Intuneを使用してCatoクライアントを展開する (macOS)

この記事では、アカウント内のSDPユーザーのためにmacOSクライアントを展開および更新するためにAzure Intuneを設定する方法について説明します。

この機能はmacOSクライアントv5.0以上でサポートされています。

概要

macOSクライアントv5.0以降、組織内のmacOSクライアントの展開と更新を管理するためにMDMを利用するようにCato管理アプリケーションを設定できます。すべてのクライアント更新はMDMを使用して制御され、エンドユーザーには新しいクライアントバージョンの通知が届きません。

macOSクライアントの管理された展開とアップグレードの高レベルワークフロー

これはアカウント内のmacOSクライアントのためにMDMソリューションを実装するためのワークフローの概要です。

ナビゲーションメニューから、アクセス > クライアント展開をクリックします。
クライアントアップグレードポリシータブをクリックします。
macOSクライアントのために、管理者による管理を選択します。
macOSパッケージをインポートします。
エンドユーザーのためにDMG拡張子とVPNプロファイルを許可するポリシーを作成するためにAzure Intuneを設定します。

そうしないと、エンドユーザーがmacOSで上記の項目を手動で承認および許可する必要があります。
Azure Intuneで、アカウント内のエンドユーザーに新しいmacOSクライアントバージョンを配布します。

macOSパッケージのインポート

Microsoft Intune管理センターを使用して、配布したいクライアントパッケージを追加します。

macOSパッケージをIntuneにインポート

ナビゲーションメニューから、アプリ > macOSを選択します。
追加をクリックし、アプリタイプの下で、macOSアプリ (PKG)を選択します。
選択をクリックし、アップロードしたいCatoクライアントパッケージを選択します。次の情報を提供する必要があります：
- 名前
- 説明
- 発行者名
カテゴリの下で、ビジネスとコンピュータ管理のチェックボックスをそれぞれ選択します。
次へをクリックし、「プログラム」ページで再び次へをクリックします。
「要件」ページで、導入しているCatoクライアントバージョンに必要な最小限必要なmacOSオペレーティングシステムを選択します。
「検出ルール」ページで、アプリバージョンを無視をいいえに設定し、次へをクリックします。
「割り当て」ページで、このパッケージを受け取るユーザー（例：「すべてのユーザー」）を決定し、次へをクリックします。
作成をクリックします。

macOSクライアントパッケージがIntuneにインポートされ、macOSパッケージのためにアプリページで利用可能になります。

Intuneを使用してクライアントへのmacOS許可を自動的に許可

macOSクライアントv5.0以降、macOSホストにクライアントをインストールするために次の権限が必要です：

CatoクライアントがVPNプロファイルを作成することを許可
Catoクライアントのためにシステム拡張を許可

新しいクライアントバージョンのインストールプロセスの一環として、エンドユーザーのためにこれらの権限を自動的に許可するようにIntuneを設定できます。そうしないと、エンドユーザーはインストールプロセスの一環としてmacOS設定を手動で構成する必要があります。

カスタムVPNプロファイルのデプロイ

カスタムVPNプロファイルを作成します。

この記事に添付されたカスタムプロファイルをダウンロードするか、独自のカスタムプロファイルを作成します。
Microsoft Intune管理センターから、macOSクライアントのためにポリシーを作成するためにデバイス > macOS > 構成に移動します。
作成をクリックし、新しいポリシーを選択します。（上のテーブルのデータに基づいて）：
1. プロファイルの作成で、プロファイルタイプの下でカスタムを選択します。
2. 作成をクリックします。
「基本」ページで、プロファイルの名前と任意の説明を入力し、次へをクリックします。
「構成設定」ページで、次の項目を入力します：
1. カスタムプロファイルのための説明的な名前を提供
2. 「構成プロファイルファイル」の下で、上でダウンロードしたカスタムプロファイルをアップロードしてください
3. 次へをクリックします。
「割り当て」ページで、すべてのデバイスを追加をクリックし、次へをクリックします。
作成をクリックします。

カスタムVPNプロファイルの作成

この記事には、Intuneにアップロードできる事前設定されたカスタマイズされたVPNプロファイルが付属しています。カスタムVPNプロファイルを作成する場合は、Apple Configuratorツールをダウンロードし、以下の表の情報を使用してプロファイルを作成する必要があります。

設定	値
接続名	Cato Networks VPN
接続タイプ	カスタムSSL（ドロップダウンメニューから）
識別子	com.catonetworks.mac.CatoClient
サーバー	vpn.catonetworks.net
アカウント	CatoClientVPN
プロバイダバンドル識別子	com.catonetworks.mac.CatoClient.CatoClientSysExtension
ユーザー認証	パスワードオプションを選択します。すべてのトラフィックをVPN経由で送信オプションをクリアします。
プロバイダタイプ	パケットトンネル
プロバイダ指定の要件	anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists / or certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

macOSパッケージを展開するためのプロファイルを作成する

新しいプロファイルを作成し、そのプロファイルのVPN設定を構成します。

Microsoft Intune管理センターから、macOSクライアントのためにポリシーを作成するためにデバイス > macOS > 構成に移動します。
作成をクリックし、新しいポリシーを選択します。（上のテーブルのデータに基づいて）：
1. プロファイルの作成で、プロファイルタイプの下で設定カタログを選択します。
2. 作成をクリックします。
「基本」ページで、プロファイルの名前と説明を入力し、次へをクリックします。
「構成設定」ページで、設定を追加をクリックします。
1. 検索ボックスに管理されたログインアイテムを入力し、ルールの設定が選択されていることを確認します。
2. 検索ボックスにシステム拡張子を入力し、「許可されたシステム拡張子」が選択されていることを確認します。
3. 検索ボックスに通知を入力し、「ユーザーエクスペリエンス > 通知」で通知設定が選択されていることを確認します。
4. 「設定を追加」ペインを閉じます。
「構成」ページで、「ルール」の下で編集をクリックします。
1. コメントフィールドに、インスタンスを説明するオプションのコメントを入力します。
2. ルール値フィールドに、許可されたシステム拡張子から次の値を入力します：
  
  com.catonetworks.mac.CatoClient
3. 保存をクリックします。
「構成」ページで、許可されたシステム拡張子の下でインスタンスを編集をクリックします。
1. 以下にリストされている許可されたシステム拡張子の値を入力します：
  - com.catonetworks.mac.CatoClient
  - com.catonetworks.mac.CatoClient.CatoClientSysExtension
2. 「チーム識別子」の下で、以下にリストされている値、「CKGSB8CH43」を入力します。
3. 保存をクリックします。
「構成」ページで、「通知設定」の下でインスタンスを編集をクリックします。
1. バンドル識別子の下で、com.catonetworks.mac.CatoClientを入力します。
2. 重大警告有効化がTrueに設定されていることを確認します。
3. 保存をクリックします。
次へをクリックし、「スコープタグ」ページで再び次へをクリックします。
割り当てページで、このパッケージを誰に配信するかを判断し、全てのデバイスを追加をクリックするか、特定のグループのユーザを選択し、次へをクリックします。
作成をクリックします。

sample_profile.mobileconfig3 KB