【番外編】MacのOSバージョン管理をどう考える?Jamf Connectの再有効化について。



Connect再有効化.png

Jamf Connect利用時の注意点とは?

2022年10月25日にいよいよmacOS Venturaがリリースされます。
先日、企業でMacのOSアップデートを管理する際の課題と対策に関する記事を公開させて頂きましたが、今回は番外編ということで、Jamf ConnectをインストールしているMacにおけるOSアップデート管理についてご案内できればと思っています。

※Jamf Connectについては以下のページをご参照ください。
・クラウドIdPと連携してMacのアカウントを管理 「Jamf Connect」 | 製品・サービス | Too

通常の場合となにが異なるかといえば、Jamf ConnectをインストールしているMacでOSのメジャーアップグレードを行った場合、ログインウィンドウがmacOS標準の状態にリセットされてしまうという点になります。

目次

  1. はじめに
  2. 対応方法
  3.  サンプル1:OSアップグレード後にユーザ自身で実施
     サンプル2:Jamf Connectが有効化されていないデバイスに対して自動的に適用
     サンプル3:OSアップグレードされたデバイスに対して自動的に適用
  4. まとめ


はじめに

冒頭にも書かせて頂いたとおり、Jamf ConnectをインストールしているMacでOSのメジャーアップグレードを行った場合、ログインウィンドウがmacOS標準の状態にリセットされてしまいます。
・macOS のメジャーアップグレード後にログインウィンドウを再有効化する - Jamf Connect ドキュメント | Jamf

その際はJamf Connect ドキュメントに記載されているとおり、以下のauthchangerコマンドを実行し、Jamf Connectログインウィンドウを再度有効化する必要があります。

/usr/local/bin/authchanger -reset -jamfconnect

ただ、こちらのコマンドをどのタイミングで実施すれば良いかについては、お客様の環境や運用によって変わってくるかと思います。 そのため今回は対応方法のサンプルを3パターンご用意しましたので、以下にご紹介させて頂きます。

サンプル1:OSアップグレード後にユーザ自身で実施

サンプル1では、authchangerコマンドを実行するポリシーをSelf Serviceアプリ上に掲示し、「OSアップグレード後のオペレーションとしてエンドユーザ自身で行って頂く」ことを想定しています。

authchanger_01.png

※事前の周知徹底が必要だったり、強制力を持たない対応方法ではありますが、運用が軌道に乗れば管理者としては手離れが良い方法とも言えなくはないかと...。

ポリシーの設定内容については以下の内容をご参照ください。

設定.png authchanger_02.png

サンプル2:Jamf Connectが有効化されていないデバイスに対して自動的に適用

サンプル2では、拡張属性およびスマートグループを活用することで、「Jamf Connectログインウィンドウが有効化されていない」デバイスに対して自動的にauthchangerコマンドを実行することを想定しています。

今回のメインターゲットは「OSのメジャーアップグレードを行った」デバイスですが、この対応方法であれば、例えば以下のコマンドをターミナルから実行して明示的にJamf Connectログインウィンドウを無効化してしまった...、などのケースにも対処することが可能です。(そんなことをする人はいないと信じたいですが...。)

sudo authchanger -reset

※authchangerコマンドについては以下のページをご参照ください。
・authchanger - Jamf Connect ドキュメント | Jamf

まずは、以下のようなスクリプトをもとにJamf Connectログインウィンドウが有効化されているかどうかを示す拡張属性を作成します。

See the Pen Untitled by 株式会社Too【Apple Business Team】 (@too_applebiz) on CodePen.


表示名 任意(今回は「authchanger status」としています)
データタイプ String
インベントリ表示 任意
入力タイプ Script

authchanger_03.png

次に、Jamf Connectログインウィンドウが無効化(Disabled)されているデバイスをピックアップするスマートグループを作成します。

※今回の拡張属性の場合、Jamf ConnectがインストールされていないデバイスについてもDisabledとなるため、「Jamf Connectがインストールされている」ことを示すクライテリアを1つ目に定義しています。

スクリーンショット 2022-10-20 16.02.05.png authchanger_04.png

このスマートグループに含まれるデバイスに対してauthchangerコマンドを実行することによって、Jamf Connectログインウィンドウを再度有効化します。

実行するポリシーに関してはサンプル1をベースとしつつ、以下のようにトリガーと実行頻度の変更、メンテナンスペイロードによってインベントリのアップデートなどを追加して頂ければと思います。

スクリーンショット 2022-10-20 16.03.52.png authchanger_05.png authchanger_06.png

サンプル3:OSアップグレードされたデバイスに対して自動的に適用

最後にサンプル3では、スクリプトによってデバイスの毎起動時に前回のOSビルド情報との比較を行い、「バージョンが異なっている(=OSアップグレードされた)」デバイスに対して自動的にauthchangerコマンドを実行することを想定しています。

こちらに関しては以下の記事に紹介されている内容にもとづいています。
・Re-enabling Jamf Connect Login after an in-place macOS Upgrade

■ステップ1
まず、事前準備として以下の設定を必ず有効にしてください。 ●設定 > コンピュータ管理 > チェックイン > 起動スクリプト

スクリーンショット 2022-10-20 17.56.39.png authchanger_07.png

■ステップ2
次に「Jamf Connectがインストールされている」デバイスをピックアップするスマートグループを作成します。

スクリーンショット 2022-10-20 18.02.57.png

■ステップ3
authchangerコマンドを実行してJamf Connectログインウィンドウを再度有効化するポリシーを定義します。

スクリーンショット 2022-10-20 18.03.05.png

■ステップ4
最後に、「デバイスの毎起動時に前回のOSビルド情報との比較」を行うポリシーを定義します。 今回使用するスクリプトについては以下のページから入手可能です。

・Re-enable Jamf Connect Login.sh · GitHub

内容をコピーした後、以下のメニューからスクリプトを新規追加してください。 ●設定 > コンピュータ管理 > スクリプト > 新規

authchanger_08.png

その他、ポリシーの詳細については以下の内容をご参照ください。

スクリーンショット 2022-10-20 18.06.25.png

まとめ

いかがでしたでしょうか?

新OSについては今後も基本的に毎年リリースされることが予想されます。せっかく導入したJamf Connectも、OSのメジャーアップグレードによって気づいたらリセットされていた...、となるとセキュリティリスクに繋がりかねません。

Jamf Proを活用して少しでも手間を減らしつつセキュアにデバイスを管理していく...、本記事がそのための一助となれば幸いです。

今回の対応方法に関してJamf Proの機能に関する部分や、Jamf Connectに関するご相談など、気になることがございましたら、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!

今後も、Appleデバイス管理、Jamfにまつわる情報をブログ、YouTubeを通じて発信していきますので、よろしければぜひご覧ください!



ご覧いただきありがとうございました。
製品選定のポイントやより良い導入方法など、Apple関連の相談会も定期的に開催しております。

Apple相談会汎用.png

他にも導入に役立つTipsやマニュアルを配信しています。
Apple法人導入Tipsへ

記事は2022年10月20日現在の内容です。

page top