組織でApple製品を取り扱うときに考えていること (後編)
#ABM #MDM #AppleID #Mac #macOS
前編はこちら
How じゃあどうする
組織でMac端末使います、となったときに、じゃあどーするか?
使います、っていうか、もう既に使ってるけど、どう整理していくか、とも言える。
ABM
ABMについては「使う」「使わない」の2択です。
ABMを使う
ABMを使わない
で。原則的にABMは「使う」一択です。これがないと、MDMと連携してあれやこれやできないです。なお、ABM自体は無料です。
調達先と連携して、ABM登録された端末として納品されるようにします。
ABM配下にない端末は、初期化してApple Configuratorを利用してABMに組み入れる必要があります。
Apple Configurator は、無印と2があるので注意してください。
調べれば色々出てくると思うので、このぐらいに留めておきます。
MDM
MDMは基本的に有料です。
使う、使わないの2択で「使う」とした場合、例えば以下のような選択肢があります。
Jamf - Apple製品に特化
Kandji - 新興勢力、シンプル操作
Intune - Microsoftとの連携
LANSCOPE - 日本市場で強い
SOTI MobiControl - 多様なOSに対応
Scalefusion - みともりさんのやつ。インド発MDM
そのほか
Macの他に利用しているOSはなにがあるかといった点でも、どのMDMにするか悩みどころです。
ABMとMDMサーバーの繋ぎ込みとか、初期セットアップ画面をスキップさせたりとか、アプリ配布とか、情シス的に楽しい作業はこの辺です。恋人との付き合い始めに、相手の色んな面が分かってくるのにも似ています。
MDM導入コンサルを雇ってもいいですが、導入の後の運用が本番ですからね、設定内容も残さず導入だけして去っていくことにはならぬようお気をつけくださいませ。
導入≒結婚式
運用≒生活
結婚式は準備が大変なようで、終わってしまえば一瞬です。
生活は続きます。
AppleID
ユーザに割り当てられるApple IDには、管理対象Apple IDと個人のApple IDの2種類があります。
こいつが曲者です。
Apple IDは一切使わない
個人のAppleIDを使う
管理対象AppleIDを使う
そのほか
AppleIDを使わずに、MDMを通してアプリを配布する手もあります。
個人のAppleIDは、私的なものと業務が混ざるので気持ち悪いですね。有料アプリの管理が大変そうです。
今からだけど、私用のApple IDを仕事で使わせるのは危険だよね。iCloudを介してあんな情報やこんな情報が組織で管理されていない個人利用のデバイスに同期されちゃう可能性があるんだもん。。。万が一その個人デバイスから業務情報漏洩しちゃったら誰の責任になるんだ。。。
— あおてつ (@ao_Tetsu) June 19, 2024
AppleIDについては先達の素晴らしいnoteをご参照ください。
世間の声
管理対象Apple IDおじさん「管理対象Apple IDはいいぞ」
— くろひつじ (@kurohitsuji_rw) August 6, 2024
選択肢の一つとして、
— Yoshie Kono / Datadog (@yoshifin) June 8, 2024
管理対象Apple IDはIdPでフェデレーションして確保しつつ、従業員の使用は強制しない、というのもあるのかなと思います。
↓今後のうごき?「ABMでのドメイン管理の改善」が気になります。競合の解決、すでに作成された会社のメールアドレスでの個人Apple IDの対応がやりやすくなる、のかも。
なにから始めればいいんだ
とりあえず手を動かしたいときは、端末一覧資料を確認します。エクセルとかスプレッドシートで端末台帳とかPC一覧があると思います。無いならまず作ります。
ABMの登録をします。無料だし。
MDMは予算が必要なので、タイミングを見つつ予算計上します。
小規模な会社、ベンチャーなどでは、情報リスク対策より経営リスクへの対応の方がプライオリティが高いこともあります。情シス的にはMDMありき、無いことなどあり得ないかもしれませんが、経営的には一旦そのリスクは受容して後回しにする判断がなされるかもしれません。組織が育ってくれば、どのみち、そのうちに外圧でMDMは入れることになるはずです。
戦略や方針は、情シスマネジャーやお金を出すことを決定する人と腹を割って話しましょう。叩き台でもいいから、まずは作ってみます。叩き台を作る人はえらいんです。
MDMを導入したら、ヘルプページや公式ドキュメント見ながらあれやこれや。
そして、Apple ID、お前と向き合う時が来たようだ……。
誰に聞けばいいんだ
わからないことだらけですよね。
実際、自分は今もなんもわからんです。
大体、下記のあたりはおさえておけばいいんじゃないかと思います。
各社のブログやXでの発信にいつも助けられています。ありがとうございます。
この辺を自分で調べつつ、あとは情シスSlackで過去ログ漁ったり質問したりですかね。
余談
Apple製品の哲学
2015年版(マイケル・ファスベンダー演)の「スティーブ・ジョブズ」という、まんまなタイトルの映画がありまして。
この映画の中で、しきりに、ジョブズはユーザーによるMacへの改造を許さない姿勢を見せるんですね。対して、ウォズニアックは、ユーザーに自由を与え、自らカスタマイズすることの重要性を主張し、対立するわけです。
ジョブズは、製品を徹底的にコントロールすることで「統一感のある使い勝手の良い体験」を提供する、という強い信念がありました。
Appleを閉じたエコシステムとして、ユーザーがハードウェアやソフトウェアを改変できないようにしたいと考えていました。
ジョブズはMacを「全てのユーザーが扱いやすく、直感的に使えるもの」としてデザインしようとする一方、ウォズニアックは「ユーザーがそれを自分の手で改造し、機械にもっと深く関わることができるべき」との考えがあったようです。
この思想の違いが、映画『スティーブ・ジョブズ』ではわかりやすく演出されていました。
こういったことを踏まえると、めんどくさいデザインされたABMやAppleIDの仕組みも、ハラオチしてくる、ような気がします。
関連の書籍・映画など
ジョブズの映画は近しい時期に似たようなタイトルがあって大変混乱します。
映画
バトル・オブ・シリコンバレー(1999年)
だいぶビルさんが悪者に描かれている感もあります。Jobs(スティーブ・ジョブズ)(アシュトン・カッチャー演)(2013)
そっくりさん(?)が出ているのはこっち。スティーブ・ジョブズ(マイケル・ファスベンダー演)(2015)
圧縮版。転機となる製品発表会を中心にしたもの。初見でジョブズ知識なしで観るのはつらいかもしれない。
Whoシリーズは英語圏の小~中学生向けの読み物です。英検2-3級レベルで読めると思います。大学でカリグラフィーを学んだ話とか、実父とのレストランニアミス事件とか、時系列で伝記として読めます。英語の勉強にもおすすめ。
過去のnote
Apple、Mac関連で過去に書いていた自分のnoteをこれを機に見返しています。
今見ると、拙いものも多いですが。
2022年5月8日 Mac環境を整える
2022年5月8日 はじめてのJamf Pro
2022年5月21日 Mac ユーザ辞書 インポートとエクスポート
2022年6月23日 Macでターミナルからgit commitしてもVisual Studio Codeが立ち上がらないWhy&How Do I do
2022年7月10日 mac ターミナルで入力補完してくれるfig
2022年10月22日 mac OSのメジャーアップデートの際に情シスが行うこと
2022年12月2日 初めてJamf Proを触る時に知っておきたかったこと
2023年1月2日 自宅MDM計画〜自宅で使っているmac数台をJamf Now配下に置くぞ
最近はiTerm2使ってみたり使ってなかったり(状況により端末がまちまちなので、デフォルトのターミナルを一番使っているかもしれない)
結論
話が飛び飛びですが、結論として、組織でMacを導入・運用する際は以下の3点を検討することを推奨します:
ABMの活用: 端末管理を効率化し、MDMと連携する。
適切なMDMツールの選定: ゼロタッチキッティングを視野に入れる。入れたい。
Apple ID運用ポリシーの明確化: 個人と組織の利用を分離する。
かっこいいし、いい感じだからMacね!とゆー組織を否定するものでは無いです。そういうのがあってもいいと思いまーす。でも、会社が大きくなってくると、そのままでは大変になる気がします。
こう書いておきながら、自分自身もまだまだなので、がんばります!
Windowsなんもわからん。
オレはようやくのぼりはじめたばかりだからな
このはてしなく遠い端末坂をよ…
未完
いいなと思ったら応援しよう!
