各組織のmacOS Big Surのデプロイ

企業･教育機関サポートの上級顧問エンジニア マイクです 製品マーケティング担当の ダニエルと一緒に macOS Big Surのデプロイの流れを 詳しく説明していきます macOS Big Surは2020年秋に リリースされた最新のmacOSです バージョンナンバーは11に進み 多くの新機能を備えます デザインを刷新し MessagesやMapsも更新され Safariでのプライバシー保護や 翻訳機能を強化しました 今回はＩＴシステムに関係する プラットフォームの変更について話します 私がプラットフォームの変更点を説明し Apple siliconへの移行に際しての デプロイに関しては ダニエルが詳しく説明します 最後にワークフローのガイドと １対１と共有のデプロイメントの手順を 説明します 追加リソースも同時に示しつつ 最後に手短に補足します 初めはプラットフォームの変更です

Auto Advanceは数年前に紹介された Apple TVの機能です とても簡単にmacOSをセットアップし 電源とイーサネットを接続するだけで 自動的に設定できます macOS Big Surにも この優れた機能を導入しました ログイン画面が開くまでの速さを デモ映像で確かめてください “Macを設定しています”

MDMやApple School Managerを 使うデバイスに デバイス登録プロファイルが 割り当てられたら イーサネットに接続し電源を入れます MDMを使って言語と地域を選択し 自動的に設定画面が進みます DHCPに対応するネットワークが必要ですが クライアントのプロキシ設定は要求されません プロセスの開始から30秒操作がないと ログイン画面に移ります 共有のデプロイメントや無人設定に 理想的なワークフローなので ユーザやＩＴ管理者のアカウント作成には MDMが用いられ ディレクトリサービスか 他の補助ツールを用いて設定されるでしょう １対１のデプロイに Auto Advanceを使う場合は 最初のユーザのアカウント作成を 参照します Auto Advanceは最も速い ＯＳインストールと設定が可能で 完全に自動で行われます リモートでＯＳをアップグレードし リインストールできます

macOSでは様々な種類のMDM登録を 導入しました デバイス登録やユーザ承認MDM 自動デバイス登録などです Apple School Managerや Apple Business Managerにも使われています 個々のMDM登録が 機能の管理や制限を行い 自動デバイス登録は 最高レベルのデバイス管理を実現し 監視も可能です macOS Big Surでは ユーザ承認MDMで監視し macOSでのデバイス登録を簡略化します ユーザがダウンロードしたプロファイルで登録し 環境設定でインストールする場合 macOS Catalinaでは ユーザ承認MDMの役割でしたが macOS Big Surではデバイス登録と呼び デバイスを監視し完全に管理できます Big Surにアップグレードすると 全てのユーザ承認MDMを自動で統合し 監視することで デプロイメントのワークフローを改善します Apple siliconの監視についての 注意事項は後で説明します

デバイス登録とユーザ登録に 管理Appを導入しました これによってMDMは手動または自動で インストールされたAppを削除できます iOS式の管理Appの設定と フィードバックにも対応します カスタム設定プロファイルは 長い間サポートされてきましたが Managed App Configurationは ユーザ登録に使え 一般的なMDMプラットフォームでの 密結合の設定にも使えます デバイス登録では非管理Appを 管理Appに変換できますが ユーザ登録ではサポートされていません 管理Appには要件があります Appディレクトリにインストールするのは .app bundle fileのみで ディレクトリから移動していなければ そのAppを削除できます AppはApps and Booksから インストールされるので デフォルトでAppディレクトリにあれば 管理Appとして最適です Data Separationと Managed Open-Inは iOSとiPad OS独自の管理Appです カスタムAppは個々の要望に応えます カスタムMac Appの配布が可能になりました カスタムAppは目的に合わせ セキュリティー対策を備え ビジネスや学校の業務に役立つ 特別な機能があります Apple Business Managerや Apple School Managerを通して それぞれの組織が利用できるので 顧客やユーザへ個別に配布できます macOS Big Surと2019年以降のMac Proは Lights Out Managementを利用できます Mac Proをリモートで 起動 シャットダウン 再起動でき― データセンターへの物理的な移動は 必要ありません MDM登録のMacが Lights Out Managementに指定されると MDMが可能なデバイスで アクションを実行する時 MDMからコマンドを送られたコントローラが Mac Proにコマンドを送ります 業界標準のPKIを活用するIPv6に対し 安全な専用プロトコルを使います Lights Out Managementの利用には macOS Big Surが求められ コントローラ側のMacと同じサブネットの IPv6のイーサネット接続が必須です Lights Out Managementの ペイロードと SCEPなどのRSAキー認証を設定した ペイロードを確認し 管理したいMac Proとコントローラを デプロイします ネットワークインターフェースボンディングが 管理するMacに対応します

イラストで説明します MDMサーバーを経由し Lights Out Managementにコマンドを送り コントローラ側のMacが受信し 個々のターゲットへ拡散します

Catalinaは読み取り専用の システムボリュームがありましたが macOS Big Surは暗号化された システムボリュームを備えていて 不正使用から保護します macOSはAPFSのsnapshotから起動でき 署名済みシステムによって アップデートも容易になり iOSやiPadOSの工程と近くなりました システムボリュームの暗号化が 強固になったため FileVaultの働きは これまでと少し変わり ユーザのデータボリュームの暗号化に 使われています ＩＴ全般にとって些細な変更でしょうが プラットフォームの重要な変更点です

セキュアトークンとの連携は Catalinaのブートストラップトークンから 大きく改善されました macOS Big Surでは役割を拡大し さらに利用しやすくなりました ブートストラップトークンにより セキュアトークンを付与でき セキュアトークンの管理者パスワードで 別々に認証を得る必要もありません macOS Big Surでは ローカルユーザを含め全てのアカウントに セキュアトークンがデフォルトで提供されます 以前はセキュアトークンの自動的な付与は ＩＴ管理者やモバイルのアカウントに 制限されていました さらにmacOS Catalina 10.15.4で 重要な変更があります MDMがブートストラップトークンに 対応していて macOSによって生成されず MDMに保存されていれば セキュアトークンを使えるユーザログを macOSが保存します つまり個々のMacの ブートストラップトークンが 追加のスクリプトなしで それぞれの組織のMacで使用できます Apple siliconでの ブートストラップトークンの管理機能は ダニエルが説明します

Catalinaで導入したシステムの拡張で App開発者は エンドポイントセキュリティや ネットワーク ファイルプロバイダー プリンターやスキャナーなど カーネルの外にあるAppを作れます カーネル拡張を使うベンダーは 今後はシステム拡張を導入して システムの安全性を保ち 新しい機能をお使いください ＩＴ管理者の使う デバイスドライバやセキュリティAppは カーネル拡張を必要としますが 早急にベンダーと話し合い システム拡張への移行を勧めてください ベンダーの見直しも必要となるでしょう ユーザスペースで実行されるので カーネルパニックの危険性が下がり アタックサーフェスを減らし MDMの管理も容易です その点はカーネル拡張の役割と同じです

ここで注意が必要です macOS Big Surではカーネル拡張が システム拡張やDriverKitの使用に アップデートが必要な場合 警告を表示し macOS Big Surにロードされません MDMにカーネル拡張が承認される 例外もあります 大きな組織の要望に応え システム拡張への移行を支援するためです macOS Big Surのデフォルトでは カーネル拡張のインストールとロードは カーネルキャッシュの再構築に 管理者によるユーザアクションが求められます 多くの組織でユーザは 管理者になることを許可されないので 管理者の認証なしにカーネル拡張をロードする ２つのオプションを用意しました

１つはMDMを活用し カーネルキャッシュを再構築する方法で ユーザがプロセスに介入せずに済みます RestartDeviceのMDMコマンドは ３つあります １つはmacOS 11.3の新機能です RebuildKernelCacheは Macにキャッシュの再構築を指示します 任意でKextPathを添付し システムに発見されていない― 特定のカーネル拡張をロードします MDMにAppをインストールさせて ユーザはAppを起動せず カーネルキャッシュを再構築できます macOS 11.3では NotifyUserが通知を表示し 再起動を促します クリックするとmacOSの再起動のため Appleメニュー画面の再起動へ移ります NotifyUserは カーネル拡張のコンテキストの外でも RestartDeviceコマンドと一緒に使えます 合わせて使うと効果的です

２つ目は新しいキーの AllowNonAdminUserApprovalsで システムポリシーカーネル拡張の ペイロードにあります このキーでユーザは カーネル拡張をインストールし 環境設定からMacを再起動できます 管理者の認証は必要ありません

意図しないプロファイルの インストールを防ぐため プロファイルがダウンロードされた時点で 環境設定からインストールを止めるよう 警告が表示されます iOSやiPadOS 13の機能と似ていて MDMの登録プロファイルと 設定プロファイルも同様です プロファイルをインストールするには 環境設定を起動し プロファイル設定ペインで プロファイルを選択します ユーザはプロファイルの役割を把握し インストールするか判断できます ダウンロードされてから ８分間 操作がなければ プロファイルは環境設定から削除されます これらはデプロイのワークフローに 重要なステップです

ＩＴチームがデプロイに使う コマンドラインツールに セキュリティ強化を施しました macOS Big Surではコマンドラインツールで プロファイルをインストールできません ツールの他の機能に変更はありません ネットワーク設定のコマンドラインツールも ユーザアカウントによる設定は許可しません 管理者の名前とパスが必要です ユーザはWi-Fiのオンオフの操作や ネットワークの名前やSSIDを 変更できます ネットワーク設定のコマンドラインツールで ユーザが操作できるのは 環境設定のネットワークペインか メニューバーのWi-Fiメニューです セキュリティのコマンドラインツールでも 管理者権限なしには システムキーチェーンの認証を 追加できません システム全域でルート認証を 信用するには 管理者の権限があるか MDMでのインストールが必須です

macOS Big Surでは 多くのソフトウェアアップデートがあります 初めにmacOSは iOSに似た仕組みを導入しました ソフトウェアアップデートの前に システムに変更を加えられ ソフトウェアアップデート時の システムのダウンタイムを最小限に抑えます アップグレードや セキュリティやAppの更新などは 90日間保留できます macOS 11.3はメジャーアップグレードや マイナーアップデートなどが 個々に保留できます それぞれの画面に分かれ 90日まで保留できます ソフトウェアアップデートのインストールで ScheduleOSUpdateのコマンドを送る時 MDMはインストールを強制でき 必要なら再起動します 特定のアップデートを無視するため ソフトウェアアップデートの コマンドラインツールを使っているなら macOS Big Surではフラグが削除されているので MDMでのアップデート管理が 最善の方法です

プライバシー環境設定ポリシー制御には ２つのサービスがあります ユーザとシステムです ユーザサービスは 個人のユーザによって付与され ユーザのセッション内の オペレーションだけにアクセスできます ユーザのカメラやマイクなどです システムサービスは管理者のみが付与でき 全てのユーザのサービスを承認できます プライバシーに関わるサービスは カメラ マイク スクリーンショット Listen Eventなどです MDMを使い設定しようとしても 許可されません Catalinaでは ユーザはスクリーンショットを 承認できましたが macOS Big Surでは管理者の承認が求められます しかしMDMによって スクリーンショットとListen Eventは ユーザ自らが指定できます 多くのデバイスを設定する際に 必要な手順です ユーザは必要な情報を得て 意識的に選択し プライバシーに関わるサービスに アクセスできます

認証キーはAllowStandardUser ToSetSystemServiceを受け入れ スクリーンショットとListen Eventの 機能を使えます 設定後は セキュリティとプライバシーの設定ペインは テーブルリストでもはっきり判別でき― Appはユーザから承認されます ブーリアン型の許可キーは 認証キーに置き換わりましたが macOS Big Surでは移行を簡単にするため 両方のキーに対応しています macOS Big Surにアップグレードするマシンでは 前バージョンで認証されたエントリーは アップグレード後も維持されます

macOS Big Surでは多くの新機能の他 SSO拡張や内蔵Kerberos拡張を強化しました SSO拡張を構成するMDMペイロードが インストールされ ユーザチャンネルでの設定は デバイスチャンネルの設定より優先されます SSO拡張での Per-App VPNの扱われ方が改良され 関連ドメインが Per-App VPNと連携します SSO拡張は拡張を使用する 呼び出し元Appの情報をより多く受信します 新しいプロファイル削除ツールがあります MDMプロファイルが構成した SSO拡張がデバイスから削除されると サインアウトのための短い猶予があります ファイルやキーチェーンエントリーの クリーンアップや トークンの取り消しを実行します SSO拡張や macOS Big Surの改善点についての詳細は WWDC 2020の“Leverage Enterprise Identity and Authentication”を ご覧ください

内蔵Kerberos拡張には 多くの新機能があります 内蔵Kerberos拡張は Macをディレクトリにバインドせずに オンプレミスのアクティブディレクトリへの 接続性をディレクトリに与えます パスワード同期や自動チケット管理などの 機能もあります CatalinaやiOSとiPad OS 13では Kerberos拡張がＯＳに内蔵されていて Enterprise Connectの代わりに 機能しています Kerberos拡張を構成するため ユーザチャンネルプロファイル配布に対応します 証明書ベースのＩＤやPKINITを使用した Kerberos拡張に関して ユーザレベルの承認を可能にします macOSのKerberos拡張が Per-App VPNに対応しました Kerberos menu extraとAppSSOAgentを Per App VPNペイロードに 追加する必要があります

最初のログインで ＩＴで管理できることが増えました ログインプロンプトを遅らせる MDMオプションや AppSSOコマンドラインツールの 新たなフラグにより デプロイの工程の好きな時に 最初のログインプロンプトをトリガできます Menu-extraは拡張の状態を より正確に表示し ネットワークの状態と認証について 情報を与えてくれます ユーザインターフェイスの カスタマイズも可能です カスタムＩＤの名前や カスタムヘルプテキストを設定できます ＩＤ名とヘルプテキストが カスタムされた例です “カスタムＩＤ名” “カスタムヘルプテキスト”

macOS Big SurはEnterprise Connectに対応する 最後のリリースです Kerberos拡張を使いワークフローや デプロイの手順を試してください ワークフローや移行ガイドについては Apple teamsへどうぞ Enterprise Connectからの移行を含む Kerberos拡張のユーザガイドは apple.com/businessの ＩＴページにある― “Identity Management Resources”の 下部にあります “macOS Big Sur マネジメントアップデート” プラットフォームの重要な変更点の概要です AppleSeed for ITのリリースノートと MDM Settings Guide for ITの確認をお勧めします

Apple siliconへの移行について ダニエルがお話しします MacのApple siliconへの移行は 2020年11月 Ｍ１から開始しました パワフルな技術が搭載され パフォーマンスが圧倒的に向上しました この変化は全Apple製品の コモンアーキテクチャに影響し 開発者にとって Appの最適化が容易になります 今後数年はIntelベースのMacも サポートを続けます Apple siliconの利用には デプロイとマネジメントに関して 重要な注意事項があります 説明しましょう

新しい処理アーキテクチャに 移行するうえで重要なのは Appの互換性です macOS Big SurにはApple siliconへの移行を 容易に進める機能が備わっています Universal 2 application binariesを使って 開発者はApple siliconのパワーを 活用できるAppを 簡単に作ることができます IntelベースのMacもサポートを続けます 既存のAppでも変換を行えば Apple siliconに対応します 今回初めてiOSとiPadOSのAppは 修正を加えなくても Macで使えるようになりました macOS Big Sur 11.3では Apple siliconのMacに MDMでiOSやiPadOSのAppを インストールできます

Rosetta 2のトランスレーション技術で ほとんどの既存のMac Appや プラグインを利用できます カーネル拡張のトランスレーションは できないので カーネル拡張を リコンパイルする必要があります ベンダーには システム拡張の導入が求められます Hypervisor frameworkは 仮想化を可能にし Linuxを実行できます

Macシェアリングモードを説明します Apple siliconには ターゲットディスクモードがありません 代わりにMacシェアリングモードがあり SMBを使い ThunderboltかUSBケーブルで接続します ファイルベースなので asrやApple Software Restoreを使った block-copying dataのインターフェイスには 対応していません ユーザアカウントの設定が終わると FileVaultかActivation Lockが Macシェアリングモードの認証を求めます Macシェアリングモードは ユーザのホームフォルダ以外に macOSボリューム全体へのアクセスを与えます

接続したターゲットのMacに ホストのApple siliconが表示されるので ゲストとして接続するだけです

Apple siliconのMacにも リカバリモードがあります “recoveryOS”と呼び 仕組みは似ていますが コマンドキーとＲキーを押す代わりに 起動時にスタートボタンを長押しします recoveryOSから ＯＳをリインストールする場合 使用しているＯＳバージョンの 最新のアップデートが適用されます 11.1をインストールしている方は 11.3が該当するので recoveryOSは11.3をインストールします recoveryOSでの問題や リインストールが必要な時は IntelベースのMacのように ネット接続を使うのでなく Apple Configurator 2が Reviveオプションでリインストールします Restoreオプションを選択すれば Apple Configurator 2が 最新のバージョンをインストールします Apple Configurator 2によって Macの迅速な復旧が可能になります しかしApple Configurator 2は ＯＳの上書きインストールには 対応していません

Apple siliconのMacでは 新しく統一されたログインを体験できます FileVaultがオンの状態でも この新機能が使えます 豊かなＵＩと高速グラフィックスが macOSの体験を支えます ユーザにシステムのアンロックを求めずに macOSを起動できることで 可能になった体験です ユーザ名とパスワードのビューは デフォルトリストの代わりに 使うと選択すれば対応します 認証には内蔵サポートの― CCIDとPIVに準拠した スマートカードがあります さらにVoiceOverもサポートしています

Apple siliconのMacでは ソフトウェアアップデートの管理と カーネル拡張のロードは 自動デバイス登録で MDM登録されたデバイスに有効になり ブートストラップトークンを活用します マイクが話した監視についての 注意点を説明します 以前はユーザ承認MDMで知られた デバイス登録で監視されるデバイスは MDMにカーネル拡張を管理させるため 起動セキュリティユーティリティで セキュリティを弱めることも可能です MDMに最新のソフトウェアアップデートを 管理させる際は必要ありません

Apple siliconのMacは “所有者”の概念を導入しました 最初にそのMacを設定したユーザを 所有者と定義しています これは法的な所有者とは関係ありません 所有者の権限として 特定のmacOSインストールの 起動セキュリティポリシーに 変更を加えられます 起動セキュリティポリシーは Apple siliconのMacで 起動できるバージョンを定義します サードパーティのカーネル拡張が 管理できるか判断します 所有者はSecure Enclaveで守られる 暗号化技術に支えられ インプリメンテーションの詳細と デプロイ作業のための優先事項の ２つが関係しています macOSインストールには 個々にセキュリティポリシーがあり macOSを追加でインストールするような場合は 新しいユーザである 所有者の認証情報が求められます 特定のＯＳインストールで 起動セキュリティポリシーを変更する際にも 所有者の認証が求められます 管理者にならずに 所有者になることも可能ですが 特定のタスクは両方の認証を求めます 例えば起動セキュリティの設定の変更は 管理者と所有者 両方の認証が必要です ソフトウェアアップデートを インストールする場合 実行する前に 所有者の認証が求められます 管理デバイスはMDMから ブートストラップトークンも利用できます

これがApple siliconを搭載するMacの デプロイ関連の変更点です 次は１対１と共有のデプロイの ワークフローについて 最適な方法をマイクが説明します このセクションは macOSインストーラから話を始めます macOSインストールに不可欠で 強力な自動ツールを備え 様々なデプロイのワークフローに 役立ちます macOS Big Surは 過去８年のハードウェアをサポートします macOSインストーラは 2013年モデルでも実行できます

デプロイメントモデルと インストーラの配布方法が 最適な選択肢を決定します ＩＴを活用したワークフローでは Mac Appストアや環境設定から インストーラを手に入れることが 最も良い方法でした それぞれのＩＴポリシーによって ユーザ自身でアップグレードする際は Mac Appストアや環境設定を利用し インストーラをダウンロードできます Apple School Managerか Apple Business Manager内の Apps and Booksでライセンスを入手でき MDMからの配布と一緒に利用できます インストーラの他の入手方法は 昨年Catalinaで導入した― ソフトウェアアップデートの コマンドラインツールでダウンロードできます 簡単に詳細を説明します インストーラを入手したら Macへの配布方法を考えます 好きなツールで ネット経由でMacにコピーできます USBなどの外部メディアを 利用する方法もあります MDMを使って直接インストーラを プッシュする方法としては Apple School Managerか Apple Business Manager内の Apps and Booksがあります macOS Catalinaからは 直接ターゲットのMacに ダウンロードできます

さらにソフトウェアアップデートの コマンドラインツールの― fetch-full-installerフラグが 最新のmacOSインストーラを 自動的にダウンロードします full-installer-versionフラグで 特定のバージョンを指定することは カタログに残っていれば可能です Catalinaではインストーラのダウンロードに フラグを使用しましたが Big Surでは必要ありません Big Surではlist-full-installersを使って ダウンロード可能なインストーラを 確認できます リストはコマンドが実行されたMacに カスタマイズされたもので そのMacが対応する 最も古いインストーラのみが含まれます startosinstallを使うと macOSのインストールや リインストールが自動的に実行されます

macOSインストーラのコピーがあれば 様々な方法でmacOS Big Surを インストールできます 選択肢が多ければ ワークフローの可能性も広がります このセクションで macOSのインストール方法を紹介します これらのインストール方法は コンテンツキャッシュを利用し インターネット帯域幅の使用量を 抑えられます コマンドラインツールの startosinstallから説明します

startosinstallはインストーラの Contents and Resourcesフォルダにあります スクリプトを使った 自動的なワークフローを可能にし たくさんのフラグが macOSのアップグレードや リインストールを強力に支援します その１つはeraseinstallです このフラグはリインストールし 初期化するのに役立ちます Apple File SystemまたはAPFSによって APFSコンテナに新しいボリュームを作り macOSをインストールし再起動します 起動ボリュームを含め コンテナ内の他のボリュームを全て削除します 他のボリュームを保存したい場合 preservecontainerフラグを使います ディスクユーティリティで 内部ストレージを削除して クリーンインストールするのと 同じ結果が得られます

installpackageも強力なフラグです このフラグによって macOSのインストール後に 好きなだけパッケージを インストールできます 複数のパッケージをインストールする時は 複数のinstallpackageフラグを パスと共にコマンドに渡します eraseinstallとinstallpackageを合わせれば マシンはヘルプデスクに来た時の状態に戻り macOSやAppをリインストールできます 新しいユーザに渡す準備が整います macOS CatalinaとmacOS Big Surは installpackageフラグで コマンドに渡された順に 全てのパッケージをインストールします Apple siliconのMacで startosinstallを使う際は 管理者と所有者の認証を コマンドに渡します 追加の利用情報を見るには コマンドに“-h”と実行します

他にもcreateinstallmediaという コマンドラインツールがあります ＯＳインストールのために 起動可能なインストーラを作ります “-h”を実行すれば 利用情報を入手できます 限られたネットワークリソースで多くのマシンを アップグレードする際に役立ちます 外部メディアのインストーラを使う時は ネットワークへの影響を抑えられます ＯＳインストールに必要なファイルの ほぼ全てが 外部メディアに置かれています downloadassetsというフラグで プリダウンロードされる― Apple T2 Security Chip firmwareは Apple T2 Security Chip搭載するMacの ＯＳインストール時に使われます フラグを使うインストールでも インターネット接続は必要です Apple T2 Security Chip搭載のＯＳでも インストール時に ハードウェアをパーソナライズするため Appleサーバーへの接続が必要です Apple T2 Security Chip搭載のMacでは 外部メディアからの起動は デフォルトでは許可されていませんが 任意で変更できます Apple siliconを含めた他のMacでは 外部メディアの起動は初めから許可されます

リカバリ機能は macOS Big Surのインストールにも使えます ３つの方法があります IntelベースのMacには リカバリパーティションと インターネットリカバリです Apple Configurator 2搭載の Apple siliconにはrecoveryOSです IntelベースのMacは コマンドキーとＲキーで リカバリパーティションを起動でき インストール済みのmacOSの 最新バージョンをリインストールします インターネットリカバリも 方法は似ていますが Appleのクラウドから サーバを使って起動するので リカバリパーティションに 問題がある時も使用できます インターネットリカバリで一般的なのは オプションとコマンドとＲキーでの起動で 最新バージョンのＯＳをインストールします これらのリカバリ方法で インストールする前に ディスクユーティリティで 内蔵ストレージを消去できます Apple T2 Security Chip搭載のMacで 最新バージョンをインストールする場合 その時点のチップの ファームウェアバージョンに依存します Apple Configurator 2を使い DFUモードのT2 chip firmwareを macOSとは別々に アップデートできます Apple siliconのApple Configurator 2と recoveryOSの機能はダニエルが説明しました

ＩＴポリシーに許可されれば ユーザ自身でmacOS Big Surをインストールして Mac Appストアや環境設定から インストールアシスタントを使えます 自宅で利用する消費者も同様に 分かりやすいインストールガイドを 利用できます インストール開始には 管理者の権限が求められます 再びダニエルがお話しします

macOSのインストール手順を説明したので 参考になるワークフローを 説明していきましょう １対１と共有のデバイスについて話します 初期デプロイメントとアップグレード 復旧について説明します 初期デプロイメントから始めます

１対１の環境での 初期デプロイメントは ユーザとＩＴにとって最適な方法は MDMと自動デバイス登録を使った 追加設定なしのワークフローです Apple Business Managerと Apple School Managerの一部です 自動デバイス登録は監視と カーネル拡張の管理を可能にし ソフトウェアアップデートの インストールに役立ちます 自動デバイス登録はＩＴに 初期設定のカスタマイズと 効率化を可能にします 一般的な初期設定の画面を 全てスキップすることができます 初めの設定アシスタントの実行中は MDMがデバイスを待機させます 初期設定に欠かせない機能です １対１のデプロイでは全ての組織に対し ローカルアカウントの使用をお勧めします 詳しい情報はWWDC 2020の― “Leveraging Enterprise Identity and Authentication”をご覧ください

同じように共有デバイスにも 自動デバイス登録の使用をお勧めします Auto Advanceを使えば 操作なしで設定でき startosinstallと合わせれば さらに便利です 複数のユーザがMacを使用中なので ディレクトリサービスや ＩＤプロバイダヘルパーツールは 頻繁にアカウントにアクセスを与えます 図書館や研究室など 通信量の多い場所では アカウントの有効期限を考慮して ローカルフォルダをクリーンアップします 自分でスクリプトするか モバイルアカウントの内蔵機能を使い 自動的に期限切れで失効させるかは 選択できます 次はアップグレードです

macOS Big Surへのアップグレードには 様々なインストール方法があります 個々の環境で最適な方法を選択でき 様々なワークフローに対応します 上書きインストールと クリーンインストールが可能です

次は復旧です 復旧には startosinstallの eraseinstallフラグが有効です 全てのMacに対応し 追加設定なしにアップグレードと クリーンインストールが可能です IntelベースのMacは インターネットリカバリが使えます 復旧する際は macOSをリインストールする前に 最初に内蔵ストレージを消去しましょう IntelベースのMacと Apple siliconのMacでは macOSリカバリや外部メディアが使え Apple siliconには recoveryOSがあります 事前にディスクユーティリティで 内蔵ストレージを消去するか プロビジョニングツールの 自動機能を使ってください リカバリ環境でstartosinstallを実行するのは 推奨しません Apple siliconのMacでは サポートしていません Apple siliconのMacでは macOSのリインストールに Apple Configurator 2を使えます Apple Configurator 2は 復元する時の最新のバージョンを インストールします

１対１と共有のデバイスの デプロイのワークフローについて 初期デプロイメント アップグレード 復旧に分けて説明しました

最後に利用可能なリソースを確認します

MDM開発者にとっては MDM developer documentationが 役立つでしょう ＩＴが利用できる詳細なリソースで プロトコルレベルで MDMの動き方が理解できます MDM Settings Guide for ITは 技術的なリソースで MDMから得られるペイロードの情報により デバイスの設定を支援してくれます Deployment Reference for Macは 今回 説明した内容を記述したものです Apple Platform Securityは ソフトウェアやハードウェア― プラットフォームの機能を リストにしています AppleCare Professional Supportは AppleCare OS Supportが ＩＴ部門やＩＴヘルプデスクに向けた プログラム情報が書かれています 新しいソフトウェアのテストに 興味がある方は 生徒用の管理対象Apple ID以外であれば Apple School Managerか Apple Business Managerから AppleSeed for ITプログラムに 参加できます プレリリース版のソフトウェアを 個々の環境でテストでき― 詳細なテスト計画を含め 専用のキューでフィードバックを送れて 教育機関や企業のチームが 問題や機能をレビューします リリースノートも 教育機関や企業を対象にしていて 組織向けのシステムの 大きな変更点や問題点を明らかにします

こちらが今回 話した内容の Appleサポートの記事です これらのリソースや macOS Big SurやApple siliconのアップデートを ぜひ活用してください ありがとうございました