概要
metapsではwindows、Mac共にintuneを使って自社の端末管理をしており、windows端末のみ部分的にキッティングの自動化をしていました。
ただ、割合としてはMac端末の利用率の方が高いため、Macのキッティングを自動化したいという課題がありゼロタッチキッティングの検証をしてみました。
構成
- ABM(Apple Business Manager)
- Apple製品を会社組織で管理するためのツールです。ABM上でMDMとしてJamf PROを紐付けることで、会社のMacに対して設定配布やアプリのインストールができます。
- Jamf Pro(Moblie Device Management)
- Apple製品の端末を一元管理するツールです。端末の利用開始から終了まで設定配布や状況の可視化ができます。
- DEP Notify
- Jamf Proに登録して使う、設定を順番通り実行できるツールです。スクリプトで会社で必要なアプリのインストールなどを指定することで、初回起動時にインストール状況を可視化することができます。
- Installmeter
- 最新バーションのアプリをインストール・アップデートするために使うスクリプトです。本来Jamf Proでインストールするアプリは個々にpkgファイルを作成してアップロードする必要がありますが、バージョン管理する上で課題があります。Installmeterを使うことで端末に常に最新のバージョンを指定してインストールできます。
キッティング時の様子
端末を起動し、ローカルアカウントを追加してログインすると、以下のような会社のロゴ入りのウィンドウが表示されてキッティングがスタートし、プログレスバーを表示させることができます。
手順
ABM
D-U-N-S Numberなどの会社情報を確認し、ABMアカウントを作成します。アカウント作成後、端末をABMに自動で紐づけるためにはADE(Automated Device Enrollment)登録が必要となるので販売会社を登録します。
端末をリースで調達している場合は、調達方法を変更する必要があるので事前にADEが可能か確認が必要です。
開設後はABMでJamf ProをMDMとして登録するために、証明書をアップロードします。
Apple Push Certificats Portalにて、Jamf Accountで作成した署名済証明書署名要求(CSR)をアップロードします。
Apple Push Certificats Portalでプッシュ証明書(.pem)を作成してダウンロードし、今度はJamf Accountにアップロードします。
ABM側でMDMサーバの設定を追加し、Jamf Proで作成した公開鍵をアップロードします。
アップロードが完了すると、ABMとJamf PROを紐づけできます。
Jamf Pro関連
Composer
pkgファイルを作成するためのツールとなります。
今回はDEP Notifyで表示させる会社のロゴをpkg化するために利用します。
Jamf accountからツール一式をダウンロードして解凍し、composerを起動します。
例として、端末のprivate/tmp/配下に会社のロゴのpngファイルを展開するだけのpkgを作成します。
ロゴのファイルを配置してComposerにドラッグ&ドロップし、DEP Notifyで実行できるようにOwnerはroot、Groupはwheel、XにチェックをしてBuild as PKGを押します。
pkgファイルが作成できたら、Jamf Proにパッケージとしてアップロードします。
Prestage Enrollmentの作成
端末をJamf Proに登録するための設定をPrestageEnrollmentで行います。ローカルの管理アカウント作成(メンテナンス用途など)など、初期起動時に指定したい設定をしておきます。
Smart Computer Groupsの作成
自動登録される端末を管理するために、ADE_macのような名前でグループを作成します。クライテリアとしてEnrollment Method: PreStage enrollment is {PreStage enrollment名}と設定しておくと、PreStage enrollmentで登録する端末をグループとして管理できます。
scriptの作成
Rosetta2
端末にM1 Macがありintel用のアプリをインストールする必要がある場合、Rosetta2をインストールするスクリプトを作成します。
このスクリプトはDEP Notifyの起動より先にインストールする必要があるので01_rossetaのような名前で登録します。
sudo softwareupdate --install-rosetta --agree-to-license
DEPNotirfy
DEPNotify.pkgとDEPNotify.shをダウンロードし、pkgはそのままJamf Proにパッケージとしてアップロードします。DEPNotify.shは以下のようにキッティング中に表示させたい内容やアプリに応じて変数を指定してからスクリプトとしてアップロードします。
この内容がキッティング時に表示されます。
~一部抜粋~
BANNER_IMAGE_PATH="/private/tmp/company_logo.png"
ORG_NAME="会社名"
BANNER_TITLE="Welcome to $ORG_NAME"
SUPPORT_CONTACT_DETAILS="問い合わせ先アドレス"
MAIN_TEXT='新しいMacを使い始める前に、いくつかのアプリケーションと設定を自動で行います。この作業は10分から20分ほどかかる予定です。'
INITAL_START_STATUS="設定を開始します。"
INSTALL_COMPLETE_TEXT="設定が完了しました!"
POLICY_ARRAY=(
"Installing Adobe Reader,adobeReader"
"Installing Chrome,chrome"
"Installing Zoom,zoom"
"Installing Slack,slack"
"Installing Micorosoft Office,office"
)
POLICY_ARRAYは"インストール中に表示する文章,ポリシーで指定するカスタムトリガー名"になります。
Installomator
Installomator.shをダウンロードし、DEBUG=1項目をDEBUG=0にしてJamf Proにスクリプトとしてアップロードします。
そして、後述するポリシーのパラメータとして指定するためのアプリの名前を検索して控えておきます。
例えば、Adobe readerの場合は(2022年末現在)adobereaderdc-installとなります。
~一部抜粋~
adobereaderdc-install)
name="Adobe Acrobat Reader DC"
type="pkgInDmg"
printlog "Changing IFS for Adobe Reader" INFO
policyの作成
DEP Notifyを会社ロゴを表示させて実行するために、0_logo、1_DEPNotifyのようにプレフィックスをつけて順番を指定するポリシーを作成します。
頻度はongoing、トリガーはEnrollmentとします。
その他必要なアプリは、installmeterをスクリプトとして登録し、application Lebelsにパラメータとしてアプリ名を入力します。
トリガーにはカスタムトリガーを指定し、DEP NotifyのPOLICY_ARRAYの値と紐付けます。
Adobe readerの場合は以下の通りです。
必要なアプリの数だけ同じくポリシーを作成します。スコープはSmart Computer Groupsで作成したグループとします。
ここまで設定して実際に端末を起動すると、キッティングが自動で開始されます。
ハマった点
全て設定した後に、初回ログイン後にキッティングが開始されず何も起きないという事象が起きました。
確認したところ、Jamf Proにアップロードに成功したはずDEP Notify.pkgがクラウド配布ポイントに無いということがありました。(https://テナント名.jamfcloud.com/cloudDistributionPoint.html)
アップロードし直したところ、初回ログイン後に正常にDEPNotifyが開始され、アプリのインストールに成功しました。
結果
ローカルアカウントの作成方法などはマニュアルが必要ですが、ゼロタッチキッティングが出来ることを確認しました。
参考にした記事
https://qiita.com/soh19/items/b28537a71e46038934a8
https://note.com/yasuym1/n/n8770a9b42a1c
https://zenn.dev/coconala/articles/8afdb1bf838601
https://dev.classmethod.jp/articles/jamf_dep-notify_configuration/
https://atraetech.hatenablog.com/entry/2021/08/23/102749