アップル製品に企業ポリシーを適用。
Win&Mac,iPhone, iPad 混在環境をActive Directory連携で集中一括管理。
異種OSを一括することで管理の苦労を一気に削減、管理ミスも排除しましょう。
既に導入しているActive DirectoryでMacも一元管理したい!
エンタープライズ環境で導入が進んでいるマイクロソフト社のWindows Serverで構築するActive Directoryサービスは企業の管理者から見ると大変便利な仕組みです。
社内のネットワーク上に存在する様々な資源やユーザの情報を一括してWindowsクライアントに設定、構成の自動化、ユーザ環境の標準化を行うことが可能になるため、情報セキュリティの強化が要求される現在では、安全な企業システムを構築するために必須の機能となりました。
既に多くの企業でWindowsクライアント管理のために、Active Directoryサービスが導入・活用されています。
しかし、最近多く見られるようになってきたのが、企業でのアップル製品導入です。とくにiPhone, iPadとの親和性から、Macも企業内のユーザで使用されるようになってきました。ユーザが私物端末を企業の業務で利用するBYODも、その流れを後押ししています。
そこで、「既に導入しているActive Directoryを活用して、Macも一元管理したい!」と考えるのは、法人企業のシステム管理者としては当然の事ですが、なかなか実現できていないのが現状でした。
なぜ、今までアクティブディレクトリのドメインにMacを接続しなかったのか?
その大きな理由としては、標準のActive Directory環境では「Macに対して企業ポリシーの適用を行えない」という事でした。
企業ポリシー、例えば、スクリーンセーバーの使用を強制する、許可されていないユーザにはUSBメモリーの使用を制限、カメラ機能を利用できないように設定等の、企業が自社の機材に対して適用するルールですが、これらはマイクロソフト社製のActive DirectoryはGroup Policy Object(GPO)などを使用して、同じマイクロソフト社製のWindowsクライアントのみ適用することができます。異なるOSを採用している場合は設定することができません。
Apple社では、マイクロソフト社と同様に、自社デバイスを管理するために、macOS Serverで構築できる「Open Directory」環境を提供しています。企業ポリシーの適用には同macOS Serverの「プロファイルマネージャー(Profile Manager)」を使用します。
「マイクロソフト社 Active DirectoryのGPO」、「Apple社 Open Directoryのプロファイルマネージャー」求めることは、自社製品に対する企業環境での一括管理ということでは同じですが、実現の方法は大きく異なっています。
実は認証部分のActive Directory と Open Directory というのは、名称も似ていますが、その大元となっているのがLDAP(Lightweight Directory Access Protocol)というもので、起源は同じです。実装の基礎は同じ LDAP v3 仕様なので、言ってしまえば兄弟のようなものです。そのため、この両者は高い親和性を持っていますし、実際にmacOSクライアントは標準でActive Directoryのドメインに接続して「認証とログイン」のみであれば可能です。
WindowsとMacで大きく異なる部分
それは、企業ポリシーの適用部分になります。
Active DirectoryのGPOは基本的な考えとして、「社内に接続された」Windowsクライアント内のレジストリなどを直接変更して、Windowsクライアントはその情報を元に動作を決定します。
それに対して、
Open Directoryのプロファイルマネージャーは「インターネットに接続された」Appleデバイスに対して、強力なセキュリティ保護の元でApple社のサーバーを経由し、構成情報が記載されたプロファイルをインターネット経由でデバイス内に設置し、Appleデバイスはその情報を元に動作を決定します。
ここでMacと言わないで「Appleデバイス」と言っているのは、「macOS(Mac OS X)」、iPhone、iPadなどの「iOSデバイス」全てで同じように適用される為です。考え方としては、Mac Pro も iMac もMacBookもiPhone, iPadも、実はApple TVですら、「Apple社製品、全てがモバイルデバイスで、移動体である」という考えの元で設計されています。
「プロファイルマネージャー」というものは、適用される項目はデバイス毎に違えども(同じ項目もあります)その実態はモバイルデバイス管理システム(MDM)です。移動体に対して柔軟に設定が行えるよう「インターネットに接続」されていれば設定を流し込むことが可能になります。
このように考え方の根本が異なっているために、従来のActive Directory環境構築ではMacに対して企業のポリシーを適用する事ができませんでした。
認証・ログインだけの設定は危険
認証とログインだけでも一元管理できるなら、そのまま接続しようという考え方もありますが、注意していただきたいのが、認証・ログインが可能で、企業ポリシーが適用できない状況だと、どのような事が発生するかです。
例えば、Active Directoryのグループ ポリシーでUSBメモリーへのアクセスが制限されているユーザは、設定を適切に行えば、Windows、Mac共に認証・ログインをして、必要な情報にアクセスできますが、Windowsでログインした場合はポリシーの適用下にあるので、USBメモリーを使用することができません。
しかし、同じユーザが Mac に移動してログインするとポリシーを適用できない為に、自由にUSBメモリーを使用する事が可能になってしまいます。
つまり単純にMacをActive Directoryに接続するだけだと大きなセキュリティホールが開いてしまうという事になり、一般的には Mac は Active Directory に接続されないと説明されてしまう場合も多くみられます。
Active DirectoryとOpen Directory の2重管理は管理コストの上昇を招きます
それならば、WindowsはActive Directoryで管理、MacはOpen Directoryで管理すれば良いのでは?とも考えるのですが、2つのDirectoryシステムを同時運用すると管理コストが急上昇してしまうために、これも又、難しい選択となります。
例えばユーザの部署が移動になり、権限の範囲が変更された場合、2つのDirectoryで同じような挙動になるよう、管理者は繊細な設定操作が必要になり、作業量が2倍になります。2つの全く異なるDirectoryが同様に動作しないと、同じユーザが、異なる権限で接続することになり、必要な情報にアクセスできない、あるいは不必要な情報にアクセスしてしまうという事が発生してしまいます。
そのためMacをActive Directoryで管理することを諦めて、管理者が個別管理を強いられているのが現状として多く見られますが、企業内で稼働するMacが増加すると、管理者の負担が増してしまいます。
そのような状況におすすめするのはピクチャーコードが提供する
『Apple対応Active Directory(AD) 連携 改修サービス』とは?
改修サービスと名付けていますが、実際には現在稼働しているWindows Serverに対して、新しいソフトをインストールする、設定を大きく変更する、サービスを一時停止させるといった必要はありません。また、クライアント側もmacOSクライアントに組み込まれている機構を使用しているので、追加管理アプリなどをクライアントにインストールする必要もありません。
macOSとiOSのために設計されたmacOS Serverの機能をActive Directoryのユーザ、グループで一元管理し、Appleクライアントにサービスを提供します。
組織の管理者はActive Directoryの管理のみで Windows/Mac/iPhone/iPad を連携管理することが可能になります。
そのサービスの一つが「プロファイルマネージャー」です。このApple純正モバイルデバイス管理(MDM)機能を使用することで、Active Directoryのユーザ情報でMacにも企業ポリシーの適用を行う事が可能になります。
また、認証情報はActive Directoryを使用するので、参加したMacはActive Directoryに対応したNASやサーバーに対して、シームレスに接続を行う事が可能になり、管理の一元化を実現することができます。
また、このソリューションは正式にアップル社が認めている構築方法になります。
既存の投資と登録情報を有効利用
既存の Active Directory を活用するため、今までの投資をさらに有効に活用することができます。
また、すでにAD登録されているユーザ情報でApple製品を管理することが可能になるので、再度のユーザ登録などは必要ありません。
ユーザもデバイス毎にID,パスワードを覚える必要が無くなります。必要なのは Active Directoryの認証情報のみです。
管理者がデバイスの設定をリモートで変更
社内外に設置された数多くのAppleデバイスに設定の変更が必要になったとき、管理者が一台毎に訪問して設定を変更して回るのには大変な労力と時間が必要になります。
AD改修サービスを適用すれば、管理者が自分のデスクトップから一斉に管理しているデバイスの設定を変更することが可能になります。
プロファイルマネージャーによって管理負担を一気に減少することが可能になり、どのデバイスに修正を行なったのかも明快になります。
さらに、プロファイルマネージャーは管理しているデバイスがインターネットに接続されていれば設定を変更することが可能なMDMです。
つまり、iOSデバイスのみではなく、ドメインに接続されていない社外にあるMacの設定変更も可能になります。
Group Policy Object(GPO)の項目をMacにも適用できるのですか?
WindowsのGPOとMacのプロファイルマネージャーでは管理項目の内容が異なっている為に、GPOの項目全てがMacに適用できるとは限りません。もともとが全く異なる設計思想の元に作られているので、全く同じとはなりません。
しかし双方共に企業内で使用することを前提とした項目が入っている為、主要な設定については同様な項目を適用する事が可能です。
さらに、プロファイルマネージャーではMac特有の機能、例えばDockの設定、App StoreやGame Center、iCloudの使用、AirDropの使用などを設定/制限する事が可能になります。
また、必要のないユーザには、例えば「ユーザとグループ」などのシステム環境設定項目にアクセスできないように管理者はリモートで設定することが可能になります。
設営を終了してしまえば、人事異動などに伴い、ユーザ情報を必要なセキュリティグループに移動させる等、通常のActive Directory管理操作でMacも同時に連動管理する事が可能になります。
Mac を Active Directory で管理する場合に重要な注意点はありますか?
はい、こちらの「Apple対応Active Directory(AD) 連携 改修サービス」だけに限らず、Apple製品をディレクトリ管理するとき全般に言える注意点ですが、「.local」で終わるドメインを設定しているディレクトリではApple製品を正常に管理することはできません。
詳しくはこちらのページをご確認ください。
パスワードの失敗回数などで端末ロックを強制
Mac、iOS デバイスも PCI DSS 等の組織導入時の基準に対応するために、ログイン試行回数設定、Wi-Fi制限、USBデバイス制限、
そして、絶対に忘れてはいけないのが、USBメモリーなどの制限を行う場合には、Apple社のデバイスなら、AirDropによるMac/iPhone/iPad間のワイヤレス・ファイルコピー制限などを強制する必要があります。AirDropはワイヤレスを使用してファイルを物理的なUSBドライブを使用するよりも簡単にApple製品間で交換できる便利な機能ですが、USBドライブを制限するような状況ではこちらも制限しないと意味がありません。
AD改修サービスを適用すれば、プロファイルによって、このようなきめ細やかな制限設定を行うことが可能になります。
社外にADの認証情報を送信する必要がありますか?
いいえ、サーバーMacは社内にオンプレミスで設置する為、社外にActive Directoryの認証情報を送信する必要はありません。設定されたサーバーMacとMacクライアントは直接社内のActive Directoryと認証情報を交換します。
MacのLogin認証は Windows Server のActive Directory情報で行います。そのためActive Directoryに対応したNASなどでは Mac からシングルサイオンが可能になります。
お好きな数だけデバイス登録。ユーザ数、デバイス数は無制限
管理するMac/iPhone/iPadの台数に関しては、無制限数となります。
急遽デバイスの追加が必要になった、BYODでどれだけの台数を登録するのか不明などの状況でも、
追加ごとに費用が発生しないため都度の経費処理、予算管理などは必要ありません。
無限数なので、都度支払い情報登録のために別途クラウドなどにユーザを作成することなど必要ありません。そのため真のADユーザのみの一元管理を実現することができるようになりました。
新規にユーザを追加するのに必要なのは Active Directory への通常のユーザ追加作業のみです。
しかし、Windows Server で管理するために、CALにはご注意ください。
App Store のアプリを企業で購入
日本の組織などで Apple デバイスの管理を行うために、ユーザに例えば pc001@picturecode.co.jp, pc002@picturecode.co.jp, pc003@picturecode.co.jp..... などといった組織用のApple IDを作成して、それらをユーザに使用させたいというお話を聞きますが、こちらの方法はセキュリティ的に大変に危険なので避けた方が宜しいです。
Apple社では基本的にApple IDは個人のIDと考えているため、Apple IDを使用してパスワードの保存なども行ないます。つまり、Apple IDを使いまわすと、それらの情報も引き継がれて使用されてしまうことになります。
社員用Apple IDを使いたいという大きな理由は App Store でのアプリ購入のためだとお聞きします。例えば組織で必要な有料アプリを社員に配布するのに iTunesカードなどを利用してアプリを購入するような場合があるようです。しかし、その社員が退職してしまったら、個人IDだとそのまま持ち帰ってしまうのを避けたいということです。
プロファイルマネージャーで、AppleのVolume Purchase Program(VPP)を使用することが可能になります。VPPで組織はApp StoreのアプリやiBooks Storeの本を一括購入、管理下のMac/iPhone/iPadに配布する事が可能になります。また、使用することが無くなったアプリはデバイスから外して、他のユーザに再割り当てすることも可能になります。
iBooks Storeの書籍については、本の回し読みは禁止されている為、再割り当てを行う事はできません。
組織用のApple IDを作成してそれを使いまわすのだけは大変危険なので、ご注意ください。
デバイス配備の自動化
ユーザに Mac や iPhone, iPadを配布する時に必要とされていた作業がキッティング。
ネットワークの設定を行なったり、アプリをインストール、exchange server などの必要な制限を設定したり、様々な作業を行なった後でないとユーザは使用できませんが、Apple の DEP(Device Enrollment Program) を利用することで、そのキッティング作業を自動化することが可能になります。Active Directoryユーザ情報を使用してデバイスとユーザを紐付けることが可能です。
iPhoneやiPadも管理できるのですか?
Apple純正のMDMであるプロファイルマネージャーを使用するので、Mac管理以外にも、Apple社製のデバイス、iPhone, iPadなどのiOSデバイスを管理する事が可能になります。
管理者はMac同様にiOSデバイスの構成、管理を行えます。
それも Active Directoryのユーザ管理のみで行えます。
ユーザと管理者はリモート管理ポータルサイトにActive DirectoryのID,パスワードでログインし、遠隔地からネットワークに接続されたデバイスのロックや消去を行う事が可能になります。(Macも可能です)
ユーザがセルフでiOSデバイスのパスコードを消去
管理者に多い問い合わせが「デバイスのパスコードを忘れた、すぐに再設定してほしい」というリクエストです。AD改修サービスを適用すればユーザは専用のWEBポータルサイトにアクセスすれば自分のデバイスパスコードを消去して再設定することが可能になります。
必要なのは Active Directory のユーザIDとパスワードです。
WEBポータルなので管理者が介在しないで24時間365日対応可能になります。
管理者はアクティベーションロックの解除が可能に
組織で購入した iOSデバイスでも個人の Apple ID を設定して「iPhoneを探す」を有効にするとアクティベーションロックが設定され、Apple ID とパスワードを入力できないとそのデバイスを再利用することが不可能になります。
この状態になったデバイスはアップル社に購入情報を提示して解除依頼をする事になりますが、手続きに時間と手間もかかります。
改修サービスによって管理されたデバイスにはバイパスコードを自動設定することができるため、Apple ID のパスワードを知らなくても管理者がアクティベーションロックを解除することが可能になります。
このように、Windows, Mac, iPhone, iPad を全て Active Directory の管理のみで行えるようになり、管理の負担が一気に減少するのが、Apple 対応AD改修サービスの大きな特徴です。
なぜ、このような事が可能になるかというと、これらは全て「Apple社の純正管理ソリューション」だからです。Windows クライアントを管理する Windows Server と同じく、Apple社では Mac を管理する macOS Server を提供しています。そして、macOS Server はActive Directory を参照できます。
詳しいご説明は、デモンストレーションを是非ご依頼ください。
価格について
Active Directory 改修サービスの価格については、こちらの価格表をご覧ください。
FAQ 質問と答えコーナー
FAQはこちらになります。他にご質問がありましたらお問い合わせフォームからお願いします。
なにはともあれ、百聞は一見にしかずともいいますが、東京圏無料の訪問デモンストレーションをお気軽にリクエストしてください。
「あり得ない動きを人生で初めて見た!」と、システム管理者の皆様、全てが必ず驚き、この記事の内容をご納得いただいています。一般的にはシステム管理で驚くことは少ないとは思いますが、このデモンストレーションには皆様驚かれます。
ピクチャーコード株式会社について:ピクチャーコードは Apple 社出身のエンジニアが設立した企業です。主に企業、組織へのApple製品導入支援を行なっています。