フクロウラボ エンジニアブログPublicationへの投稿
🉐

MacBookの”ほぼ”ゼロタッチキッティングは案外簡単に実装できる話

情シス(翁)
に公開
MacBook
情シス
Jamf Pro
キッティング
ゼロタッチキッティング
tech

MacBookの”ほぼ”ゼロタッチキッティングは案外簡単に実装できる話

はじめに

情シス業務は大きく分けて4つに分類されると考えます。

  1. IT戦略の立案
  2. 業務システムの運用・保守
  3. 社内インフラ整備
  4. ヘルプデスク

このうちの 3.社内インフラ整備 にはメンバーが利用する端末のキッティングも含まれます。ユーザーアカウントを作成し、業務に必要なソフトウェアをインストールする、不要な機能をユーザーに見えないようにしたり、万が一の時に備えてデバイスの暗号化設定も行う。
この一連の作業がかなり工数を使います…キッティング作業自体、順調に進んだ場合で1時間ほど要します。デバイス管理台帳などに情報を追記するなども合わせるとさらに工数は増えていき、単純作業な割に時間がかかるし工数対効果が見合わない業務だと感じる方も多いのではないでしょうか。

もっと他にやるべきことはあるのに、ひとり情シスだと他に頼める人もおらず、メンバーの入社が発生する度にこの作業をしなければなりません。
入社時だけならまだよいのですが、端末の不調などでの交換時にも新しく端末を用意する必要があるため、多い時には月に10台もキッティング作業を行っておりました。不調による端末交換を希望された場合にはメンバーの業務が停止してしまう時間を極力抑えるため、最優先で実施しなければならず、思うように作業に集中できなくなる場合もあります。

弊社では出社とリモートワークを組み合わせたハイブリッド形式の勤務形態を採用しておりますが、突発的なキッティング作業のために出社しなければならないこともあり、大変なストレスでした。

この記事の対象者

・キッティング業務に負担を感じている情報システム担当の方
・MacBookのゼロタッチキッティング実装を考えている方

噂には聞いてたゼロタッチキッティング

上記の背景から、弊社のほとんどのメンバーが使用するMacBookのキッティング業務負担をどうにか減らせないかと調べてみると、2つの選択肢がヒットします。
1つは 「業務のアウトソーシング」 で情シスに代わって外部企業が端末設定作業を実施し、すぐに使える状態にするサービスです。
もう1つがキッティングの自動化 ≒ ゼロタッチキッティングというものです。デバイスが初めてインターネットに接続された際に、自動で企業のポリシーに基づいた設定やアプリケーションのインストールを行ってくれるため、デバイスをユーザーに提供する際に、自動化させたプロセスにより、人手を介さずに設定やカスタマイズを行うことができます。

だが調べてみると、ABM?やADE?、Jamf Pro?やJamf Connect?、DEPNotify?など、なんだか構築にいたるまですごーくややこしい感じがする!
導入するツールも多そうだし、費用も時間もかなりかかりそう…と感じていました。

ひとまず、弊社においてユーザーの8割が利用するMacBook、さらには今後導入を検討している社給スマホのiPhone用にMDMは入れないといけないと考えていたため、Apple製品に特化したMDMのJamf Proを扱うベンダーさんに相談しました。
ゼロタッチキッティングがしたい!と要件を伝えたところ、「弊社からJamf Proを契約するとオンボーディングを受けることになり、そこでの環境設定にて「ゼロタッチキッティングも可能ですよー」とお伝えいただきました。

弊社の要件と実装内容

「ゼロタッチキッティング」がしたい!とは言いましたが、本当に情シス部門が「ゼロタッチ」にしたいのかは私自身疑問でした。ユーザーが端末を開けて、全ての設定が自動的に行われるというのは近代的で見栄えがいいとは思います。
ただ、MDMの挙動というのはネットワークの接続状態に強く依存するところがあります。
実際にセットアップが完了したかを自身の目で確認せず、仮にユーザーの自宅などでセットアップが完了しなかった場合、サポートする方法がなく、ユーザーの業務開始に支障がでる恐れがあります。

そのため、 完全なゼロタッチキッティングではなく、簡易キッティングとして、数回のボタンクリック動作のみでキッティングが完了するような構成 にしました。実際の動作としては以下の流れです。

  1. 端末をネットワークに接続する
  2. 自動で簡易キッティングのスクリプトが実行され必要なアプリケーションがインストールされる
  3. その後自動で機能制限などを設定したプロファイルがインストールされる
  4. ユーザーによって個別で必要なアプリケーションなどがある場合は、AppStoreを介さずにMDMの専用アプリからインストールする
  5. 必要に応じてOSを最新バージョンにアップデートする

情シスとしては、端末をネットワークに接続した後に自動で必須のアプリがインストールされ、MDMで設定した機能制限がかかるので、4.ユーザーによって個別に必要なアプリのインストールと5.OSのバージョンアップのみを行えば完了します。

流れを見ていただければわかると思いますが、ほとんどゼロタッチキッティングと変わりません。ただ、最終的にセットアップを完了したかの確認は情シスとして責任をもって見届けられるように数回のボタンクリックや入力でキッティングが完了する。という実装にしました。
実行するのが、情シスなのかユーザーなのかの違いですね。

どうやって実装したのか

上記を実装するのに必要なものは三つだけでした。

  1. ABM(Apple Business Manager)への登録
  2. Jamf Pro(MDM)の契約
  3. ADE(Apple Device Enrollment)の対象となる端末の購入

1. ABM(Apple Business Manager)への登録

手順としては、

  1. D-U-N-S番号の確認(未付与の場合発番申請が必要)
  2. ABMアカウントの登録(サインアップ)
  3. ABMにログイン後 D-U-N-S番号や連絡先情報などの追加情報登録
  4. Apple社からの電話連絡にて質問に回答
  5. 審査完了

詳細な登録方法については多くの記事でご紹介がありますので、そちらを参考にしていただくと良いかと存じます。参考のためにAppleのオフィシャルサイトを置いておきます。

実際に利用申請し承認、登録が完了した際に確認できる画面がこちらです。
ABM登録完了後の画面

2. Jamf Pro(MDM)の契約

ABMにてJamf ProをMDMとして登録するために、

  1. Jamf Pro(MDM) → APNs(Apple Push Certificates Portal)に署名済証明書署名要求(CSR)をアップロード

  2. 今度はAPNs → Jamf Proにプッシュ証明書をアップロード

  3. 最後にABMにてMDMサーバの追加

3. ADE(Apple Device Enrollment)の対象となる端末の購入

購入した端末をABM、そしてJamf Proに自動で紐づけるためには、ADE(Automated Device Enrollment)の登録が必要となります。
ADEを利用すれば、自動的にABM上に端末情報が載り、指定したMDMに割り当てられます。
※ ADE登録を行うためにははAppleStoreから法人として端末を購入するか、ADE登録を行っていただける販売代理店様からの購入と販売店の登録を行う必要があります。
すなわち、新たに端末を購入した際に自動的にJamf Proに登録されることになります。

事前準備は整いました。あとはJamf Proの設定で、通信が行われた際に指定の構成プロファイルがインストールされるようにすれば、ほぼゼロタッチでキッティングができるようになるというわけです!
※ここが技術的な要素が多く少し厄介ですが、後述する内容でなぜ案外簡単に実装できるのか記載します。

実際のキッティングの動き

ここまでがゼロタッチキッティングをするまでに必要な事前準備でした。では、ここからは実際の挙動を見ていきましょう。

  1. 端末を開梱し、電源を入れます。国と言語、アクセシビリティを設定
  2. ネットワークに接続
  3. ネットワーク接続でMDMの加入が促されます
  4. Jamf Proのサーバーに接続開始
  5. 移行アシスタントの設定、ユーザー名・パスワード設定、位置情報設定を行います

    上記のアカウントでログインすると、Jamf Proの構成プロファイルで設定した項目(Filevaultの有効化、指定アプリのインストール、機能制限など)が自動で適用されます


これだけでキッティングが完了します!素晴らしい!
これまで1〜2時間を要していた作業が、およそ5分少々で完了してしまいます!

この記事で伝えたかったこと

ゼロタッチキッティングは構築までのハードルが高く、実装が難しいと感じていましたが、実際にはそこまで高度なことはしておりませんでした。
やるべきことは大きく3つです。

1.ABMへの登録
2.ADE対応していただける販売代理店様からの端末購入と登録
3.Jamf Proを契約し、ADE登録時に設定される構成プロファイルの環境構築

ABM登録やADE対応していただける販売代理店様から端末購入する必要はありますが、それはいわば事務手続き的な内容です。Apple製品に対するMDMとしてJamf Proを採用さえすれば、こと簡単にゼロタッチキッティングが可能になります。

というのも非技術者にとって困難に思える「アプリの自動インストールスクリプトの記載」や「構成プロファイルの設定」の環境構築は オンボーディング の際にサポートを受けることができます。そこで基本的な実装方法をハンズオンで教えていただけるため、利用開始のハードルは一気に下がりました。弊社のオンボーディングを担当していただいたJamf Proの代理店様は、株式会社マジックハット様でした。
※大変助かりました…!この場を借りてお礼申し上げます…!

ここで重要なのはJamf Proを用いてどこまで実装したいのかということを事前にしっかりと伝えることだと感じております。
例えば:

・今回の弊社のようにゼロタッチキッティングをしたい
・必須でインストールするアプリは何があるのか
・システム環境設定で機能制限をかけたい事項は何か
・MDMとして端末からどんな情報を取得して管理したいか

などです。

要件を整理した上でオンボーディングを受けることで、Jamf Proでできることとできないことが明確になりますし、オンボーディングの担当者の方も、設定した要件に応じて環境構築の準備をしていただけます。双方にとって有意義な時間になりますので、要件定義を事前にしっかり行っておくことは非常に重要だと考えます!

最後に

キッティング作業というのはどの企業様でも避けては通れない定常業務として課題と捉えられることが多いと考えます。1時間かかっていた作業が10分でできるようになれば、50分の工数削減となります。
作業時間の削減という効果に着目しがちなのですが、本当に重要なのは、その50分の時間を本来の業務に充てることで、企業にさらに価値をもたらせることです。
このような仕組みの導入を考えてらっしゃる方にとって有意義な情報であれば幸甚です。
引き続きよろしくお願いします!

フクロウラボ エンジニアブログ
フクロウラボ エンジニアブログPublication

株式会社フクロウラボのエンジニアブログです。

Discussion