こんにちは!コーポレートIT部 IT企画推進課 小川敬三です。

朝夕の風が涼しくなり、秋の訪れを感じる今日のこの頃です。このブログシリーズも折り返し地点を過ぎました。前回はEntraID環境に切り替える計画を中心にお話しましたが、今回はどのようにEntra参加、登録したか、Macを中心にご紹介したいと思います。

WindowsのEntra参加

Macの話題に入る前に、まずWindows端末のEntra参加とコンプライアンス準拠のプロセスについて、その概要をご紹介します。

イメージ図

この仕組みを構築するまでに必要な作業は以下の通りです。

  1. Intuneにてコンプライアンスポリシーの作成
  2. 先行して行っていたMDM登録の解除(第2話参照)
  3. ADドメインからの離脱
  4. ローカルアカウントでのログイン
  5. Entra参加
  6. EntraIDでログインし、個人業務環境の再設定
  7. Entra参加した端末のコンプライアンス準拠状況を確認

手順1と7はコーポレートIT部での対応、それ以外はユーザーでの対応となります。手順7のEntra参加の際、PIN登録を強制されました。手順を簡素化したく、このタイミングでのPIN登録は回避したかったのですが、EntraIDのセキュリティポリシーに依存するもので回避することができなかったので注意すると良いでしょう。

MacのEntra登録

Microsoft Entra IDへの参加は、Windows OS端末であれば、AD環境からの切り替えや検証に手間はかかるものの環境設定自体は比較的容易でした。これは同じMicrosoft社が提供するOS、サービスを利用するメリットですね。

では、Macはどうか…
結論は、Windowsと同様にそれほど難しいものではありませんが、Macの場合はWindowsと異なる一手間が必要にあります。それは、弊社ではMacをJamf Pro(以下Jamf)で管理していたからです。IntuneではなくJamfである理由は、OSとの親和性が高いためです。

では、Jamfで管理しているMacをIntuneに連携し、Entra登録するにはどうすればよいか。
答えはJamfがしっかりとドキュメントで用意してくれていました。

イメージ図

ポイントは以下です。

  • IntuneとJamfを接続する
  • MacはEntra参加ではなくEntra登録になる
  • コンプライアンスポリシーの準拠は、IntuneではなくJamf Proで判定する

続いて、MacのEntra登録までの作業の流れです。
MacはADからの切断作業は発生しませんし、ユーザープロファイルを作り直すこともありません。利用者は、Self Serviceからウィザードに沿って登録作業を進めていくだけです。Windowsに比べると作業者の負担は軽いと思います。

  1. Jamfでの事前準備
    • コンプライアンス準拠の判定を行うための条件を備えた動的グループを作成
    • Comany Portal Appの配布(Entra登録するために必要)
  2. JamfとIntuneの統合
  3. JamfでEntra登録を行うためのポリシーを作成し、Self Serviceに表示
  4. Entra登録の実行
  5. Entra登録したMacのコンプライアンス準拠状況を確認

手順4のみユーザーが対応、それ以外はコーポレートIT部での対応となります。

なお、Entra登録を行っていますが、Intune上でMacの登録を確認することはできません。Jamfから連携されたMac端末のレコードはEntraID上でのみ確認することができます。
最初はなぜ?と思ったのですが、あくまでMacのデバイス管理はJamfで行っていることを考えると、Intuneに表示されない方がどちらのサービスを使ってデバイス管理しているか明確で、運用上もこの方が助かります。

余談

Macのアカウント管理に、Jamf Connectを導入しています。
パスワードのコントロールがリモートで可能になったことはメリットですが、MacのログインプロセスがローカルとEntraIDで二重に認証が必要な状態でした。これを回避するとセキュリティが低下してしまうためこの認証プロセスを受け入れることにしました。
利用者にとっては面倒な操作になりますが、クレームもなく受け入れてもらうことができ、弊社従業員の協力的な姿勢には感謝を感じずにいられません。

それでは、また次回にお会いしましょう!

募集

いろいろな会社の情シス、コーポレートITはどんなことに悩みを抱え、どのような理想を追いかけているのだろうと気になっています。ざっくばらんに交流の場を持つことができれば嬉しいです。

もし、ブログを読んで交流してみたい!もっと詳しく話をしてみたい!という方がいらっしゃいましたら、ぜひ、以下フォームからお問い合わせください。

その際、「IT管理クエストブログを見て!」と記載していただけますと幸いです。
お問い合わせフォーム 

よろしくお願いいたします。

参考ドキュメント(出典:Jamf Learning Hub)