Apple の Bootstrap Token の機能を手動で利用
Bootstrap Token により、ネットワークユーザがモバイルアカウントでコンピュータにログインし、アカウントに SecureToken が関連付けられていない場合、追加の認証情報を要求する必要がなくなります。Jamf Pro は、管理者としてコンピュータのローカルユーザアカウントで構成された PreStage Enrollment を使用して登録された macOS 10.15 以降のコンピュータから送信された Bootstrap Token を自動的にエスクローできます。
登録中に追加のローカル管理者アカウントを作成するように PreStage Enrollment が構成されている場合、そのアカウントはコンピュータへのログイン時に Bootstrap Token を受信する資格もあります。
Bootstrap Token がエスクローされた後、SecureToken なしのモバイルアカウントがコンピュータにログインするたびに、Jamf Pro から要求されます。次に、コンピュータは、モバイルアカウントの SecureToken を自動的に生成するために Bootstrap Token を使用します。ユーザに SecureToken が発行された後、そのアカウントは FileVault 認証などの暗号化権限を必要とする macOS サービスに使用できます。コンピュータが Jamf Pro に登録した後、Jamf Pro が Boostrap Tokens をエスクローしたことを手動で確認することができます。
Bootstrap Token は、Apple silicon (Apple シリコン) が搭載している Mac コンピュータでカーネル機能拡張とソフトウェア更新を承認するためにも使用されます。
Bootstrap Token を作成し、エスクローする
- PreStage Enrollment を使用して Jamf Pro 10.18.0 以降 に登録された macOS 10.15 以降のコンピュータ注:
コンピュータが Jamf Pro 10.18.0 より前で登録されている場合、Jamf Pro 10.19.0 以降にアップグレードする必要があります。
- SecureToken のある管理者アカウント注:
このアカウントは一般的に、Setup Assistant で作成された最初のアカウントであるか、コンピュータにログインする最初の管理者です。SecureToken ステータスの管理の詳細については、Apple の サポートウェブサイトの次の記事を参照してください。
PreStage Enrollment のアカウント設定 payload のローカルユーザアカウントタイプ設定が Skip Account Creation (アカウント作成をスキップ) または Standard Account (スタンダードアカウント) オプションで構成されている場合、以下を実行してください。
Jamf Pro が Bootstrap Token をエスクローしていることを確認
コンピュータに管理者としてログインし、以下のコマンドを実行して、Jamf Pro が Bootstrap Token をエスクローしていることを確認できます。
sudo profiles status -type bootstraptoken
Jamf Pro が Bootstrap Token をエスクローしている場合、以下が返されます。
プロファイル: Bootstrap Token はサーバでサポートされています。はい
プロファイル: Bootstrap Token がサーバでエスクローしています。はい
追加情報
macOS での Bootstrap Token の詳細については、Apple のApple プラットフォームの展開の次の資料を参照してください:
- Use secure token, bootstrap token, and volume ownership in deployments (展開時にセキュアトークン、Bootstrap Token、ボリューム所有権を使用する)
Manage FileVault with mobile device management (モバイルデバイス管理で FileVault を管理する)
ブートストラップトークンを使用してソフトウェアアップデートを管理する方法の詳細については、Apple の「モバイルデバイス管理設定ガイド」の「Appleデバイスのソフトウェア・アップデートを管理する」を参照してください。