
リモートワーク環境下でmacをAD参加し、モバイルアカウントを作成する方法
Jamf ProとJamf Connectによる設定に翻弄されてるカシマです。
昨年よりリモートワーク環境下で働くようになり、マシンセットアップをどうするかという問題が起こっていました。
Jamf Proを導入しているものの、ずっとAD設定にしていたり、社名は伏せますがアンチウィルスソフトのせいで手動セットアップを余儀なくされていたのが今まででした。
見るに見かねてなのかなかなか遅々としてJamf Proが活用されない状態に業を煮やしたという感じなのか…
少なくとも現状のままが健全な環境じゃねーわこれっていう感想しかなかったためJamf ProtectとJamf Connectを導入しております。
Jamf Protectはそんなに困る要素が見受けられなかったためJamf Connect側がしんどいんだろうな、と思っていたら割と大変でした。
Azure AD + Jamf Connect + Jamf Proという環境でセットアップできるよう進めているのですが、新規セットアップはそんなに困らなさそうだなぁという印象で作業が終わっています。
現状の困難な状況というのが、以下のようなケースです。
- 社員へ払出済みMacをADのモバイルアカウントからJamf Connectへ変更するための事前検証方法の策定
- 社員へ払出済みMacのAD参加済みユーザからJamf Connectへ変更するための検証作業
ちょっとケース別にお答えしますが、以下のような感じでセクションを分けていきます。
まずは最初の1のケースから。
1. 社員へ払出済みMacをADのモバイルアカウントからJamf Connectへ変更するための事前検証方法の策定
なんのこっちゃという話ですが、社員が使用している既存のmacユーザがモバイルアカウントになっているため、渡してしまっているmacのための検証において、何度もモバイルアカウントからJamf Connectへ変換する検証のためにどういう手順でモバイルアカウントを用意すればいいか、という話です。
正直頭抱えたのですが、macのローカルユーザは作業の流れ上必要なので作成するのですが、ADドメインに参加しているモバイルアカウントは社内ネットワークにつながっていない限り、ログイン画面経由でモバイルユーザの作成は行えません。
ですので、ネットワークレベルで社内に参加させる必要があるため、まずはVPNに繋いだ状態を用意して…となるのですが、ローカルユーザをログアウトしてログイン画面に戻るとVPNが切断されるのでこれはどうしたものか…という話です。
解決策として、マシンのAD参加はローカルユーザで行えるので良いとして、コマンドラインでなんとかできないか?が解決の糸口でした。
この解決の糸口に辿り着くのにiPhoneのテザリングを行ったり、自分のメインマシンから繋げないかとか考えたのですが、テザリングもVPN同様切断されるし、メインマシンとの接続はBluetooth経由の接続しか行えず、ifconfig的に社内ネットワークに繋げてないので、何か違う…というものでした。
というわけで以下の流れをターミナルから作業します。
< 前提条件 >
- ADに参加済みのマシンになっていること
< 作業内容 >
- モバイルユーザを作成するマシンにてターミナルを開きます。(ターミナルが開けるなら直接マシンを操作しても良いですし、RDPでもSSH経由でも問題ないです。)
- 続いて、以下のコマンドを実行します。
sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n username
- ADの管理者ユーザとパスワードを尋ねられるのでタイプします。
- パスワードがあっていてもエラーが出ますが、問題なくモバイルユーザは作成されています。(システム環境設定を見るか、lsするとわかります)
- 以下のコマンドで必要に応じて管理者権限を付与します。
sudo dscl . -append /Groups/admin GroupMembership username
- 自分のメインマシンとモバイルアカウントを作成したマシンの両方をVPN接続し社内ネットワークに存在する状態にします。
- 社内ネットワークのIPを使い、自分のメインマシンからモバイルアカウントを作成したマシンへRDPします。
- これでモバイルアカウントのマシンへ接続が行えれば、モバイルアカウントの作成が完了したことになります。(ユーザの初期セットアップ画面が表示されます)
この流れを踏むことでユーザを削除して、またモバイルアカウントを作成して、っていう流れを何度も踏むことができるので、何度もmac OSの再インストールを行わなくて済みます。
払出済みMacをAD参加済みモバイルアカウントからJamf Connectへ変更するための検証作業
今度はこっち…。こっちは検証作業中なのでまた後日。
ADドメインを参加させたままなら問題ないんだけど、ローカルユーザとAzureADとローカルパスワード検証で三回聞かれちゃうからADに参加させままにするしかないのかな?
なんとなくADに参加したままなのが気持ち悪いので解決策を探っています。難しいなぁ。
そもそもJamf Connectの基本設定に関してはどっかにメモして残しておきたいので、もしかしたらこんな風に設定すればいいよって記事を公開するかもしれません。
というわけで
コロナ禍になり、macのモバイルユーザの作成って社内環境にいないと作るの大変ですよってお話でしたが、コマンドラインを扱えれば解決する手段もあるので、自宅でマシンセットアップし社員へ配送する方法はそれなりにあります、という内容でした。
もうちょっと検証頑張ろうっと。