Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Slide 1

Slide 1 text

Jamf x Okta で EXをシンプルに Okta x Jamf で実現するMac向けゼロトラストモデル Sansan株式会社　技術本部コーポレートシステム部寺園大輔

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

Sansan株式会社とは名刺管理から、営業を強くする名刺でつながる、ビジネスのためのSNS 請求書受領から、月次決算を加速する設立年 2007年6月拠点表参道本社 Sansan One Sansan パラシオ関西支店福岡支店名古屋支店資本金 63億76百万円（2021年11月30日時点）代表者寺田親弘（代表取締役社長）事業働き方を変えるDXサービス（クラウド名刺管理サービス等）の企画・開発・販売グループ会社 Sansan Global Pte. Ltd. （シンガポール） Sansan Corporation （アメリカ）ログミー株式会社東京証券取引所市場第一部上場証券取引所従業員数 1036名名（2021年11月30日時点）

Slide 4

Slide 4 text

- コーポレートシステム部の Mission - 抱えていた課題と解決へのアプローチ - 各サービスの導入とそれによる効果 - Jamf Pro / Okta / Jamf Connect - Jamf, Oktaについて思うこと - まとめ Agenda Jamf と Okta を活用してどのように Mission に向き合ってきたのか？

Slide 5

Slide 5 text

利用中のライセンス Jamf Pro Jamf Connect Single Sign-On Adaptive MFA Universal Directory Lifecycle Management

Slide 6

Slide 6 text

導入時期 Okta Jamf Pro Jamf Connect 2019 2020 2021

Slide 7

Slide 7 text

コーポレートシステム部 CorpS (Corporate System Division)

Slide 8

Slide 8 text

Mission EXをシンプルにする

Slide 9

Slide 9 text

CorpSのMission - EX：Employee Experience（従業員体験） - シンプルなUI ＞整理されていないUI：問い合わせの減少 - シンプルな管理＞複雑な管理：リードタイム短縮 - 従業員がIT環境・サービスを利用するうえで迷わない世界を作る EXをシンプルにする

Slide 10

Slide 10 text

CorpSの課題

Slide 11

Slide 11 text

従業員数の増加による課題 - 従業員数が増加 - 毎月の入社数も増加 - オンボーディングタスクの増加 - 貸与機器のキッティング - アカウント作成 - 利用サービスの増加 - 問い合わせの増加

Slide 12

Slide 12 text

- リモートワークという働き方が一般的になってきた - リモートに対するサポート - 不具合・故障 - 機器貸与・交換 - リモート前提のセキュリティ働き方の多様化による課題

Slide 13

Slide 13 text

機器の課題解決が必要な課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化 Windows 端末もありますが本講演では Mac に焦点を絞ってお話します

Slide 14

Slide 14 text

1. Jamf Pro 導入

Slide 15

Slide 15 text

機器の課題 Jamf Pro 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化

Slide 16

Slide 16 text

- Macのリモート管理が可能なMDMソリューション - 他のMDMにはない “ポリシー” という独自の機能により多様な管理が実現可能 - スクリプトの実行やパッケージのインストールも可能 - “セルフサービス” によりユーザが必要に応じてポリシーを実行できる Jamf Pro の特徴

Slide 17

Slide 17 text

機能の差を考えると Jamf Proを選択しない理由がなかった他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです Jamf Pro の選定理由構成プロファイル制限設定、ネットワーク設定、証明書配信、独自プロファイルの配信、etc … ポリシースクリプト実行、パッケージインストール、セルフサービス、実行タイミングの調整、インベントリ情報収集、メッセージング、etc … 構成プロファイル制限設定、ネットワーク設定、証明書配信、独自プロファイルの配信、etc … 【その他のMDM】

Slide 18

Slide 18 text

- ADE（旧DEP）により端末登録が自動化 - ポリシーによるセットアップで大部分のキッティング作業が自動化 - ※ユーザアカウントの設定のため一部手動作業が必要 - クラウド経由で情報収集、設定配信ができるため、働く場所を問わずに端末管理が可能となった Jamf Pro 導入による効果

Slide 19

Slide 19 text

機器の課題 Jamf Pro 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化達成  やや  達成 

Slide 20

Slide 20 text

2. Okta 導入

Slide 21

Slide 21 text

機器の課題 Okta 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化達成  やや  達成 

Slide 22

Slide 22 text

- IDaaS (Identity as a Service) として世界トップレベルのサービス - Okta Integration Network (OIN) に用意されたカタログを利用することでサービスとの SSO、Provisioning の設定を数ステップで実現可能 - 日々新しい機能がリリースされており、ついに基盤自体の新バージョン “Okta Identity Engine” がリリースされた - （切り替えが待ち遠しい...） Okta の特徴

Slide 23

Slide 23 text

Okta の選定理由 - ユーザビリティ - ユーザが迷わず利用することができるか - OINの豊富なカタログを利用した設定の容易さ - 将来的に各部門などに展開するうえで説明がほとんどなしでも対応できるかというポイントは重要 - Jamf Connect との連携に対応している - 次の解決すべき課題を考えて対応サービスを選択しておく必要があった

Slide 24

Slide 24 text

Okta 導入以前の問題点 - 入退社情報からアカウントマスタへの転記は手動 - 一部を除いてサービスのアカウント管理は手動 - ADFSの設定難易度の高さ - ADだけではリモートワークに対応できない旧:AD中心の構成

Slide 25

Slide 25 text

- 入退社情報から各サービスへのシームレスな連携が実現 - アカウント管理にかかるコストが大幅に削減 - 新しい連携設定は本当に簡単になった - 部門への展開も徐々に実現しており、事実ほとんど説明なしで完了するケースもある - 全社でのMFA必須化によりセキュリティレベルの向上に Okta 導入による効果新:Okta中心の構成

Slide 26

Slide 26 text

機器の課題 Okta 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化達成  やや  達成  達成  達成 

Slide 27

Slide 27 text

3. Jamf Connect 導入

Slide 28

Slide 28 text

機器の課題 Jamf Connect 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化達成  やや  達成  達成  達成 

Slide 29

Slide 29 text

- MacのローカルアカウントとIDaaSを連携できるアプリケーション - Macのログイン時にIDaaSの認証を利用することが可能 - 未作成の場合はIDaaSのアカウント情報を用いてローカルアカウントを作成 - IDaaSとのパスワード同期を監視してくれる Jamf Connect の特徴

Slide 30

Slide 30 text

Jamf Connect 導入以前の問題点 - キッティングにおいてアカウント作成と FileVault（ディスク暗号化）のため管理者側とユーザ側での作業が必要 - モバイルアカウント（ADアカウントをベースとしたアカウント）を利用していたためリモート環境での問題に対応できない - Oktaのパスワードと同期されない旧キッティング〜貸与までの流れ電源ON 設定アシスタントログイン（管理者アカウント）システム初期設定（自動）ユーザログイン FileVault権限付与アカウント初期設定貸与利用開始

Slide 31

Slide 31 text

Jamf Connect 導入による効果 - Jamf Connect ログイン時にアカウント作成されるように - 自動設定との組み合わせで “ゼロタッチキッティング” が実現 - モバイルアカウントを利用しなくなったことでリモート環境でも問題に対応できるように - Oktaアカウントとパスワードが同期されるようになりユーザが管理しなくてはならない情報がよりシンプルに貸与（未セットアップ端末）電源ON 設定アシスタント Jamf Connectログイン（Oktaユーザ）システム初期設定（自動）アカウント初期設定（自動）利用開始ゼロタッチキッティングでの貸与の流れ

Slide 32

Slide 32 text

機器の課題 Jamf Connect 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化達成  達成  達成  達成  達成  達成 

Slide 33

Slide 33 text

Jamf, Oktaについて思うこと

Slide 34

Slide 34 text

- 本当になくてはならないサービスです - もう導入していなかった頃には戻れない。。。 - Jamf Nation に知識が集まっているので助かります（Jamf導入していなくても見る価値あり！） - Jamf社のエンジニアさんのレベルが高い - ブログやGithubなど大変参考にさせていただいております Jamf Pro について 🙏 要望など - Computer Group が増え続けるのでフィルタ/検索とカテゴリにも対応して欲しいです - VPPで配信するApplicationのインストールタイミングのコントロール

Slide 35

Slide 35 text

- 日本語サポートが開始されて大変助かっています - カタログにあるアプリケーションだと SSO/Provisioning まで本当にものの数分で完了します - （ドキュメントを読んで理解する時間は除きます） - APIが非常に使いやすくサービス連携に大変役立っています Okta について 🙏 要望など - ライセンス体系が複雑なのとライセンス利用状況が分からなくなる - コンソールでできる操作をもう少し充実させて欲しい - 例えばユーザを特定条件でフィルタして検索したりできる機能など - 日本語環境への対応をもう少しお願いします - Profileとかで日本語入力して変換中に Enterキー押すとSaveされちゃったり...

Slide 36

Slide 36 text

- 本当のゼロタッチキッティングが実現できた時には感動しました - 弊社では導入してから二重ログインさせられるようになったと感じるユーザもいます - “FileVault のロック解除画面”と”ログインウィンドウ”の違いを理解する必要がありますね - 設定が複雑でエンジニアでないと実装は困難ですね... - でも頻繁にアップデートされるので改善されていることを日々実感できます - まだまだ発展途上なので温かい目で成長を見守りたいと思います Jamf Connect について 🙏 要望など - （Appleへの要望ですが）FileVault ロック解除画面との統合 - パッケージの自動更新機能 - ライセンス更新作業の簡略化

Slide 37

Slide 37 text

まとめ

Slide 38

Slide 38 text

- 課題解決は段階的に実施していくことが大事 - 実際に使うのはユーザなので導入後のユーザ目線で考える - 運用管理もシンプルになるようイメージする - 慎重すぎるのはNG。未完成でもリリースしてみることも時には大事 - ただしそのためにも後から修正・配信できるソリューションを選ぶまとめ

Slide 39

Slide 39 text

- ゼロトラストセキュリティへの更なる対応 - デバイス認証（Okta Device Trust を検討中） - 入退社情報との完全な連携 - 更に自動化を進めて手作業を限りなくゼロに - Mac初期化作業の簡略化、OS自動アップデート対応 - Windows 端末の課題解決 - コーポレートエンジニアの拡充、技術レベルアップ CorpS のこれからの展望

Slide 40

Slide 40 text

今回お話した取り組みの詳細を執筆しています Sansanのものづくりを支えるメンバーの技術やデザイン、プロダクトマネジメントの情報を発信

Slide 41

Slide 41 text

We are hiring！コーポレート　コーポレートIT 　セキュリティエンジニア　（SOC、社内教育・内部監査）新規事業開発　WEBアプリ開発エンジニア　PdM（プロダクトマネジャー）研究開発　自然言語処理研究員　機械学習研究員　OCR技術開発研究員　効果検証/因果推論研究員　データエンジニア　R&D DevOpsエンジニア　データアナリスト　シニアリサーチャー　インフラエンジニア　WEBアプリ開発エンジニアサービス開発　エンジニアリングマネジャー　アーキテクト　Site Reliabilityエンジニア　QAエンジニア、SET 　インフラエンジニア　iOSエンジニア　Android エンジニアブランディング/マーケティング　フロントエンドエンジニア https://jp.corp-sansan.com/recruit/midcareer

Slide 42

Slide 42 text

エンジニア情報サイト「Sansan Engineering」・Sansanエンジニアのミッション・プロダクト、テクノロジー概要・エンジニアインタビュー・技術スタック・働く環境、社内制度・募集職種・Blog ・イベント情報　　　... and more Sansan Engineering Sansanのプロダクトやテクノロジー、カルチャー、採用情報など、エンジニアリングに関するあらゆる情報を掲載 https://jp.corp-sansan.com/engineering/

Slide 43

Slide 43 text

No content