Jamf ProのMDMプロファイルには有効期限がある!予防措置の手順をご紹介
Jamf Pro MDMプロファイルの有効期限が切れる前に予防措置を
Jamf ProのMDMプロファイル (デバイス証明書) に有効期限があることをご存知でしょうか?
予備機などで長期間保管されており、通信が行われていない場合には自動更新が行われず、有効期限切れとなってしまうケースがあります。
今回は、MDMプロファイルの有効期限切れを防ぐために必要な予防措置をご紹介します!
目次
MDMプロファイルの有効期限MDMプロファイルの有効期限
Jamf Proにデバイスを登録する際、MDMプロファイルをインストールし、Jamf Proとの安全な通信を行っています。このMDMプロファイルに有効期限があり、その期限はデバイスの登録時期によって異なります。
- 2020年8月8日より前に登録されたデバイス:5年
- 2020年8月8日以降に登録されたデバイス:2年
通常使用しており、定期的にJamf Proとの通信を行なっているデバイスであれば、Jamf Proの「設定 > グローバル > MDMプロファイル設定」で定義されている内容にもとづいてMDMプロファイルは自動更新されていきます。 (デフォルトでは有効期限日の180日前)
しかし、予備機などで長期間電源オフのままであったり、パスコードロックがかかっていたりした場合、デバイスとJamf Proの通信が行われず、MDMプロファイルの自動更新が行われません。
MDMプロファイルの期限が切れてしまうと再キッティングを要するため、事前に予防しておく必要があります。
予防措置の実施時期については、例えば年度末 (年に一度)など、定期的にご確認頂くのが望ましいかと思います。
予防措置の具体的な手順
では、具体的にどのような手順で予防措置を実施できるのでしょうか?今回は手順を2つに分けてご紹介します。
手順1:Jamf Proとの通信が行われていないデバイスの特定(詳細検索)
まずは、Jamf Proのインベントリ検索から、MDMプロファイルの更新状況を確認する詳細検索(Advanced Search)を作成することで、Jamf Proとの通信が行われていないデバイスを特定します。
MDMプロファイル設定では、「MDM プロファイルの有効期限の期間(MDM プロファイルの有効期限切れに伴う更新を行うまでの日数)」が設定されています。今回の予防措置は、デバイスのMDMプロファイル有効期限日がここで設定した日数を下回っている場合に適用します。
※自動更新は有効期限の180日前から可能となるため、ここでは180日を例とします。
1. Jamf Pro → コンピュータ → インベントリ検索
2. 画面右上の「+新規」を選択
3. 検索タブより「この検索を保存」を有効化、表示名を入力
4. クライテリアタブより、以下の設定を構成
- クライテリア → +追加 → アドバンスクライテリアを表示
- クライテリア:macOSの場合は「MDM Profile Expiration Date」
iOSの場合は「MDM プロファイル有効期限日」 - オペレータ:in less than x days
- 値:180
5. 表示タブより表示させたい項目を選択 (シリアル番号など)
6. 保存
手順2:デバイスとJamf Proの通信再開とMDMプロファイルの手動更新
続いて手順2では、手順1で特定したデバイスに対して、デバイスとJamf Proの通信再開とMDMプロファイルの手動更新を実施していきます。
※MDMプロファイルの更新を行う上で、デバイスがJamf Proと通信可能である事が条件となります。電源を入れ、パスコードを解除してネットワークに接続されていることを確認してください。
<MDMプロファイルの手動更新方法>
1. インベントリ検索 → 手順1で作成した詳細検索を選択 → 画面右下の「表示」
2. 画面右下「アクション」 を選択
3.「Send Remote Commands」 → 「次へ」
4.「MDM プロファイルを更新」 → 「次へ」
上記の手順で、デバイスとJamf Proの通信再開とMDMプロファイルの手動更新は完了です。
普段から気をつけるべきポイント
ここまでMDMプロファイルの有効期限切れ前に行う予防措置の手順をご紹介してきました。続いてデバイスの長期保管の際に普段から気を付けておくべきポイントをご紹介します。
定期的なインベントリ/MDMの更新
予備機など使用されないまま保管しているデバイスは、定期的にインベントリの更新とMDMの更新を実施しましょう。最低でも年に一回の更新を実施する必要があります。
最終インベントリ更新日の確認
通常使用しているにも関わらず、最終インベントリ更新日が3ヶ月以上前のデバイスは、何らかの問題を抱えている可能性があるため、デバイスの状況を確認しましょう。
MDMプロファイルの自動更新が行われないケース
極まれに、直近まで通信が行われていたにも関わらずMDMプロファイルの自動更新が行われないケースが確認されています。この様な場合にも上記の予防措置を進めることで、デバイス証明書更新が実施され、期限切れによる再キッティングを回避することが可能です。
まとめ
いかがでしたでしょうか?最後にJamf ProのMDMプロファイルの有効期限とやっておくべきことについておさらいです。
<有効期限>
- 2020年8月8日より前に登録されたデバイス:5年
- 2020年8月8日以降に登録されたデバイス:2年
特に2020年8月8日以降に登録されたデバイスのMDMプロファイルは、有効期限が切れる可能性が高くなっています。長期保管しているデバイスをお持ちの方はこの機会に是非一度ご確認ください!
<やっておくべきこと>
- 有効期限が切れる前に予防措置
- 定期的なインベントリとMDMプロファイルの更新
再キッティングの手間を省くためにも、予備機などの長期保管されているデバイスのインベントリ更新とMDMプロファイルの更新を定期的に実施することが重要です。
TooではIT管理者向けにJamf Proの運用支援サービスを提供しています。MacやJamfに関するプロフェッショナルが対応しますので、IT担当者の人員が不足している場合もあんしんしてお任せいただけます。
記事は2023年1月31日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
