Jamf Connect 2.0.0 with Azure ADを検証してみた（動作確認編）

はじめに

本記事は Jamf Connect 2.0.0 with Azure ADを検証してみた（設定編）の後編となる動作確認編です。Jamf Connectの設定については設定編をご覧ください。

セットアップ開始

DEPに登録されたMacの電源を入れ、通常のセットアップと同じように言語やキーボードの設定、ネットワークの設定に進みます。

ネットワーク接続ができるとリモートマネージメントの画面に遷移し、MDMサーバ（Jamf Pro)と通信して構成プロファイルやパッケージがインストールされます。

時間帯を選択します。位置情報を有効にすると何かと便利ですね。 設定が進みしばらくするとJamf Connectが起動し、Idpのログイン画面が表示されます。 アカウント、パスワードを入力して、もちろんIdpのMFAも利用可能です。 Idpのアカウントと同アカウントでローカルアカウントを作成するため、Idpアカウントと同じパスワードを入力します。 Jamf Connectのアカウント作成はここまでで完了し、しばらくするとMacのデスクトップが表示されます。 このアカウント作成の流れでもわかるように、Jamf ConnectはIdpのアカウント情報を元に、macOSにログインできるローカルアカウントを作成します。macOSのローカルアカウントをIdpアカウントにバインドするツールではないので間違えないようにしましょう。 以降の説明はこの前提を頭に入れて読み進めてください。

Jamf Connectアプリ

セットアップが完了すると Jamf Connectアプリがインストールされます。

起動するとメニューバーに常駐します。このアプリが起動していないとIdpアカウントとMacのローカルアカウントの同期ができません。

再起動

再起動したときの動作です。
設定アシスタントのときと同じようにJamf Connect（Idp）のログイン画面が表示されます。

MFAの認証も利用可能です。Idpの認証を突破すると、「検証パスワード」入力画面でローカルアカウントのパスワード（Idpアカウントと同じ）を入力する必要があります。

同じパスワードを２度入力する必要があるのは少し手間ですね。。。。

ネットワークに接続してない場合は？

Idpの認証ができるのはネットワークに接続しているときだけです。
ネットワークが利用できないときは「ローカルログイン」のボタンを押すとローカルアカウントでログインできます。

ローカルログインができるのは、設定時（Jamf Connect Configrationアプリ）で「ローカルフォールバック」を有効に設定した場合のみです。

FileVault2 を有効にしている場合

FileVault２を有効にしている場合はもう1STEP必要になります。
FileVault2を有効にした状態で再起動すると、まずFileVault2のロック解除するパスワード入力を求められます。（通常のmacOSログイン画面と同等）
このパスワードはIdpアカウントのパスワードと同じはずです。
FileVault2のロック解除を突破できるとIdpの認証画面になります。
そしてこの認証を突破するとローカルアカウントのパスワード入力画面になります。

つまり、FileVault2を有効にした状態で再起動すると、
・FileVault2ロック解除パスワード
・Idpアカウントパスワード
・検証パスワード（ローカルアカウントパスワード）
と**同じパスワードを３回入力しなければならない**のです。

バージョン2.0.0の時点で、この動作は仕様のようです。

正直これはかなり手間です。今後改善されることを期待しましょう。

アカウントロック

次にアカウントロックした場合の動作です。
アカウントロックはローカルアカウントに対するロックの動作で、このロック解除の操作はJamf Connectを介しません。
従って、通常のアカウントロック解除と同じがめん、同じ操作になります。

逆に言うと、アカウントロック解除ではIdp認証を通すことはできません。

パスワード変更

次にパスワード変更の動作を見ていきましょう。
Jamf Connectを運用していると以下２つのアカウント、パスワードを意識する必要があります。
・Idpのアカウントとパスワード
・macOSのローカルアカウントとパスワード
それぞれの変更方法について見ていきましょう。

Idpアカウントのパスワードを変更した場合

IdpアカウントのパスワードはIdpのパスワード変更画面で行います。
Azure ADの場合、パスワード変更は https://account.activedirectory.windowsazure.com/ChangePassword.aspx から行いますが、設定（Jamf Connect Configrationアプリ）の中でChange Password URLを設定しているとJamf Connectアプリからパスワード変更画面を呼び出すことも可能です。

1度認証してから

パスワード変更画面へ。

Azure AD側のパスワード変更が完了すると、Jamf ConnectはNetwork check in Frequencyで設定した周期でアカウントの差異をチェックし、パスワードが一致しない場合は同期するように要求されます。


↑この画面はIdpアカウントのパスワードを入力

↑この画面は現在のmacOSのローカルアカウントのパスワードを入力
するとmacOSのローカルパスワードはIdpアカウントのパスワードと同期されて完了します。

macOSローカルアカウントのパスワードを変更した場合

もうひとつのパターンとしてmacOSローカルアカウントのパスワードを変更した場合の動作を見ていきましょう。
通常のmacOSローカルアカウントパスワード変更と同じ手順で
　システム環境設定 ＞ セキュリティとプライバシー ＞ 一般
を開き、「パスワード変更」からパスワードを変更します。

先にIdpアカウントのパスワードを変更した場合の動作に記載した通り、Jamf ConnectはIdpアカウントとmacOSアカウントのパスワードに差異があった場合、Idpアカウントのパスワードに同期する動きになります。
従って、macOSローカルアカウントのパスワードを変更しても、Idpアカウントに反映されることはなく、逆にIdpアカウントのパスワードに同期する（元に戻す）ように求められてしまいます。

まとめ

ということで、検証のまとめです。

冒頭のセットアップのセクションの後半にも記載しましたが、Jamf ConnectはmacOSのローカルアカウントをIdpアカウントにバインド（自動同期）するツールではなく、あくまでも２つのアカウントを連携する（まさにConnectする）ツールです。同期の方向は、現時点では双方向ではなく、Idp → macOSローカルアカウントの一方向のみです。この動作仕様を間違えて認識していると**「ちょっと思っていたものと違う。。。」**ということになってしまうので気をつけましょう。

まだ検証が十分でなく、もしかしたら隠れた便利な機能や課題点として書いたことに対して解決方法があるかもしれません。書いてあることや認識が間違っていることがあればどんどんご指摘ください。
バージョンが2.0.0になりまだまだ進化が続くと思うので、今後も期待していきたいです。