MacのOSバージョン管理をどう考える?企業で想定される課題と対策

  • Apple
  • Apple Blog
  • MacのOSバージョン管理をどう考える?企業で想定される課題と対策
  • MacのOSバージョン管理をどう考える?企業で想定される課題と対策

    新しいOSをすぐに適用するのは不安。他の企業はどうしてる?

    企業で使うPCは、どのOSを使っていたとしても定期的にアップデートを行います。 新たなセキュリティリスクや、ソフトウェアの更新に備えるために、法人組織にとっては必要な作業です。

    その一方、アップデートによっては古いソフトウェアに対応できなくなったり、業務を止めかねない致命的な不具合に遭遇してしまうことも...。 とはいえ組織内のOSバージョンがバラバラではサポート時のコストがかかりますし、予期できないトラブルに見舞われる可能性もあるでしょう。

    どのように足並みを揃えてアップデートを考えていくのか。
    特にノウハウの少ないMacについて、まとめてみました。

    2022年10月には、最新のmacOS Venturaが登場予定です!2022年10月初旬時点の最新情報も踏まえてお伝えします。

    OSごとのアップデートの特徴

    業務環境に大きな影響を与えやすいメジャーアップデート。
    どのような頻度、内容で行われているのでしょうか。まずは基本的な部分から見ていきましょう。

    Windows PC

    2021年11月、6年ぶりに公開された最新メジャーバージョンであるWindows 11
    画面の配置やデザイン、ファイル処理時のアクション等がWindows10から変更され、操作性には大きな差異が生じました。

    WindowsはWaaS[Windows as a Service]をコンセプトとし、年に一度大型の機能アップデートを行います。(*2021年11月発表内容)
    今はWindows11への移行期にありますが、Windows10は2025年10月にサポート終了予定とのことですので、それまでにアップデートの準備が必要になります。

    Windowsの場合、メジャーバージョンという意味でのアップデート頻度は少ないですが、その分アップデート時にはUI変更を含む大幅な変化を想定する必要がありそうです。

    Mac

    Macシリーズに搭載されているmacOSは、およそ1年に1度、名称変更を伴うメジャーバージョンアップが行われます。
    ある程度一定のサイクルで行われるため、予測しやすい部分があります。例年、6月のイベントで次OSについての情報が解禁され、同年秋の9~11月頃に最新版が配信されます。

    2022年9月時点の最新バージョンはmacOS 12(Monterey)、そして2022年6月のWWDCで、同年秋以降に利用可能となるmacOS 13(Ventura)が発表されました。 ちなみに、iPhone用のiOSやiPad用のiPadOSも毎年秋にアップデートされます。

    Macはここ数年のバージョンアップを見る限り、UIや操作感の面で連続性のあるアップデートが行われています。通常利用の範囲では、ユーザの混乱は少ないでしょう。

    どちらのOSも「マイナーアップデート」としては頻繁にバージョン更新されており、新たに見つかった脆弱性や細かな修正、改善に対応してくれています。

    直近のMacハードウェア&OSのアップデート

    最近のMacの大きな変更点として、搭載CPUがAppleが開発したSoC(システム・オン・チップ)である「M1チップシリーズ」に変更されたことが浮かぶ方も多いのではないでしょうか。

    M1機種が初めて登場した時は、IntelのCPUと仕組みが全く異なるため、これまでのアプリケーションやプラグインが使えなくなるという事態が一部発生しました。

    ※実際には、AppleはRossetta 2という互換機能を用意しており、Intel版のアプリケーションはM1機でそのまま開くだけで起動・利用が可能です。
    ※一部プラグインや開発環境にはしばらく影響が出た期間がありました。

    その後上位チップであるM1ProやM1Max、上位バージョンであるM2チップも登場。2022年7月時点で、主流商品のほとんどにMシリーズのチップが搭載され、そのパワーを発揮しています。

    Multi-Product_Mac_M1_Chip_M2_Chip_Family_Screen__USEN.png Mac製品一覧へ通常リンク

    ゲーム業界や印刷業界といった特定の環境では、まだ古い端末が必要という方もいらっしゃるかもしれません。 とはいえ、M1チップへの変更から2年近くが経つ今では、Intel機種が市場でも手に入りにくくなり、徐々に移行せざるをえない状況です。

    チップの変更に伴う影響は、少しずつ落ち着いてきていると言えるでしょう。


    さて、最新のmacOSについても考えてみましょう。
    2022年10月より利用可能となる予定のmacOS 13(Ventura)では、多くの進化が発表されています。

    例えば、ステージマネージャにより起動中のアプリやウィンドウの切り替えが容易になり、Macはワークスペースとしてより進化するようです。 iPhoneとの連携や年内リリース予定の新しい共同作業アプリの登場も大きな変化となり得るでしょう。

    管理面で気になるのは、「システム環境設定」アプリの一新ではないでしょうか。
    iOS/iPadOSのような見た目の変化、そしてベータ版では「ネットワーク環境」が削除されていることが注目されました。名称も「システム設定」に変更になります。

    管理者及びユーザに影響を及ぼしかねない「システム設定」の変更を控える以上、MDM側のOS対応前にアップデートしてしまうと、混乱を産む危険性があります。

    そもそも、企業ユーザがOSアップデートをする際のリスクとしては、

    • マネジメントツール(MDMやセキュリティ系)の最新OS対応が遅く、管理対象から外れたり管理設定に不具合が生じたりする
    • 業務に利用するツールが未対応、検証が完了していない

    という2つが主に挙げられます。

    ベータ版で早めに検証が完了し、特に問題がなさそうであればユーザのタイミングで実施しても良いのですが...。

    まだアップデートをさせたくないという判断になった場合、企業では【リリースから○日経過まではアップデートを許可しない】など、MDM側の設定で制御する場合がほとんどです。

    MDM(Jamf Pro)によるOSアップデート制限

    構成プロファイルによる制御

    構成プロファイルを用いると、最も簡単に制御を行うことができます。
    アップデートを延期できるのは、【最長90日】となっています。

    3ヶ月で検証が終わるか不安...もっと長く制御したい、という声はよく上がるのですが、Appleは「最新OSを利用することはユーザの権利」と捉えているため、構成プロファイルの仕様上90日が上限となっています。これはJamf Pro以外のMDMでも同様です。

    この遅延設定を行うと、指定した日数の間はアップデート通知もユーザには行われず、システム環境設定からもアップデートが表示されません。
    こちらはマイナーアップデートにも適用されます。(macOS 10.15.4以降)

    昨年9月にリリースされたJamf Pro 10.32.0からは、より細かく延期オプションを設定することができるようになりました。

    新機能と拡張機能 - Jamf Pro リリースノート | Jamf外部サイト

    例えばメジャーアップデートのみ延期であれば下記のように「Only major software updates」を選択する形ですが、

    Jamf Proの管理画面

    このように、メジャーとマイナーで異なる延期期間を設けるなどの設定も可能となります。

    Jamf Proの管理画面

    ※最新機能を利用するためには、基本的にmacOS 11.3以降を搭載している必要があります。

    ●Appleデバイスのソフトウェア・アップデートを管理する - Apple サポート (日本)
    (「ソフトウェア・アップデートを延期する」の項目です。)

    ●Restrictions | Apple Developer Documentation
    (リリースノートに記載のプロパティ名称で検索します。)

    ※一方、macOS13からはマイナーアップデートは延期できなくなるという情報も出ています。今後、Jamf Pro側の対応がどうなっていくかは要確認です。

    [補足]緊急セキュリティ対応

    iOS 16、iPadOS 16、およびmacOS 13では、セキュリティ修正をより頻繁にユーザに配布する新しいメカニズムが導入されます。 これらの対応は、今後のマイナーアップデートに含まれます。 緊急セキュリティ対応は、管理対象ソフトウェアのアップデート延期には従いません。ただし、最新のマイナー・オペレーティング・システム・バージョンにのみ適用されるため、そのマイナー・オペレーティング・システム・アップデートが延期されると、セキュリティ対応も事実上延期されます。

    他に企業でよく取られているソフトウェアアップデート制限は、システム環境設定の「ソフトウェアアップデート」を制限プロファイルでグレイアウトして操作できなくする方法です。

    管理者権限が無ければ、インストーラーやターミナルからはソフトウェアアップデートが使用できませんので、一般権限ユーザーの企業であれば、この制限だけでもそれなりに効果があります。

    ※ただし、システム環境設定の項目をグレイアウトさせる制限はmacOS13から非推奨になるようです。すぐに使えなくなるわけではありませんが、今後の情報アップデートに注視が必要です。

    制限付ソフトウェアによる制御(Mac)

    ユーザに管理者権限を与えている場合は、全てのmacOSのインストーラの起動をブロックすると確実です。 制限付ソフトウェアの項目で、ユーザ操作による[InstallAssistant]の実行をブロックできます。

    スクリーンショット 2022-09-12 18.40.56.png

    ※画像のように特定OSのインストーラーのみブロックしても良いですが、ユーザにより名称が書き換えられる可能性があるなら、[InstallAssistant]で全てをブロックすると良いでしょう。

    こうしてユーザによるアップデートを延期している間に、最新OSに備える検証を進めましょう。

    AppleSeed for IT(管理者向けプログラム)外部サイト

    からベータ版にアクセスし、早期に検証を進めることができます。
    ※Apple Business ManagerまたはApple School Managerの登録が必要です。

    OSアップデートを実施する

    検証完了後は、順次アップデートを許可することになると思います。

    ※Apple Silicon Macから、ボリューム所有権という概念が導入されました。
    ソフトウェアアップデートを実行するユーザは、ボリューム所有権を保持している必要があります。(よほど特殊な運用をしていない限り、ボリューム所有権がないということはないと思いますが...。)

    ※Apple社製品(OS)のサポート終了日は非公開ですが、過去の履歴を見る限り【リリースより3年】を目安にアップデートが行われなくなっています。 3世代以上前のOSを利用し続けることは、セキュリティの観念から避けるようにしましょう。
    (Jamf Proのスマートグループで、「less than "3世代前のOS"」と条件設定することで古いOSの端末を洗い出せます。)

    さて、アップデートを許可する際も、ただユーザにアップデート指示を出すだけでは様々な問い合わせが来てしまう可能性があります。
    以下のような内容で、きちんと案内を準備すると良いでしょう。

    • 業務ツールの最新OS対応状況
    • アップデートして良いチーム、対象機種など
    • 必要な空き容量
    • インストーラーの配布方法(プッシュ配布 or Self Service)
    • プッシュ配布 or SelfService解放 の実施日時
    • ユーザ側の実施項目と方法

    まずはJamf Proの「スマートグループ」で条件設定をし、対象端末を特定するところからスタートです。

    iOS、iPadOSのアップデートを実施

    iPhone、iPadのアップデートについてはアクションコマンドで簡単に実行できます。

    スクリーンショット 2022-09-12 18.49.20.png

    アップデートのコマンド送信は、構成プロファイルによる遅延設定より優先されるため、実行のタイミングには注意してください。
    ※監視対象の端末のみが対象となります。
    ※端末にパスコードがかかっている場合、ユーザ側の操作が必要です。

    インストールアクションで「Download the update for users to install」を選択すれば、ユーザが任意のタイミングでアップデートを実施できます。

    macOSのアップデートを実施

    macOSのアップデートもアクションコマンドで実行できますが、こちらは原則「自動デバイス登録」がされている端末のみが対象です。

    ※macOS 11.0以降であれば、手動エンロールでもデバイスが"監視対象"として登録されアップデートコマンドを利用可能です。
    ※アクションコマンドを送るためには、ブートストラップトークンがMDMに収集されている必要があります。基本的には自動で収集されますが、稀に収集に失敗していることがあります。
    ブートストラップ収集の有無はJamf Proのインベントリ>セキュリティから確認できます。(日本語表示だと文字化けしているので、英語表示にするのをおすすめします。)

    ただしMacの場合、実際はアクションコマンドで進めることは少ないでしょう。

    一般的には、Install macOS ○○.app(〇〇にはVenturaなどの名称)としてインストーラーを対象となるMacに配布し、「インストーラーを配布済みの端末グループ」に対して[startosinstall]コマンドを用いてインストールを実行する(実行用ポリシーをSelfserviceにて配布し、ユーザ自身で実行する)ケースが多いようです。

    このように設定しておくと、自動デバイス登録がされていない端末も対象としつつ、配布を自動化できます。 ユーザは空き容量やバッテリー残量を確認し、任意のタイミングでアップデートを実施できます。

    macOSのインストーラーの入手・配布にはいくつか方法があります。

    • App Storeでの入手(スクリプトを利用して自動化可能です。)
    • Apple Business Managerを経由した一括購入(ディスクイメージを作成する必要があります。)
    • [softwareupdate] コマンドで入手(失敗することがあります...。)

    自社にあった方法で行いましょう。

    まとめ

    今回、Apple製品の管理に特化した「Jamf Pro」を用いたアップデート制御についてご説明しました。

    最新OSリリースのタイミングは、Jamf Proの2つの特長である

    ①最新OSへのゼロデイ対応
    ②柔軟なグルーピングと配布設定

    が最も発揮される瞬間とも言えます。

    MDM側のOS対応が遅ければ、そもそも管理がいつから出来るようになるのか不透明になります。
    管理者目線になると、「最新OSの対応時期を心配する必要がない」というのは非常に大きなポイントでしょう。

    そして、条件設定で工夫することで、アップデートに関わるユーザ体験をより向上させることもできます。 ユーザへのメッセージや通知の表示はもちろん、セルフサービスによる任意の実行・バッテリー容量等の項目を考慮に入れたグループ選択等も可能です。

    記事は2022年10月 3日現在の内容です。

    Apple Blog Topへ

    この記事に付けられたタグ

    おすすめ記事を見る