Upgrade to Pro — share decks privately, control downloads, hide ads and more …

あなたの知らないMac Adminの世界【DeNA TechCon 2022】

あなたの知らないMac Adminの世界【DeNA TechCon 2022】

会社の端末はMacをお使いでしょうか?macOS Monterey、Appleシリコン搭載のMacなど新しいものが次々に出てきます。できるだけタイムリーに現場へ導入したいものの、想定外の設定になっていたりとスムーズに進めるのは難しいと思います。

DeNAでは Jamf ProおよびJamf Connectを使ってMacの初期設定、構成管理を行っています。本セッションでは、Jamp ProやJamf Connect を使って、どのように数千台ある端末を安全に管理しているのか、新しいOSに対応しているのか、多数の業務システムと連携をしているのかなど、社内での実例を交えてご紹介したいと思います。

資料内でのリンク集:
p19,20, https://developer.apple.com/videos/play/wwdc2020/10139/
p22-1, https://support.apple.com/ja-jp/guide/deployment/depfdbf18f55/1/web/1.0
p22-2, https://support.apple.com/ja-jp/guide/deployment/depe6a1cda64/web
p27, https://support.apple.com/ja-jp/guide/security/secc2cd563ef/web

◆ You Tube
https://youtu.be/rxUrwB82pcA

◆ You Tube チャンネル登録はこちら↓
https://youtube.com/c/denatech?sub_confirmation=1

◆ Twitter
https://twitter.com/DeNAxTech

◆ DeNA Engineering
https://engineering.dena.com/

◆ DeNA Engineer Blog
https://engineering.dena.com/blog/

◆ DeNA TechCon 2022 公式サイト
https://techcon2022.dena.dev/spring/

DeNA_Tech
PRO

March 17, 2022
Tweet

More Decks by DeNA_Tech

Other Decks in Technology

Transcript

  1. あなたの知らないMac Adminの世界 Nakanishi takumi

  2. 中西 匠 IT戦略部 技術推進グループ 主に社内システムを扱っています。 • SaaSのオペレーション • デバイス管理(※主にMac) を担当しています。

    • DeNA CERT • SOC にも参加させてもらって勉強中‥ 好きな食べ物 麻婆豆腐 こんばんは
  3. TABLE CONTENTS 1. 端末管理チームを作りました! 2. 今の状態 3. AD バインドをやめなよと言われた日 4.

    Jamf Connectの導入 Zero-touch キッティング! 本セッションは、Apple Inc.が認定、後援、その他承認したものではありません。 Mac / macOS は、Apple Inc.の商標です。
  4. 端末管理チームを作りました!

  5. 端末管理チームを作りました! • 組織グループ関係なく、横断のチーム • macOS Montereyを1週間で先行リリース 【Mac】 検証、施策検討 【PM】 【Windows】

    検証、施策検討 【運用担当】 【ヘルプデスク】 【リース会社】 社内のみんな
  6. 今の状態

  7. どんな事やってるんですかね DeNAでは、Macの端末の管理にJamf Pro / Jamf Connectを利用しています。 • 資産情報の管理 • Extension

    Attributesで、好きな値を管理できる。 • 特定の状態の端末にだけ設定を行う。
  8. 絶対に許さないよ ”変な端末”は社内に入ってきて欲しくないので、例えばこんな事を気にしています。 • Jamf Pro管理下 = 正しい状態 であるために、構成管理されていること • Endpoint

    アンチウイルス/EDRが動いていること • ネットワーク証明書が入っていること・・・簡単には渡さない!!
  9. • いままでは ◦ 社内ヘルプデスクの特定の物理有線LANでつないだネットワークから。 (常にヘルプデスクメンバーがいて鍵をかけています。) ◦ 各個人に、セルフキッティングを行ってもらう。 ◦ 専用のネットワークで、AD バインドができたら社内のネットワークにつなぐ事ができます。

    AD バインドのはなし
  10. キッティング • ひとつのメインのScript • 他のScriptを呼び出す そうする事で • 作業が簡単で、手順が変わらない • コミュニケーションと教育コストが少ない

    ぼくのおすすめ • 最後に FinishedInitialkitting ファイルを置いておく • Extension Attributesで管理
  11. コンピュータ名 コンピュータ名 を入力してもらっています。

  12. コンピュータ名 コンピュータ名 問題 • 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」

  13. コンピュータ名 コンピュータ名 問題 • 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする

  14. コンピュータ名 コンピュータ名 問題 • 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする • “Ore-no Sugooooi

    MacBook Pro”
  15. コンピュータ名 コンピュータ名 問題 • 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする • “Ore-no Sugooooi

    MacBook Pro” かっこいい名前問題・・・・OMG
  16. コンピュータ名 コンピュータ名 を変えてもらおう!

  17. コンピュータ名 ついでに “正しい”コンピュータ名書いておく (管理用) 変更履歴を 置いといたファイルに書いておく (FinishedInitialkitting) 変更があれば自動でなおす

  18. AD バインドをやめなよと言われた日

  19. すごい人1🧂「あ、AD バインドとかやめて、SSO Extension / Kerberos Extension使ってください。」 すごい人2🐨「そうかー中西くん、はやくやらないとねー」 歴戦のすごい人達 参考:Leverage enterprise

    identity and authentication     https://developer.apple.com/videos/play/wwdc2020/10139/
  20. すごい人1🧂「あ、AD バインドとかやめて、SSO Extension / Kerberos Extension使ってください。」 すごい人2🐨「そうかー中西くん、はやくやらないとねー」 なかにし💦「そ…そっすね!」 歴戦のすごい人達 参考:Leverage

    enterprise identity and authentication     https://developer.apple.com/videos/play/wwdc2020/10139/
  21. 🧂「macOSにBuilt inで入りました。」 😊「Jamf Proあれば秒でできそうだ、便利」 SSO Extension/Kerberos Extensionって?

  22. 参考:https://support.apple.com/ja-jp/guide/deployment/depfdbf18f55/1/web/1.0    https://support.apple.com/ja-jp/guide/deployment/depe6a1cda64/web 🧂「WebAuthnなので、基本的にはWebです。。アプリ側もネイティブで対応してくれればできるけど。   Macへのログインは別アカウントでやってね。   あと、パスワードの変更や同期は別でやってねー。」 😊「なんと。つらい。」 SSO Extension/Kerberos Extensionって? Web

    Browser
  23. Jamf Connectの導入

  24. Oktaのポリシー • Oktaは、ログイン時全体のポリシー + アプリ毎のポリシーが設定できます。 • 旧来のIPでの制限、ワンタイムパスワードの要否など ◦ 対象のユーザーグループ毎に設定分けたり。 ◦

    今後は端末認証も。 あなたの知らないJamf Connectの世界 Oktaのポリシー評価 ※自由に設定  MFA/デバイス認証etc.. Web Browser
  25. Jamf Connect Macへのログイン画面を変更して、MFAの設定をできます。 あなたの知らないJamf Connectの世界

  26. とか言って まだ先行リリース段階。AD バインドから、抜けられていない! 前述の有線LANのように、ADやADにコンピューターオブジェクトがある事で守っている事もある。 でも今後は、Automated Device Enrollmentというのがあります。 会社で購入した、利用すべき端末をAppleさんも一緒に担保してくれます。

  27. 参考:https://support.apple.com/ja-jp/guide/security/secc2cd563ef/web Automated Device Enrollment • 新品のMacを開けたら会社用のMac設定になります。Zero-touch キッティング。 😊 Apple

  28. フルリモートでもMacが! うれしいポイント • 都内でも初日から出社不要に。 ◦ 遠隔地での採用、ハイブリットワークへの対応。 • Pocochaなど海外への事業展開へ、いち早く対応してサポートする事。 ◦ 現地調達のMacでも対応できる。

    急な故障、輸出入法に抵触せずにスピーディーに対応できる事。
  29. さいごに

  30. コーポレートIT いいところ • まだまだエンジニアリングできる所は、たくさんある。 • 同じ会社の仲間の為に仕事する。事業をサポートして止めずに、加速させる。 • 社内のみんなが、近くて踏み込んで働けて、楽しいよ。 • DeNAは特にOktaやJamfなど、直接のやり取りが多く自分たちですべてやる面白さがあり、

    それが社内のスピードに繋がる。    興味持ってもらったらうれしいです!
  31. ありがとうございました。 🙇 本セッションは、Apple Inc.が認定、後援、その他承認したものではありません。 Mac / macOS は、Apple Inc.の商標です。

  32. おわり