みなさんこんにちは。Jamf Heroesのあおてつです。
この記事は情シスslack Advent Calendar 2021 #2 23日目の記事です。
(すでに1日過ぎて24日になってます。。。ごめんなさい)
はじめに
先人の成功体験から得る学びは大きい。それと同様に失敗体験から得る学びもまた大きい。
と言うことで、今回は年忘れと禊を兼ねて 「Jamf ProのSmart Computer Groups設定で事故った話」 という失敗談をご紹介致します。
背景
弊社のJamf Pro環境では会社で所有している全コンピューターを対象にインストールしている構成プロファイルがいくつかあります。(無線LAN接続設定とか、業務で必要な証明書配布とか)
一方で、リースした機材の場合はこれらの構成プロファイルのインストールを除外するケースもあります。具体的にはJamf ProのSmart Computer Groupsで「LeaseComputers」というグループを作り、クライテリアでリース機材のシリアルナンバーを登録、
構成プロファイルの設定ではスコープのTargetsで「All Computers」を設定し、Exclusionsで「LeaseComputers」を設定することで、リース機材だけ構成プロファイルインストールを除外する、という運用を行っていました。
リースが終了したのでやったこと
あるときリース期限が終わり機材は返却することになったので、それに関連するJamf Proの設定も削除することになりました。Smart Computer Groupsでシリアルナンバーを登録していたので、それを削除すればいいや。「LeaseComputers」のグループ自体はまたリース機材を使う時が来たら再利用するかもしれないから、箱としては残しておこう、ということでクライテリアからシリアルナンバーを削除しました。そして保存ポチ。
その瞬間悲劇が・・・
その瞬間です。いきなりネットワーク(無線LAN)が切れました。証明書が使えなくなりました。
あおてつ「あれ・・・?」
はじめ、何が起こったのかわかりませんでした。ネットワークトラブルかと思いました。
が、周り(ちょうどそのとき出社してた)でもMacの無線LANが繋がらなくなったという声がちらほら。。。
あおてつ「Oh,やっちまった・・・」
直前にやったJamf Proの設定変更が悪さしたのは直感的にわかりました。
Mac側のプロファイル設定見たら必要な構成プロファイルが消えてました。
あおてつ「あのSmart Computers Groups、クライテリア削除しちゃダメなのか!!」
そうなんです。
Smart Computers Groupsはクライテリアをすべて削除すると、すべてのComputerが対象になります。
あとでマニュアル見たらちゃんと書いてありました。。。
注: クライテリアが設定されていないスマートグループを作成すると、すべてのマネージドコンピュータ、モバイルデバイス、またはユーザがメンバーシップに含まれます。
構成プロファイルのScopeとしてはTargetがAll Computersで、ExclusionsもAll Computersと同等。
この場合、Exclusionsが優勢で、すべてのコンピューターに対して構成プロファイルのアンインストールが走ります。
あぁ、悲しき勘違い。悲しき仕様確認漏れ。
経験上、動的グループ的なやつの動作は
条件指定しなければゼロ、条件に合致したものを抽出
だと思い込んでいたのですが、Jamf ProのSmart Computer Gropusは
条件指定しなければALL、合致したものに絞り込む
だったのです。
(いや、みんな「条件指定しなければゼロ」だと思うでしょ??え?違う?)
その後
と言うことで、構成プロファイルのインストールを戻すためにExclusionsから「LeaseComputers」を外したのと、忌まわしい思い出になってしまったので「LeaseComputers」も箱ごと削除して闇に葬りました。。。
コロナ禍で出社している人の数も少なく、かつ夕方で業務を終わらせている人が多く影響が少なかったのが不幸中の幸いでした。それにしてもこんなショボいミスをするなんて。。。
Jamf Heroesとして不甲斐なし!穴があったら入りたい!!
(泣きたくなってJamf Heroes返還しようかと思いました。。。返還できるのか知らんけど)
特にオチはないんですが、Jamf Proに限らず動的グループの類の設定変更の際は十分留意しましょう。
設定保存前にプレビューできる機能があるといいなぁ。。。