$30 off During Our Annual Pro Sale. View Details »

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Sansan
PRO
February 10, 2022

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

■イベント
Okta x Jamfで実現する
Mac向けゼロトラストモデル
https://regionalevents.okta.com/jamfwebinar

■登壇概要

タイトル:Jamf x OktaでEXをシンプルに

登壇者:技術本部 コーポレートシステム 寺園 大輔

▼Sansan Engineering
https://jp.corp-sansan.com/engineering/

Sansan
PRO

February 10, 2022
Tweet

More Decks by Sansan

Other Decks in Technology

Transcript

  1. Jamf x Okta で EXをシンプルに Okta x Jamf で実現するMac向けゼロトラストモデル Sansan株式会社 技術本部

    コーポレートシステム部 寺園 大輔
  2. None
  3. Sansan株式会社とは 名刺管理から、営業を強くする 名刺でつながる、 ビジネスのためのSNS 請求書受領から、 月次決算を加速する 設立年 2007年6月 拠点 表参道本社

    Sansan One Sansan パラシオ 関西支店 福岡支店 名古屋支店 資本金 63億76百万円 (2021年11月30日時点) 代表者 寺田親弘(代表取締役社長) 事業 働き方を変えるDXサービス (クラウド名刺管理サービス等)の 企画・開発・販売 グループ会社 Sansan Global Pte. Ltd. (シンガポール) Sansan Corporation (アメリカ) ログミー株式会社 東京証券取引所市場第一部 上場証券取引所 従業員数 1036名名(2021年11月30日時点)
  4. - コーポレートシステム部の Mission - 抱えていた課題と解決へのアプローチ - 各サービスの導入とそれによる効果 - Jamf Pro

    / Okta / Jamf Connect - Jamf, Oktaについて思うこと - まとめ Agenda Jamf と Okta を活用して どのように Mission に向き合ってきたのか?
  5. 利用中のライセンス Jamf Pro Jamf Connect Single Sign-On Adaptive MFA Universal

    Directory Lifecycle Management
  6. 導入時期 Okta Jamf Pro Jamf Connect 2019 2020 2021

  7. コーポレートシステム部 CorpS (Corporate System Division)

  8. Mission EXをシンプルにする

  9. CorpSのMission - EX:Employee Experience(従業員体験) - シンプルなUI > 整理されていないUI:問い合わせの減少 - シンプルな管理

    > 複雑な管理:リードタイム短縮 - 従業員がIT環境・サービスを利用するうえで迷わない世界を作る EXをシンプルにする
  10. CorpSの課題

  11. 従業員数の増加による課題 - 従業員数が増加 - 毎月の入社数も増加 - オンボーディングタスクの増加 - 貸与機器のキッティング -

    アカウント作成 - 利用サービスの増加 - 問い合わせの増加
  12. - リモートワークという働き方が 一般的になってきた - リモートに対するサポート - 不具合・故障 - 機器貸与・交換 -

    リモート前提のセキュリティ 働き方の多様化による課題
  13. 機器の課題 解決が必要な課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化 Windows

    端末もありますが 本講演では Mac に焦点を絞っ てお話します
  14. 1. Jamf Pro 導入

  15. 機器の課題 Jamf Pro 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策

    機器アカウントとのアカウント共通化
  16. - Macのリモート管理が可能なMDMソリューション - 他のMDMにはない “ポリシー” という独自の機能により 多様な管理が実現可能 - スクリプトの実行やパッケージのインストールも可能 -

    “セルフサービス” によりユーザが必要に応じてポリシーを実行できる Jamf Pro の特徴
  17. 機能の差を考えると Jamf Proを選択しない理由がなかった 他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです Jamf Pro の選定理由 構成プロファイル 制限設定、ネットワーク設定、証明書

    配信、独自プロファイルの配信、etc … ポリシー スクリプト実行、パッケージインストー ル、セルフサービス、実行タイミングの 調整、インベントリ情報収集、メッセー ジング、etc … 構成プロファイル 制限設定、ネットワーク設定、証明書 配信、独自プロファイルの配信、etc … 【その他のMDM】
  18. - ADE(旧DEP)により端末登録が自動化 - ポリシーによるセットアップで大部分のキッティング作業が自動化 - ※ユーザアカウントの設定のため一部手動作業が必要 - クラウド経由で情報収集、設定配信ができるため、働く場所を問わずに 端末管理が可能となった Jamf

    Pro 導入による効果
  19. 機器の課題 Jamf Pro 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策

    機器アカウントとのアカウント共通化 達成
 やや
 達成

  20. 2. Okta 導入

  21. 機器の課題 Okta 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化

    達成
 やや
 達成

  22. - IDaaS (Identity as a Service) として世界トップレベルのサービス - Okta Integration

    Network (OIN) に用意されたカタログを利用することで サービスとの SSO、Provisioning の設定を数ステップで実現可能 - 日々新しい機能がリリースされており、ついに基盤自体の新バージョン “Okta Identity Engine” がリリースされた - (切り替えが待ち遠しい...) Okta の特徴
  23. Okta の選定理由 - ユーザビリティ - ユーザが迷わず利用することができるか - OINの豊富なカタログを利用した設定の容易さ - 将来的に各部門などに展開するうえで

    説明がほとんどなしでも対応できるかというポイントは重要 - Jamf Connect との連携に対応している - 次の解決すべき課題を考えて対応サービスを選択しておく必要があった
  24. Okta 導入以前の問題点 - 入退社情報からアカウントマスタへの転記は 手動 - 一部を除いてサービスのアカウント管理は手動 - ADFSの設定難易度の高さ -

    ADだけではリモートワークに対応できない 旧:AD中心の構成
  25. - 入退社情報から各サービスへのシームレスな 連携が実現 - アカウント管理にかかるコストが大幅に削減 - 新しい連携設定は本当に簡単になった - 部門への展開も徐々に実現しており、 事実ほとんど説明なしで完了するケースもある

    - 全社でのMFA必須化によりセキュリティレベルの向 上に Okta 導入による効果 新:Okta中心の構成
  26. 機器の課題 Okta 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策 機器アカウントとのアカウント共通化

    達成
 やや
 達成
 達成
 達成

  27. 3. Jamf Connect 導入

  28. 機器の課題 Jamf Connect 導入で解決する課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策

    機器アカウントとのアカウント共通化 達成
 やや
 達成
 達成
 達成

  29. - MacのローカルアカウントとIDaaSを連携できるアプリケーション - Macのログイン時にIDaaSの認証を利用することが可能 - 未作成の場合はIDaaSのアカウント情報を用いてローカルアカウントを作成 - IDaaSとのパスワード同期を監視してくれる Jamf Connect

    の特徴
  30. Jamf Connect 導入以前の問題点 - キッティングにおいてアカウント作成と FileVault(ディスク暗号化)のため 管理者側とユーザ側での作業が必要 - モバイルアカウント(ADアカウントをベースとしたア カウント)を利用していたため

    リモート環境での問題に対応できない - Oktaのパスワードと同期されない 旧キッティング〜貸与までの流れ 電源ON 設定アシスタント ログイン (管理者アカウント) システム初期設定 (自動) ユーザログイン FileVault権限付与 アカウント初期設定 貸与 利用開始
  31. Jamf Connect 導入による効果 - Jamf Connect ログイン時にアカウント作成されるように - 自動設定との組み合わせで “ゼロタッチキッティング”

    が実現 - モバイルアカウントを利用しなくなったことで リモート環境でも問題に対応できるように - Oktaアカウントとパスワードが同期されるようになり ユーザが管理しなくてはならない情報がよりシンプルに 貸与 (未セットアップ端末) 電源ON 設定アシスタント Jamf Connectログイン (Oktaユーザ) システム初期設定 (自動) アカウント初期設定 (自動) 利用開始 ゼロタッチキッティングでの 貸与の流れ
  32. 機器の課題 Jamf Connect 導入で解決した課題 キッティング時間の短縮 リモート管理可能なMDM リモートで発生する不具合に対する対策 アカウントの課題 入退社に伴うアカウント管理の自動化 リモートを前提としたアカウントのセキュリティ対策

    機器アカウントとのアカウント共通化 達成
 達成
 達成
 達成
 達成
 達成

  33. Jamf, Oktaについて思うこと

  34. - 本当になくてはならないサービスです - もう導入していなかった頃には戻れない。。。 - Jamf Nation に知識が集まっているので助かります(Jamf導入していなくても見る価値あり!) - Jamf社のエンジニアさんのレベルが高い

    - ブログやGithubなど大変参考にさせていただいております Jamf Pro について 🙏 要望など - Computer Group が増え続けるのでフィルタ/検索とカテゴリにも対応して欲しいです - VPPで配信するApplicationのインストールタイミングのコントロール
  35. - 日本語サポートが開始されて大変助かっています - カタログにあるアプリケーションだと SSO/Provisioning まで本当にものの数分で完了します - (ドキュメントを読んで理解する時間は除きます) - APIが非常に使いやすくサービス連携に大変役立っています

    Okta について 🙏 要望など - ライセンス体系が複雑なのとライセンス利用状況が分からなくなる - コンソールでできる操作をもう少し充実させて欲しい - 例えばユーザを特定条件でフィルタして検索したりできる機能など - 日本語環境への対応をもう少しお願いします - Profileとかで日本語入力して変換中に Enterキー押すとSaveされちゃったり...
  36. - 本当のゼロタッチキッティングが実現できた時には感動しました - 弊社では導入してから二重ログインさせられるようになったと感じるユーザもいます - “FileVault のロック解除画面”と”ログインウィンドウ”の違いを理解する必要がありますね - 設定が複雑でエンジニアでないと実装は困難ですね... -

    でも頻繁にアップデートされるので改善されていることを日々実感できます - まだまだ発展途上なので温かい目で成長を見守りたいと思います Jamf Connect について 🙏 要望など - (Appleへの要望ですが)FileVault ロック解除画面との統合 - パッケージの自動更新機能 - ライセンス更新作業の簡略化
  37. まとめ

  38. - 課題解決は段階的に実施していくことが大事 - 実際に使うのはユーザなので導入後のユーザ目線で考える - 運用管理もシンプルになるようイメージする - 慎重すぎるのはNG。未完成でもリリースしてみることも時には大事 - ただしそのためにも後から修正・配信できるソリューションを選ぶ

    まとめ
  39. - ゼロトラストセキュリティへの更なる対応 - デバイス認証(Okta Device Trust を検討中) - 入退社情報との完全な連携 -

    更に自動化を進めて手作業を限りなくゼロに - Mac初期化作業の簡略化、OS自動アップデート対応 - Windows 端末の課題解決 - コーポレートエンジニアの拡充、技術レベルアップ CorpS のこれからの展望
  40. 今回お話した取り組みの詳細を執筆しています Sansanのものづくりを支えるメンバーの技術やデザイン、 プロダクトマネジメントの情報を発信

  41. We are hiring! コーポレート  コーポレートIT  セキュリティエンジニア  (SOC、社内教育・内部監査) 新規事業開発  WEBアプリ開発エンジニア  PdM(プロダクトマネジャー)

    研究開発  自然言語処理 研究員  機械学習 研究員  OCR技術開発 研究員  効果検証/因果推論 研究員  データエンジニア  R&D DevOpsエンジニア  データアナリスト  シニアリサーチャー  インフラエンジニア  WEBアプリ開発エンジニア サービス開発  エンジニアリングマネジャー  アーキテクト  Site Reliabilityエンジニア  QAエンジニア、SET  インフラエンジニア  iOSエンジニア  Android エンジニア ブランディング/マーケティング  フロントエンドエンジニア https://jp.corp-sansan.com/recruit/midcareer
  42. エンジニア情報サイト「Sansan Engineering」 ・Sansanエンジニアのミッション ・プロダクト、テクノロジー概要 ・エンジニアインタビュー ・技術スタック ・働く環境、社内制度 ・募集職種 ・Blog ・イベント情報   ...

    and more Sansan Engineering Sansanのプロダクトやテクノロジー、カルチャー、採用情報など、エンジニアリングに関するあらゆる情報を掲載 https://jp.corp-sansan.com/engineering/
  43. None