Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

Sansan
February 10, 2022

Jamf x OktaでEXをシンプルに / Making EX simple with Jamf × Okta

■イベント
Okta x Jamfで実現する
Mac向けゼロトラストモデル
https://regionalevents.okta.com/jamfwebinar

■登壇概要

タイトル:Jamf x OktaでEXをシンプルに

登壇者:技術本部 コーポレートシステム 寺園 大輔

▼Sansan Engineering
https://jp.corp-sansan.com/engineering/

Sansan

February 10, 2022
Tweet

More Decks by Sansan

Other Decks in Technology

Transcript

  1. Jamf x Okta で EXをシンプルに
    Okta x Jamf で実現するMac向けゼロトラストモデル
    Sansan株式会社 技術本部 コーポレートシステム部
    寺園 大輔

    View full-size slide

  2. Sansan株式会社とは
    名刺管理から、営業を強くする
    名刺でつながる、
    ビジネスのためのSNS
    請求書受領から、
    月次決算を加速する
    設立年 2007年6月
    拠点 表参道本社
    Sansan One
    Sansan パラシオ
    関西支店
    福岡支店
    名古屋支店
    資本金 63億76百万円
    (2021年11月30日時点)
    代表者 寺田親弘(代表取締役社長)
    事業 働き方を変えるDXサービス
    (クラウド名刺管理サービス等)の
    企画・開発・販売
    グループ会社 Sansan Global Pte. Ltd.
    (シンガポール)
    Sansan Corporation
    (アメリカ)
    ログミー株式会社
    東京証券取引所市場第一部
    上場証券取引所
    従業員数 1036名名(2021年11月30日時点)

    View full-size slide

  3. - コーポレートシステム部の Mission
    - 抱えていた課題と解決へのアプローチ
    - 各サービスの導入とそれによる効果
    - Jamf Pro / Okta / Jamf Connect
    - Jamf, Oktaについて思うこと
    - まとめ
    Agenda
    Jamf と Okta を活用して
    どのように Mission に向き合ってきたのか?

    View full-size slide

  4. 利用中のライセンス
    Jamf Pro
    Jamf Connect
    Single Sign-On
    Adaptive MFA
    Universal Directory
    Lifecycle Management

    View full-size slide

  5. 導入時期
    Okta
    Jamf Pro
    Jamf Connect
    2019 2020 2021

    View full-size slide

  6. コーポレートシステム部
    CorpS
    (Corporate System Division)

    View full-size slide

  7. Mission
    EXをシンプルにする

    View full-size slide

  8. CorpSのMission
    - EX:Employee Experience(従業員体験)
    - シンプルなUI > 整理されていないUI:問い合わせの減少
    - シンプルな管理 > 複雑な管理:リードタイム短縮
    - 従業員がIT環境・サービスを利用するうえで迷わない世界を作る
    EXをシンプルにする

    View full-size slide

  9. CorpSの課題

    View full-size slide

  10. 従業員数の増加による課題
    - 従業員数が増加
    - 毎月の入社数も増加
    - オンボーディングタスクの増加
    - 貸与機器のキッティング
    - アカウント作成
    - 利用サービスの増加
    - 問い合わせの増加

    View full-size slide

  11. - リモートワークという働き方が
    一般的になってきた
    - リモートに対するサポート
    - 不具合・故障
    - 機器貸与・交換
    - リモート前提のセキュリティ
    働き方の多様化による課題

    View full-size slide

  12. 機器の課題
    解決が必要な課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    Windows 端末もありますが
    本講演では Mac に焦点を絞っ
    てお話します

    View full-size slide

  13. 1. Jamf Pro 導入

    View full-size slide

  14. 機器の課題
    Jamf Pro 導入で解決する課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化

    View full-size slide

  15. - Macのリモート管理が可能なMDMソリューション
    - 他のMDMにはない “ポリシー” という独自の機能により
    多様な管理が実現可能
    - スクリプトの実行やパッケージのインストールも可能
    - “セルフサービス” によりユーザが必要に応じてポリシーを実行できる
    Jamf Pro の特徴

    View full-size slide

  16. 機能の差を考えると Jamf Proを選択しない理由がなかった
    他のMDMサービスとの機能比較イメージ ※あくまでも個人的なイメージです
    Jamf Pro の選定理由
    構成プロファイル
    制限設定、ネットワーク設定、証明書
    配信、独自プロファイルの配信、etc …
    ポリシー
    スクリプト実行、パッケージインストー
    ル、セルフサービス、実行タイミングの
    調整、インベントリ情報収集、メッセー
    ジング、etc …
    構成プロファイル
    制限設定、ネットワーク設定、証明書
    配信、独自プロファイルの配信、etc …
    【その他のMDM】

    View full-size slide

  17. - ADE(旧DEP)により端末登録が自動化
    - ポリシーによるセットアップで大部分のキッティング作業が自動化
    - ※ユーザアカウントの設定のため一部手動作業が必要
    - クラウド経由で情報収集、設定配信ができるため、働く場所を問わずに
    端末管理が可能となった
    Jamf Pro 導入による効果

    View full-size slide

  18. 機器の課題
    Jamf Pro 導入で解決した課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    達成

    やや

    達成


    View full-size slide

  19. 2. Okta 導入

    View full-size slide

  20. 機器の課題
    Okta 導入で解決する課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    達成

    やや

    達成


    View full-size slide

  21. - IDaaS (Identity as a Service) として世界トップレベルのサービス
    - Okta Integration Network (OIN) に用意されたカタログを利用することで
    サービスとの SSO、Provisioning の設定を数ステップで実現可能
    - 日々新しい機能がリリースされており、ついに基盤自体の新バージョン
    “Okta Identity Engine” がリリースされた
    - (切り替えが待ち遠しい...)
    Okta の特徴

    View full-size slide

  22. Okta の選定理由
    - ユーザビリティ
    - ユーザが迷わず利用することができるか
    - OINの豊富なカタログを利用した設定の容易さ
    - 将来的に各部門などに展開するうえで
    説明がほとんどなしでも対応できるかというポイントは重要
    - Jamf Connect との連携に対応している
    - 次の解決すべき課題を考えて対応サービスを選択しておく必要があった

    View full-size slide

  23. Okta 導入以前の問題点
    - 入退社情報からアカウントマスタへの転記は
    手動
    - 一部を除いてサービスのアカウント管理は手動
    - ADFSの設定難易度の高さ
    - ADだけではリモートワークに対応できない
    旧:AD中心の構成

    View full-size slide

  24. - 入退社情報から各サービスへのシームレスな
    連携が実現
    - アカウント管理にかかるコストが大幅に削減
    - 新しい連携設定は本当に簡単になった
    - 部門への展開も徐々に実現しており、
    事実ほとんど説明なしで完了するケースもある
    - 全社でのMFA必須化によりセキュリティレベルの向
    上に
    Okta 導入による効果
    新:Okta中心の構成

    View full-size slide

  25. 機器の課題
    Okta 導入で解決した課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    達成

    やや

    達成

    達成

    達成


    View full-size slide

  26. 3. Jamf Connect 導入

    View full-size slide

  27. 機器の課題
    Jamf Connect 導入で解決する課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    達成

    やや

    達成

    達成

    達成


    View full-size slide

  28. - MacのローカルアカウントとIDaaSを連携できるアプリケーション
    - Macのログイン時にIDaaSの認証を利用することが可能
    - 未作成の場合はIDaaSのアカウント情報を用いてローカルアカウントを作成
    - IDaaSとのパスワード同期を監視してくれる
    Jamf Connect の特徴

    View full-size slide

  29. Jamf Connect 導入以前の問題点
    - キッティングにおいてアカウント作成と
    FileVault(ディスク暗号化)のため
    管理者側とユーザ側での作業が必要
    - モバイルアカウント(ADアカウントをベースとしたア
    カウント)を利用していたため
    リモート環境での問題に対応できない
    - Oktaのパスワードと同期されない
    旧キッティング〜貸与までの流れ
    電源ON
    設定アシスタント
    ログイン
    (管理者アカウント)
    システム初期設定
    (自動)
    ユーザログイン
    FileVault権限付与
    アカウント初期設定
    貸与
    利用開始

    View full-size slide

  30. Jamf Connect 導入による効果
    - Jamf Connect ログイン時にアカウント作成されるように
    - 自動設定との組み合わせで “ゼロタッチキッティング” が実現
    - モバイルアカウントを利用しなくなったことで
    リモート環境でも問題に対応できるように
    - Oktaアカウントとパスワードが同期されるようになり
    ユーザが管理しなくてはならない情報がよりシンプルに
    貸与
    (未セットアップ端末)
    電源ON
    設定アシスタント
    Jamf Connectログイン
    (Oktaユーザ)
    システム初期設定
    (自動)
    アカウント初期設定
    (自動)
    利用開始
    ゼロタッチキッティングでの
    貸与の流れ

    View full-size slide

  31. 機器の課題
    Jamf Connect 導入で解決した課題
    キッティング時間の短縮
    リモート管理可能なMDM
    リモートで発生する不具合に対する対策
    アカウントの課題
    入退社に伴うアカウント管理の自動化
    リモートを前提としたアカウントのセキュリティ対策
    機器アカウントとのアカウント共通化
    達成

    達成

    達成

    達成

    達成

    達成


    View full-size slide

  32. Jamf, Oktaについて思うこと

    View full-size slide

  33. - 本当になくてはならないサービスです
    - もう導入していなかった頃には戻れない。。。
    - Jamf Nation に知識が集まっているので助かります(Jamf導入していなくても見る価値あり!)
    - Jamf社のエンジニアさんのレベルが高い
    - ブログやGithubなど大変参考にさせていただいております
    Jamf Pro について
    🙏 要望など
    - Computer Group が増え続けるのでフィルタ/検索とカテゴリにも対応して欲しいです
    - VPPで配信するApplicationのインストールタイミングのコントロール

    View full-size slide

  34. - 日本語サポートが開始されて大変助かっています
    - カタログにあるアプリケーションだと SSO/Provisioning まで本当にものの数分で完了します
    - (ドキュメントを読んで理解する時間は除きます)
    - APIが非常に使いやすくサービス連携に大変役立っています
    Okta について
    🙏 要望など
    - ライセンス体系が複雑なのとライセンス利用状況が分からなくなる
    - コンソールでできる操作をもう少し充実させて欲しい
    - 例えばユーザを特定条件でフィルタして検索したりできる機能など
    - 日本語環境への対応をもう少しお願いします
    - Profileとかで日本語入力して変換中に
    Enterキー押すとSaveされちゃったり...

    View full-size slide

  35. - 本当のゼロタッチキッティングが実現できた時には感動しました
    - 弊社では導入してから二重ログインさせられるようになったと感じるユーザもいます
    - “FileVault のロック解除画面”と”ログインウィンドウ”の違いを理解する必要がありますね
    - 設定が複雑でエンジニアでないと実装は困難ですね...
    - でも頻繁にアップデートされるので改善されていることを日々実感できます
    - まだまだ発展途上なので温かい目で成長を見守りたいと思います
    Jamf Connect について
    🙏 要望など
    - (Appleへの要望ですが)FileVault ロック解除画面との統合
    - パッケージの自動更新機能
    - ライセンス更新作業の簡略化

    View full-size slide

  36. - 課題解決は段階的に実施していくことが大事
    - 実際に使うのはユーザなので導入後のユーザ目線で考える
    - 運用管理もシンプルになるようイメージする
    - 慎重すぎるのはNG。未完成でもリリースしてみることも時には大事
    - ただしそのためにも後から修正・配信できるソリューションを選ぶ
    まとめ

    View full-size slide

  37. - ゼロトラストセキュリティへの更なる対応
    - デバイス認証(Okta Device Trust を検討中)
    - 入退社情報との完全な連携
    - 更に自動化を進めて手作業を限りなくゼロに
    - Mac初期化作業の簡略化、OS自動アップデート対応
    - Windows 端末の課題解決
    - コーポレートエンジニアの拡充、技術レベルアップ
    CorpS のこれからの展望

    View full-size slide

  38. 今回お話した取り組みの詳細を執筆しています
    Sansanのものづくりを支えるメンバーの技術やデザイン、
    プロダクトマネジメントの情報を発信

    View full-size slide

  39. We are hiring!
    コーポレート
     コーポレートIT
     セキュリティエンジニア
     (SOC、社内教育・内部監査)
    新規事業開発
     WEBアプリ開発エンジニア
     PdM(プロダクトマネジャー)
    研究開発
     自然言語処理 研究員
     機械学習 研究員
     OCR技術開発 研究員
     効果検証/因果推論 研究員
     データエンジニア
     R&D DevOpsエンジニア
     データアナリスト
     シニアリサーチャー
     インフラエンジニア
     WEBアプリ開発エンジニア
    サービス開発
     エンジニアリングマネジャー
     アーキテクト
     Site Reliabilityエンジニア
     QAエンジニア、SET
     インフラエンジニア
     iOSエンジニア
     Android エンジニア
    ブランディング/マーケティング
     フロントエンドエンジニア
    https://jp.corp-sansan.com/recruit/midcareer

    View full-size slide

  40. エンジニア情報サイト「Sansan Engineering」
    ・Sansanエンジニアのミッション
    ・プロダクト、テクノロジー概要
    ・エンジニアインタビュー
    ・技術スタック
    ・働く環境、社内制度
    ・募集職種
    ・Blog
    ・イベント情報   ... and more
    Sansan Engineering
    Sansanのプロダクトやテクノロジー、カルチャー、採用情報など、エンジニアリングに関するあらゆる情報を掲載
    https://jp.corp-sansan.com/engineering/

    View full-size slide