Zenn
🍎

【Intune】macOSでゼロタッチデプロイしてみた

2022/11/16に公開
macOS
Intune
MDM
ゼロタッチデプロイ
tech

こんにちは、みともりです。

現職では週1出社で普段はリモート勤務なんですが、たまに「PCが壊れた!」と連絡をもらった時は急いで出社してセットアップしておりました。
もちろんそういう場合の出社は必要だと思うのですが、会議などですぐ出社できないときもありますし、着手中のタスクが止まっちゃうので、できるなら出社せずに対応したいですよね。
ということで、情シスの作業なしでユーザーがセルフでPCをセットアップできるようにして、社内に新品在庫を置いておき、必要に応じてピックアップしてもらうという運用を目指します。(=ゼロタッチデプロイ)

今回の対象はmacOSということなんですが、macOSのデバイス管理のデファクトスタンダートといえばJamf Proです。もちろんJamf Proを使いたいのは山々なんですが、最低発注数が決まっているのでMacデバイスが社内に少数しかないという場合は導入のハードルが高いです。

そんなときは1ライセンスから購入できて比較的安価なIntuneを使ってみるのはいかがでしょうか?
Web上ではmacOSをIntuneでゼロタッチ化したというナレッジは少ないのですが、多くを求めなければなんとか実現できます。

ということで、早速ですがユーザー側はでどうやってセットアップを行うことになるのかをご覧ください。

環境

MacBook Pro 13-inch, M1, 2020
macOS Ventura 13.0.1

セットアップ手順

初回起動からWi-Fiネットワーク接続までは通常のキッティングと同じです。サクッと進めましょう。



ADE(Apple Device Enrollment)が有効になっているのでリモートマネジメント画面が表示されます。続けるを押しましょう。

資格情報を求められるのでIntuneライセンスが紐づいたAzureADアカウントでログインします。

ローカルアカウントを作成します。先ほど入力したAzureADのアカウントとは同期してくれないので注意。

TimeZoneを選択します

デスクトップが表示されました。ここで色々表示されますが全部無視します。

数分したら初回インストールされるアプリケーションが自動でインストールされていることを確認します。
今回は以下の4つです。

  • Google Chrome
  • Slack
  • MDfE(Microsoft Defender for Endpoint)
  • ポータルサイト

次はポータルサイトアプリを起動して、先ほどと同じAzureADアカウントでログインします。

ログイン後にダイアログが表示されるので、デバイスカテゴリを選択します。(ここは組織によって任意のデバイスカテゴリ名になります)

同期処理が完了してこのような画面になったらOSを再起動します。

再起動後にログインするとダイアログが表示されるのでFile Vaultを有効にします

ここからは再度アプリケーションがインストールされますが、並行してChromeやSlackの利用を開始してもOKです。
第二弾でインストールするアプリケーションは以下です。

  • Microsoft Office
  • プリンタドライバ

動作確認

  1. アプリケーションは自動でインストールされているか:OK
  2. セキュリティ設定は自動で反映されているか:OK
  3. MDfEはアクティベーションされているか:OK
  4. USBメモリはブロックされるか:OK
  5. プリンタドライバ及びプリンタ設定は追加されているか:OK

補足

Q. どうして2回に分けてアプリケーションをインストールしているの?
A. 今回インストールしたプリンタドライバのインストールにRosetta2が必要だったからです。初回起動時に裏側でRosetta2をインストールしています。(デバイスカテゴリが設定された=Rosetta2がインストールされている、ということにしています)
※ Office365はM1対応していますが、インストールに時間がかかったので再起動後でのインストールとしました。

課題

  1. ローカルアカウントをユーザーに作ってもらう必要がある
    • マニュアルではこんな感じのユーザー名にしてねと指定してますが、ちゃんと見てなかったりtypoしたりすると意図せぬユーザー名になることがあります
  2. コンピューター名は情シスで設定が必要
    • 後からIntune上で変更できるので大きな問題はないのですが、Shell Scriptを流し込んでダイアログからセルフでコンピューター名を入力してもらうようにしたいです
  3. たまにプリンタの追加に失敗する
    • IntuneではアプリケーションインストールやShell Scriptの実行の順序を定義できません。なので先にプリンタ設定用のShell Scriptが実行されるとエラーが発生してプリンタの追加に失敗します。

まとめ

なんとかゼロタッチデプロイっぽいものはできましたがユーザーによる作業がそれなりに発生してしまいますし、上記で言及していない課題もいくつかあります。
極論を言えばIntuneでもShell Scriptを作り込めばもっとユーザー体験を向上させることはできそうですが、初期構築やメンテナンスコストが爆上がりするのでおすすめはしません。
DepNotifyなどすでに用意されているツールやMac管理のナレッジも豊富なので、ユーザー体験を向上させたかったらJamf ProやJamf Connectを導入すべきだと思いました。

ただ、冒頭で言及している通り少数のMacの管理でしたらIntuneでも十分だと思いますので、この記事を参考にしていただければと思います。

ちなみにこの記事では書ききれなかったことも多々ありますので、もし気になる方がいましたらTwitterのDMでご連絡ください!

Discussion