Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Jamf x Okta で EXをシンプルに Okta x Jamf で実現するMac向けゼロトラストモデル Sansan株式会社　技術本部
コーポレートシステム部寺園大輔

Sansan株式会社とは名刺管理から、営業を強くする名刺でつながる、ビジネスのためのSNS 請求書受領から、月次決算を加速する設立年 2007年6月拠点表参道本社
Sansan One Sansan パラシオ関西支店福岡支店名古屋支店資本金 63億76百万円（2021年11月30日時点）代表者寺田親弘（代表取締役社長）事業働き方を変えるDXサービス（クラウド名刺管理サービス等）の企画・開発・販売グループ会社 Sansan Global Pte. Ltd. （シンガポール） Sansan Corporation （アメリカ）ログミー株式会社東京証券取引所市場第一部上場証券取引所従業員数 1036名名（2021年11月30日時点）

- コーポレートシステム部の Mission - 抱えていた課題と解決へのアプローチ - 各サービスの導入とそれによる効果 - Jamf Pro
/ Okta / Jamf Connect - Jamf, Oktaについて思うこと - まとめ Agenda Jamf と Okta を活用してどのように Mission に向き合ってきたのか？

利用中のライセンス Jamf Pro Jamf Connect Single Sign-On Adaptive MFA Universal
Directory Lifecycle Management

導入時期 Okta Jamf Pro Jamf Connect 2019 2020 2021

コーポレートシステム部 CorpS (Corporate System Division)

Mission EXをシンプルにする

CorpSのMission - EX：Employee Experience（従業員体験） - シンプルなUI ＞整理されていないUI：問い合わせの減少 - シンプルな管理
＞複雑な管理：リードタイム短縮 - 従業員がIT環境・サービスを利用するうえで迷わない世界を作る EXをシンプルにする

CorpSの課題

従業員数の増加による課題 - 従業員数が増加 - 毎月の入社数も増加 - オンボーディングタスクの増加 - 貸与機器のキッティング -
アカウント作成 - 利用サービスの増加 - 問い合わせの増加

- リモートワークという働き方が一般的になってきた - リモートに対するサポート - 不具合・故障 - 機器貸与・交換 -
リモート前提のセキュリティ働き方の多様化による課題

機器の課題解決が必要な課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化 Windows
端末もありますが本講演では Mac に焦点を絞ってお話します

1. Jamf Pro 導入

機器の課題 Jamf Pro 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策
機器アカウントとのアカウント共通化

- Macのリモート管理が可能なMDMソリューション - 他のMDMにはない “ポリシー” という独自の機能により多様な管理が実現可能 - スクリプトの実行やパッケージのインストールも可能 -
“セルフサービス” によりユーザが必要に応じてポリシーを実行できる Jamf Pro の特徴

機能の差を考えると Jamf Proを選択しない理由がなかった他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです Jamf Pro の選定理由構成プロファイル制限設定、ネットワーク設定、証明書
配信、独自プロファイルの配信、etc … ポリシースクリプト実行、パッケージインストール、セルフサービス、実行タイミングの調整、インベントリ情報収集、メッセージング、etc … 構成プロファイル制限設定、ネットワーク設定、証明書配信、独自プロファイルの配信、etc … 【その他のMDM】

- ADE（旧DEP）により端末登録が自動化 - ポリシーによるセットアップで大部分のキッティング作業が自動化 - ※ユーザアカウントの設定のため一部手動作業が必要 - クラウド経由で情報収集、設定配信ができるため、働く場所を問わずに端末管理が可能となった Jamf
Pro 導入による効果

機器の課題 Jamf Pro 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策
機器アカウントとのアカウント共通化達成  やや  達成 

2. Okta 導入

機器の課題 Okta 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化
達成  やや  達成 

- IDaaS (Identity as a Service) として世界トップレベルのサービス - Okta Integration
Network (OIN) に用意されたカタログを利用することでサービスとの SSO、Provisioning の設定を数ステップで実現可能 - 日々新しい機能がリリースされており、ついに基盤自体の新バージョン “Okta Identity Engine” がリリースされた - （切り替えが待ち遠しい...） Okta の特徴

Okta の選定理由 - ユーザビリティ - ユーザが迷わず利用することができるか - OINの豊富なカタログを利用した設定の容易さ - 将来的に各部門などに展開するうえで
説明がほとんどなしでも対応できるかというポイントは重要 - Jamf Connect との連携に対応している - 次の解決すべき課題を考えて対応サービスを選択しておく必要があった

Okta 導入以前の問題点 - 入退社情報からアカウントマスタへの転記は手動 - 一部を除いてサービスのアカウント管理は手動 - ADFSの設定難易度の高さ -
ADだけではリモートワークに対応できない旧:AD中心の構成

- 入退社情報から各サービスへのシームレスな連携が実現 - アカウント管理にかかるコストが大幅に削減 - 新しい連携設定は本当に簡単になった - 部門への展開も徐々に実現しており、事実ほとんど説明なしで完了するケースもある
- 全社でのMFA必須化によりセキュリティレベルの向上に Okta 導入による効果新:Okta中心の構成

機器の課題 Okta 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策機器アカウントとのアカウント共通化
達成  やや  達成  達成  達成 

3. Jamf Connect 導入

機器の課題 Jamf Connect 導入で解決する課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策
機器アカウントとのアカウント共通化達成  やや  達成  達成  達成 

- MacのローカルアカウントとIDaaSを連携できるアプリケーション - Macのログイン時にIDaaSの認証を利用することが可能 - 未作成の場合はIDaaSのアカウント情報を用いてローカルアカウントを作成 - IDaaSとのパスワード同期を監視してくれる Jamf Connect
の特徴

Jamf Connect 導入以前の問題点 - キッティングにおいてアカウント作成と FileVault（ディスク暗号化）のため管理者側とユーザ側での作業が必要 - モバイルアカウント（ADアカウントをベースとしたアカウント）を利用していたため
リモート環境での問題に対応できない - Oktaのパスワードと同期されない旧キッティング〜貸与までの流れ電源ON 設定アシスタントログイン（管理者アカウント）システム初期設定（自動）ユーザログイン FileVault権限付与アカウント初期設定貸与利用開始

Jamf Connect 導入による効果 - Jamf Connect ログイン時にアカウント作成されるように - 自動設定との組み合わせで “ゼロタッチキッティング”
が実現 - モバイルアカウントを利用しなくなったことでリモート環境でも問題に対応できるように - Oktaアカウントとパスワードが同期されるようになりユーザが管理しなくてはならない情報がよりシンプルに貸与（未セットアップ端末）電源ON 設定アシスタント Jamf Connectログイン（Oktaユーザ）システム初期設定（自動）アカウント初期設定（自動）利用開始ゼロタッチキッティングでの貸与の流れ

機器の課題 Jamf Connect 導入で解決した課題キッティング時間の短縮リモート管理可能なMDM リモートで発生する不具合に対する対策アカウントの課題入退社に伴うアカウント管理の自動化リモートを前提としたアカウントのセキュリティ対策
機器アカウントとのアカウント共通化達成  達成  達成  達成  達成  達成 

Jamf, Oktaについて思うこと

- 本当になくてはならないサービスです - もう導入していなかった頃には戻れない。。。 - Jamf Nation に知識が集まっているので助かります（Jamf導入していなくても見る価値あり！） - Jamf社のエンジニアさんのレベルが高い
- ブログやGithubなど大変参考にさせていただいております Jamf Pro について 🙏 要望など - Computer Group が増え続けるのでフィルタ/検索とカテゴリにも対応して欲しいです - VPPで配信するApplicationのインストールタイミングのコントロール

- 日本語サポートが開始されて大変助かっています - カタログにあるアプリケーションだと SSO/Provisioning まで本当にものの数分で完了します - （ドキュメントを読んで理解する時間は除きます） - APIが非常に使いやすくサービス連携に大変役立っています
Okta について 🙏 要望など - ライセンス体系が複雑なのとライセンス利用状況が分からなくなる - コンソールでできる操作をもう少し充実させて欲しい - 例えばユーザを特定条件でフィルタして検索したりできる機能など - 日本語環境への対応をもう少しお願いします - Profileとかで日本語入力して変換中に Enterキー押すとSaveされちゃったり...

- 本当のゼロタッチキッティングが実現できた時には感動しました - 弊社では導入してから二重ログインさせられるようになったと感じるユーザもいます - “FileVault のロック解除画面”と”ログインウィンドウ”の違いを理解する必要がありますね - 設定が複雑でエンジニアでないと実装は困難ですね... -
でも頻繁にアップデートされるので改善されていることを日々実感できます - まだまだ発展途上なので温かい目で成長を見守りたいと思います Jamf Connect について 🙏 要望など - （Appleへの要望ですが）FileVault ロック解除画面との統合 - パッケージの自動更新機能 - ライセンス更新作業の簡略化

まとめ

- 課題解決は段階的に実施していくことが大事 - 実際に使うのはユーザなので導入後のユーザ目線で考える - 運用管理もシンプルになるようイメージする - 慎重すぎるのはNG。未完成でもリリースしてみることも時には大事 - ただしそのためにも後から修正・配信できるソリューションを選ぶ
まとめ

- ゼロトラストセキュリティへの更なる対応 - デバイス認証（Okta Device Trust を検討中） - 入退社情報との完全な連携 -
更に自動化を進めて手作業を限りなくゼロに - Mac初期化作業の簡略化、OS自動アップデート対応 - Windows 端末の課題解決 - コーポレートエンジニアの拡充、技術レベルアップ CorpS のこれからの展望

今回お話した取り組みの詳細を執筆しています Sansanのものづくりを支えるメンバーの技術やデザイン、プロダクトマネジメントの情報を発信

We are hiring！コーポレート　コーポレートIT 　セキュリティエンジニア　（SOC、社内教育・内部監査）新規事業開発　WEBアプリ開発エンジニア　PdM（プロダクトマネジャー）
研究開発　自然言語処理研究員　機械学習研究員　OCR技術開発研究員　効果検証/因果推論研究員　データエンジニア　R&D DevOpsエンジニア　データアナリスト　シニアリサーチャー　インフラエンジニア　WEBアプリ開発エンジニアサービス開発　エンジニアリングマネジャー　アーキテクト　Site Reliabilityエンジニア　QAエンジニア、SET 　インフラエンジニア　iOSエンジニア　Android エンジニアブランディング/マーケティング　フロントエンドエンジニア https://jp.corp-sansan.com/recruit/midcareer

エンジニア情報サイト「Sansan Engineering」・Sansanエンジニアのミッション・プロダクト、テクノロジー概要・エンジニアインタビュー・技術スタック・働く環境、社内制度・募集職種・Blog ・イベント情報　　　...
and more Sansan Engineering Sansanのプロダクトやテクノロジー、カルチャー、採用情報など、エンジニアリングに関するあらゆる情報を掲載 https://jp.corp-sansan.com/engineering/

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Sansan

More Decks by Sansan

Other Decks in Technology

Featured

Transcript

Jamf x Okta で EXをシンプルに Okta x Jamf で実現するMac向けゼロトラストモデル Sansan株式会社　技術本部

Sansan株式会社とは名刺管理から、営業を強くする名刺でつながる、ビジネスのためのSNS 請求書受領から、月次決算を加速する設立年 2007年6月拠点表参道本社

- コーポレートシステム部の Mission - 抱えていた課題と解決へのアプローチ - 各サービスの導入とそれによる効果 - Jamf Pro

利用中のライセンス Jamf Pro Jamf Connect Single Sign-On Adaptive MFA Universal

導入時期 Okta Jamf Pro Jamf Connect 2019 2020 2021

コーポレートシステム部 CorpS (Corporate System Division)

Mission EXをシンプルにする

CorpSのMission - EX：Employee Experience（従業員体験） - シンプルなUI ＞整理されていないUI：問い合わせの減少 - シンプルな管理

CorpSの課題

従業員数の増加による課題 - 従業員数が増加 - 毎月の入社数も増加 - オンボーディングタスクの増加 - 貸与機器のキッティング -

- リモートワークという働き方が一般的になってきた - リモートに対するサポート - 不具合・故障 - 機器貸与・交換 -

1. Jamf Pro 導入

- Macのリモート管理が可能なMDMソリューション - 他のMDMにはない “ポリシー” という独自の機能により多様な管理が実現可能 - スクリプトの実行やパッケージのインストールも可能 -

機能の差を考えると Jamf Proを選択しない理由がなかった他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです Jamf Pro の選定理由構成プロファイル制限設定、ネットワーク設定、証明書

2. Okta 導入

- IDaaS (Identity as a Service) として世界トップレベルのサービス - Okta Integration

Okta の選定理由 - ユーザビリティ - ユーザが迷わず利用することができるか - OINの豊富なカタログを利用した設定の容易さ - 将来的に各部門などに展開するうえで

Okta 導入以前の問題点 - 入退社情報からアカウントマスタへの転記は手動 - 一部を除いてサービスのアカウント管理は手動 - ADFSの設定難易度の高さ -

3. Jamf Connect 導入

Jamf Connect 導入による効果 - Jamf Connect ログイン時にアカウント作成されるように - 自動設定との組み合わせで “ゼロタッチキッティング”

Jamf, Oktaについて思うこと

- 本当になくてはならないサービスです - もう導入していなかった頃には戻れない。。。 - Jamf Nation に知識が集まっているので助かります（Jamf導入していなくても見る価値あり！） - Jamf社のエンジニアさんのレベルが高い

まとめ

- ゼロトラストセキュリティへの更なる対応 - デバイス認証（Okta Device Trust を検討中） - 入退社情報との完全な連携 -

今回お話した取り組みの詳細を執筆しています Sansanのものづくりを支えるメンバーの技術やデザイン、プロダクトマネジメントの情報を発信

We are hiring！コーポレート　コーポレートIT 　セキュリティエンジニア　（SOC、社内教育・内部監査）新規事業開発　WEBアプリ開発エンジニア　PdM（プロダクトマネジャー）

エンジニア情報サイト「Sansan Engineering」・Sansanエンジニアのミッション・プロダクト、テクノロジー概要・エンジニアインタビュー・技術スタック・働く環境、社内制度・募集職種・Blog ・イベント情報　　　...