- 投稿日:2020-10-12T22:33:04+09:00
Jamf Connect 2.0.0 with Azure ADを検証してみた(動作確認編)
はじめに
本記事は Jamf Connect 2.0.0 with Azure ADを検証してみた(設定編)の後編となる動作確認編です。Jamf Connectの設定については設定編をご覧ください。
セットアップ開始
DEPに登録されたMacの電源を入れ、通常のセットアップと同じように言語やキーボードの設定、ネットワークの設定に進みます。
ネットワーク接続ができるとリモートマネージメントの画面に遷移し、MDMサーバ(Jamf Pro)と通信して構成プロファイルやパッケージがインストールされます。
時間帯を選択します。位置情報を有効にすると何かと便利ですね。
設定が進みしばらくするとJamf Connectが起動し、Idpのログイン画面が表示されます。
アカウント、パスワードを入力して、もちろんIdpのMFAも利用可能です。
Idpのアカウントと同アカウントでローカルアカウントを作成するため、Idpアカウントと同じパスワードを入力します。
Jamf Connectのアカウント作成はここまでで完了し、しばらくするとMacのデスクトップが表示されます。
このアカウント作成の流れでもわかるように、Jamf ConnectはIdpのアカウント情報を元に、macOSにログインできるローカルアカウントを作成します。macOSのローカルアカウントをIdpアカウントにバインドするツールではないので間違えないようにしましょう。
以降の説明はこの前提を頭に入れて読み進めてください。
Jamf Connectアプリ
セットアップが完了すると Jamf Connectアプリがインストールされます。
起動するとメニューバーに常駐します。このアプリが起動していないとIdpアカウントとMacのローカルアカウントの同期ができません。
再起動
再起動したときの動作です。
設定アシスタントのときと同じようにJamf Connect(Idp)のログイン画面が表示されます。
MFAの認証も利用可能です。Idpの認証を突破すると、「検証パスワード」入力画面でローカルアカウントのパスワード(Idpアカウントと同じ)を入力する必要があります。
同じパスワードを2度入力する必要があるのは少し手間ですね。。。。ネットワークに接続してない場合は?
Idpの認証ができるのはネットワークに接続しているときだけです。
ネットワークが利用できないときは「ローカルログイン」のボタンを押すとローカルアカウントでログインできます。
ローカルログインができるのは、設定時(Jamf Connect Configrationアプリ)で「ローカルフォールバック」を有効に設定した場合のみです。
FileVault2 を有効にしている場合
FileVault2を有効にしている場合はもう1STEP必要になります。
FileVault2を有効にした状態で再起動すると、まずFileVault2のロック解除するパスワード入力を求められます。(通常のmacOSログイン画面と同等)
このパスワードはIdpアカウントのパスワードと同じはずです。
FileVault2のロック解除を突破できるとIdpの認証画面になります。
そしてこの認証を突破するとローカルアカウントのパスワード入力画面になります。つまり、FileVault2を有効にした状態で再起動すると、
・FileVault2ロック解除パスワード
・Idpアカウントパスワード
・検証パスワード(ローカルアカウントパスワード)
と同じパスワードを3回入力しなければならないのです。バージョン2.0.0の時点で、この動作は仕様のようです。
正直これはかなり手間です。今後改善されることを期待しましょう。
アカウントロック
次にアカウントロックした場合の動作です。
アカウントロックはローカルアカウントに対するロックの動作で、このロック解除の操作はJamf Connectを介しません。
従って、通常のアカウントロック解除と同じがめん、同じ操作になります。
逆に言うと、アカウントロック解除ではIdp認証を通すことはできません。パスワード変更
次にパスワード変更の動作を見ていきましょう。
Jamf Connectを運用していると以下2つのアカウント、パスワードを意識する必要があります。
・Idpのアカウントとパスワード
・macOSのローカルアカウントとパスワード
それぞれの変更方法について見ていきましょう。Idpアカウントのパスワードを変更した場合
IdpアカウントのパスワードはIdpのパスワード変更画面で行います。
Azure ADの場合、パスワード変更は https://account.activedirectory.windowsazure.com/ChangePassword.aspx から行いますが、設定(Jamf Connect Configrationアプリ)の中でChange Password URLを設定しているとJamf Connectアプリからパスワード変更画面を呼び出すことも可能です。
1度認証してから
パスワード変更画面へ。Azure AD側のパスワード変更が完了すると、Jamf ConnectはNetwork check in Frequencyで設定した周期でアカウントの差異をチェックし、パスワードが一致しない場合は同期するように要求されます。
↑この画面はIdpアカウントのパスワードを入力
↑この画面は現在のmacOSのローカルアカウントのパスワードを入力
するとmacOSのローカルパスワードはIdpアカウントのパスワードと同期されて完了します。macOSローカルアカウントのパスワードを変更した場合
もうひとつのパターンとしてmacOSローカルアカウントのパスワードを変更した場合の動作を見ていきましょう。
通常のmacOSローカルアカウントパスワード変更と同じ手順で
システム環境設定 > セキュリティとプライバシー > 一般
を開き、「パスワード変更」からパスワードを変更します。先にIdpアカウントのパスワードを変更した場合の動作に記載した通り、Jamf ConnectはIdpアカウントとmacOSアカウントのパスワードに差異があった場合、Idpアカウントのパスワードに同期する動きになります。
従って、macOSローカルアカウントのパスワードを変更しても、Idpアカウントに反映されることはなく、逆にIdpアカウントのパスワードに同期する(元に戻す)ように求められてしまいます。まとめ
ということで、検証のまとめです。
冒頭のセットアップのセクションの後半にも記載しましたが、Jamf ConnectはmacOSのローカルアカウントをIdpアカウントにバインド(自動同期)するツールではなく、あくまでも2つのアカウントを連携する(まさにConnectする)ツールです。同期の方向は、現時点では双方向ではなく、Idp → macOSローカルアカウントの一方向のみです。この動作仕様を間違えて認識していると「ちょっと思っていたものと違う。。。」ということになってしまうので気をつけましょう。
まだ検証が十分でなく、もしかしたら隠れた便利な機能や課題点として書いたことに対して解決方法があるかもしれません。書いてあることや認識が間違っていることがあればどんどんご指摘ください。
バージョンが2.0.0になりまだまだ進化が続くと思うので、今後も期待していきたいです。
- 投稿日:2020-10-12T22:30:00+09:00
Jamf Connect 2.0.0 with Azure ADを検証してみた(設定編)
はじめに
MacのアカウントをIdpアカウントと連携することができるJamf Connect。先日新しいバージョンの2.0.0がリリースされたので早速検証してみました。なお、当方Jamf Connectに触れるのは今回が初めてで、検証に際しては @soh19さんの記事 をめちゃめちゃ参考にさせていただきました。ありがとうございました。
本記事は @soh19さんの記事 をベースに2.0.0になって変わった点を中心に記載していきます。前バージョンとの違い
パッケージ構成
前バージョン(1.xx)までJamf Connectを構成するコンポーネントは
- Jamf Connect Login
- Jamf Connect Verify
- Jamf Connect Sync
という3つで構成されていましたが、2.0.0 では Verify と Syncが統合されて
- Jamf Connect Login
- Jamf Connect
の2つのコンポーネントに変わりました。
pkgファイル も JamfConnect.pkg ひとつにまとまっています。
Configuration アプリ
Jamf Connect Configurationアプリも上記のパッケージに合わせて構成が変わりました。
・日本語対応
・XML Editor機能搭載
あたりが目新しいところでしょうか。
公式マニュアル
公式マニュアルはこちらです。
英語版 https://www.jamf.com/resources/product-documentation/jamf-connect-administrators-guide/
日本語版 https://www.jamf.com/ja/resources/product-documentation/jamf-connect-administrators-guide/設定
では具体的に設定を見ていきましょう。
今回はDEPを利用してmacOSの最初のセットアップである設定アシスタントの中でIdpと連携してアカウントを作成する設定を作っていきます。Azure AD の設定
公式マニュアルにはこのあたりに書いてあり、ほぼそのまま設定するだけです。
@soh19さんの記事も詳しく書いてあるのでそちらも参考にしてください。注意点としては、エンタープライズアプリケーションの設定から「ユーザとグループ」でJamf Connectを利用できるユーザ(またはグループ)を設定しないと正常に動作しないので忘れずに設定しましょう。
Configurationアプリで設定ファイル(plist)をつくる
Jamf Connect Configurationアプリで設定ファイルを作ります。
バージョンが2.0.0になり日本語化されて多少見た目が変わっていますが、基本的に設定内容は前バージョンと変わりません。各項目の設定は@soh19さんの記事も参考にしてください。アイデンティティプロバイダタブ
- アイデンティティプロバイダ
- OIDCクライアントID
- ROPGクライアントID
- OIDCクライアントURL
を設定します。
「ライセンス選択」ボタンがありますが、ここではライセンスファイル(.mobileconfig)を選択しません。
ライセンスファイルの登録方法は後述します。Loginタブ
この設定は設計次第です。必要な設定にチェックを入れたり、設定値を入力します。
こちらも公式ガイドや@soh19さんの記事が詳しいので参考にしてください。Connectタブ
Connectタブは前バージョンのVerifyタブに相当する設定です。
ROPG Client IDはアイデンティティプロバイダタブで設定したものが自動的に設定されます。
Password欄の各項目を要件に応じて設定すると良いと思います。
IdpがAzure ADの場合
- Change Password URL: https://account.activedirectory.windowsazure.com/ChangePassword.aspx
- Reset Password URL: https://passwordreset.microsoftonline.com/
あたりを設定すると良いと思います。
(注)
ただし、Azure ADパスワードをリセットできるようにするためには設定が必要です。
また2.0.0ではこの値を設定してもAzure ADパスワードリセットページは表示できませんでした。。。plistファイル作成
ここまでできたら設定をJamf Proにデプロイするためのplistファイルに出力します。
メニューバーから ファイル > 保存 を選ぶとダイアログが表示されます。
ここでの操作は
- 1. Applicaitonで「Jamf Connect Lgoin」、ファイル形式は「Property List .plist」を選択
- 保存ファイル名は「com.jamf.connect.login.plist」
- 2. Applicaitonで「Jamf Connect」、ファイル形式は「Property List .plist」を選択
- 保存ファイル名は「com.jamf.connect.plist」
それぞれの操作を行い、2つのplistを保存してください。
Jamf Proへデプロイ
Jamf Proに Connectのpkgファイルの登録、構成プロファイルを登録します。
まだDEPで展開するために Prestage Enrollmentも設定します。pkgファイルの登録
前バージョン(1.xx)までは login と verifyまたはsync の2つのpkgの登録が必要でしたが、2.0.0 からは JamfConnect.pkg の1ファイルだけの登録でよくなりました。
と言うことで、 設定 > コンピュータの管理 > パッケージ から JamfConnect.pkg を登録します。
DEP用 Smart Computer Groupの作成
今回はDEP端末を対象にJamf Connectを展開するのでDEP端末が対象になるSmart Computer Groupを作成します。
Criteria:Enrolled via Automated Device Enrollment」
オペレータ: is
数値: Yes
でDEP登録された端末が対象のグループが作成されます。
構成プロファイル
Jamf Connect Configrationアプリで作成した2つのplistを構成プロファイルとして登録します。
構成プロファイル > アプリケーションとカスタム設定 から
・com.jamf.connect.login.plist
・com.jamf.connect.plist
をそれぞれアップロードして登録します。
Scopeは上記で作成したDEP端末を対象にしたSmart Computer Groupを指定します。
PreStage Enrollment
DEPを利用してセットアップアシスタントの中でJamf Connect Loginを起動してアカウントを作成するための設定を行います。
一般
一般設定は特にJamf Connectに特化して設定する内容はありません。
必要に応じて設定を行ってください。
アカウント設定
「セットアップアシスタントの前にローカル管理者アカウントを作成する」にチェックを入れ、「ユーザ名」「パスワード」を設定します。そして「ローカルユーザアカウントタイプ」では「アカウントの作成をスキップ」 を選択します。
必要以上にローカル管理者アカウントを作成したくない場合でも、この設定でローカル管理者アカウントの作成が必要になります。
構成プロファイル設定
構成プロファイルは「com.jamf.connect.login.plist」を登録した構成プロファイルのみチェックを入れます。
登録パッケージ
登録パッケージはもちろん「JamfConnect.pkg」、配布ポイントは「Cloud Distribution Point (null)」を指定してください。
Scope
最後にScopeはDEP端末を対象にしたSmart Computer Groupを指定して保存して設定完了です。
設定は以上です。
DEP(JamfPro)に登録した端末を起動してセットアップを開始してみましょう。
Jamf Connect 2.0.0 with Azure ADを検証してみた(動作確認編)へ続く。
Appendix : ライセンス登録
Jamf Connectのライセンスファイルは「Jamf Connect License Key - xxxx.mobileconfig」というようなファイル名で購入した販売店から提供されると思います。
このライセンスファイルの登録方法は公式ガイドに記載されていますが、実はちょっと罠があります。
ライセンスファイルは公式ガイドの通り 構成プロファイル > アップロード で登録します。
公式ガイドではこれだけなのですが実はまだ続きがあり、このあと保存する前に「アプリケーションとカスタム設定」に移動して以下の操作が必要です。
こちらのキャプチャのとおり、2つのペイロードに対してそれぞれ「ファイル(PLIST)ファイルをアップロード」を選択してください。アップロードボタンが表示されますが、何もアップロードしなくて大丈夫です。ボタンの下にライセンスファイル情報が表示されることを確認して保存してください。これでライセンス登録OKとなります。この操作は公式ガイドには記載されてないので、やらないといつまでたってもライセンス認証されないのでご注意ください。