ハイライト
Apple は社内のゼロタッチ展開プロセスをデモしました。デバイスはサプライ チェーンから従業員に直接送られ、初めて電源を入れると、Apple Business Manager、MDM、APN を通じて登録、アプリケーション配布、セキュリティ設定が自動的に完了します。
主要内容
以前は、会社のコンピューターが支給されると、IT 部門は箱から出して、システムをインストールし、イメージを作成し、アカウントを作成し、ソフトウェアをインストールしてから、コンピューターを従業員に引き渡す必要がよくありました。リモートワークが急激に拡大すると、このプロセスがボトルネックになります。デバイスは IT 部門の管理下に並べられ、従業員は自宅でマシンを待機し、そもそもデバイスにセキュリティ ポリシーを適用することが困難になります。
Apple はこのセッションで自社の実践について語ります。デバイスが購入されると、シリアル番号、注文書、および購入日が再販業者のプロセスを通じて Apple Business Manager に入力されます。組織はデバイスをデフォルトの MDM サーバーに割り当て、デバイスの最初の起動時にセットアップ アシスタントを開始し、アクティブ化と登録中に初期管理構成を受け取ります。
このプロセスの目標は単純明快です。デバイスをサプライ チェーンから従業員の自宅に直接配送できるようになります。ユーザーは必要な設定を完了するだけで、エンタープライズ アプリケーション、Wi-Fi、VPN、電子メール カレンダー、FileVault などのセキュリティ項目が MDM によってプッシュされます。 Apple がプレゼンテーションで示した内部規模は、MDM 管理者あたり 20,000 台のデバイスでした。
感染症流行中、この機能は真のビジネス継続ツールとなりました。 Apple は、オフィス機器を持ち去ることができない従業員に新しい Mac を直接発送し、従業員はマシンの電源を入れた後、ゼロタッチ登録を通じて仕事を再開できます。このプロセスがなければ、IT はマシンごとにプロビジョニングする必要があり、影響を受ける従業員は長時間ダウンすることになります。
詳細
1. デバイスはどのようにして組織の管理リンクに入るのですか?
(03:32) ゼロタッチ展開は調達から始まります。ディーラーは、シリアル番号、注文書、購入日、その他の情報を含むデバイスレコードを Apple Business Manager に送信します。 Apple Business Manager は、リセラー ID に基づいてデバイスを組織アカウントに配置し、組織のデフォルトのターゲットに従って MDM サーバーに割り当てます。
purchase from reseller
-> reseller sends device details to Apple Business Manager
-> Apple Business Manager assigns device to the organization's MDM target
-> Setup Assistant starts enrollment on first boot
-> MDM applies pre-stage profiles and management settings
キーポイント:
purchase from resellerこれはリンク エントリであり、デバイス情報を IT 部門が各マシンに手動で入力する必要はありません。 -Apple Business Manager assigns device従業員がデバイスの電源を入れる前に、組織がデバイスがどの MDM 環境に属するかを決定できるようにします。 -Setup Assistant starts enrollment最初の起動プロセスに登録アクションを配置することで、ユーザーは追加の管理ツールをインストールする必要がなくなります。 -MDM applies pre-stage profiles講義中のプリセット設定に対応して、デバイスのセットアップ時に初期設定が発行されます。
2. APN とプロキシ ネットワーク
(05:40) 講演では、macOS 10.15.4 および iOS 13.4 以降、APN がプロキシ構成をサポートすると述べました。 MDM とデバイス間の管理通信は Apple Push Notification サービス (APN) に依存しているため、これはデフォルトでアウトバウンド トラフィックを拒否するエンタープライズ ネットワークにとって重要です。
PAC file specifies web proxy
-> APNs traffic uses the proxy
-> MDM can reach devices on proxy-enabled networks
-> APNs payload remains encrypted and cannot be inspected
キーポイント:
PAC file specifies web proxy説明 エージェントの検出は、エージェントの自動構成ファイルから行うことができます。 -APNs traffic uses the proxyこれは、管理対象ネットワークによる管理トラフィックの解放を容易にする、今回言及した新しいネットワーク機能です。 -MDM can reach devicesデフォルトで拒否されるネットワーク内のデバイスにMDMコマンドが安定して到達できない問題を解決しました。 -payload remains encryptedAPN 通信のセキュリティ境界は維持され、ネットワーク デバイスはデータを検査できません。
3. セットアップ アシスタントに残すべき手順は何ですか?
(09:31) ゼロタッチ導入とは、すべての選択肢をシステムに委ねることを意味するものではありません。 Apple のアプローチは、ローカル アカウントの作成やパスワード要件などの重要な手順を保持しながら、不要なセットアップ アシスタント画面をスキップすることです。ユーザーはデバイスが組織によって管理されていることを認識しており、登録画面にカスタム MDM プロンプトが表示されます。
Setup Assistant design
keep: language, network, local account, secure password
skip: nonessential screens that slow deployment
show: custom MDM enrollment notification
finish: install required apps and security profiles
キーポイント:
keep省略できないユーザー入力、特にローカル アカウントとパスワード ポリシーを表します。 -skip講演での画面設定を減らす習慣に対応し、開封からデスクトップに至るまでの時間を真に短縮することが目的です。 -showApple の透明性の重視に沿って、デバイスが組織の管理に追加されることをユーザーに明確に知らせます。 -finish登録完了後の着陸動作です。アプリケーションとセキュリティの構成は、ユーザーがデスクトップにアクセスする前後に準備ができている必要があります。
4. アプリケーション、アイデンティティ、セキュリティ ポリシーの実装順序
(10:58) デバイスが MDM に入ると、Apple はビジネスに不可欠なアプリを自動的にインストールし、メール、カレンダー、VPN、および内部ワイヤレス ネットワークを構成します。ユーザーがシングル サインオン (SSO、シングル サインオン) クライアントにログインした後、MDM は、LDAP グループとユーザー ロールに基づいて、さまざまな構成、ポリシー、アプリケーション、および設定をデバイスに配信することもできます。
MDM enrollment completes
-> install business-critical apps
-> configure Mail, Calendar, VPN, and Wi-Fi
-> read identity through SSO and LDAP groups
-> scope profiles, policies, apps, and settings by role
キーポイント:
install business-critical appsこれは、従業員がデスクトップを開いてすぐに作業できるように、自動インストール キューを配置するのに適しています。 -configure Mail, Calendar, VPN, and Wi-Fiスピーチの基本的な生産性設定に対応します。 -read identity through SSO and LDAP groupsユーザーのアイデンティティを管理条件に変えます。 -scope profiles1 つの設定ですべてのデバイスをカバーすることを避けるために、部門、役職、またはセキュリティ レベルごとに異なるポリシーを取得できるようにします。
5. 連絡が取れなくなった場合、退職した場合、および機器が準拠していない場合の対処方法
(13:20) このスピーチでは、MDM 構成データの削除、特定の構成またはプロビジョニング プロファイルのみの削除、Mac のリモート ワイプ、デバイスのリモート ロックなど、いくつかの種類のセキュリティ処理が列挙されています。これらのアクションでは、コマンドを受信するためにデバイスがネットワーク接続されている必要があります。
if device is lost, stolen, out of policy, or user leaves
option A: remove the MDM configuration profile
option B: remove selected configuration and provisioning profiles
option C: remotely wipe the Mac
option D: send remote lock command
キーポイント:
option Aこれにより、デバイスと MDM の関係が終了し、MDM によってインストールされたアカウントと設定が削除されます。 -option Bデバイスを管理し、削除する必要がある構成のみをクリーンアップすることで、デバイスが準拠状態に戻ったときに再登録する必要がなくなります。 -option Cメディアとデータを完全に削除するために使用されます。 -option D端末紛失時の出入口ロックに適しており、管理者が解錠パスワードを設定できます。
6. アプリの配布は個人の Apple ID に依存しません
(14:46) Apple は、ユーザーに最初に Apple ID の設定や招待の承諾を要求する代わりに、VPP と MDM を使用してアプリをデバイスに配布します。多くのデバイスでは、macOS コンテンツ キャッシュにより、アプリ、システム アップデート、その他の Apple コンテンツもローカルにキャッシュされます。
device-based app management
-> assign apps through Apple Business Manager and MDM
-> install apps without a user's Apple ID
-> use macOS content caching for large fleets
-> prepare for managed apps in macOS Big Sur
キーポイント:
device-based app management共有デバイス、新入社員のデバイス、個人の Apple ID を持たないシナリオに最適です。 -install apps without a user's Apple ID入社初日のアカウントブロックを減らします。 -content caching大規模なインストールやシステムの更新によって引き起こされる外部ネットワークへの負荷を軽減できます。 -managed apps in macOS Big Sur講演の中で言及されたフォローアップの方向性として、IT 部門は重要なアプリが削除されるのを防ぐことができます。
重要ポイント
1. リモートオンボーディング機器パッケージを作成する
- やるべきこと: 自動登録、アプリの自動インストール、ネットワークおよびセキュリティ ポリシーの自動構成を行う、新入社員向けの Mac 配布プロセスを準備します。
- 実行する価値がある理由: このセッションの中心的なシナリオは、デバイスが従業員に直接送信され、最初の起動後に MDM に入り、必要な構成を完了することです。
- 開始方法: まず、デバイスが MDM に割り当てられることを Apple Business Manager で確認し、次にセットアップ アシスタントでアイテム、プリセット構成、およびビジネス クリティカルなアプリを最小限のポリシー グループにスキップします。
2. プロキシ ネットワークで MDM 接続チェックを実行します。
- 対処方法: 管理対象ネットワークの APN プロキシ接続チェックリストを作成します。
- 実行する価値がある理由: この講演では、APN が PAC 指定の Web プロキシを介して通信できることが明示されており、デフォルトでアウトバウンド トラフィックを拒否する業界ネットワークに適しています。
- 開始方法: PAC URL を検出し、構成データを使用してプロキシ設定を配信し、デバイスが MDM コマンドを受信できることを確認する方法をネットワーク チームに確認します。
3. ID ごとに階層化された構成戦略を作成する
- 内容: 異なる LDAP グループまたはユーザー ロールが異なるアプリケーション、プロファイル、セキュリティ ポリシーを受信できるようにします。
- 価値がある理由: Apple の内部プロセスは、SSO クライアントを通じてユーザー情報を取得し、LDAP グループとロールを使用して管理範囲を決定します。
- 開始方法: まず、試験運用する部門を選択し、電子メール、VPN、Wi-Fi、FileVault、アプリケーションのインストールを再利用可能なポリシーに分割し、次にグループごとに範囲を設定します。
4. 非準拠デバイスに対する応答スクリプトを作成する
- やるべきこと: 紛失、盗難、退職、コンプライアンス違反の 4 種類の状況に対応した MDM 操作スクリプトを作成します。
- 実行する価値がある理由: このスピーチでは、さまざまなリスク レベルに対応して、リモート ロック、リモート ワイプ、構成データの削除、MDM 関係のクリーンアップ構成の保持がリストされています。
- 開始方法: イベントの種類ごとにトリガー条件、承認者、MDM コマンド、およびユーザー通信テンプレートを定義し、テスト デバイスで練習します。
5. デバイスレベルのアプリ配布ベースラインを作成する
- 対処方法: ビジネスクリティカルなアプリをデバイスレベルの配布に変更して、展開プロセスに対するユーザーの Apple ID の影響を軽減します。
- 実行する価値がある理由: 講演では、VPP と MDM はアプリをデバイスに直接配布できるため、大規模な展開やデバイスの共有に適していると説明しています。
- 開始方法: Apple Business Manager でアプリを購入または配布し、必須インストールとセルフサービス インストールを 2 つのグループに分けて、大規模ネットワークの macOS コンテンツ キャッシュを有効にします。
関連セッション
- Apple デバイス管理の新機能 — 2020 年の Apple デバイス管理の新しい構成とプラットフォーム機能について学び続けます。
- エンタープライズ ID と認証の活用 — エンタープライズ ID、SSO、認証が管理対象デバイスのプロセスにどのように組み込まれるかについての理解を深める。
- AppleSeed for IT と管理されたソフトウェアの更新を確認する — ゼロタッチ展開でシステム バージョンのテストと管理されたソフトウェアの更新を計画します。
- Apple Business Manager を使用したカスタム アプリの配布 — Apple Business Manager を使用してエンタープライズ カスタム アプリを配布する方法について説明します。
コメント
GitHub Issues · utterances