Intuneを使用してCatoクライアントを導入する（macOS）

この記事では、アカウント内のSDPユーザー向けにmacOSクライアントを展開および更新するためのAzure Intuneの設定方法について説明します。

この機能はmacOSクライアントv5.0以降でサポートされています。

概要

macOSクライアントv5.0以降では、Cato管理画面を使用してMDMを使用し、組織内のmacOSクライアントの展開と更新を管理することができます。すべてのクライアントの更新はMDMを使用して管理され、エンドユーザーには新しいクライアントバージョンの通知が届きません。

macOSクライアント向けの管理された展開とアップグレードのハイレベルワークフロー

これはアカウント内のmacOSクライアントに対するMDMソリューションを実装するためのワークフローの概要です。

ナビゲーションメニューから、アクセス > クライアント展開をクリックします。
クライアントアップグレードポリシータブをクリックします。
macOSクライアントの場合、管理者によって管理を選択します。
macOSパッケージをインポートします。
Azure Intuneを設定してポリシーを作成し、DMG拡張子とエンドユーザー向けVPNプロファイルを許可するようにします。

それ以外の場合、エンドユーザーはmacOSで上記の項目を手動で承認・許可する必要があります。
Azure Intuneで、アカウント内のエンドユーザーにmacOSクライアントの新しいバージョンを配布します。

macOSパッケージのインポート

Microsoft Intune管理センターを使用して、配布したいクライアントパッケージを追加します。

macOSパッケージをIntuneにインポート

ナビゲーションメニューから、アプリ > macOSを選択します。
追加をクリックし、アプリタイプの下でmacOSアプリ（PKG）を選択します。
選択をクリックし、アップロードしたいCatoクライアントパッケージを選択します。次の情報を提供する必要があります：
- 名前
- 説明
- 発行者名
カテゴリの下で、ビジネスとコンピュータ管理のチェックボックスをそれぞれ選択します。
次へをクリックし、プログラムページで再度次へをクリックします。
要件ページで、展開しているCatoクライアントバージョンに必要な最低限必要とされるmacOSオペレーティングシステムを選択します。
検出ルールのページで、アプリバージョンを無視をいいえに設定し、次へをクリックします。
割り当てページで、このパッケージを受け取る人を決定し（例えば、全てのユーザー）、次へをクリックします。
作成をクリックします。

macOSクライアントパッケージはIntuneにインポートされ、macOSパッケージのアプリページで利用可能です。

Intuneを使用してクライアントのmacOS許可を自動的に許可する

macOSクライアントv5.0以降では、クライアントをmacOSホストにインストールするために以下の許可が必要です：

CatoクライアントにVPNプロファイルを作成することを許可します
Catoクライアントのシステム拡張を許可します

Intuneを設定して、インストールプロセスの一環としてエンドユーザーに新しいクライアントバージョンに対するこれらの許可を自動的に許可することができます。それ以外の場合、エンドユーザーはインストールプロセスの一環としてmacOS設定を手動で構成する必要があります。

カスタムVPNプロファイルのデプロイ

カスタムVPNプロファイルを作成します。

この記事に添付されているカスタムプロファイルをダウンロードするか、独自のカスタムプロファイルを作成します。
Microsoft Intune管理センターから、デバイス > macOS > 設定に移動してmacOSクライアントのポリシーを作成します
作成をクリックし、新しいポリシーを選択します。（上記の表のデータに基づいて）：
1. プロファイルを作成で、プロファイルタイプの下でカスタムを選択します。
2. 作成をクリックします。
基本ページで、プロファイルの名前とオプションの説明を入力し、次へをクリックします。
設定ページで、以下を入力します：
1. カスタムプロファイルの説明的な名前を指定します
2. 設定プロファイルファイルの下で、上記でダウンロードしたカスタムプロファイルをアップロードします
3. 次へをクリックします
割り当てページで、すべてのデバイスを追加をクリックし、次へをクリックします。
作成をクリックします。

カスタムVPNプロファイルの作成

この記事には、Intuneにアップロードできる事前設定されたカスタマイズされたVPNプロファイルが付属しています。カスタムVPNプロファイルを作成したい場合は、Apple Configuratorツールをダウンロードし、以下の表の情報を使用してプロファイルを作成する必要があります。

設定	値
接続名	Cato Networks VPN
接続タイプ	カスタムSSL（ドロップダウンメニューから）
識別子	com.catonetworks.mac.CatoClient
サーバー	vpn.catonetworks.net
アカウント	CatoClientVPN
プロバイダーのバンドル識別子	com.catonetworks.mac.CatoClient.CatoClientSysExtension
ユーザー認証	パスワードオプションを選択します。すべてのトラフィックをVPN経由で送信オプションをクリアします。
プロバイダータイプ	パケットトンネル
プロバイダーの指定要件	anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists / or certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

macOSパッケージの展開用プロファイルを作成します

新しいプロファイルを作成し、そのプロファイルのためのVPN設定を構成します。

Microsoft Intune管理センターから、デバイス > macOS > 設定に移動してmacOSクライアントのポリシーを作成します。
作成をクリックし、新しいポリシーを選択します。（上記の表のデータに基づいて）：
1. プロファイルを作成で、プロファイルタイプの下で設定カタログを選択します。
2. 作成をクリックします。
基本ページで、プロファイルの名前と説明を入力し、次へをクリックします。
設定ページで、設定を追加をクリックします。
1. 検索ボックスを使用して、管理されているログインアイテムを入力し、ルール設定が選択されていることを確認します
2. 検索ボックスを使用して、システム拡張を入力し、許可されたシステム拡張が選択されていることを確認します
3. 検索ボックスを使用して、通知を入力し、ユーザーエクスペリエンス > 通知の下で、通知設定が選択されていることを確認します
4. 設定追加ペインを閉じます
設定ページのルールの下で、instanceを編集をクリックします。
1. コメントフィールドにインスタンスを記述するオプションのコメントを入力します
2. ルール値フィールドに、許可されたシステム拡張から以下の値を入力します：
  
  com.catonetworks.mac.CatoClient
3. 保存をクリックします。
設定ページの許可されたシステム拡張の下で、インスタンスを編集をクリックします。
1. 以下に許可されたシステム拡張でリストされている値を入力します：
  - com.catonetworks.mac.CatoClient
  - com.catonetworks.mac.CatoClient.CatoClientSysExtension
2. チーム識別子の下で、以下にリストされている値を入力します、CKGSB8CH43
3. 保存をクリックします
設定ページの通知設定の下で、インスタンスを編集をクリックします。
1. バンドル識別子の下で、com.catonetworks.mac.CatoClientを入力します
2. 重大なアラートが有効が真に設定されていることを確認します
3. 保存をクリックします
次へをクリックし、スコープタグページで再度次へをクリックします。
割り当てページで、このパッケージを誰が受け取るべきかを決定します。例として、すべてのデバイスを追加をクリックするか、特定の管理者グループを選択し、次へをクリックしてください。
作成をクリックします。

sample_profile.mobileconfig3 KB