Jamf Pro 11.1で追加された新機能「Jamf Remote Assist」と「macOS オンボーディング」を検証してみた
待望のJamf Pro 11.1がリリース!
ベータ版はすでに公開されていましたが、2023年11月21日にJamf Pro 11.1が正式に利用可能となり、日本リージョン(ap-northeast-1)にホストされたJamf Proをご利用されている場合は12月2日(11.1.1の場合は12月9日)にアップグレードが実施されているかと思います。
先日のJamf Pro 11.0もUIの変更など大きなアップデートだったのですが、今回の11.1がなぜ待望かと言えば、JNUC 2023でも注目を集めていたJamf Remote Assistがついに実装となったためです!
また、事前のアナウンス等はまったくなかった(はず)なのですが、macOS オンボーディングという機能も追加されたため、今回のブログでは現時点におけるJamf Pro 11の新機能についてまるっとまとめていく内容にできればと思います!
目次
はじめに(Jamf Pro 11:UIの変更点の振り返り)はじめに(Jamf Pro 11:UIの変更点の振り返り)
まず、Jamf Pro 11の発表は2023年9月に開催されたJNUC 2023 Keynoteセッションにおける大きなトピックのひとつでした。
※JNUC 2023の振り返りについては以下のブログも是非ご覧ください!
Jamf社主催のユーザーカンファレンス:JNUC 2023イベントレポート | Apple ブログ | Apple | 株式会社Too
発表の中には様々なアップデートが含まれていましたが、その中でも目を引くポイントとしてはUIが大きく変わった、という点が挙げられるかと思います。
本ブログの公開時点ですでにリリースから2ヶ月ほど経過していますので、慣れた方も多いかと思いますが、せっかくなので改めて違いをまとめておきたいと思います。
(もう大丈夫!という方は次の章までスキップしてください!)
UIの変更点
①Jamf Proのバージョン情報がサイドバーからダッシュボードの右上に移動
②現在の管理台数(Managed/Unmanaged)がサイドバーからダッシュボードの上部(インベントリ情報)に移動
③設定メニューがメニューバーの右上からサイドバーに移動
④サイドバーが再設計され、コンピュータ/デバイス/ユーザの各メニューを選択した際のアイコン表示位置が左側に移動
⑤Mac Appメニューが再設計され、App Store経由で入手したアプリとJamf Appカタログ経由で入手したアプリがそれぞれ別のタブで表示されるように変更
※こちらは厳密にはJamf Pro 11.1からの変更点となります。
メニュー名の変更点(細かい部分ですが‥)
・ソフトウェアのアップデート→ソフトウェアアップデート("の"がなくなりました)
・制限付ソフトウェア→制限ソフトウェア("付"がなくなりました)
・PreStage Enrollments→事前登録(日本語訳されました。メニュー内の表記にはPreStage Enrollment表記が一部残っていますが・・・)
他にも細かなアップデートは定期的に加えられているため、ピックアップできていない箇所もありますが、主だった変更点はこんなところかと思います!
新機能①:Jamf Remote Assist
UIの変更点もおさらいできたということで、いよいよ本題に入っていきましょう!
Jamf Remote Assistを使用することで、管理者はブラウザ上から管理対象のMacに対してリモートセッションを開始し、画面共有や遠隔操作することが可能となります。
利用にあたって追加のライセンス契約等は必要ないため、Jamf Proのサブスクリプションをお持ちの方はどなたでもテストすることができるのは嬉しいポイントですね!
Jamf Remote Assistを使用するための要件としては以下のとおりです。
管理者側
・Webブラウザのポップアップが有効になっている(後述)
・Jamf Pro上でJamf Remote Assistが有効になっている(事前準備の①を参照)
クライアント側
・macOS 11以降
※ Jamf Pro ドキュメント上では当初「macOS 10.11以降」となっていましたが、これは表記ミスですね...!Jamf社に確認し、日本時間の11月29日時点で修正されています。
・スクリーンショットと画面録画の許可
それでは、具体的な準備や機能を確認していきましょう。
事前準備
Jamf Remote Assistを使用するためには以下の設定が必要です。
①設定 > コンピュータ管理 > セキュリティ > Jamf Remote Assist をチェック
②設定 > グローバル > クラウドサービス接続 を有効化
※すでに有効になっているかとは思いますが、念のため確認をお願いします。
③設定 > システム > ユーザアカウントおよびグループ > 任意のユーザアカウント > 権限 > Jamf Pro サーバアクション > Start Remote Assist Session のチェックを確認
※権限セットが管理者となっているJamf Proユーザアカウントの場合はあらかじめチェックが入った状態になっています。
逆に、 特定の管理者のみJamf Remote Assistを使用させるなどの要件を検討される場合はこちらのチェックボックスを活用して制御してください。
①の設定を有効にした段階で、コンピュータのインベントリ > 管理 タブ内に「Remote Assist」メニューが表示されるようになります。
また、クライアント側ではシステム設定 > プライバシーとセキュリティ > プロファイル メニュー内に「Jamf Remote Assist PPPC」「Jamf Remote Assist Settings」という構成プロファイルが自動インストールされていることが確認できます。
有人セッション(Attended Session)
Jamf Remote Assistには「有人セッション(Attended Session)」と「無人セッション(Unattended Session)」の2つの接続方法があり、いずれかのユーザアカウントでログイン済のクライアントを対象とする場合は有人セッションとしてリモートセッションが開始されます。
セッション開始
管理者が「セッションを開始」ボタンをクリックすると別タブが開き、"デバイスへの接続"という画面が表示されます。
※ちなみに、管理者側のブラウザでポップアップを許可していない場合、リモートセッションが開始できませんのでご注意ください。
しばらくするとクライアント側には"Jamf Remoteログ"が表示され、「許可」をクリックするとセッション開始、「拒否」を選択すると管理者側に"Jamf Remote Assistはユーザに拒否されました"という画面が表示されます。
コマンド
セッション中は、左下の「コマンド」メニュー内に「設定を開く」「ターミナルを開く」「再起動」3つのメニューがあり、いずれも文字通りの機能となります。
※再起動を実行した際には自動的にセッションは再開されないためご注意ください。
ファイル共有
管理者からクライアント側、あるいはクライアントから管理者への双方向でのファイル共有が可能です。
※初回はjamfRemoteAssistからFinderへのアクセス許可が求められる場合があります。
管理者からクライアント側へのアップロードはファイルのドラッグアンドドロップ、クライアントから管理者へのダウンロードはファイルを選択した状態で左下の「ダウンロード」ボタンをクリックすることで送受信することができました。
外部ディスプレイ
接続先のクライアントが外部ディスプレイを使用している場合は、左下の「ディスプレイ」メニューから表示する画面を選択することが可能です。
また、「モニタを自動的に切り替える」が有効になっている場合であれば、アクティブウインドウが自動的に表示されます。
セッション終了
最後にセッションを終了する(=タブを閉じる)と、クライアント側にはその旨を示すメッセージ、および接続時間が表示されました。
現時点ではセッションのログをJamf Pro上で確認することはできず、クライアント側のユーザ > 共有 > jamfdata 内に保存されていることが確認できます。
この点は今後のアップデートに期待ですね!
無人セッション(Unattended Session)
ログインしていない状態(=ログイン画面)のクライアントを対象とする場合は無人セッションでリモートセッションを行います。
例えば企業の共有Macや学校のパソコン教室など、常にログインしている状態ではない、不特定多数のユーザが使用し得る場合はこちらの機能が有効となってくるかと思います。
無人セッションを開始するためには、クライアント側のリモートマネージメント(および画面共有)を有効にしておく必要があります。
※有効になっていない場合はそのことを示すメッセージが管理者側に表示されます。
無人セッションを開始するとクライアント側のユーザ情報の入力を求められます。
認証が通ると有人セッション同様、リモートセッションが開始されます。Jamf Connectログインウインドウであっても問題なく画面共有できることが確認できました。
その他
他の方がすでにブログで情報共有してくださっていますが、リモートセッションを開始すると一見クライアント側でスクリーンショットが取得できなくなっているように見受けられます。
仕様については明らかになっていない部分がありますが、/private/tmp/jamf.remote.assist フォルダ内に保存先が変わってしまっているようです。
※ちなみに、リモートセッション中はjamf.remote.assistフォルダ内にスクリーンショットが常に取得されては消え・・・、という状態を繰り返しているような挙動となっていました。
そのため、現時点でリモートセッション中にクライアント側でスクリーンショットを取得する必要がある場合は、保存先の変更を選択する必要がありそうですね・・・!
Jamf Remote Assistに関するまとめはひとまず以上です!
新機能②:macOS オンボーディング
次です!
macOS オンボーディングでは、Self Serviceを活用して新しいMacをキッティングする際のフローを自動化、簡略化することが可能となります。
macOS オンボーディングを使用するための要件としては以下のとおりです。
管理者側
・Jamf Pro バージョン11.0.0以降
クライアント側
macOS向けJamf Self Service バージョン11.0.0以降
※日本語版のJamf Pro ドキュメント上では2023年11月28日時点で「macOS 11.0.0以降版 Jamf Self Service」という表記になっていますが、原文は「Jamf Self Service for macOS 11.0.0 or later」ですので、「macOS向けJamf Self Service v11.0.0以降」という解釈で良いかと思います・・・!(11.0.0がSelf ServiceにかかっているのかmacOSにかかっているのか判断しづらいですね...。まあどちらでも大差ないのであまり問題にはならないですが・・・。)
・設定 > グローバル > ユーザによる登録 > macOS > 完了時にSelf Serviceを起動 をチェック
※こちらについては、必須要件、という訳ではありませんが、macOS オンボーディングを使用して新しいMacをキッティングする際にはほぼほぼ使用することになるかと思いますので、チェック入れておくで良いかと思います。
それでは、具体的な準備や機能を確認していきましょう。
事前準備
macOSオンボーディング使用するためには設定 > Self Service > macOS オンボーディング の設定が必要です。
編集メニューに入り、右上の「有効」チェックボックスをオンにします。
ポリシー、構成プロファイル、アプリケーションの各タブで、任意の項目のチェックを有効化していきます。
※その際、リストに表示されるのはいずれも配布方法で「Self Serviceで利用可能にする」を選択している項目のみとなります。
構成プロファイルの場合、「Install Automatically」としていることがほとんどかと思いますので、基本的にはポリシーとアプリケーション(App Store経由で入手する項目)がメインになってくるかと思います。
選択後は右下の「保存」をクリックして本来であれば挙動確認に進んでいくのですが、ボタンをクリックするその前に!以下の注意事項を必ずお読みください!
注意事項
今回注意しなければならないのは、macOS オンボーディングの設定はJamf Proの管理対象となっているすべてのMacが対象に含まれてしまうという点です。
すなわち、上述の事前準備にてmacOS オンボーディングを有効にして保存した時点で、すべてのMacで次回Self Serviceを起動する際にmacOS オンボーディングのプロセスが開始され、ポリシーやアプリケーションが展開されてしまうということになります。
これは、/Users/ユーザ名/Library/Preferences/com.jamfsoftware.selfservice.mac.plist 内の「com.jamfsoftware.selfservice.onboardingcomplete」キーによって管理されており、このキーが「true」になっていない場合はプロセスを開始するような仕様となっているということに起因します。
そのため、本機能を検証する際にはSandbox環境を使用するか、稼働中の既存Macに影響が出ないようにJamf Pro側で調整を加える必要があります。
調整方法としてはいくつかパターンが検討できるかとは思いますが、まずはJamf Pro ドキュメントに記載されている手法をお試し頂くのが良いかと思います。
コンピュータからmacOS オンボーディングを除外|macOS オンボーディング - Jamf Proドキュメント 11.3.0|Jamf
記載されているスクリプトをポリシーで展開することによって上述のキーをtrueで構成し、macOS オンボーディングプロセスが開始されないようにすることが可能となります。
その際、ポリシーの実行頻度とスコープについては検討する必要があるかと思います。
・まず実行頻度ですが、基本的には「Once per computer」で良いかとは思います。
ただし、今回のキーが格納されているplist(プロパティリスト)ファイルはユーザごとに定義されているため、マルチユーザ環境で使用しているMacの場合は「Once per user per computer」を使用してログインユーザごとに適用される必要があります。
・次にスコープについては、稼働中の既存Macをどう定義するかです。こちらについてはお客様の環境によってベストプラクティスは変わってくるため正解はないのですが、一例として以下のようなスマートグループを活用するのが良いのではないかと思っています。(ご参考になれば幸いです。)
手動登録(User-Initiated Enrollment)されたデバイスのみ
| AND/OR | クライテリア | オペレータ | 数値 |
| Enrolled via Automated Device Enrollment | is | No |
登録されてからX日以上経過したデバイスのみ
| AND/OR | クライテリア | オペレータ | 数値 |
| Last Enrollment | more than x days ago | X(例:1) |
こちらの問題がクリアになりましたら、挙動確認に進んでいきましょう!
挙動確認
macOS オンボーディングを構成した後にクライアント側でSelf Serviceをはじめて起動すると、以下の画像のようにプロセスが開始されます。
※タイトルの「様、ようこそ!」についてはSelf Serviceへのログインを行っている場合は名前が表示されますが、おそらく多くのお客様がログインしないパターンで運用頂いているかと思いますので、このあたりは今後のアップデートでカスタマイズできるようになることを期待したいですね・・・!
プロセスが完了すると以下のようなメッセージが表示されます。
設定の一部が失敗した場合、その旨もお知らせしてくれることも確認できました。
macOS オンボーディングに関するまとめも以上となります!
まとめ
いかがでしたでしょうか?
Jamf Remote AssistもmacOS オンボーディングも管理者、ユーザ双方にとって利便性の向上につながるすばらしい機能かと思いました。
また、リリース後も数日おきにドキュメントの内容が修正・拡充されていたり、本ブログ公開時点ですでにJamf Pro 11.2 Betaも公開されており、Jamf社のスピード感からも今後のアップデートやさらなる機能追加にますます期待が高まりますね!
今回ご紹介させて頂いた機能に関するご質問や、その他Jamf製品全般に関するご相談など、気になることがございましたら、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!
参考:Jamf Pro 11.1 Now Available|Jamf
参考:Jamf Pro 11.1.1 Now Available|Jamf
Jamf Remote Assist: Enhancing Remote Desktop Sessions in Jamf Pro|Jamf Blog
記事は2023年12月11日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
