macOS Montereyに向けた組織での準備

こんにちは Mike Boylanです 私はシニアコンサルティング エンジニアとして AppleのWorldwide Field Engineeringチームで macOSの導入と管理を担当しています 本日はmacOS Monterey について紹介できることを 大変うれしく思います

macOS Montereyは かつてないほど自在に つながり 共有 創作し タスクをより迅速にこなし Appleデバイス間で シームレスに作業するための パワフルな機能を搭載しています また プラットフォームの変更 新しい管理機能 IT部門のための導入ワークフロー の改善も数多くあります

macOS Big Surの導入のセッションでは Appleシリコン搭載のMacコンピュータ の導入と管理方法についての 変更点を取り上げ macOSインストーラに重点を置きながら 導入ワークフローを詳しく説明しました そしてWWDC21では macOSの導入と管理に関する 幅広いトピックをカバーした セッションが数多く開かれました ここでは そうしたセッションの 主要なポイントを振り返るとともに 皆さんからのフィードバックに基づいて WWDC21以降に実施された アップデートについても紹介します macOS Montereyでは 初期の登録時から 導入 継続的な管理 再導入まで 導入ライフサイクルのすべての面が 改善されています まず 最初の登録について説明します 自動デバイス登録を使用すると デバイスが箱から取り出された瞬間から 組織によるデバイスの構成と管理ができ 組織はMDMプロファイルを 削除できないようにすることを含め 提供されているMDM機能を すべて利用できます 自動デバイス登録は 組織所有のデバイス向けに 設計されており Appleから直接または 認められたApple製品取扱店 や通信事業者を通じて購入した デバイスに最適です 自動デバイス登録に対応した 通常のルート以外で デバイスを購入したり 寄贈される場合もあると思いますが その場合は App Storeで提供される iPhone用Apple Configurator が役立ちます iPhone用Apple Configuratorを使うと macOS Montereyを搭載する対応Macを Apple School Managerまたは Apple Business Managerに 簡単に割り当てることができ 組織は自動デバイス登録が提供する すべての優れたデバイス管理機能を 利用できるようになります

iPhone用Apple Configuratorを 使用するには Apple T2セキュリティチップまたは Appleシリコンを搭載した MacコンピュータでmacOS Montereyを実行していることと 管理者またはデバイス 登録マネージャのユーザー によるログインが必要です iPhone用Apple Configuratorは Macが設定アシスタントを開いている 状態で デバイスをMacに近づけるだけで プロセスを開始します iOSと同様 システム環境設定の 「プロファイル」パネルで ユーザーがMDMプロファイルを削除すれば 自動デバイス登録をオプトアウトできる 30日間の暫定期間が設けられています ただし これには管理者の認証情報 が必要で 登録解除したMacは Apple School Managerまたは Apple Business Manager から削除されます 詳しくは WWDC21のセッションの 「Apple Configuratorによる デバイス管理」を確認してください 次に 継続的な管理タスクに関する 改善点について説明します System Extensionについては 数年前からお伝えしていますが 皆さんの組織の担当デベロッパが すでにKernel Extensionからの 移行を完了していることが望まれます System Extensionを導入 および管理する際に ユーザーへの不要な 承認リクエストを避けるための ベストプラクティスは Appが そのExtensionを読み込む前に Extensionを承認するための 構成ペイロードを導入することです しかし それができない場合もあるので macOS 11.3以降では System Extensionペイロード をインストールすると Extensionの状態が変わります 例えば System Extensionが すでにユーザーの承認待ちである場合 ペイロードをインストールすることで System Extensionが有効になります 逆に ペイロードを削除すると System Extensionが無効になり 次回のMacの再起動時に 削除するようマークされるため 削除プロセスが簡素化されます

これに加え macOS Montereyでは System Extensionを さらに簡単に削除できるよう System Extensionペイロードに RemovableSystemExtensions という新しい構成オプションが 追加されました ここでリスト化されたAppは アンインストールされた時などに AppのSystem Extensionを無効にできます このキーセットを使えば System Extensionを削除する際に 管理者パスワードが必要ないため 完全に自動で削除できます

System Extensionの多くは 完全に設定するためには System Extensionペイロード 以上のものを必要とします 例えば ネットワーク拡張フレームワークを 使用して構築されたSystem Extensionでは コンテンツフィルタの設定が必要な場合もあり コンテンツフィルタペイロードを使用して 有効にしたり承認したりします Extensionの中には 「プライバシー」環境設定 Policy Controlペイロードが 必要なものもあり System Extensionを使用する 重要なAppの通知を 管理したい場合もあります そうしたソリューションを完全に有効にして 設定するために必要な構成や 同時に実行する予定の ほかのSystem Extension との互換性については System Extensionの 担当ベンダーに確認してください これは複数のベンダーの製品を 併用しようとしている場合 には特に重要です

組織がFileVaultを利用し MDMで パーソナル復旧キー（PRK）をエスクロー している場合 macOS Montereyは Appleシリコン搭載のMac コンピュータへのアクセスを さらに容易にします macOS Montereyでは PRKを使って直接Macを起動でき パスワードの変更や recoveryOSによる 中間の再起動は不要です これにより ユーザーの トラブルシューティングや サポートを行う際 Macにさらに 迅速にアクセスすることができます このAppleシリコン搭載の MacBook Proでは Appleシリコンの新機能である 統合されたログインが表示されています FileVaultが有効であっても ログイン画面にユーザーリストではなく ユーザー名とパスワードのフィールドが 表示されていることに注目してください PRKを使ってMacを起動するには 「option + shift + return」 キーを押しながら 「復旧キー」フィールドに PRKを入力するだけです 入力後に「return」キーを押すか 次へ進む矢印をクリック すればMacが起動します

ここで Appleで推奨している FileVaultが有効な状態での パーソナル復旧キーや 組織の復旧キー（IRK）の 使用について説明したいと思います IntelベースのMacコンピュータでは IRKを使って FileVaultで暗号化された Macのロックを解除したり コマンドラインを使用して FileVaultを無効にしたり ターゲットディスクモードを使って データを復旧したりできます IRKを大規模に使用する ことは現在非推奨であり Appleシリコン搭載の Macコンピュータでは IRKは機能的に使用できません Appleシリコン搭載のMacコンピュータ にはターゲットディスクモードではなく Macの「共有」モードがあり 使用するにはrecoveryOS に入る必要があります 一方 パーソナル復旧キー（PRK）は 暗号化されたボリュームごとに固有の もので MDMにエスクローでき 使用後はキーを簡単に ローテーションできます また 先ほどAppleシリコンで 説明したように Macで直接 パーソナル復旧キーを使って recoveryOSにアクセスしたり macOSを起動したりできます このプロセスは Intelベースの Macコンピュータでも同様です PRKは組織にとって非常に強力なツールです 組織の復旧キーを現在使用している場合 今後はパーソナル復旧キーに 移行していきましょう

Appleは macOSにユーザーのプライバシー 保護機能を継続的に追加しています macOS Montereyでは Pluggable Authentication Module （PAMモジュール）のインストールや 設定を必要とするAppやサービスに ユーザーの承認が必要になりました MDMの「プライバシー」環境設定 Policy Controlプロファイルで フルディスクアクセスや システム管理者のファイルへの アクセス権を付与できます 多くのMDMでは エージェントツールに これらのカテゴリへのアクセスを 許可しているので この新しい保護機能を利用するのに 既存のワークフローを 変更する必要が一切ない場合もあります

内蔵のKerberos Extensionにより Macコンピュータ自体をディレクトリ にバインドすることなく オンプレミスの Active Directory環境で ディレクトリ接続を 提供できるようになりました 1人1台のデバイス導入モデルでは 従来のディレクトリバインドや モバイルアカウントではなく 可能な限り Kerberos Extensionやそれに類する ソリューションをローカルアカウントで 使用することをお勧めします Kerberos Extensionは macOS CatalinaやiOS 13 iPadOS 13のオペレーティング システムに内蔵され macOSでは Enterprise Connect に代わる機能です macOS Montereyの導入に伴って Enterprise Connectは 公式に終了しており macOS Monterey上で 実行することはできません macOS Montereyでは Kerberos Extensionに 新しいオプション設定が いくつか追加されました まず Macコンピュータが使用する Kerberos配布センター（KDC）を 指定できるようになりました また Kerberos認証情報へのアクセスを 管理対象として明示的に インストールされたAppで 設定したアクセス制御リストの バンドルIDに一致するもの のみに制限できます さらに klistのチケットビューアを含めて 標準的なシステムの Kerberosユーティリティが 認証情報にアクセスして使用できる ようにすることもできます 加えて パスワードの変更が 要件を満たすか確認する際の 信頼性が向上しました Kerberos Extensionについて 詳しくは WWDC20の 「エンタープライズアイデンティティと 認証の活用」 セッションを参照してください macOS 10.15 Catalina以降 Python Ruby Pearlといった スクリプト言語のランタイムは レガシーソフトウェアとの 互換性のためだけに macOSに搭載されています 今後のmacOSバージョンでは スクリプト言語のランタイムが デフォルトでは含まれず 追加パッケージのインストールが 必要になる可能性もあります スクリプト言語に依存したソフトウェア を使用している場合は ベンダーがApp自体にランタイムを バンドルすることをお勧めします macOS Montereyでは これまでバンドルされていた システムのPHPが削除されました 2020年1月時点で Pythonソフトウェア財団は Python 2のサポートを 公式に終了しており Python 2の使用は 推奨されていません macOS Montereyでは Appが内蔵の システムPython 2.7を使おうとすると グラフィカルなダイアログが表示されます 重要なのは 呼び出したAppの情報が このダイアログに表示されるということです それで MDMエージェントが システムPythonを呼び出す 組織のスクリプトを実行した場合 実際にはApp内でPythonを まったく使用していないとしても ダイアログにはエージェントのApp名が 表示されます そのため スクリプトについては システムPythonの使用状況を確認し 必要に応じて更新することをお勧めします 今後のmacOSバージョンには Python 2.7は含まれません Python 3を含む独自のランタイムを インストールして管理することをお勧めします 必要に応じて システムPython 3 を呼び出すこともできますが そのためにはXcodeの コマンドラインツールが インストールされている必要があります

macOS Montereyでは socketfilterfwコマンドライン ツールやMDMを使用して システムファイアウォールを管理 することは相互に排他的です MDMを使用してファイアウォールの オプションが設定されている場合 コマンドラインツールでは 管理者であっても 設定を変更できません macOS Montereyでは システムファイアウォールの MDM管理機能が向上していて ログ入力の有効化や ログ入力レベルなどの オプションを設定できます 現在設定されているログ入力オプションは コンプライアンスレポート作成のために セキュリティ情報のクエリで MDMに提供されるようになりました MDMを使用してシステム ファイアウォールを管理する場合 署名済みのApp ダウンロード済みのApp またはシステムAppへの外部 からの接続は常に許可され allow, download, signed, enabledや allow, signed, enabled, set to onの コマンドラインオプション に対応しています macOS Montereyでは TLS証明書の信頼性に 様々な変更が加えられました DNS名にアンダースコアを 使用できるようになり 同じextenIDを持つExtensionが 複数ある場合は拒否されます キーの使用はより厳密になり エンタープライズルートCAの pathLenConstraintsが 強制的に適用されます SMIMEでは RSAキーが 2048ビット未満の証明書は 信頼できないものとして扱われます

macOS Big Surでは macOS上の 管理対象Appに対応するようになり 管理対象Appの設定や フィードバックのサポートに加え MDMコマンドによるAppの削除や デバイスがMDMから登録解除された時の Appの削除機能などを備えています macOS Montereyの新機能として BYOD環境でユーザー登録を使用する場合 管理対象Appのデータは別の ボリュームに分離されます また CloudKitを使用する管理対象App はMDMプロファイルに関連付けられた 管理対象Apple IDを 使用するようになりました 管理対象Appが削除されると Appのデータコンテナが削除されます 管理対象Apple IDは iCloud Driveでの ユーザー登録にも対応するようになりました 組織が使用するiCloud Driveは Finderに追加の場所として表示されます 詳しくは WWDC21の 「アカウント駆動型ユーザ登録」 セッションを参照してください macOS Montereyでは Appleシリコン搭載のMacコンピュータが 802.11k 802.11v 802.11r の Wi-Fi規格に対応するようになり エンタープライズネットワークでの ローミングを最適化できます また macOS Montereyを搭載した すべてのMacコンピュータでDHCPv4が IPv6-Only-Preferredオプション に対応するようになりました このオプションを使うと IPv6対応のデバイスで IPv4アドレスの割り当て をしなくて済みます また iCloudプライベートリレー を使用できないようにする 機能制限も追加されています iCloudプライベートリレーは SafariでのWeb閲覧中の ユーザーのプライバシーを 保護するiCloud+の新機能です DNSを使って特定のネットワーク に対してiCloudプライベートリレーを ブロックできますが この制限を設定すれば MacでiCloudプライベートリレーを そもそも有効にすることができなくなります プロキシの自動構成（PAC） ファイルを使用して Macコンピュータに プロキシを設定する場合 macOS Montereyには注意すべき 重要な変更点があります PACファイルにHTTPのURLを使用 することが非推奨になりました DNS経由のWebプロキシ自動検出 （WPAD）には この変更による影響はありません とはいえ DHCPオプション252 を使用したWPADなど その他のPACファイルの設定では macOS Montereyは 最終的にHTTPのURLに フォールバックする前に まずHTTPSで PACファイルへのアクセスを試みます 今後 PACファイルには セキュアなURLスキームのみを 使用する必要があるため こうした変更については組織の ネットワークチームと相談してください では次に 組織におけるデバイス管理の 重要な側面である ソフトウェアアップデートの 管理について説明します WWDC21では Software Update Teamの同僚のLucyが Appleのプラットフォーム全体での ソフトウェアアップデートの管理に 加えられた改善点について 素晴らしいセッションを提供しました このセッションには MDMデベロッパや 管理者向けの情報が豊富に 盛り込まれていますので ぜひ視聴してください ここでは 特に管理者の皆さん に役立つ追加ガイダンスを いくつか提供したいと思います まず ソフトウェアアップデートの コマンドラインツールについて説明します 多くの組織がmacOSのソフトウェア アップデートを管理するため コマンドラインツールを使って ツールを配置していると思います ソフトウェアアップデートの コマンドラインツールは 引き続きサポートされており 非推奨にはなっていません IntelベースとAppleシリコン搭載 両方のMacで実行するには権限を 昇格する必要がありますが Appleシリコン搭載のMacでは ソフトウェア アップデートをインストールする際 ボリューム所有者の ユーザー認証を要求します ボリューム所有権について詳しくは セッションの最後に紹介するリソースを 確認してください デフォルトでは ツールにそうした認証情報を求める プロンプトが インタラクティブに表示されますが macOS Montereyには ユーザーの認証情報をコマンドに 直接渡すオプションもあります macOS Montereyではログイン画面で Software Update CLIツールを使って ソフトウェアアップデートを インストールすることもできます ソフトウェアアップデートの コマンドラインツールの サポートは引き続き継続しており 既存のツールやワークフローを変更して Appleシリコンの認証要件に 対応することは可能ですが 今後の組織でのMacコンピュータの管理に ソフトウェアアップデートを 配信するには MDMおよび ScheduleOSUpdateCommand を使用する必要があります MDMを使用することで IntelベースおよびAppleシリコン搭載の 両方のMacコンピュータでの アップデートの配信ワークフローを 統一できます ソフトウェアアップデートの管理には テスト 配信 強制実行という 3つの段階があります まず ソフトウェアアップデートのテストと アップデートを延期する機能に ついて説明します

OSのベータ版がリリースされる場合 公開前のOSを既存の 動作環境でテストするための 時間とツールが用意されます AppleSeed for ITではテスト計画や フォーカスリリースノートが提供されます アップデートの公開後 MDMを使用して 監視対象のMacコンピュータに ソフトウェアアップデートを 延期する制限を適用すると 指定された期間が過ぎるまで ソフトウェアアップデートは ユーザーに提供されません この期間は 1日〜90日の間で設定できます 延期期間が設定されているMacに アップデートが表示されるタイミングは クライアントのMacコンピュータが最初に アップデートを認識した時点ではなく アップデートの公開日に基づいて決まります macOS 11.3以降では メジャーアップデート マイナーアップデート およびSafariなど OS以外の アップデートについて それぞれ個別の延長期間を 設定できます なお どのタイプのアップデートも 延期期間は最大90日間ですが ユーザーとしてmacOSのメジャー アップグレードをインストールするには 管理者の認証情報が必要で Install Assistant Appを 実行する必要があります ここでもう1つ非常に重要なのは 延期されたアップデートは システム環境設定の 「ソフトウェア・アップデート」パネルや ソフトウェアアップデートのコマンドライン ツールの出力に表示されませんが MDMはデバイスに特定のアップデートを インストールできるということです つまり ユーザーに表示されていない アップデートを MDMはインストールできます これにより 例えば 組織の動作環境で 特定のアップデートをスキップして より新しいOSに直接アップデートするよう Macコンピュータに指示するといった 柔軟な対応が可能です テストを実施したら ソフトウェアアップデートの 配信準備ができました MDMを使用してデバイスを アップデートする場合は ScheduleOSUpdateCommand がMDMから送信されます macOSのコマンドには 「インストールアクション」と呼ばれる いくつかの異なる動作モードがあります 利用可能なインストール アクションは DownloadOnly NotifyOnly InstallASAPまたはデフォルト InstallForceRestart InstallLaterです では それらを見ていきましょう DownloadOnlyは 有人／無人のデバイスに インストール時間が来る前に バックグラウンドで アップデートをダウンロード するのに便利です NotifyOnlyは ユーザーに インストールのためのアクションを 通知します どちらのオプションもアップデート のインストールは開始しません InstallASAPまたはデフォルトは macOSの 主要なアップデートメカニズムです これは無人やリモートのmacOSデバイスに加え できるだけ早くアップデートを実行したいが 重要なタスクを完了する必要があるなど Appでアップデートのための再起動を ブロックする必要がある場合に最適です このインストールアクションでは Appが再起動をブロックしていない限り ダウンロード終了後に アップデートが実行され ユーザーが60秒以内に再起動を キャンセルできるオプションが 通知に表示されます macOS Montereyでは メジャーアップデートでも マイナーアップデートでも 60秒間の カウントダウンタイマーが表示されます InstallASAPも MDMを使用した macOSのメジャーアップグレードで 使用可能かつ使用が推奨される インストールアクションです 例えば MacをmacOS Big Sur 11.5以降から macOS Montereyに MDMのみでアップグレードできます macOSインストーラのフルパッケージを 別途ダウンロードしておく必要はなく startosinstallなどのツールを使った スクリプトも必要ありません

InstallForceRestartは ブロックするAppを無視して アップデートを迅速にインストールする 究極的な強制アクションです これはデバイスがオンラインである限り 絶対的な日付までに 確実にアップデートを インストールさせたい場合や デバイスの状況が問題にならない 無人システムやリモートシステムに最適です なお InstallForceRestartでは ブロックするAppを無視するので データが失われる可能性があり 十分に注意して使用する必要があります 最後に紹介するのはInstallLaterです InstallLaterでは 可能であれば その日の夜にアップデートを インストールするよう予定できます これは標準的なソフトウェアアップデート システムでユーザーに提供される InstallTonightオプションに 似ています デバイスは 機械学習に基づいて デバイスが最も使用されない時間帯を選択し 通常は午前2時から4時の間に インストールを行います

macOS Montereyでは こうしたインストールアクション に多くの変更が加えられ 組織で使いやすいものになりました InstallLaterの対応範囲が バッテリー残量50%以上に拡大したため ソフトウェアアップデートの実行範囲を さらに広げることができます また Appleシリコン搭載のMacでは 実際に起動してインストールする すべてのインストールアクションで インストールを承認するため MDMからのブートストラップトークンの 使用がサポートされます またユーザー操作なしの自動アップデートを 強制実行するにはこのトークンが必要です ただし Appleシリコン搭載のMacで ユーザーが通知を受けて システム環境設定から自分で アップデートを開始した場合は Macのパスワードの入力が求められます アップデートを承認する際 管理者である必要はありませんが ユーザーはボリューム所有者 である必要があります macOS Montereyでは 標準ユーザーのMacログイン時の OSアップデートのインストールや ユーザーがログインしていない時の ログイン画面からのインストールを サポートしています これは コンピュータラボや データセンターなど リモートまたは無人環境での 配信に適しています また macOS Montereyでは 12.1などのProductVersionを使って アップデートをインストールする 機能があります この機能は 利用可能な ソフトウェアアップデートを判断する 複雑な手間を軽減します MDMでサーバ側のクエリを1回で 実行できるようになったので すべてのデバイスにクエリを 実行して そのクエリ結果を ソフトウェアアップデートのデバイスIDと 照合する必要がなくなりました デバイスIDはMDMが定期的に取得している デバイス情報に含まれています これにより デバイスに送信する 特定のバージョンを選択するだけで 簡単にアップデートを実行できます ベータサイクル中は 同じバージョンを使って 利用可能な最新のベータ版 もインストールできます 例えば 12.1を送信すると お使いのデバイスがすでに12.1の 初期のベータ版を実行していたとしても 12.1の利用可能な最新の ベータ版がインストールされます 次にアップデートの 強制実行について説明します 先に述べたように InstallForceRestartは 究極の強制アクションで アップデートを即時に実行させる必要が ある場合にはいつでも使用できます しかし 定義されたタイムラインがある場合や 単に組織のセキュリティポリシーを 遵守させるためであれば macOS Montereyに新しく導入された ユーザー側の延期オプションが最適です 新しくなったユーザー側の延期の クォータオプションでは アップデートが実行される前にMac上で ユーザーにアップデートのインストール を促す最大回数を指定できます これにはMaxUserDeferrals という新しいキーを使う インストールアクションの InstallLaterを使用します 管理対象の必須アップデート をインストールするよう リクエストされたことを知らせる 通知がユーザーに表示されます 「Required managed update」という タイトルの通知が送られ いつインストールしたいかを ユーザーに尋ねます ユーザーが通知を開くと アップデートを今すぐ インストールするか 夜間に行うか 延期するか のオプションが表示されます また 残りの延期回数も表示され 延期回数は約1日1回ずつ ユーザーがこの通知を見るたびに 減っていきます ユーザーが通知を無視したり 延期したりすると その日の夜にアップデートが インストールされることはありません これはWWDCで説明された動作の中で Appleとして注意喚起したかった 重要な変更点です 延期回数が最大回数に達すると 延期回数が残っていないことと その日の夜にアップデートが 自動的にインストールされることが ユーザーに通知されます MacOSは InstallForceRestartのアクションが 使用された場合と同様 強制的に アップデートをインストールします インストールを進めるには デバイスを電源に接続するか バッテリー残量が50%以上であることが 求められます これらの条件が満たされない場合 デバイスは次の日の夜に再度 強制的なアップデートを試みます このように macOS Montereyで MDMを使用した ソフトウェアアップデートの管理方法が 改善されたことで 組織はより簡単に コンプライアンスを確保し ソフトウェアの互換性を管理し IntelベースのMacコンピュータと Appleシリコン搭載の Macコンピュータの間で アップデートの配信ワークフローを 統一できます ソフトウェアアップデートの管理について 今後もフィードバックをお寄せください AppleSeed for ITプログラムで フィードバックを提出する際は必ず Apple School Managerまたは Apple Business Managerの 管理対象Apple IDを使用してください さて macOS Montereyで 大幅に改善された機能である 再導入について説明したいと思います macOS Montereyでは Macで 「すべてのコンテンツと設定を消去」 を使用できます 「すべてのコンテンツと設定を消去」は Macを最新のOSバージョンに 即時リセットし その過程ですべてのユーザー データを暗号化して削除します 「すべてのコンテンツと設定を消去」は Apple T2セキュリティチップまたは Appleシリコンを搭載したMac コンピュータで使用できます MDMからmacOS Monterey の対応Macモデルに EraseDeviceCommand が送信されると 「すべてのコンテンツと設定を消去」 がデフォルトで開始されます 「抹消」と呼ばれる 従来の デバイスを消去する動作は フォールバック動作として のみ使用されますが これについては後で詳しく説明します Appleシリコン搭載の Macコンピュータでは recoveryOSで変更した 起動セキュリティ設定もリセットされます また 使用しているMacを ユーザーが簡単に消去できない ようにしたい場合もあるでしょう そこでMDMには ユーザーが たとえ管理者であっても macOSの消去アシスタントを 実行できないようにする機能制限があります 「すべてのコンテンツと設定を消去」 をMDMで 開始する際の注意点を説明します Macは保護された内部の システムボリュームから 起動する必要があり ディスクに複数のパーティションが ある場合は 1つ目のパーティション から起動する必要があります Macに複数のボリュームや パーティションがある場合は それらもプロセス中に削除されますが 外部ボリュームは消去されません Appleシリコン搭載のMacコンピュータは 消去を許可するために ブートストラップトークンをMDMから 取得する必要があります Apple T2セキュリティチップを搭載した IntelベースのMacコンピュータは 「完全なセキュリティ」モードにし EFIファームウェアパスワードが設定されて いる場合は 「すべてのコンテンツと 設定を消去」を開始する前に パスワードをクリアする必要があります なお macOS 12.01以降では MDMは SetFirmwarePasswordCommand を送信して ファームウェアパスワードを クリアした後 EraseDeviceCommandを送信して 「すべてのコンテンツと設定を消去」 を開始でき これらのコマンドの間に 中間の再起動は必要ありません MDMで開始された「すべての コンテンツと設定の消去」が 要件を1つでも満たしていない場合 デフォルトではMacは macOS 11の「抹消」と呼ばれる 動作にフォールバックします 「抹消」ではMacを 使用する前に macOSを 完全に再インストールする必要があります MDMのEraseDeviceCommandで 抹消の新しい動作キーを指定することで このフォールバック動作を 制御することもできます 「抹消」にフォールバック するかどうかを指定し それに応じて MDMに送り返される レスポンスコードが制御されます 「すべてのコンテンツと設定を 消去」を実行するつもりが 誤って macOSの完全な再インストールが 必要になってしまう事態にならないよう このオプションの サポートについては担当の MDMベンダーに確認してください MDMから「すべてのコンテンツと 設定を消去」をトリガするには MacコンピュータがrecoveryOSで 再起動することが必要です しかし 嬉しいことに macOS 12.1以降では MDMから起動した 「すべてのコンテンツと設定を消去」を 昨年macOS Big Surで導入した Auto Advanceとの組み合わせで 利用できるようになりました Ethernetに接続されている場合 Macはデバイスの消去 recoveryOSでの再起動 macOSへの再起動という 一連のサイクルを完了し 自動的にMDMに登録できます この2つの技術を組み合わせることで リモートMacコンピュータの 迅速な再導入と リプロビジョニング戦略を実現できます Appleシリコン搭載のMacでは macOSへの再起動時にこのプロセスを経る際 言語選択オプションは表示されないことに 留意してください 次に macOS Montereyで注目すべき 追加の変更点のうち 組織で役立つと思われるものを 簡単に説明します macOS Montereyでは Macに ショートカットが追加されました ショートカットはMacの自動化の未来であり macOS Montereyは Automatorからの 数年にわたる移行の始まりです Appleでは引き続きAutomator ならびにAutomatorを 利用しているユーザーを尊重しており できるだけスムーズに移行できるように 自動化されたワークフローのほとんどを ショートカットに変換できる 移行ツールを作成しました AppleScriptとシェルスクリプトにも 完全に対応しています この移行について詳しくは WWDC21のセッション 「macOSのショートカットについて」 を参照してください macOS Montereyでは ほかのAppleデバイスの コンテンツをMacで共有 再生 表示できるようになりました これは例えば 学校の授業の課題を 簡単に共有したり Appのデモを行ったり ディスプレイをミラーリングしたり 拡張するなど 様々な用途において 大変便利です また MacはAirPlayのスピーカー としても使えるようになったほか サブスピーカーとしても機能し マルチルームオーディオを実現します AirPlayレシーバー機能は デフォルトでオンになっており 同じApple IDでサインイン しているデバイスのみを 受け入れるようになっていますが 管理対象Apple IDの場合は この自動検出が無効になっています システム環境設定の「共有」パネルで AirPlay レシーバーをオフにしたり セキュリティ設定を変更したりできます なお 同じネットワークオプションでも 通知センターの通知で 許可を求められたり デバイス固有のPINコードの 入力を求められたりします Wi-Fiに接続されていなくても 「Everyone」のオプションは 送信者と共有先のMac間で ピアツーピアの検出と接続を行います デバイスから初めて AirPlayに接続する時は 画面にAirPlayコードと PINコードが表示されます 接続されると Mac上で AirPlayセッションが フルスクリーンで表示されます 次に macOS Montereyの新機能 というわけではありませんが Apple School Managerと Apple Business Managerの 新しくなった Apps and Books APIを 紹介したいと思います このAPIは MDMがユーザーや デバイスに Appやブックの ライセンスを割り当てるために使用します 新しいApps and Books APIは非同期処理で 割り当て アセット 登録ユーザーの ステータス変更をリアルタイムに通知し リクエストサイズも大きくなりました 例えば 25個のAppを1万人 のユーザーに配信する場合 25,000回のリクエストが必要でしたが たった10回のリクエストで 完了できるようになりました これにより 教育現場での新学期 従業員の入社時 大規模なデバイスの更新時などで 大規模なデバイス導入のスピードと 信頼性が大幅に向上します 詳しくは WWDC21のセッション 「AppとブックのMDM割り当ての改善」 を参照してください さて macOS Montereyの導入を 成功させるためのリソース を確認してみましょう 新しいAppleのソフトウェアのリリース前に 組織の動作環境でテストすることを 強く推奨しています AppleSeed for ITプログラムは Apple School Managerまたは Apple Business Managerで 管理対象Apple IDをお持ちで 学生以外の方なら 誰でも招待なしで参加できます AppleSeed for ITから プレリリース版のAppleのソフトウェアに アクセスしてダウンロードし 組織の動作環境でテストできます 詳細なテスト計画も用意されているほか お寄せいただいたフィードバックは 組織専用キューに送信 されるようになっています また リリースノートは組織向けに 用意されており ほかの同僚にフィードバックを 簡単に再割り当てできます Appleデバイス導入リファレンスは MDMのペイロードやコマンド クエリなどに関する情報を 参照するための テクニカルドキュメントで 組織の動作環境でデバイスを 設定する上で役立ちます ここには ペイロードの組み合わせが可能か ペイロードがデバイスやユーザー またはその両方について サポートされているか などについての情報も 掲載されています また インフラに関するサポート情報や サービス統合に関する情報も 提供されています MDMのデベロッパ向けに作成された MDM Developer Documentationは MDMの仕組みや プロトコルレベルで利用可能なオプションが 詳しく説明されている 非常に役立つリソースです 「Appleプラットフォームの セキュリティ」には Appleプラットフォームのすべての ソフトウェア ハードウェア およびサービスに関する セキュリティ情報が記載されています AppleCare Professional Supportの Webサイトでは AppleCare for Enterpriseをはじめとする AppleCare OSサポートプランで IT部門やヘルプデスク向けに 提供されている各種プログラム の情報を掲載しています ボリューム所有権について 詳しくは Appleデバイス導入リファレンス および Appleプラットフォームセキュリティ ガイドをご参照ください また 本日紹介した内容は Appleサポート記事でも確認できます macOS Montereyで導入された プラットフォームの様々な変更や 新しい管理機能 導入ワークフローの数々の改善点を ぜひご活用ください ご視聴ありがとうございました