はじめに
MacのアカウントをIdpアカウントと連携することができるJamf Connect。先日新しいバージョンの2.0.0がリリースされたので早速検証してみました。なお、当方Jamf Connectに触れるのは今回が初めてで、検証に際しては @soh19さんの記事 をめちゃめちゃ参考にさせていただきました。ありがとうございました。
本記事は @soh19さんの記事 をベースに2.0.0になって変わった点を中心に記載していきます。
前バージョンとの違い
パッケージ構成
前バージョン(1.xx)までJamf Connectを構成するコンポーネントは
- Jamf Connect Login
- Jamf Connect Verify
- Jamf Connect Sync
という3つで構成されていましたが、2.0.0 では Verify と Syncが統合されて
- Jamf Connect Login
- Jamf Connect
の2つのコンポーネントに変わりました。
pkgファイル も JamfConnect.pkg ひとつにまとまっています。
Configuration アプリ
Jamf Connect Configurationアプリも上記のパッケージに合わせて構成が変わりました。
・日本語対応
・XML Editor機能搭載
あたりが目新しいところでしょうか。
公式マニュアル
公式マニュアルはこちらです。
英語版 https://www.jamf.com/resources/product-documentation/jamf-connect-administrators-guide/
日本語版 https://www.jamf.com/ja/resources/product-documentation/jamf-connect-administrators-guide/
設定
では具体的に設定を見ていきましょう。
今回はDEPを利用してmacOSの最初のセットアップである設定アシスタントの中でIdpと連携してアカウントを作成する設定を作っていきます。
Azure AD の設定
公式マニュアルにはこのあたりに書いてあり、ほぼそのまま設定するだけです。
@soh19さんの記事も詳しく書いてあるのでそちらも参考にしてください。
注意点としては、エンタープライズアプリケーションの設定から「ユーザとグループ」でJamf Connectを利用できるユーザ(またはグループ)を設定しないと正常に動作しないので忘れずに設定しましょう。
Configurationアプリで設定ファイル(plist)をつくる
Jamf Connect Configurationアプリで設定ファイルを作ります。
バージョンが2.0.0になり日本語化されて多少見た目が変わっていますが、基本的に設定内容は前バージョンと変わりません。各項目の設定は@soh19さんの記事も参考にしてください。
アイデンティティプロバイダタブ
- アイデンティティプロバイダ
- OIDCクライアントID
- ROPGクライアントID
- OIDCクライアントURL
を設定します。
「ライセンス選択」ボタンがありますが、ここではライセンスファイル(.mobileconfig)を選択しません。
ライセンスファイルの登録方法は後述します。
Loginタブ
この設定は設計次第です。必要な設定にチェックを入れたり、設定値を入力します。
こちらも公式ガイドや@soh19さんの記事が詳しいので参考にしてください。
Connectタブ
Connectタブは前バージョンのVerifyタブに相当する設定です。
ROPG Client IDはアイデンティティプロバイダタブで設定したものが自動的に設定されます。
Password欄の各項目を要件に応じて設定すると良いと思います。
IdpがAzure ADの場合
- Change Password URL: https://account.activedirectory.windowsazure.com/ChangePassword.aspx
- Reset Password URL: https://passwordreset.microsoftonline.com/
あたりを設定すると良いと思います。
(注)
ただし、Azure ADパスワードをリセットできるようにするためには設定が必要です。
また2.0.0ではこの値を設定してもAzure ADパスワードリセットページは表示できませんでした。。。
plistファイル作成
ここまでできたら設定をJamf Proにデプロイするためのplistファイルに出力します。
メニューバーから ファイル > 保存 を選ぶとダイアログが表示されます。
ここでの操作は
- 1. Applicaitonで「Jamf Connect Lgoin」、ファイル形式は「Property List .plist」を選択
- 保存ファイル名は「com.jamf.connect.login.plist」
- 2. Applicaitonで「Jamf Connect」、ファイル形式は「Property List .plist」を選択
- 保存ファイル名は「com.jamf.connect.plist」
それぞれの操作を行い、2つのplistを保存してください。
Jamf Proへデプロイ
Jamf Proに Connectのpkgファイルの登録、構成プロファイルを登録します。
まだDEPで展開するために Prestage Enrollmentも設定します。
pkgファイルの登録
前バージョン(1.xx)までは login と verifyまたはsync の2つのpkgの登録が必要でしたが、2.0.0 からは JamfConnect.pkg の1ファイルだけの登録でよくなりました。
と言うことで、 設定 > コンピュータの管理 > パッケージ から JamfConnect.pkg を登録します。
DEP用 Smart Computer Groupの作成
今回はDEP端末を対象にJamf Connectを展開するのでDEP端末が対象になるSmart Computer Groupを作成します。
Criteria:Enrolled via Automated Device Enrollment」
オペレータ: is
数値: Yes
でDEP登録された端末が対象のグループが作成されます。
構成プロファイル
Jamf Connect Configrationアプリで作成した2つのplistを構成プロファイルとして登録します。
構成プロファイル > アプリケーションとカスタム設定 から
・com.jamf.connect.login.plist
・com.jamf.connect.plist
をそれぞれアップロードして登録します。
Scopeは上記で作成したDEP端末を対象にしたSmart Computer Groupを指定します。
PreStage Enrollment
DEPを利用してセットアップアシスタントの中でJamf Connect Loginを起動してアカウントを作成するための設定を行います。
一般
一般設定は特にJamf Connectに特化して設定する内容はありません。
必要に応じて設定を行ってください。
アカウント設定
「セットアップアシスタントの前にローカル管理者アカウントを作成する」にチェックを入れ、「ユーザ名」「パスワード」を設定します。そして「ローカルユーザアカウントタイプ」では「アカウントの作成をスキップ」 を選択します。
必要以上にローカル管理者アカウントを作成したくない場合でも、この設定でローカル管理者アカウントの作成が必要になります。
構成プロファイル設定
構成プロファイルは「com.jamf.connect.login.plist」を登録した構成プロファイルのみチェックを入れます。
登録パッケージ
登録パッケージはもちろん「JamfConnect.pkg」、配布ポイントは「Cloud Distribution Point (null)」を指定してください。
Scope
最後にScopeはDEP端末を対象にしたSmart Computer Groupを指定して保存して設定完了です。
設定は以上です。
DEP(JamfPro)に登録した端末を起動してセットアップを開始してみましょう。
Jamf Connect 2.0.0 with Azure ADを検証してみた(動作確認編)へ続く。
Appendix : ライセンス登録
Jamf Connectのライセンスファイルは「Jamf Connect License Key - xxxx.mobileconfig」というようなファイル名で購入した販売店から提供されると思います。
このライセンスファイルの登録方法は公式ガイドに記載されていますが、実はちょっと罠があります。
ライセンスファイルは公式ガイドの通り 構成プロファイル > アップロード で登録します。
公式ガイドではこれだけなのですが実はまだ続きがあり、このあと保存する前に「アプリケーションとカスタム設定」に移動して以下の操作が必要です。
こちらのキャプチャのとおり、2つのペイロードに対してそれぞれ「ファイル(PLIST)ファイルをアップロード」を選択してください。アップロードボタンが表示されますが、何もアップロードしなくて大丈夫です。ボタンの下にライセンスファイル情報が表示されることを確認して保存してください。これでライセンス登録OKとなります。
この操作は公式ガイドには記載されてないので、やらないといつまでたってもライセンス認証されないのでご注意ください。