【番外編】MacのOSバージョン管理をどう考える?Jamf Connectの再有効化について。
Jamf Connect利用時の注意点とは?
2022年10月25日にいよいよmacOS Venturaがリリースされます。
先日、企業でMacのOSアップデートを管理する際の課題と対策に関する記事を公開させて頂きましたが、今回は番外編ということで、Jamf ConnectをインストールしているMacにおけるOSアップデート管理についてご案内できればと思っています。
通常の場合となにが異なるかといえば、Jamf ConnectをインストールしているMacでOSのメジャーアップグレードを行った場合、ログインウィンドウがmacOS標準の状態にリセットされてしまうという点になります。
目次
はじめにはじめに
冒頭にも書かせて頂いたとおり、Jamf ConnectをインストールしているMacでOSのメジャーアップグレードを行った場合、ログインウィンドウがmacOS標準の状態にリセットされてしまいます。
macOS のメジャーアップグレード後にログインウィンドウを再有効化する - Jamf Connect ドキュメント | Jamf
その際はJamf Connect ドキュメントに記載されているとおり、以下のauthchangerコマンドを実行し、Jamf Connectログインウィンドウを再度有効化する必要があります。
/usr/local/bin/authchanger -reset -jamfconnect
ただ、こちらのコマンドをどのタイミングで実施すれば良いかについては、お客様の環境や運用によって変わってくるかと思います。 そのため今回は対応方法のサンプルを3パターンご用意しましたので、以下にご紹介させて頂きます。
サンプル1:OSアップグレード後にユーザ自身で実施
サンプル1では、authchangerコマンドを実行するポリシーをSelf Serviceアプリ上に掲示し、「OSアップグレード後のオペレーションとしてエンドユーザ自身で行って頂く」ことを想定しています。
※事前の周知徹底が必要だったり、強制力を持たない対応方法ではありますが、運用が軌道に乗れば管理者としては手離れが良い方法とも言えなくはないかと...。
ポリシーの設定内容については以下の内容をご参照ください。
サンプル2:Jamf Connectが有効化されていないデバイスに対して自動的に適用
サンプル2では、拡張属性およびスマートグループを活用することで、「Jamf Connectログインウィンドウが有効化されていない」デバイスに対して自動的にauthchangerコマンドを実行することを想定しています。
今回のメインターゲットは「OSのメジャーアップグレードを行った」デバイスですが、この対応方法であれば、例えば以下のコマンドをターミナルから実行して明示的にJamf Connectログインウィンドウを無効化してしまった...、などのケースにも対処することが可能です。(そんなことをする人はいないと信じたいですが...。)
sudo authchanger -reset
※authchangerコマンドについては以下のページをご参照ください。
authchanger - Jamf Connect ドキュメント | Jamf
まずは、以下のようなスクリプトをもとにJamf Connectログインウィンドウが有効化されているかどうかを示す拡張属性を作成します。
See the Pen Untitled by 株式会社Too【Apple Business Team】 (@too_applebiz) on CodePen.
| 表示名 | 任意(今回は「authchanger status」としています) |
|---|---|
| データタイプ | String |
| インベントリ表示 | 任意 |
| 入力タイプ | Script |
次に、Jamf Connectログインウィンドウが無効化(Disabled)されているデバイスをピックアップするスマートグループを作成します。
※今回の拡張属性の場合、Jamf ConnectがインストールされていないデバイスについてもDisabledとなるため、「Jamf Connectがインストールされている」ことを示すクライテリアを1つ目に定義しています。
このスマートグループに含まれるデバイスに対してauthchangerコマンドを実行することによって、Jamf Connectログインウィンドウを再度有効化します。
実行するポリシーに関してはサンプル1をベースとしつつ、以下のようにトリガーと実行頻度の変更、メンテナンスペイロードによってインベントリのアップデートなどを追加して頂ければと思います。
サンプル3:OSアップグレードされたデバイスに対して自動的に適用
最後にサンプル3では、スクリプトによってデバイスの毎起動時に前回のOSビルド情報との比較を行い、「バージョンが異なっている(=OSアップグレードされた)」デバイスに対して自動的にauthchangerコマンドを実行することを想定しています。
こちらに関しては以下の記事に紹介されている内容にもとづいています。
Re-enabling Jamf Connect Login after an in-place macOS Upgrade
ステップ1
まず、事前準備として以下の設定を必ず有効にしてください。 ●設定 > コンピュータ管理 > チェックイン > 起動スクリプト
ステップ2
次に「Jamf Connectがインストールされている」デバイスをピックアップするスマートグループを作成します。
ステップ3
authchangerコマンドを実行してJamf Connectログインウィンドウを再度有効化するポリシーを定義します。
ステップ4
最後に、「デバイスの毎起動時に前回のOSビルド情報との比較」を行うポリシーを定義します。 今回使用するスクリプトについては以下のページから入手可能です。
Re-enable Jamf Connect Login.sh · GitHub
内容をコピーした後、以下のメニューからスクリプトを新規追加してください。 ●設定 > コンピュータ管理 > スクリプト > 新規
その他、ポリシーの詳細については以下の内容をご参照ください。
まとめ
いかがでしたでしょうか?
新OSについては今後も基本的に毎年リリースされることが予想されます。せっかく導入したJamf Connectも、OSのメジャーアップグレードによって気づいたらリセットされていた...、となるとセキュリティリスクに繋がりかねません。
Jamf Proを活用して少しでも手間を減らしつつセキュアにデバイスを管理していく...、本記事がそのための一助となれば幸いです。
今回の対応方法に関してJamf Proの機能に関する部分や、Jamf Connectに関するご相談など、気になることがございましたら、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!
記事は2022年10月20日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
