デバイス管理に従事する全国の情シスの皆様、日々の業務お疲れ様です。コーポレートエンジニアリング部ファシリティブロックの佐藤です。いわゆる”情シス”と呼ばれる役割のチームに所属し、PCやネットワーク機器などの社内インフラの管理・運用に携わっています。

本記事では、MDM（Microsoft Intune）と自動デバイス登録（ADE）を併用したMacの自動キッティングの事例を紹介します。さらに、自動キッティングに必要なアプリ展開や、業務用としてMacを制御するための設定方法も説明します。

目次

• Mac自動キッティング導入前の課題と解決策利用するAppleサービス
  事前準備
  
• IntuneとADEのデバイス連携
• IntuneとADEのアプリ連携
• 先進認証を備えたセットアップアシスタントポータルサイト展開
  
• ユーザーによるセットアップの流れ
• デバイスグループ
• アプリの展開方法Microsoft Defender for Endpointによるアプリ展開
  VPPアプリによるアプリ展開
  Webリンクによるアプリ展開
  基幹業務アプリ（.intunemacファイル）によるアプリ展開
  基幹業務アプリ（.dmgファイル）によるアプリ展開
  
• 構成プロファイルによるデバイス制御FileVaultの自動有効化
  
• まとめ
• さいごに

Mac自動キッティング導入前の課題と解決策

ZOZOグループでは、2020年からWindows 10のゼロタッチキッティングを導入しています。これにより、ユーザーによる手作業を無くし、初回セットアップを短時間で完了させることを実現しています。

具体的な取り組みは、以下の記事で紹介しているので、併せてご覧ください。

一方、開発業務に従事するエンジニアに貸与しているMacのセットアップは全てが手作業の状態でした。そのため、下記の問題が生じていました。

• セットアップ手順を説明するために、ユーザーと管理者間のスケジュール調整が必要になる
• 全て手動でアプリインストールやシステム環境を設定するため、作業漏れのリスクがある
• 手作業で対応するため、手順書やセットアップに要する時間が長くなる

上記の課題を解決するために、IntuneとADEの連携に加えてデバイス登録プロファイル「先進認証を備えたセットアップアシスタント」を導入しました。その結果、Macの初回セットアップ時にAzure Active Directory登録と二要素認証の両方を要求することが可能となり、キッティング作業の簡略化に成功しました。

本記事では、このIntune+ADEで簡略化した環境構築手順とエンドユーザー側でのセットアップの流れを紹介します。

利用するAppleサービス

今回のMac自動キッティングでは、下記のAppleサービスを利用します。

1. Automated Device Enrollment（以下、ADE）Apple社が提供する企業向けデバイス導入支援サービス
   
2. Apple Business Manager（以下、ABM）組織単位でデバイス登録作業やアプリ購入を一括管理するWebポータル
   
3. Volume Purchase Program（以下、VPP）企業向けにアプリ購入・展開を効率化するためのプログラム
   
4. デバイスのシリアル番号登録弊社では、デバイス購入時にリース会社へADE登録を依頼することで、ABMへデバイス情報を登録している

事前準備

まず、Microsoft Intune（以下、Intune）で、Appleデバイスを管理するための事前準備をします。

1. Apple IDの用意IntuneとABMの作業に必要となる、組織で利用するApple IDを用意する
   
2. Apple MDMプッシュ証明書の取得IntuneでAppleデバイスを管理するために必要となる、Apple MDMプッシュ証明書を下図の流れで取得する

IntuneとADEのデバイス連携

本章の作業は、ABMに登録されたデバイス情報をIntuneに同期させるためのものです。

手順は以下の通りです。

続きはこちら