Tweet
Tweet

Slide 1

Slide 1 text

あなたの知らないMac Adminの世界 Nakanishi takumi

Slide 2

Slide 2 text

中西 匠 IT戦略部 技術推進グループ 主に社内システムを扱っています。 ● SaaSのオペレーション ● デバイス管理(※主にMac) を担当しています。 ● DeNA CERT ● SOC にも参加させてもらって勉強中‥ 好きな食べ物 麻婆豆腐 こんばんは

Slide 3

Slide 3 text

TABLE CONTENTS 1. 端末管理チームを作りました! 2. 今の状態 3. AD バインドをやめなよと言われた日 4. Jamf Connectの導入 Zero-touch キッティング! 本セッションは、Apple Inc.が認定、後援、その他承認したものではありません。 Mac / macOS は、Apple Inc.の商標です。

Slide 4

Slide 4 text

端末管理チームを作りました!

Slide 5

Slide 5 text

端末管理チームを作りました! ● 組織グループ関係なく、横断のチーム ● macOS Montereyを1週間で先行リリース 【Mac】 検証、施策検討 【PM】 【Windows】 検証、施策検討 【運用担当】 【ヘルプデスク】 【リース会社】 社内のみんな

Slide 6

Slide 6 text

今の状態

Slide 7

Slide 7 text

どんな事やってるんですかね DeNAでは、Macの端末の管理にJamf Pro / Jamf Connectを利用しています。 ● 資産情報の管理 ● Extension Attributesで、好きな値を管理できる。 ● 特定の状態の端末にだけ設定を行う。

Slide 8

Slide 8 text

絶対に許さないよ ”変な端末”は社内に入ってきて欲しくないので、例えばこんな事を気にしています。 ● Jamf Pro管理下 = 正しい状態 であるために、構成管理されていること ● Endpoint アンチウイルス/EDRが動いていること ● ネットワーク証明書が入っていること・・・簡単には渡さない!!

Slide 9

Slide 9 text

● いままでは ○ 社内ヘルプデスクの特定の物理有線LANでつないだネットワークから。 (常にヘルプデスクメンバーがいて鍵をかけています。) ○ 各個人に、セルフキッティングを行ってもらう。 ○ 専用のネットワークで、AD バインドができたら社内のネットワークにつなぐ事ができます。 AD バインドのはなし

Slide 10

Slide 10 text

キッティング ● ひとつのメインのScript ● 他のScriptを呼び出す そうする事で ● 作業が簡単で、手順が変わらない ● コミュニケーションと教育コストが少ない ぼくのおすすめ ● 最後に FinishedInitialkitting ファイルを置いておく ● Extension Attributesで管理

Slide 11

Slide 11 text

コンピュータ名 コンピュータ名 を入力してもらっています。

Slide 12

Slide 12 text

コンピュータ名 コンピュータ名 問題 ● 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」

Slide 13

Slide 13 text

コンピュータ名 コンピュータ名 問題 ● 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする

Slide 14

Slide 14 text

コンピュータ名 コンピュータ名 問題 ● 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする ● “Ore-no Sugooooi MacBook Pro”

Slide 15

Slide 15 text

コンピュータ名 コンピュータ名 問題 ● 「せんぱーい。なんかこれ、おかしいんっすよねー」「ほんとだねー不思議ー」「Computer-name 」 スペース入っている問題・・・・trimする ● “Ore-no Sugooooi MacBook Pro” かっこいい名前問題・・・・OMG

Slide 16

Slide 16 text

コンピュータ名 コンピュータ名 を変えてもらおう!

Slide 17

Slide 17 text

コンピュータ名 ついでに “正しい”コンピュータ名書いておく (管理用) 変更履歴を 置いといたファイルに書いておく (FinishedInitialkitting) 変更があれば自動でなおす

Slide 18

Slide 18 text

AD バインドをやめなよと言われた日

Slide 19

Slide 19 text

すごい人1🧂「あ、AD バインドとかやめて、SSO Extension / Kerberos Extension使ってください。」 すごい人2🐨「そうかー中西くん、はやくやらないとねー」 歴戦のすごい人達 参考:Leverage enterprise identity and authentication     https://developer.apple.com/videos/play/wwdc2020/10139/

Slide 20

Slide 20 text

すごい人1🧂「あ、AD バインドとかやめて、SSO Extension / Kerberos Extension使ってください。」 すごい人2🐨「そうかー中西くん、はやくやらないとねー」 なかにし💦「そ…そっすね!」 歴戦のすごい人達 参考:Leverage enterprise identity and authentication     https://developer.apple.com/videos/play/wwdc2020/10139/

Slide 21

Slide 21 text

🧂「macOSにBuilt inで入りました。」 😊「Jamf Proあれば秒でできそうだ、便利」 SSO Extension/Kerberos Extensionって?

Slide 22

Slide 22 text

参考:https://support.apple.com/ja-jp/guide/deployment/depfdbf18f55/1/web/1.0    https://support.apple.com/ja-jp/guide/deployment/depe6a1cda64/web 🧂「WebAuthnなので、基本的にはWebです。。アプリ側もネイティブで対応してくれればできるけど。   Macへのログインは別アカウントでやってね。   あと、パスワードの変更や同期は別でやってねー。」 😊「なんと。つらい。」 SSO Extension/Kerberos Extensionって? Web Browser

Slide 23

Slide 23 text

Jamf Connectの導入

Slide 24

Slide 24 text

Oktaのポリシー ● Oktaは、ログイン時全体のポリシー + アプリ毎のポリシーが設定できます。 ● 旧来のIPでの制限、ワンタイムパスワードの要否など ○ 対象のユーザーグループ毎に設定分けたり。 ○ 今後は端末認証も。 あなたの知らないJamf Connectの世界 Oktaのポリシー評価 ※自由に設定  MFA/デバイス認証etc.. Web Browser

Slide 25

Slide 25 text

Jamf Connect Macへのログイン画面を変更して、MFAの設定をできます。 あなたの知らないJamf Connectの世界

Slide 26

Slide 26 text

とか言って まだ先行リリース段階。AD バインドから、抜けられていない! 前述の有線LANのように、ADやADにコンピューターオブジェクトがある事で守っている事もある。 でも今後は、Automated Device Enrollmentというのがあります。 会社で購入した、利用すべき端末をAppleさんも一緒に担保してくれます。

Slide 27

Slide 27 text

参考:https://support.apple.com/ja-jp/guide/security/secc2cd563ef/web Automated Device Enrollment ● 新品のMacを開けたら会社用のMac設定になります。Zero-touch キッティング。 😊 Apple

Slide 28

Slide 28 text

フルリモートでもMacが! うれしいポイント ● 都内でも初日から出社不要に。 ○ 遠隔地での採用、ハイブリットワークへの対応。 ● Pocochaなど海外への事業展開へ、いち早く対応してサポートする事。 ○ 現地調達のMacでも対応できる。 急な故障、輸出入法に抵触せずにスピーディーに対応できる事。

Slide 29

Slide 29 text

さいごに

Slide 30

Slide 30 text

コーポレートIT いいところ ● まだまだエンジニアリングできる所は、たくさんある。 ● 同じ会社の仲間の為に仕事する。事業をサポートして止めずに、加速させる。 ● 社内のみんなが、近くて踏み込んで働けて、楽しいよ。 ● DeNAは特にOktaやJamfなど、直接のやり取りが多く自分たちですべてやる面白さがあり、 それが社内のスピードに繋がる。    興味持ってもらったらうれしいです!

Slide 31

Slide 31 text

ありがとうございました。 🙇 本セッションは、Apple Inc.が認定、後援、その他承認したものではありません。 Mac / macOS は、Apple Inc.の商標です。

Slide 32

Slide 32 text

おわり