Jamf Connect x Oktaの検証をしてわかった良かった/大変だったこと5選
--
はじめに
この記事は Eureka Advent Calendar 2022 の23日目の記事です。
こんにちは、4月から京都に住んで寺社仏閣巡りを楽しんでいるEureka MIS TeamのIkepyongです。
灼熱のような京都の夏を体験し、今は冬の寒さに凍える毎日を過ごしております。
京都の冬はめちゃくちゃ寒いですね…。でも京都はいいところです!!!!
そんな話はさておき、
今回は、今年の後半に検証を続けていたJamf Connectについての記事になります。
前提
今回はJamf Connectを導入し、Oktaと連携して検証を行いました。
Jamf Connect x Oktaのよかったと思う点/大変だった点についてフォーカスし、Jamf Connectの設定方法と共にまとめていこうと思います。
Jamf Proとはなんぞや、Oktaとはなんぞやという点については省略させて頂きます。
Jamf Proについては以前導入した際にまとめたぼっち情シスがjamf-proを導入してみた件をご参考ください。
Jamf Connectとは
Jamf Connect は、管理者がユーザのローカル macOS アカウントと組織のクラウド ID (ネットワークアカウント) を接続して認証を管理できる App です。(Jamf Connect Webサイトから引用)
Jamf Connectで実現できること
主に以下の機能が利用可能なようです。(Jamf Connect Webサイトから引用)
スムーズなアカウント作成 — Okta、Microsoft Azure、Google Cloud、IBM Cloud、PingFederate、またはOneLoginの資格情報から、ユーザがすぐに使用できる安全なアカウントを作成します。デバイスやアプリケーションにアクセスするための機能が初期設定の時点から日々の業務まで提供され、より安全で優れたゼロタッチ導入体験が実現します。
最新の認証 — 従業員がどこからでも企業情報やリソースにアクセス可能になると、組織外の人物が機密データにアクセスする危険性も高まります。多要素認証により管理者は、適切な人が適切なデバイスを使用していることを確信できます。
Macパスワードの同期 — リソースのロックを解除する単一のIDとMacパスワードを、全デバイス、全アプリケーションで同期することで、従業員の生産性を維持します。
こんな便利がことができるなんて!!!!!!
ということで検証をしてみました。
ゴール
導入検証をするにあたり、シナリオとゴールを下記のように定めました。
既存のMacにデプロイする想定
- Macに対してJamf ConnectをJamf Proを利用してインストールし、IdPの資格情報を利用してログインできる状態。
新規のMacにデプロイする想定
- 入社するメンバーがMacを利用する場合、PreStage Enrollment時にIdPの資格情報を利用してログインできる状態。
ということで本題に入っていこうと思います。
今回ゴールを目指してJamf Connetを検証した結果、よかったこと/大変だったこと5選を発表していきます!!!
Jamf Connect x Oktaの検証をしてわかった良かった/大変だったこと5選
1. IdPのユーザー情報とMacのユーザーアカウント情報を同期することができる!
なんと言っても、ログインする際にIdPのユーザーを参照してアカウントの作成やパスワードのSyncを自動でおこなってくれるところがJamf Connectを導入する最大のメリットです。
また、Oktaの場合は設定項目が比較的少ないというところもよかったところです。
設定手順に関しては、ねもてぃさんのJamf Connect Ver.2を使ってOktaアカウントでMacにログインするぞ!を参考にさせて頂きました。
手順
手順としては大きく分けると下記のような流れになります。
- OktaでJamf用のグループとアプリケーションを作成する。
- Jamf Connect Configrationで諸々の設定をし、plistファイルを書き出す。
- plistファイルを使ってJamf Proで構成プロファイルを作成する。
- Jamf ProにJamf Connect用のポリシーを作成する。
今回は、ねもてぃさんのブログに記載されていないところでエウレカではこういうことをやったよということを記載しようと思います。
PreStage Enrollmentを利用する場合
上記の手順でJamf Connectに必要な設定が完了したあとPreStage Enrollmentの設定を行うことになります。
その際、弊社ではねもてぃさんのブログを参考にMacのローカルユーザーアカウントの作成も自動化したかったためJamf Pro側で下記の設定を加えました。
- Jamf Pro > コンピュータ > PreStage Enrollment > 対象のPreStage Enrollmentの設定 > Account Setting
- セットアップアシスタントの前にローカル管理者アカウントを作成するにチェックを入れる
- ユーザ名 → ローカル管理者アカウント名を入力する
- パスワード → ローカル管理者アカウント用のパスワードを入力する
- パスワードの検証 → ローカル管理者アカウント用のパスワードを最入力する
- ローカルユーザアカウントタイプ
- アカウントの作成をスキップを選択する
この設定をすることによって
Macを起動し、Wi-Fi→接続リモートマネージメントの登録→通常だとローカルユーザーアカウントの作成画面が表示されますが、それをスキップしJamf Connect Loginの画面を表示させることができます。
こんな画面ですね。
PreStage Enrollmentを利用しない場合
PreStage Enrollmentを利用しない場合についてですが、ゴールにある「在籍中の社員が利用するMacへの導入」を想定したパターンになり、下記のふたつの方法でのJamf Connectの導入を検証しました。
- Policyや構成プロファイルをJamf Proから管理者側の指定したタイミングで社員のMacへ送信しインストールを行う。
- Self ServiceにJamf Connect用のインストーラーを用意して社員の任意のタイミングでインストールをしてもらう。
インストール後、再ログインをするとこんな画面の遷移でJamf Connectと既存のローカルアカウントの紐付けが行われます。
その後、ローカルアカウントのパスワードとOktaパスワードの同期を行います。
同期を行った後はOktaのパスワードにアップデートされ、それまで利用していたローカルアカウントのパスワードは利用できなくなります。
2. Oktaの設定を利用してMacへのログイン時にMFAの設定ができる!!!!が、色々と課題も多かった…
はい、2つ目のよかった点ですが、Macへログインする際にMFAが利用できるようになります!!
こんな感じにMacへログインをする際、ユーザーアカウントとパスワードを入力した後MFAが求められるようになります。
これにより、よりセキュアな認証を行うことができるようになります。
大変だったこと
このMFAのポリシーはOktaのOrganization単位でのMFAポリシーが適用されます。
一部のユーザー向けに、YubiKeyを用いたMFAの展開を検討していましたがWebAuthnには非対応でした。
入社メンバーがJamf Connect Loginの画面でOktaアカウントのセットアップを行う場合に、設定が完了できないなどの欠点もありました。
(弊社では、アカウントセットアップ時にMFAを必須としています。)
ただ、Okta VerifyなどをEnrollした状態であればこの点は問題ないかと思います。
Jamf Connectの多要素認証についての要件については、こちらに詳しく記載がありました。
また、OktaのMFAのポリシーが適用されるとなると「PCログイン時に毎回MFA求められるの?」という不安もありましたが、
(例:Jamf Connectで認証する時以外は、MFAを毎回求める)
この点に関しては、Macを利用するユーザーのほとんどはログアウトせずに利用することが多いため(Jamf Connect認証の回数自体はそこまで多く発生しないこともわかりました。
(画面ロック・スリープ解除の場合、Jamf ConnectはOktaで認証せず、ローカルアカウントの認証で画面のロックを解除できます。)
3. 設定自体は簡単!だけど、設定の変更や検証は少し大変…!!!!
3つ目については大変なことにフォーカスしていきます。
Jamf Connectは、Jamf Connect Configurationによって設定自体が容易に行える反面、検証時にそれらを行き来するのが結構大変でした。
今後の運用についても大変さはそれなりに出てくるということを3つ目に上げたいと思います。
Jamf Connectの設定を行うためには、Jamf Connect Configurationが必要です。
設定値の入力にはこれを利用します。
Jamf Connect Configurationを利用することにより、下記のようなメリットがあります。
- plistファイルを書き出せるのでそのままJamf Proにぶち込めて楽。
- IdPをOktaにする際は、必須の設定項目は比較的少なかった
※手順についてはこちらを参照
ここで一旦、ゴールを確認しましょう。
既存のMacにデプロイする想定
- Macに対してJamf ConnectをJamf Proを利用してインストールし、IdPの資格情報を利用してログインできる状態。
新規のMacにデプロイする想定
- 入社するメンバーがMacを利用する場合、PreStage Enrollment時にIdPの資格情報を利用してログインできる状態。
Jamf Connectの導入時の検証や、実際の運用を想定すると、
ゴールの状態を維持するのに具体的に下記のような大変さが出てきそうだなと思いました。
手順を繰り返すのが結構大変だという点
- Jamf Connect Configuration側の設定をいじる
- plistで書き出す
- Jamf Proの構成プロファイルを更新する
この点に関しては、Jamf Pro側の設定を直接書き換えることも可能なので慣れている人だとJamf Connect Configurationを利用しなくても良いかもしれません。
実際に導入する際はJamf Connect自体の検証等で設定は一通り完了していること想定されるので、
運用する際は、既存の設定を大きく変更することはない気がします。
また、Jamf Connectのバージョンがアップデートされる際は、都度Jamf Proを利用して最新バージョンのpkgファイルをPolicy化してJamf Connectを利用しているMacへ送信し更新してあげる必要がある点も運用として大変そうだなと思いました。
4. ブランディングをカスタムしてテンション上がる!!!!
さて、4つ目はJamf Connectのブランディングをカスタムすることによってテンション上がったお話です。
Jamf Connectは
- Jamf Connect Loginの背景
- Jamf Connect Loginのロゴ
- Jamf Connect Appのアイコン
などのブランディング要素を比較的容易にカスタムできます。
この機能を利用することによって所属する企業の雰囲気にマッチしたLogin背景やJamf Connect Appのアイコンを自由にカスタムすることができます。
方法についてはブランディングをカスタムするを参照ください。
エウレカのJamf Connect Login画面はこんな感じに弊社オフィスにあるカフェを背景にしました。
このようにブランディングをカスタムすることによって利用する社員の体験をより良いものにできる(見た目がかっこいいのは正義!!!!)思いました。
例えばJamf Connect Appのアイコンを社員が認知しやすいアイコンに変更することで、
サポート対応時のコミュニケーションが容易になりそうなところはいい点だと思いました。
例
Q: 「Jamf ConnectのパスワードをSyncさせたいけど、どこからするの??」
A: 「デスクトップ画面右上の“e”のアイコンをクリックしてください。」
ただ、Jamf Connec Appのアイコン設定をするのは少々大変でした。
- Composerで画像データや保存先の設定をpkg化
- Jamf Connect Configurationで読み込む画像データの保存先の指定をする
- Jamf Proで画像データや保存先を指定した設定が含まれるpkgをポリシー化して対象Macに配布しインストールさせる
- PreStage Enrollmentの場合は、PreStage Enrollmentの設定のオプションから登録パッケージに組み込んであげます
画像ファイルの修正や変更をする度に、これを繰り返すことになるので
検証する時は結構大変でしたが、個人的にはすごくテンションが高くなり楽しかった部分でもありました。
5. Jamf ProにOktaのユーザーIDが表示されてる!!!!
そして、最後にJamf Connectを利用することにより、IdPでログインしたユーザー情報が
Jamf Proから確認できるようになりました!!!!!!嬉しい!!!!!!!
なぜ嬉しかったのか?
エウレカではJamf Pro導入時はMacの名称でどの社員が利用しているか判別をしていましたが、
今年から運用を変更し、一旦SerialとFULL NAMEでどの社員がどの端末を利用しているのか判別をするようにしています。
FULL NAMEはマニュアルで入力しなければならないため、登録漏れも発生しているのが課題のひとつでした。
FULL NAMEの入力漏れが発生すると、こんな感じに
誰やねん!!!!!(私の上長です。)
状態になることがしばしば…。
しかし、Jamf Connectを導入することにより、
Jamf ProでOktaのユーザーIDがJAMF CONNECT — DISPLAYNAMEとして表示され、誰がどのMacを利用しているのか見やすくなったのです。
だから嬉しい!!!!!!!
設定方法
Jamf Proの下記手順からDISPLAYNAME以外にも、さまざまなJamf Connectの情報を表示させることができます。
拡張属性の追加を行う
- 設定
- コンピュータ管理
- 拡張属性
- テンプレートから新規作成
- Jamf Applications
インベントリ表示させる項目を設定する
- 設定
- コンピュータ管理
- インベントリ表示
- Extension Attributes
最後に
実際に導入する際はUATを入念に実施する必要があると思います。
Jamf Connectを導入することによりインターフェースが全く違うものになるで、ユーザーの体験が大きく変わるためです。
そして、管理者にとっていいと思えるサービスが、ユーザーにとっていいと思えるサービスとは限らないと考えるからです。
UATを入念に実施し、ユーザーの声を聞くことによって、ユーザーの体験を高められる方法や設定が見つかることもたしかだと思います。
また、全社員が利用するMacすべてにJamf Connectを導入するためには、地道なコミュニケーションやサポートは必要不可欠なことも忘れてはなりません。
まだ検証段階なため、実際の導入時にはまた新たな課題が見えてくるはずなので、その際にまた何かしらのアウトプットができればと考えています。
