Macのゼロタッチデプロイはじめました

情シス 開発環境 テレワーク 働き方

こんにちは。情報システム部のあおてつ(@ao_Tetsu)です。
今回はInside Outとしては珍しく情シスの取り組みを紹介したいと思います。

サイボウズの情シスは「誰でも、いつでも、どこでも最高の仕事ができるITシステムを作る」というミッションを掲げて業務を行っています。 会社で貸与するPCが4種類+2種類から選べるのもそのミッションに基づいた施策の一つです。

www.slideshare.net

そして今年(2021年)の2月から、Macのセットアップはゼロタッチデプロイで提供する運用を開始しました。その経緯や仕組み、実際にやってみてどうだったか?というリアルを公開いたします!

ゼロタッチデプロイ導入の経緯

サイボウズでは社員へ貸与しているMacは以前よりMDMを利用して社内外問わず管理できるようになっていました。が、一方でセットアップに関しては多くの作業が手作業で、MDMへの登録や必要なアプリケーションのインストール等は情報システム部のメンバーがオフィスで行っていました。

そんな中、世の中はコロナ禍となり緊急事態宣言も発令され多くの社員が出社を控えるようになり、情報システム部のメンバーもまた同様に出社が制限されるようになりました。しかし、新しく入社する仲間のPCのセットアップや在籍する社員のPCのリプレイスの依頼は変わらず発生するため、できるだけ最小の出社工数でセットアップを完成させ、社員の手元へPCを届ける仕組みを整備することが急務となりました。

MDMを駆使すれば、今まで手作業で実施していたセットアップ作業を自動化して改善できることはわかっていました。更にPCの初期セットアップからMDM登録を自動化できればユーザセルフのセットアップ、つまりゼロタッチデプロイも実現できると考え検証を開始しました。

ゼロタッチデプロイに必要なもの

Macのゼロタッチデプロイを実現するためには以下2つのサービスの利用が必要です。

Apple Business Manager

Apple Business Manager (以下 ABM)は企業が購入したAppleデバイスがその企業が所有するデバイスであることを登録し、さらにMDMと紐付けることでMDMへの登録(Enrollment)も自動化できるサービスです。その他に企業でApp Storeから購入したアプリの管理や、組織向けApple ID(Managed Apple ID)の管理も可能です。詳しくはこちらを参照してください。

法人向けApple Store やABM登録に対応している代理店からMacやiPhone,iPadを購入するとそのデバイスはABMに登録され、企業が所有するデバイスとして管理することができるようになります。

MDM(Mobile Device Management)

MDMについてはもう一般的になってきていると思いますが、企業などで利用されるモバイル端末やPCを一元的に監視・管理するためのサービスやソフトウェアをMDMと言います。 サイボウズではMacの管理のMDMとしてJamf Proを利用しています。Jamf ProはAppleデバイスの管理に特化したMDMサービスで多くのシェアを獲得しています。

www.jamf.com

ABMとJamf Proを利用してゼロタッチデプロイを実現するには、管理者として以下の作業が必要になります。

ABMとJamf Proの連携設定

ABMにMDMサーバーとしてJamf Proを設定し、Jamf Proには自分の組織のABMを登録します。 詳しい手順はJamfのマニュアルを参照してください。 docs.jamf.com

PreStage Enrollments の設定

Macをはじめてセットアップする際に設定アシスタントの中でJamf Proと連携を行うための設定です。 設定アシスタントでスキップする項目を指定したり、この時点で有効にしたい構成プロファイルを設定することができます。 こちらも詳細はJamfのマニュアルを参照してください。 docs.jamf.com

構成プロファイル、ポリシーの設定

セットアップに必要な設定をJamf Proの構成プロファイル、もしくはポリシーで設定します。 サイボウズでは以下の設定を構成プロファイルもしくはポリシーで行っています。

  • パスワードポリシーの強制
  • ディスクの暗号化
  • 社内Wi-Fiへの接続
  • VPN用証明書の配信
  • 省エネルギー設定
  • DEPNotifyの自動インストール、起動設定
  • EDR、SWG、ビデオ会議アプリ等、必須アプリの自動インストール
  • Self Service Appでの任意アプリの選択インストール

ワンポイント!

DEPNotifyはJamf Marketplaceで提供されているツールで、コンピュータ名の設定を行う画面を表示させたり、アプリケーションのインストール状況をグラフィカルに表示してくれる補助的なツールです。これがなくてもアプリケーションの自動インストールはできますが、ユーザ体験としては見た目がわかりやすく、カッコよくなります。

marketplace.jamf.com

ゼロタッチデプロイの流れ

と言うことで、管理者側の設定が完了するとゼロタッチデプロイが実現できます。 ゼロタッチデプロイの具体的なプロセスは以下のような流れです。

  1. 未開封状態で届くので開封する
  2. 電源入れる
  3. ネットワークに接続する
  4. リモートマネージメントが起動し、MDMと連携して設定情報が降ってくる
    リモートマネージメント画面
    リモートマネージメント画面
  5. DEPNotifyが起動し必須アプリケーションが自動インストールされる
    DEPNotify画面
    DEPNotify画面
  6. ディスクの暗号化が設定される
  7. 完了

1〜7までをすべて利用者の手によって行います。 情シスは一切手を触れないのでゼロタッチデプロイと呼ばれています。 (利用者視点で言うと「セルフセットアップ」ですね。)

いざ、運用開始へ

多くの検証を重ねて準備が整いましたが、実際に社員へ展開するときは大きな不安があったのが正直なところです。

が、やってみないとわからん、ということで導入開始。 開始直後は多少のトラブルはあったものの、時間の経過とともに次々と成功する数が増えていきました。今ではほぼ失敗することなくゼロタッチデプロイでMacのセットアップが完了しています。 社長含めゼロタッチデプロイを体験した社員から次々と成功報告と驚きの声が出ていたのが嬉しかったですね。

まとめ

現在は在籍する社員がPC(Mac)をリプレイスする際のデリバリー方法として、
・情シスによるセットアップ
・ゼロタッチデプロイ(セルフセットアップ)
の2択が選べますが、ほとんどの社員がゼロタッチデプロイを選択してくれていて、そしてほぼ問題なくキッティングが完了しています。
新たに入社する社員向けのセットアップは、WindowsPC利用者も含めてオンボーディング研修の進行の足並みを揃えたい都合で今のところ情報システム部にてセットアップを行っています。

当初、情シスの工数削減を目的に導入したゼロタッチデプロイですが、フタを開けてみると、今までよりも圧倒的に早くデバイスを利用者へお届けできたり、利用者が自分で使うPCを自分でセットアップできることが驚きや感動体験になり、我々情シスだけではなくて利用者にとっても大きな価値をもたらすものになりました。

サイボウズの情シスは冒頭のミッションを非常に大事にして活動していますが、このゼロタッチデプロイもまたこのミッションに沿った施策として実現できたものだと思います。

ゼロタッチデプロイやってみたいけど。。。という情シスのみなさん、ぜひチャレンジしてみてください!

参考サイト

今回紹介したABMとJamf Proを利用したゼロタッチデプロイの仕組みは定番の構成で、以下のブログでも紹介されています。 本記事と合わせてぜひ参考にしてみてください。

tech.smarthr.jp

dev.classmethod.jp

最後に

我々情報システム部では一緒に働く仲間も募集しています!
100人100通りの働き方を支える情報システム部に興味がある方はご連絡ください! cybozu.co.jp

cybozuinsideout

関連記事
このエントリーをはてなブックマークに追加