macOSとAzureADでMacのユーザーアカウントを掌握





シンジです。社内デバイスは全部Windowsですとは言いにくい時代になった昨今、Mac達は野放しにされ、例外とかいう常套句で社内ポリシーから逃げてきましたが、残念ながらmacOSのユーザー配布をADからAzureADを経由することで完全統制する方法が仕上がってきたので現状の話です。

ADとMacの相性は悪い

読者の中にMac利用者が居たとしても、そのMacをActive Directoryの配下に置いて、そこからユーザーを発行して展開したことある人は少ないでしょうし、試しにやってみた人が居たとしても運用したことがある人はもっと少ないのではと思っています。もしそれら全てを経験し、それを売りに仕事をしている方が居たとしたら、このブログによって廃業します。

管理者がMacを直接触ってセットアップする必要があった

今時ゼロタッチデプロイですよ。箱から空けたらユーザーがすぐに使える、管理者が電源を入れる必要がない、むしろそれが最もセキュアというこのご時世。ADDSにバインドするためには、管理者が事前にmacOSに対して管理権限を行使して事前セットアップをする必要があるんですね。

管理者が管理権限でセットアップしたパソコンって、信用できるパソコンと言っていいんですかね?ユーザーにはどうにもできないから、それは信頼するしかないとしたら、その端末に何を仕込まれててもどうにもならんですね。箱から出す前の端末が最もセキュアと言われるのはそこです。

MacのキーチェーンアクセスがADによって破壊される

MacはユーザーIDやパスワードを記録して安全に保管してくれるアプリを標準で実装しています。Macのキーチェーンアクセスは、iCloudキーチェーンとは別です。ただし、iCloudキーチェーンと協調して動作することができます。iCloudアカウントがあれば、複数のデバイスでキーチェーンを共有できるわけです。

MicrosoftのActive Directoryさんは、そもそもこのAppleな鍵管理なんぞ意識していません。

ユーザーが自身のMacにログインするときのパスワード、ここのパスワードはActive Directoryに登録されているパスワードですが、これを忘れた場合、Windowsな人も同様に、管理者にパスワード忘れましたごめんちゃい連絡をするわけです。

管理者はActive Directoryのサーバー側の機能を使って、パスワードのリセットを行います。

ここでキーチェーンがパニックを起こします。
正確には、再設定したパスワードが、以前利用していたキーチェーンのパスワードと違うため、キーチェーンが前のパスワードを入れろとしつこく聞いてきます。閉じても閉じても聞いてきます。保存したキーチェーンの数だけ聞いてきます。

こうなったらキーチェーンをリセットするしかありません。

AppleからActive Directoryのベストプラクティスが出ていますが

Appleテクニカルホワイトペーパー OS XとActive Directoryとの統合に関するベストプラクティス
https://www.apple.com/jp/training/pdf/wp_integrating_active_directory_jp.pdf

ドキュメント古いし管理者作業多いし結局地獄だしつまり地獄

経験者だからこそMacをAD配下にしたくない気持ち

つまりMacな人は、ほぼ私物状態。でもしょうがないよねみたいな。ウチはMacが多いからMacに対応した監査ツール入れててさ〜みたいな。そのツールがガラパゴスなんだから結局地獄でしょ。

Mac管理といえばJamf Proがデファクトスタンダード

MDM(モバイルデバイスマネジメント)というくくりで見られがちですが、Jamf Proはエンタープライズあるいは、数十台以上のAppleデバイスを会社管理として所有するなら必須のソリューションです。Apple製品ほぼ全て管理配下におけますし、AzureADとも連携できるし、Apple突如の大型アップデートもゼロデイで対応するというとんでもサービスです。

前述したゼロタッチデプロイもJamf Proを利用してApple代理店からデバイスを購入することで、自社のADやLDAPに紐付いたデバイスを支給できるということでゼロタッチデプロイも実現できるわけです。

iPhoneやAppleTVなども合わせて最小50デバイスから発注できますので&個人的に結構安いのでとりあえずお試しどうぞ(Tooさん国内代理店で詳しいのでオススメ)
Apple専用の統合デバイス管理「Jamf Pro」| 株式会社Too
https://www.too.com/product/software/jamfpro/

今時クラウドなのでAzureADにMacをダイレクトでドメイン参加させます

Jamf Connectという製品を利用します。無料じゃないよ!
Jamf Connect
https://www.jamf.com/ja/products/jamf-connect/

世界的にもADとMacの関係について格闘をしてきた歴史があり、知る限り最も古い物が2009年4月にAD Password Monitorというツールのプロジェクトアナウンスがあったのが最古です。
https://yourmacguy.wordpress.com/2009/04/29/new-tool-ad-password-monitor/

これがADPassMonと名を変え、2017年3月にNoMADという製品がリリース、現在も利用している企業がいるのですが、これをJamf社が買収して取り込みAzureADに繋がることになりました。NoMADはNoMADで良かったのですが、買収発表後からの提供とサポートがパニックになり、なんやかんやあってようやくJamf Connectという名前で世に出てきました。

テストしてフィードバックするためにJamf Connectを使わせてもらったので現時点で導入して運用してる企業はいないはずです。だってまともに動きませんもの。もうちょいしたら直っていい感じになると思います。前向きな地獄は大歓迎。もし最新情報が欲しい、検討したいということであれば、これもTooさんに連絡して下さい。

完全なWebログイン

あくまでもローカルアカウントとIdPとの紐付けであることを理解する必要があります。ポリシーはJamf ProあるいはIntuneが担当します。

仕組みは結構複雑なので、認証認可の挙動を詳しく知りたいからはこちらからどうぞ。利用するIdPや、アカウントロールで挙動が変わります。

Jamf Connect Evaluation ガイド 1.5.0
https://docs.jamf.com/ja/jamf-connect/1.5.0/evaluation-guide/%E6%A6%82%E8%A6%81.html

アカウントが作成されログイン可能になる

これでシングルサインオンをApple端末にも適用できました。アカウントも自動的に作成されています。

対応するIdP

  • Google Identity
  • IBM Cloud Identity
  • Microsoft Azure AD
  • Okta
  • OneLogin
  • PingFederate

認証部分をAzureADで揃える必要はなく、一定の自由度があります。ただし、Google Cloud IDの場合はROPGをサポートしないなど、それぞれの特性も理解する必要があります。多要素認証をIdP側で設定した場合、Macのログインに多要素認証を適用することも可能です。

OpenID Connect 認証を使用した Jamf Connect を理解する
https://www.jamf.com/jamf-nation/articles/707/openid-connect-jamf-connect

既存のADDSはAzureADにハイブリッドとして参加させれば良い

ADDS捨てられるなら捨てたらいいのですが、既存資産多めのエンプラはハイブリッド ADJoinを駆使しながら、改めてADのポリシーを見直し、AzureADやIntuneそしてJamf Proを利用したApple製品の統制を行える時代にはなりました。管理者の手作業多めでしんどいなっていうのが本音ですが、10人の組織でも1万人の組織でもやることあまり変わらないのでヤッチマイマショウ。

会社でMacが使えるようになるという働き方改革

あるんですよ実際。つらすぎーと思いながらも、Macはダメですを貫くのもつらすぎなので、利便性を高めながら統制を保つための工夫としてMacを管理下に入れるケースも想定してみましょう。せめてヤバそうなデータ扱う端末くらいは。

※このブログは「Jamf Connect を使って Mac に AzureAD アカウントでログインしてみた」を参考にしています。詳細なセットアップ情報などは下記ブログをご参考下さい。
Jamf Connect を使って Mac に AzureAD アカウントでログインしてみた
https://blog.cloudnative.co.jp/1395/