数に関しては情シスでするので、プランAから比べるとかっこ悪いし作業工数が増えます。しかし、弊社の例でいうならば、このプランに変更しても新入社員がすべき弊社マニュアルのうち実質8割の自動化ができました。今まで数日かかっていた面倒な作業も数時間あれば済むようになったのです。
では、後の2割って自動化できなかったの?という疑問も残りますよね。
こちらに関しては、ツールそれぞれのパスワードやプロフィール設定と社内規則などを読んで理解してもらうという作業です。
その為、当初我々が考えていた自動化すべきことは全て自動化できました。環境構築やより詳細な自動化に関しては来年実装していく予定です。
導入までのつらみ
さて、導入に関して喜びだけではことは運びません。その裏では結構なつらみが存在しています。
まずあげられるのが、ぼっち情シスだからこその時間の問題ですね。弊社の導入スケジュールは、下記のような感じでした。
10月:Jamfを利用開始
11月:導入テスやしくみ作り
12月:上旬に全社導入
個人的には、おうおうやってやろうやないか!という気概を持って望んだのですが、ぼっち情シスの宿命なのか、社内諸事情により仕事量が増えたからなのか通常オペレーションやらなんやらで、Jamf Proへの時間が取れなかったことです。
それに加えMacOSごとにファイルを作ったり、テストしなければならなかったり、かなり孤独&地味な作業でした。もうひたすらMac4台くらいとテストテストテストの日々だったのが印象深いです。
全社導入のつらみ
そんな孤独なテストが終わりとうとう全社導入のときがきました。
これが正直一番の懸念点でした。何故ならば全Macユーザーの社員にJamf Proの設定を行ってもらわなければならないからです。
弊社は社内のコミュニケーションツールとしてSlackを採用しており、全社向けのチャンネルがあるのですが、そこで共有しても漏れが出ます。何故なら面倒だから。実際は2分で完了することなのですが、マニュアル化すると面倒さが際立つわけですね。
なのでここに関してはもう人海戦術で、チーム毎に完了を確かめ、管理コンソール上で本当に登録されているかも確認しました。恐らく、既存のMacを利用してJamf Proを導入する企業の方々は、ここが肝になるのではないでしょうか。
弊社では、ここで手に入れた情報をもとに下記のツールを利用し社内の命名規則に則ってコンピュータ名などを一括変更、その他のツールとの連携を行いやすくもしました。
Jamf Pro導入で見えてきたこと
最後に、Jamf Proの導入を行って見えてきたことをお伝えしたいと思います。これはただただシンプルです。いかにJamf Proが便利なツールであっても使い道をで発見できないと意味がないし、何よりも運用方法を間違えたら役に立たなくなるということです。コストもバカにならないですし。
弊社では全社導入したばかりのため、運用に関してはまだまだこれからです。そして日々課題は出てくる予感はしています。
例えば直近で出てきた問題として
Mojave + Jamfの場合、スリープから復帰時に高確率でプロセスがバックグラウンドで稼働しているアプリが死ぬっぽい。
ということだったり、結構メンテナンスは大変そうだなと思ってます。
しかしながら、ぼっち情シスだったり少人数の情シスにとってこそJamfでデバイスの管理ができることは、社員が増えていく会社をよりスピーディーにかつ安全に平和にすることができる希望の星だと確信しています。
後日談
Mojave + Jamfの場合、スリープから復帰時に高確率でプロセスがバックグラウンドで稼働しているアプリが死ぬっぽい。
↑こちらに関してですが、後日談として、Policyを作成する際に自動でEnableになる「再起動オプション」を不必要なものに関してはDisableにし、ひとつのPolicyの中に複数のOptionを設定しないことによって改善されました。
