事前登録を作成して、自動デバイス登録エクスペリエンスをコンピュータに展開する

企業向け Trusted Access ソリューションガイド
Solution
Application
Content Type
テクニカル資料
ソリューションガイド
Utilities & Services
ft:locale
ja-JP

Jamf Pro を使用して事前登録を作成すると、自動デバイス登録 を使用してカスタマイズされたセキュアな構成を展開するためのテンプレートとして機能し、シームレスな展開と Trusted Access エクスペリエンスが確保されます。このプロセスにより、macOS 設定アシスタントに従って事前に構成されたカスタマイゼーションと調整がコンピュータに直接自動的に適用され、新しいコンピュータの使用準備に必要な時間およびインタラクションが削減されます。事前登録を使用すると、コンピュータがアクティブ化された瞬間からこれらの重要な設定が均一に適用されます。この方法により、ユーザ設定プロセスが簡素化され、セキュリティコンプライアンスが強化され、組織の IT インフラストラクチャの整合性が最初から維持されます。

要件

事前登録を使用する前に、次の操作を実行する必要があります。

  1. Jamf Pro のサイドバーで、コンピュータ をクリックします。
  2. サイドバーの 事前登録 (事前登録) をクリックします。
  3. 事前登録 ページで、新規 をクリックして新しい事前登録を作成します。
  4. 保存 をクリックします。
  5. 自動デバイス登録 中にリモート管理とセキュリティの設定を構成するには、以下の手順を実行します。
    1. 認証要求 チェックボックスを選択して、コンピュータの登録と設定のためにユーザ名またはパスワードの入力をユーザに要求します。

      また、登録時の LDAP 認証により、ユーザと位置情報がデバイスのインベントリ情報に自動入力されます。

      注:登録カスタム構成を追加し、macOS 10.15以前のバージョンを実行可能なコンピュータを事前登録に割り当てている場合、Jamf では、それらのコンピュータが認証なしで誤って登録されないように、フェールセーフとして 認証要求 設定を選択することを推奨しています。macOS 10.15以降を搭載したコンピュータの場合、登録カスタム構成はこの設定を透過的に上書きします。
    2. MDM プロファイルを必須にする チェックボックスを選択します。
    3. (macOS 10.15 以降のみ) ユーザがアクティベーションロックを有効にできないようにします チェックボックスを選択します。

      これにより、ユーザが iCloud アカウントを使用して「探す」を有効にしている場合でも、アクティベーションロックを有効にできなくなります。詳しくは、資料の Apple のアクティベーションロック機能を Jamf Pro で利用する方法を参照してください。

    4. (macOS 11.5 以降を搭載した Apple シリコンのみ) recoveryOS ロックのパスワードを設定 チェックボックスを選択し、パスワードの設定方法 ポップアップメニューからオプションを選択します。
      これにより、ユーザはパスワードがないとコンピュータ上の recoveryOS にアクセスできなくなります。recoveryOS パスワードの方法には、次のものが含まれます。
      • "手動でパスワードを入力 (すべてのコンピュータに適用)"事前登録 の スコープ内にあるすべてのコンピュータに適用される recoveryOS パスワードを入力します。
      • (推奨) "各コンピュータ用にランダムパスワードを自動的に生成"事前登録 の スコープ内にある各コンピュータに対して固有パスワードを生成します。このパスワードは、Jamf Pro 内の各コンピュータのインベントリ情報に保存されます。また、リカバリロックパスワードをローテーションする を選択すると、Jamf Pro で表示されるたびにパスワードが変更されます。
  6. 一般 ペインで、自動デバイス登録 中に設定アシスタントをスキップするには、以下の手順を実行します。
    1. Setup Assistant Options (設定アシスタントオプション) 設定に移動し、登録時にスキップする画面を選択します。
    2. 設定アシスタントのすべての画面をスキップするには、Automatically advance through Setup Assistant (macOS 11 or later only) (設定アシスタントによる自動アドバンス (macOS 11 以降のみ)) チェックボックスを選択します。このオプションでは、ユーザの初期言語とコンピュータの場所を選択できます。
  7. 自動デバイス登録 中に構成プロファイルを配布するには、構成プロファイル ペインで1つ以上の構成プロファイル (例えば、Jamf Connect 構成プロファイル) を選択します。
    重要:

    ペイロード変数を含む構成プロファイルは、事前登録を介して配布されるときに、それぞれの値に置き換えられません。Jamf では、コンピュータが Jamf Pro に登録された後に、変数を含むプロファイルを配布することを推奨しています。

  8. 自動デバイス登録 中に登録プロセスをサポートするパッケージを配布およびインストールするには、登録パッケージ (Enrollment Packages) ペインでもう1つの PKG (例えば、Jamf Connect パッケージ) の横にある追加 (Add) をクリックします。
  9. 自動デバイス登録 中に既存の登録カスタム構成を追加するには、一般 (General) ペインの 登録カスタマイゼーション構成 ポップアップメニューから構成を選択します。
  10. (オプション) アカウント設定 (Account Settings) ペインで、以下の手順を実行して、自動デバイス登録 時に管理対象ローカル管理者アカウントを作成します。
    1. 設定アシスタントの前に管理対象ローカル管理者アカウントを作成する チェックボックスを選択します。
    2. ユーザ名パスワード フィールドに入力し、パスワードを確認します。
    3. ユーザとグループに管理対象管理者アカウントを非表示にする を選択します。
      これにより、ユーザは、システム設定 (macOS 13 以降) または システム環境設定 (macOS 12 以前) 内にある管理対象管理者アカウントの表示や操作ができなくなります。
    4. ローカル管理者アカウントを MDM 対応にする チェックボックスが選択されていないことを確認します。
      これにより、管理対象の管理者アカウントが MDM 対応になります。
      警告:

      管理対象の管理者を MDM 対応にすると、後続のローカルユーザアカウントを MDM 対応にできなくなります。プライマリローカルアカウントが MDM 対応になっていない場合、ユーザレベルの構成プロファイルをユーザにインストールすることはできません。詳しくは、MDM 対応のローカルユーザアカウントを参照してください。

  11. ローカルアカウントタイプに対して アカウントの作成をスキップ を選択します。
    Jamf Connect自動デバイス登録 中にプライマリユーザのローカルアカウントを作成するように構成されているため、このオプションを選択すると、ユーザはローカルユーザアカウントを作成しません。
  12. 購入 (Purchasing)添付ファイル (Attachments)、または証明書 (Certificates) の事前登録ペイロードを構成して、自動デバイス登録 中に、構成済みの情報をスコープ内の各デバイスのインベントリ情報に追加します。
  13. スコープ タブをクリックします。
  14. 以下のいずれかを実行します。

    • 事前登録の設定を使用して 自動デバイス登録 経由で登録する各デバイスを選択します。

    • すべて選択 をクリックすると、結果をフィルタする を使用してフィルタリングされた結果に関係なく、自動デバイス登録 インスタンスに関連付けられたすべてのデバイスが 事前登録に追加されます。

  15. 保存 をクリックします。

事前登録を保存すると、設定が Apple と同期します。Jamf Pro は2分ごとに Apple と自動的に同期し、事前登録でデバイス情報のアップデートを表示します。事前登録の編集/保存を継続的に行うと、同期の遅延が発生する場合があります。