Slide 1

Slide 1 text

Jamf x Okta で EXをシンプルに Okta x Jamf で実現するMac向けゼロトラストモデル Sansan株式会社 技術本部 コーポレートシステム部 寺園 大輔

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

Sansan株式会社とは 名刺管理から、営業を強くする 名刺でつながる、 ビジネスのためのSNS 請求書受領から、 月次決算を加速する 設立年 2007年6月 拠点 表参道本社 Sansan One Sansan パラシオ 関西支店 福岡支店 名古屋支店 資本金 63億76百万円 (2021年11月30日時点) 代表者 寺田親弘(代表取締役社長) 事業 働き方を変えるDXサービス (クラウド名刺管理サービス等)の 企画・開発・販売 グループ会社 Sansan Global Pte. Ltd. (シンガポール) Sansan Corporation (アメリカ) ログミー株式会社 東京証券取引所市場第一部 上場証券取引所 従業員数 1036名名(2021年11月30日時点)

Slide 4

Slide 4 text

- コーポレートシステム部の Mission - 抱えていた課題と解決へのアプローチ - 各サービスの導入とそれによる効果 - Jamf Pro / Okta / Jamf Connect - Jamf, Oktaについて思うこと - まとめ Agenda Jamf と Okta を活用して どのように Mission に向き合ってきたのか?

Slide 5

Slide 5 text

利用中のライセンス Jamf Pro Jamf Connect Single Sign-On Adaptive MFA Universal Directory Lifecycle Management

Slide 6

Slide 6 text

導入時期 Okta Jamf Pro Jamf Connect 2019 2020 2021

Slide 7

Slide 7 text

コーポレートシステム部 CorpS (Corporate System Division)

Slide 8

Slide 8 text

Mission EXをシンプルにする

Slide 9

Slide 9 text

CorpSのMission - EX:Employee Experience(従業員体験) - シンプルなUI > 整理されていないUI:問い合わせの減少 - シンプルな管理 > 複雑な管理:リードタイム短縮 - 従業員がIT環境・サービスを利用するうえで迷わない世界を作る EXをシンプルにする

Slide 10

Slide 10 text

CorpSの課題

Slide 11

Slide 11 text

従業員数の増加による課題 - 従業員数が増加 - 毎月の入社数も増加 - オンボーディングタスクの増加 - 貸与機器のキッティング - アカウント作成 - 利用サービスの増加 - 問い合わせの増加

Slide 12

Slide 12 text

- リモートワークという働き方が 一般的になってきた - リモートに対するサポート - 不具合・故障 - 機器貸与・交換 - リモート前提のセキュリティ 働き方の多様化による課題

Slide 13

Slide 13 text

機器の課題 解決が必要な課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 Windows 端末もありますが 本講演では Mac に焦点を絞っ てお話します

Slide 14

Slide 14 text

1. Jamf Pro 導入

Slide 15

Slide 15 text

機器の課題 Jamf Pro 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化

Slide 16

Slide 16 text

- Macのリモート管理が可能なMDMソリューション - 他のMDMにはない “ポリシー” という独自の機能により 多様な管理が実現可能 - スクリプトの実行やパッケージのインストールも可能 - “セルフサービス” によりユーザが必要に応じてポリシーを実行できる Jamf Pro の特徴

Slide 17

Slide 17 text

機能の差を考えると Jamf Proを選択しない理由がなかった 他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです Jamf Pro の選定理由 構成プロファイル 制限設定、ネットワーク設定、証明書 配信、独自プロファイルの配信、etc … ポリシー スクリプト実行、パッケージインストー ル、セルフサービス、実行タイミングの 調整、インベントリ情報収集、メッセー ジング、etc … 構成プロファイル 制限設定、ネットワーク設定、証明書 配信、独自プロファイルの配信、etc … 【その他のMDM】

Slide 18

Slide 18 text

- ADE(旧DEP)により端末登録が自動化 - ポリシーによるセットアップで大部分のキッティング作業が自動化 - ※ユーザアカウントの設定のため一部手動作業が必要 - クラウド経由で情報収集、設定配信ができるため、働く場所を問わずに 端末管理が可能となった Jamf Pro 導入による効果

Slide 19

Slide 19 text

機器の課題 Jamf Pro 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 達成
 やや
 達成


Slide 20

Slide 20 text

2. Okta 導入

Slide 21

Slide 21 text

機器の課題 Okta 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 達成
 やや
 達成


Slide 22

Slide 22 text

- IDaaS (Identity as a Service) として世界トップレベルのサービス - Okta Integration Network (OIN) に用意されたカタログを利用することで サービスとの SSO、Provisioning の設定を数ステップで実現可能 - 日々新しい機能がリリースされており、ついに基盤自体の新バージョン “Okta Identity Engine” がリリースされた - (切り替えが待ち遠しい...) Okta の特徴

Slide 23

Slide 23 text

Okta の選定理由 - ユーザビリティ - ユーザが迷わず利用することができるか - OINの豊富なカタログを利用した設定の容易さ - 将来的に各部門などに展開するうえで 説明がほとんどなしでも対応できるかというポイントは重要 - Jamf Connect との連携に対応している - 次の解決すべき課題を考えて対応サービスを選択しておく必要があった

Slide 24

Slide 24 text

Okta 導入以前の問題点 - 入退社情報からアカウントマスタへの転記は 手動 - 一部を除いてサービスのアカウント管理は手動 - ADFSの設定難易度の高さ - ADだけではリモートワークに対応できない 旧:AD中心の構成

Slide 25

Slide 25 text

- 入退社情報から各サービスへのシームレスな 連携が実現 - アカウント管理にかかるコストが大幅に削減 - 新しい連携設定は本当に簡単になった - 部門への展開も徐々に実現しており、 事実ほとんど説明なしで完了するケースもある - 全社でのMFA必須化によりセキュリティレベルの向 上に Okta 導入による効果 新:Okta中心の構成

Slide 26

Slide 26 text

機器の課題 Okta 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 達成
 やや
 達成
 達成
 達成


Slide 27

Slide 27 text

3. Jamf Connect 導入

Slide 28

Slide 28 text

機器の課題 Jamf Connect 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 達成
 やや
 達成
 達成
 達成


Slide 29

Slide 29 text

- MacのローカルアカウントとIDaaSを連携できるアプリケーション - Macのログイン時にIDaaSの認証を利用することが可能 - 未作成の場合はIDaaSのアカウント情報を用いてローカルアカウントを作成 - IDaaSとのパスワード同期を監視してくれる Jamf Connect の特徴

Slide 30

Slide 30 text

Jamf Connect 導入以前の問題点 - キッティングにおいてアカウント作成と FileVault(ディスク暗号化)のため 管理者側とユーザ側での作業が必要 - モバイルアカウント(ADアカウントをベースとしたア カウント)を利用していたため リモート環境での問題に対応できない - Oktaのパスワードと同期されない 旧キッティング〜貸与までの流れ 電源ON 設定アシスタント ログイン (管理者アカウント) システム初期設定 (自動) ユーザログイン FileVault権限付与 アカウント初期設定 貸与 利用開始

Slide 31

Slide 31 text

Jamf Connect 導入による効果 - Jamf Connect ログイン時にアカウント作成されるように - 自動設定との組み合わせで “ゼロタッチキッティング” が実現 - モバイルアカウントを利用しなくなったことで リモート環境でも問題に対応できるように - Oktaアカウントとパスワードが同期されるようになり ユーザが管理しなくてはならない情報がよりシンプルに 貸与 (未セットアップ端末) 電源ON 設定アシスタント Jamf Connectログイン (Oktaユーザ) システム初期設定 (自動) アカウント初期設定 (自動) 利用開始 ゼロタッチキッティングでの 貸与の流れ

Slide 32

Slide 32 text

機器の課題 Jamf Connect 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 達成
 達成
 達成
 達成
 達成
 達成


Slide 33

Slide 33 text

Jamf, Oktaについて思うこと

Slide 34

Slide 34 text

- 本当になくてはならないサービスです - もう導入していなかった頃には戻れない。。。 - Jamf Nation に知識が集まっているので助かります(Jamf導入していなくても見る価値あり!) - Jamf社のエンジニアさんのレベルが高い - ブログやGithubなど大変参考にさせていただいております Jamf Pro について 🙏 要望など - Computer Group が増え続けるのでフィルタ/検索とカテゴリにも対応して欲しいです - VPPで配信するApplicationのインストールタイミングのコントロール

Slide 35

Slide 35 text

- 日本語サポートが開始されて大変助かっています - カタログにあるアプリケーションだと SSO/Provisioning まで本当にものの数分で完了します - (ドキュメントを読んで理解する時間は除きます) - APIが非常に使いやすくサービス連携に大変役立っています Okta について 🙏 要望など - ライセンス体系が複雑なのとライセンス利用状況が分からなくなる - コンソールでできる操作をもう少し充実させて欲しい - 例えばユーザを特定条件でフィルタして検索したりできる機能など - 日本語環境への対応をもう少しお願いします - Profileとかで日本語入力して変換中に Enterキー押すとSaveされちゃったり...

Slide 36

Slide 36 text

- 本当のゼロタッチキッティングが実現できた時には感動しました - 弊社では導入してから二重ログインさせられるようになったと感じるユーザもいます - “FileVault のロック解除画面”と”ログインウィンドウ”の違いを理解する必要がありますね - 設定が複雑でエンジニアでないと実装は困難ですね... - でも頻繁にアップデートされるので改善されていることを日々実感できます - まだまだ発展途上なので温かい目で成長を見守りたいと思います Jamf Connect について 🙏 要望など - (Appleへの要望ですが)FileVault ロック解除画面との統合 - パッケージの自動更新機能 - ライセンス更新作業の簡略化

Slide 37

Slide 37 text

まとめ

Slide 38

Slide 38 text

- 課題解決は段階的に実施していくことが大事 - 実際に使うのはユーザなので導入後のユーザ目線で考える - 運用管理もシンプルになるようイメージする - 慎重すぎるのはNG。未完成でもリリースしてみることも時には大事 - ただしそのためにも後から修正・配信できるソリューションを選ぶ まとめ

Slide 39

Slide 39 text

- ゼロトラストセキュリティへの更なる対応 - デバイス認証(Okta Device Trust を検討中) - 入退社情報との完全な連携 - 更に自動化を進めて手作業を限りなくゼロに - Mac初期化作業の簡略化、OS自動アップデート対応 - Windows 端末の課題解決 - コーポレートエンジニアの拡充、技術レベルアップ CorpS のこれからの展望

Slide 40

Slide 40 text

今回お話した取り組みの詳細を執筆しています Sansanのものづくりを支えるメンバーの技術やデザイン、 プロダクトマネジメントの情報を発信

Slide 41

Slide 41 text

We are hiring! コーポレート  コーポレートIT  セキュリティエンジニア  (SOC、社内教育・内部監査) 新規事業開発  WEBアプリ開発エンジニア  PdM(プロダクトマネジャー) 研究開発  自然言語処理 研究員  機械学習 研究員  OCR技術開発 研究員  効果検証/因果推論 研究員  データエンジニア  R&D DevOpsエンジニア  データアナリスト  シニアリサーチャー  インフラエンジニア  WEBアプリ開発エンジニア サービス開発  エンジニアリングマネジャー  アーキテクト  Site Reliabilityエンジニア  QAエンジニア、SET  インフラエンジニア  iOSエンジニア  Android エンジニア ブランディング/マーケティング  フロントエンドエンジニア https://jp.corp-sansan.com/recruit/midcareer

Slide 42

Slide 42 text

エンジニア情報サイト「Sansan Engineering」 ・Sansanエンジニアのミッション ・プロダクト、テクノロジー概要 ・エンジニアインタビュー ・技術スタック ・働く環境、社内制度 ・募集職種 ・Blog ・イベント情報   ... and more Sansan Engineering Sansanのプロダクトやテクノロジー、カルチャー、採用情報など、エンジニアリングに関するあらゆる情報を掲載 https://jp.corp-sansan.com/engineering/

Slide 43

Slide 43 text

No content