コンピュータ Prestage Enrollment (事前登録)

PreStage Enrollment では、登録構成を作成してこれらを Apple と同期できます。これによって、Jamf Pro で新しいコンピュータを登録でき、コンピュータの使用準備にかかる時間と手間を省けます。

PreStage Enrollment の作成によって、登録設定の構成および Setup Assistant ユーザ環境のカスタマイズができます。また、PreStage Enrollment を使用すると、登録すべきコンピュータの指定も可能です。さらに、新しく Device Enrollment インスタンスと関連付けられたコンピュータを PreStage Enrollment に自動的に追加できます。PreStage Enrollment を使用して Jamf Pro で登録できるのは、Automated Device Enrollment インスタンスと関連付けられた macOS 10.10 以降を搭載したコンピュータのみです。

Jamf Pro で macOS の User-Initiated Enrollment が有効な場合、PreStage Enrollment を使用して登録された macOS 10.10 以降を搭載したコンピュータは自動的に管理され、User-Initiated Enrollment の設定が PreStage に適用されます。詳細情報は、 User-Initiated Enrollment 設定を参照してください。

Jamf Pro は、PreStage Enrollment のコンピュータ情報を自動的にリフレッシュします。Automated Device Enrollment にコンピュータのアップデート情報があれば、Jamf Pro に表示されます。この情報は 2 分おきに自動リフレッシュされます。

: 情報がリフレッシュされるまでに最大 2 分遅れることがあるため、Jamf Pro に表示される情報は古い場合があります。また、環境特有の要因により、情報のリフレッシュが影響を受ける場合があります。

PreStage enrollment (事前登録) は、適用可能コンピュータをユーザ承認 MDM の状態にする方法の 1つです。この状態は、macOS で特定のセキュリティとプライバシの設定を管理するために必要です。ユーザ承認 MDM および Jamf Pro の詳細については、資料「Managing User Approved MDM with Jamf Pro (Jamf Pro によるユーザ承認 MDM の管理)」を参照してください。

コンピュータの Prestage Enrollment (事前登録) 設定

PreStage Enrollment (事前登録) を作成する際に Payload ベースのインタフェースを使用し、デバイス登録時に適用する設定を構成します。PreStage Enrollment (事前登録) で使用可能な登録設定を下表にまとめました。

Payload

説明

一般

この Payload により、PreStage Enrollment の基本設定を構成し、認証と管理の要件を指定し、Enrollment Customization 構成を追加し、セットアップアシスタントの環境をカスタマイズできます。

アカウント設定

アカウント設定 Payload を使用すると、セットアップアシスタントで作成したユーザアカウントに関するアカウント情報を指定できます。この Payload は、セットアップ時に作成される管理対象の管理者アカウントも定義できます。

構成プロファイル

構成プロファイル Payload で登録中のコンピュータへ配布するプロファイルを選択できます。選択されたプロファイルは、ユーザがセットアップアシスタントを完了する前にコンピュータへインストールされます。

ユーザと場所

ユーザと場所の Payload を使用すると、PreStage Enrollment で登録されたコンピュータごとに、ユーザと場所の情報を指定して Jamf Pro に保存できます。

注: 登録時にインベントリ Preload または認証を使用すると、コンピュータに関するこの情報を自動的に入力できます。

この情報は、PreStage Enrollment で登録された各コンピュータの Jamf Pro に保存されます。

パスコード (廃止済み)

パスコード Payload は、それを使用して Jamf Pro 10.9.0 以前に構成された既存の PreStage Enrollment (事前登録) のみに表示されます。

Jamf Pro 10.10.0 以降を使用し、登録中のコンピュータにパスコード要件を指定する場合、パスコード Payload を構成した構成プロファイルを作成し、それを構成プロファイル Payload で PreStage Enrollment (事前登録) に追加します。

購入

購入の Payload を使用し、コンピュータの購入情報を指定できます。

この情報は、PreStage Enrollment で登録された各コンピュータの Jamf Pro に保存されます。

添付ファイル

添付ファイルの Payload を使用し、コンピュータに保存する添付ファイルをアップロードできます。

この情報は、PreStage Enrollment で登録された各コンピュータの Jamf Pro に保存されます。

証明書

Jamf Pro インスタンスが Apple 製品によってネイティブに信頼されていない SSL 証明書を使用している場合、証明書 Payload を使用して登録中に信頼を確立できます。コンピュータは、登録にこの証明書のみを使用して Jamf Pro との安全な接続を試みます。

Apple により信頼された証明書の詳細については、Apple のサポートウェブサイトの記事Available trusted root certificates for Apple operating systems (Apple オペレーティングシステムで利用できる信頼されたルート証明書) を参照してください。

注: Jamf Pro インスタンスが Jamf Pro 内蔵 CA によって作成された SSL 証明書を使用する場合、登録用のアンカー証明書がこの Payload に自動的に追加されます。

Jamf Pro サーバの URL が「jamfcloud.com」で終わる場合は、この Payload を構成しないでください。

ディレクトリ (廃止済み)

ディレクトリ Payload は、それを使用して Jamf Pro 10.9.0 以前に構成された既存の PreStage Enrollment (事前登録) のみに表示されます。

Jamf Pro 10.10.0 以降を使用し、登録中のコンピュータのディレクトリサーバを選択する場合、ディレクトリ Payload を構成した構成プロファイルを作成し、それを構成プロファイル Payload で PreStage Enrollment (事前登録) に追加します。

登録パッケージ

登録パッケージの Payload を使用し、登録時にコンピュータへ展開するパッケージを選択できます。選択したパッケージのインストールコマンドは、ユーザがセットアップアシスタントを完了する前にコンピュータに展開されます。

登録環境のカスタマイズ

PreStage Enrollment の以下の機能により、ユーザの登録環境をカスタマイズできます。

  • Enrollment Customization 構成 - 一般 Payload を使用して、Enrollment Customization 構成を PreStage Enrollment に追加できます。たとえば、Enrollment Customization 構成を追加すると、ユーザがセットアップアシスタントを進めるときに、登録またはその他のカスタムメッセージング中にエンドユーザライセンス契約 (EULA) を表示できます。詳しくは、Enrollment Customization 設定 を参照してください。
    Enrollment Customization 構成を PreStage Enrollment に追加するには、Enrollment Customization 設定に少なくとも 1 つの構成が必要です。Enrollment Customization 構成は、macOS 10.15 以降を搭載したコンピュータにのみ適用されます。

  • 構成プロファイル - 構成プロファイル Payload を使用して、登録時にコンピュータの設定と制限を定義するプロファイルを配布できます。これにより、ユーザがセットアップアシスタントを完了する前にプロファイルをコンピュータにインストールできるため、 ユーザは自分のコンピュータが Jamf Pro で登録された直後にネットワーク上のリソースにアクセスできます。たとえば、登録時にユーザが自動的にネットワークに参加できるようにするプロファイルを配布できます。
    構成プロファイルを構成プロファイル Payload に追加するには、PreStage Enrollment を構成する前にプロファイルを作成する必要があります。詳しくは、コンピュータ構成プロファイル を参照してください。さらに、コンピュータ構成プロファイルを作成する場合、そのプロファイルの適用範囲に、PreStage Enrollment の適用範囲に存在するコンピュータがなければなりません。

    注: payload 変数を含む構成プロファイルは、その変数の属性値に置き換えられません。Payload 変数を含むプロファイルを配布する場合は、Jamf Pro でコンピュータを登録した後にプロファイルを配布することを推奨します。

  • 登録パッケージ - 環境に適合する PreStage Enrollment インスタンスごとに、登録パッケージ Payload にパッケージをいくつでも追加できます (macOS 10.14.4 以降を搭載したコンピュータには複数のパッケージが適用されます)。これにより、プロビジョニングワークフローで必要なパッケージ (Jamf Connect など) をインストールできます。

  • セットアップアシスタントの手順 - 一般 Payload を使用して、登録時にユーザにスキップさせたいセットアップアシスタント画面 (Apple ID のログインなど) を選択できます。手順を選択すると、登録時にその画面はユーザに表示されません。登録時にスキップできる画面の詳細については、 Apple の資料 Mobile Device Management Settings (モバイルデバイス管理設定) Setup Assistant pane options in Apple devices (Apple デバイスの設定アシスタントパネルのオプション) を参照してください。

  • アカウント作成 - ローカル管理者アカウントを作成し、登録時にユーザがコンピュータに作成するアカウントのタイプを指定できます。アカウント情報を事前に入力してロックすると、ユーザが自分のコンピュータを登録するときに、セットアップアシスタントのアカウント作成画面に Full Name (フルネーム) と Account Name (アカウント名) が事前に入力されます。

登録パッケージ

登録パッケージの Payload を使用し、登録時にコンピュータへ展開するパッケージを選択できます。ユーザがセットアップアシスタントを完了する前、または Jamf Pro への登録中に jamf バイナリがインストールされる前に、登録ワークフローにとって重要なソフトウェアをコンピュータにインストールできます。

登録パッケージ Payload を構成するときは、次の点を考慮してください。

  • 署名済み配布パッケージ - PreStage Enrollment を構成する前に、署名済み配布パッケージを Jamf Pro にアップロードする必要があります。Composer または第三者機関のパッケージングツールを使用し、署名済みパッケージを構築できます。Composer を使用したパッケージ構築の詳細は、Composer ユーザガイド を参照してください。PKG を構築した後に、署名して配布パッケージに変換する必要があります。

    : パッケージは、登録時にデバイスによって信頼されている証明書を使用して署名する必要があります。パッケージは、Jamf Pro 内蔵 CA または Apple Developer Program アカウントから生成された証明書で署名することをお勧めします。詳細については、以下の資料を参照してください:

  • 複数のパッケージ - 登録パッケージ Payload に複数のパッケージを追加して、macOS 10.14.4 以降を搭載したコンピュータに展開できます。パッケージのインストレーション順序は、パッケージの優先順位によって決まります。同じ優先順位の複数のパッケージがあった場合、パッケージはパッケージ名に基づくアルファベット順にインストールされます。macOS の以前のバージョンでは、1 つのパッケージのみをインストールでき、優先順位番号が最も小さなパッケージをインストールします。たとえば、優先順位が「5」のパッケージの代わりに、優先順位が「1」のパッケージがインストールされます。これらのパッケージはセットアップアシスタントプロセス中にコンピュータにインストールされ、大きなパッケージ (Microsoft Officeなど) は登録プロセスを遅くする場合があります。

  • パッケージのホスティング - クラウド配布ポイント以外の配布ポイントを使用して、登録パッケージをコンピュータに展開するには、配布ポイントで HTTPS を使用する必要があり、認証を使用できません。Jamf Pro で JSON Web トークン (JWT: JSON Web Token) を使用して外部配布サーバから登録パッケージを安全にダウンロードすることもできます。これにより、登録パッケージは外部配布サーバからユーザのコンピュータへ安全にダウンロードされます。詳しくは、In-house (組織内) コンテンツのセキュリティ保護のための JSON Web トークン を参照してください。

  • カスタムマニフェストファイル - パッケージには、HTTPS サーバからパッケージをダウンロードする URL およびパッケージに必要なその他の情報を含む、対応するマニフェストファイル (XML plist 形式) が必要です。デフォルトでは、Jamf Pro に直接アップロードするか、Jamf Admin に追加すると、Jamf Pro はこのファイルを作成します。ご使用の環境がパッケージをホストするために Jamf Pro HTTPS 対応配布ポイントではない HTTPS サーバを使用する場合、カスタムマニフェストファイルを作成し、パッケージとともに Jamf Pro にアップロードできます。カスタムマニフェストファイルを使用するには、パッケージのアップロード時に必ずそのファイルをアップロードしてください。Jamf Pro へのパッケージのアップロードについては、パッケージ管理 を参照してください。
    マニフェストファイルを作成し、ホストする方法の詳細については、 Apple の資料 Deployment Reference for Mac (導入リファレンス (Mac 用) ) Preparing to distribute in-house macOS apps (社内 macOS App の配付準備) を参照してください。

セットアップアシスタントの手順

登録時にユーザにスキップさせたいセットアップアシスタント画面を選択できます。手順を選択すると、登録時にその画面はユーザに表示されません。

macOS 11 以降を搭載したコンピュータを登録する場合、設定アシスタントによりユーザが自動的に進められるようにできます。このオプションにより、登録時にユーザにセットアップアシスタントの画面が表示されなくなります。 設定アシスタントを進める場合、コンピュータは Jamf Pro に登録した後にデフォルトで太平洋標準時ゾーン (PT) に設定されます。セットアップアシスタントを自動的に進める場合、言語と地域を構成して、コンピュータのロケールを自動的に構成することができます。

: ユーザが自動的に設定アシスタントを進めることができるようにするには、コンピュータを電源とイーサネットに接続しておくことが推奨されています。

登録時にスキップできる画面の詳細については、Apple の資料 Mobile Device Management Settings (モバイルデバイス管理設定) の Setup Assistant pane options in Apple devices (Apple デバイスの設定アシスタントパネルのオプション) を参照してください。

アカウント作成

PreStage Enrollment によって登録された macOS 10.10 以降を搭載したコンピュータの場合、アカウント設定 Payload を使用すると、管理対象の管理者アカウントを作成でき、作成するローカルユーザのアカウントのタイプを指定できます。macOS 10.15 以降を搭載したコンピュータの場合、セットアップアシスタントのアカウント作成画面でユーザのアカウント情報を事前に入力してロックすることもできます。

: 作成された管理対象の管理者は、Bootstrap Token が Jamf Pro にエスクローされている場合、macOS 10.15 以降を搭載したコンピュータにログインしたときに SecureToken を受け取る資格があります。Bootstrap Token の詳細は、Apple の資料 Deployment Reference for Mac (導入リファレンス (Mac 用)) の Using Bootstrap Token (Bootstrap Token の利用)を参照してください。

コンピュータで Bootstrap Token を手動で作成してエスクローする方法、および Jamf Pro がトークンを保存できるようにする方法の詳細については、記事 Apple の Bootstrap Token の機能を手動で利用を参照してください。

以下の設定を作成できます。

  • ローカル管理者アカウントの作成 - ローカル管理者アカウントを作成するときに、ユーザ名とパスワードを入力します。このアカウントをユーザに表示しないように選択できます。このアカウントの情報を入力しない場合、Jamf Pro は User-Initiated Enrollment (ユーザによる登録) 設定からこの情報を自動的に入力します。ただし、情報を編集することはできます。

  • ローカルユーザアカウントの作成 - 登録時に次の種類のローカルユーザアカウントを選択してユーザを作成できます。

    • 管理者アカウント - このオプションはユーザをコンピュータの管理者にします。

    • 標準アカウント - このオプションはユーザをコンピュータの標準ユーザにします。このオプションを選択する場合、ローカル管理者アカウントを作成する必要があります。

    • アカウント作成のスキップ - ユーザは登録時にアカウントを作成しません。このオプションを選択する場合、ローカル管理者アカウントを作成する必要があり、ローカル管理者はコンピュータで唯一のユーザになります。

ローカルユーザアカウントを作成する場合、登録時にコンピュータのプライマリアカウント情報を事前に入力してロックできます。ユーザが自分のコンピュータを登録する場合、セットアップアシスタントのアカウント作成画面に、Full Name (フルネーム) と Account Name (アカウント名) が事前に入力されます。アカウント情報をロックすると、セットアップアシスタントのアカウント作成画面で、ユーザは情報を変更できなくなります。

次のオプションを選択して、この情報を事前に入力できます。

  • カスタム詳細 - このオプションでは、コンピュータアカウントのフルネームとアカウント名を入力できます。この情報は、PreStage を介して登録されたすべてのコンピュータに適用されます。

  • デバイス所有者の詳細 - このオプションは、登録時のコンピュータのインベントリ情報のユーザ名とフルネームの値に基づいて、アカウント名とアカウントのフルネームを設定します。登録時に認証が必要な場合、Jamf Pro から LDAP へのルックアップを使用して、ユーザの情報がデバイスに関連付けられます。

    : シングル サインオン認証 PreStage 領域を使用する登録カスタマイズ構成を追加し、LDAP ディレクトリルックアップが利用できない場合、Jamf Pro にはユーザ名のみが通知され、設定アシスタントのユーザアカウント作成にフルネームを定義できません。アイデンティティプロバイダ (IdP) からのユーザ名情報は、IdP の SAML アプリケーション内で定義された `NameID` 属性によって事前入力されます。この値をカスタマイズするオプションについては、IdP で確認してください。

環境に LDAP サーバが設定されている場合、事前入力プライマリアカウント設定を行うときに、Account Full Name (アカウントの氏名) および Account Name (アカウント名) フィールドにユーザ変数を入力できます。これにより、設定アシスタントのアカウント作成画面でユーザ変数に LDAP 属性の値を入力できます。ユーザ変数に LDAP 属性の値を事前入力できるようにするには、Jamf Pro で LDAP サーバを設定する必要があります。詳しくは、LDAP ディレクトリサービスとの統合 を参照してください。

以下の変数を入力できます:

  • $USERNAME

  • $FULLNAME

  • $REALNAME

  • $EMAIL

  • $PHONE

  • $POSITION

  • $ROOM

  • $EXTENSIONATTRIBUTE_#

注記:

  • ユーザ変数に空白の値が返された場合、プライマリアカウント情報のロックは無視されます。ユーザは、セットアップアシスタントでのアカウント作成中にアカウントフィールドを編集できます。

  • 事前入力のプライマリアカウント設定を構成するときには、ユーザ拡張属性を使用できます。コンピュータとモバイルデバイスの拡張属性はサポートされていません。

コンピュータ管理機能の設定

一般 Payload を使用して、追加の管理機能を有効にすることができます。以下は、ユーザの登録環境には影響しませんが、適用時に追加のリモート管理が可能になります。

  • ユーザ認証 - 機密性の高いユーザ情報のセキュリティを高めるために、LDAP ディレクトリアカウントまたは Jamf Pro ユーザアカウントを使用して、コンピュータのセットアップ中にユーザに認証を要求することをお勧めします。LDAP ディレクトリアカウントで認証を実行した場合、登録中にユーザと位置情報が送信されます。
    設定中に LDAP または Jamf Pro のユーザ認証を義務付ける場合は、Jamf Pro で LDAP サーバを設定する必要があります。詳しくは、LDAP ディレクトリサービスとの統合 を参照してください。
    Enrollment Customization 構成がこの PreStage に追加された場合、この設定は macOS 10.15 以降を搭載したコンピュータでは無視されます。

  • MDM プロファイル - MDM プロファイルにより、Jamf Pro を使用しているコンピュータをリモートで管理できます。ユーザは、Jamf Pro での登録時に、macOS 10.15 以降を搭載したコンピュータに MDM プロファイルを自動的に適用する必要があります。MDM プロファイルを削除すると、コンピュータへのリモートコマンドの送信または構成プロファイルの配布ができなくなります。Jamf Pro を使用して、登録後にユーザがこのプロファイルを削除できないようにすることができます。

  • アクティベーションロック機能 - macOS 10.15 以降を搭載した互換性のあるコンピュータに対して、ユーザが登録時にアクティベーションロックを有効にできないようにすることができます。コンピュータが Jamf Pro で登録されている場合、ユーザが Find My Mac サービスを有効にしても、コンピュータでアクティベーションロックを有効にすることはできません。
    アクティベーションロックと macOS の互換性の詳細については、Apple のサポートウェブサイトの記事 About Activation Lock on your Mac (Mac のアクティベーションロックについて) を参照してください。

コンピュータの PreStage Enrollment の構成

要件

PreStage Enrollment を使用する前に、次の操作を実行する必要があります。

  • Jamf Pro と Automated Device Enrollment (旧称 DEP) を統合しておく必要があります。これによって Jamf Pro 内に Automated Device Enrollment インスタンスが作成されます。
    詳しくは、Automated Device Enrollment との統合 を参照してください。

  • Jamf Pro で macOS 向け User-Initiated Enrollment を有効にする
    詳しくは User-Initiated Enrollment 設定を参照してください。

登録時にパッケージを配布するには、Jamf Pro 内蔵 CA または Apple Developer Program アカウントから生成された証明書でパッケージに署名することをお勧めします。詳細については、以下の資料を参照してください:

手順

  1. Jamf Pro にログインします。

  2. ページトップの コンピュータ をクリックします。

  3. PreStage Enrollments をクリックします。

  4. New (新規) images/download/thumbnails/82683989/Icon_New_Button.png をクリックします。

  5. 一般 Payload を使用し、配布ポイントの Prestage Enrollment (事前登録) 構成の基本設定を実行します。または、一般領域上で以下を実行します。

    • ユーザに対して、ユーザ名とパスワードによる認証を求める場合、認証を要求 のチェックボックスを選択します。

      注: 認証を要求 チェックボックスは、Jamf Pro に LDAP サーバが設定されている場合にのみ、表示されます。

    • セットアップアシスタントのユーザ環境をカスタマイズするには、次の操作を実行します。

      • コンピュータに適用する Enrollment Customization 構成を選択します。

      • セットアップアシスタントでスキップする手順を選択します。ステップをスキップしても、特別な制限がない限り、コンピュータの構成後に改めて有効にできます。

      注: Setup Assistant の実行中にコンピュータのインターネット接続が必要です。

  6. PreStage で達成しようとしている目標に基づき、必要に応じて追加のペイロードを構成します。

  7. 適用範囲 タブをクリックし、Scope に追加したい各コンピュータの隣のチェックボックスを選択することにより、PreStage Enrollment の Scope を構成します。
    Scope タブのコンピュータには、Apple からダウンロードしたサーバトークンファイル (.p7m) 経由で Automated Device Enrollment インスタンス (旧称 DEP) に関連付けられたコンピュータが表示されます。PreStage Enrollment をクローンする場合、元の PreStage Enrollment の適用範囲にあるコンピュータは、クローンされた PreStage Enrollment の適用範囲には含まれません。
    すべて選択 ボタンを使用して、関連するすべてのコンピュータを適用範囲に追加できます。これにより、フィルター結果 検索フィールドを使用して絞り込まれた任意の結果にかかわらず、サーバトークンファイルを介して Automated Device Enrollment に関連付けられるすべてのコンピュータを追加します。すべて選択解除 ボタンは、関連するすべてのコンピュータを適用範囲から削除します。

    注: Automated Device Enrollment インスタンスと関連付けられたコンピュータを自動的に Scope (適用範囲) へ追加したい場合、一般 payload の 新しいデバイスを自動的に割り当てる チェックボックスを選択します。

  8. Save (保存) images/download/thumbnails/81531754/floppy-disk.png をクリックします。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2021 Jamf. All rights reserved.