Zenn
NOT A HOTELPublicationへの投稿
💨

JamfのSetup Manager 1.2を設定したら1日でリリースできた

mayu
に公開
MDM
Jamf Pro
tech

2回目のチャレンジ

現在の環境は、登録をトリガーにポリシーでScriptでセットアップを実行させていました。
しかし、気づくと3台に1台くらいの確率で登録完了のトリガーが実行されていないことが判明。Jamfさんに問い合わせたところ、PreStage Enrollmentでこのトリガーを利用すると、Jamfフレームワークの構築が途中の段階で実行されてしまったり、ネットワークの接続状況が安定しないことでうまく実行ができない可能性があることを教えてもらいました。
登録完了のトリガーを使って、セットアップのポリシーを実行するのはこの事情により、動作しない可能性があるということです。

なので、どうせなら、もう一回Setup Managerを設定しよう!と重い腰を上げました。

Setup Managerは1.1のころにちくちくVSCodeでplistを書いて設定してて、GUIで設定しなかったのですが、今回はGUIで設定を入れていくことにしました。

半年ぶりに設定してみると何もかもGUIでぽちぽちが完璧になっていた!一瞬で構成プロファイルが出来上がり、なーんの問題もなく!検証も終わり、次の日にはチームのみんなに見てもらえる状態に。

素晴らしい点を挙げたらキリがないのだけど、端末名強制するのにわざわざスクリプト書かなくていいとか、ちゃんとfv2有効にしてくれるとか(再起動のタイミングがイマイチうまく自動化できないけれど。ここ上手くできた方、教えてください)何より、見た目がかっこいい(重要)

Setup Managerとは

Setup Managerとは、Jamf proのセットアップを簡単にしてくれる素敵なツールです!
設定アシスタントの一連の流れと一緒に、アプリのインストールや追加の設定を自動的に行ってくれるので、いわゆるゼロタッチを実現するためのツールです。
Prestage Enrollmentを設定しているなら、Setup ManagerかmacOSオンボーディングもしくはScriptでゼロタッチの流れを設定していると思います。少し前だとDEPNotifyも多かったかもしれません。
https://github.com/jamf/Setup-Manager?tab=readme-ov-file

設定手順

Quick Startを参考にするとわかりやすいです!こちらに従って解説していきます!
https://github.com/jamf/Setup-Manager/blob/main/Docs/JamfPro-QuickStart.md

用意するもの

  • jamf Pro
  • Okta
  • (もしあれば)Jamf Connect
  • 検証用のMac

Setup ManagerのパッケージをJamf Proにアップロードする

まずは、最新のパッケージをダウンロードして、設定→パッケージからアップロードしましょう!
https://github.com/jamf/Setup-Manager/releases/tag/v1.2.2

利用前に使って欲しいアプリと設定を考える

まずは、セットアップ完了時にインストールされていて欲しいアプリと設定を考えます。
Setup Managerでは、以下のアクションを実行することができます。

  • Installomator
  • Shell Command
  • Jamf Policy Trigger
  • Watch Path
  • Wait
  • Wait for User Entry
  • Jamf Inventory Update (recon)

https://github.com/jamf/Setup-Manager/blob/main/ConfigurationProfile.md#actions

私は、現在利用しているKitting Scriptの内容をほぼそのまま設定していくことにしました。

アプリ

アプリはInstallomatorを使ってインストールします。Installomatorにないものは、Policyを作成しておいて、Jamf Policy Triggerを利用します。

  • Google Chrome
  • Slack
  • Okta Verify
  • Zoom
  • Jamf Connect
  • Jamf Connect Launch Agent etc,

設定

設定の場合は、Jamf Policy TriggerかShell Commandを利用します。私は全部Policyで呼び出しています。(好みです)

  • FileVault2の有効化(Jamf Policy)
  • Update User and location(Jamf Policy、中身はScript)

注意点としては、Jamf Connectをインストールするときに、Jamf Connect Launch Agent を忘れがちなので、自動的に起きてきてくれるように設定をお忘れなく!

構成プロファイルを作成する

では、設定内容が大体決まったので、実際に構成プロファイルを作成していきます。

  1. コンピューター→ 構成プロファイル→新規構成プロファイル を作成します。

  2. プロファイル名はわかりやすい名前にしましょう。

  3. レベルが「コンピューターレベル」になっていることを確認します。

  4. アプリケーションとカスタム設定から、Jamfアプリケーションを選択して、以下のように設定します。

    • Jamf アプリケーションドメイン: com.jamf.setupmanager
    • バージョン:Jamf Proにアップロードしたパッケージのバージョンを選択
    • バリアント::Jamf Proにアップロードしたパッケージのバージョンを選択

  5. 4の設定をすると、環境設定ドメインのプロパティが表示されて、GUI上でぽちぽち設定をしていくことができるようになります。
    一番上に表示される以下の3つの項目は、実際の画面ではこのようになります。

    • Icon Source
    • Title
    • Message

      アイコンソースは、SelfServiceのアイコンを使い回しできます!

    ハッシュ値(hash_以降の文字列)を取得し、以下のように編集すれば簡単に入手できます。
    https://ics.services.jamfcloud.com/icon/取得した文字列(hash_xxxxxxx)

  6. 次に、アプリと設定を。Enrollment Actionで追加していきます。

  • Action
    • プルダウンでアクションを選択(→利用前に使って欲しいアプリと設定を考えるを参照)
  • Action Label
    • アイコンの下に表示されるラベルです!
  • Action Icon Source
    • アイコンソースの設定方法は同上です!

  1. コンピューター名を設定します
    コンピューター名を設定したい場合は、Computer Name Templateに任意の値を入力します。
    変数は%%で以下を挟めば利用できます!
    例)M-シリアルNOにしたい時:M-%serial%

  2. Final Actionを設定します。
    これはSetup Managerが終了した後の動作を指定します。ここで再起動を選択したとしても、まだfv2をユーザーが有効にする前の状態になってしまうので、私はおとなしくContinueを選択しました。

ここまで設定できたら、あとは実際に端末に配布してみて動作を確認してみましょう!

PreStage Enrollmentを設定する

構成プロファイルの準備もできたので、PreStage Enrollmentを設定していきます!

  1. 事前登録→新規から新しい事前登録を作成します

  2. 一般の設定では、「設定アシスタントによる自動アドバンス」を選択しない&1つ以上のオプションを選択しないでおく(選択しない=表示される)こと。バグって進めなくなります。

    ensure that 'Automatically advance through Setup Assitant' is disabled
    Have at least one Setup Assistant option disabled (so that is displayed)

    Quick Start

  3. 構成プロファイルは先ほど作成したSetup Manager用のプロファイルと、Jamf Connectを利用している場合はJamf Connectのプロファイルにチェックを入れます

  4. 登録パッケージには、手順の最初にアップロードしたSetup Managerのpkgを選択します
    ※ここでJamf Connectのpkgを選択しないでください。必ずSetup Managerの中でインストールするようにしてください。

    PrestageにJamfConnect.pkgがある場合は削除してください。後からセットアップマネージャを使用してJamfConnectをインストールするアクションを追加できます。

    Quick Start

  5. スコープに検証機を選択します。今設定している事前設定のスコープから選択解除しないと新しい方で選択できないので、もし何も選べない場合は今設定している方のスコープから外してください。

  6. では、元気よく検証機を初期化しましょう!!!!

おわりに

ということで、構成プロファイルの設定がとっても簡単仕様になったので、思い立ったその日に設定が終わってしまいました。昔に比べてゼロタッチデプロイのハードルがとっても下がった気がします。
PCが自由に触れるようになる前にすべての工程を完了してくれるので、管理者としては安心ですし、ユーザー側からしても今何をしているのか視覚的にわかりやすいので納得感があります。直近入社された方にも褒めていただけて大満足です。
もしこのブログを読んでよくわからないことがあったらJMUGに遊びにきていただければ、お話お伺いしますのでぜひぜひお待ちしております!
https://eventregist.com/p/jmug

NOT A HOTEL
NOT A HOTELPublication

NOT A HOTELは「世界中にあなたの家を」をコンセプトに、建築・ソフトウェア・ホテルサービスなどを掛け合わせることで、これまでにない暮らしをつくる会社です。NOT A HOTELのソフトウェアや体験にまつわる情報をお届けします。

Discussion