MDM を使用した macOS クライアントのデプロイとアップグレード

この記事では、モバイル端末管理 (MDM) を設定して、アカウント内の SDPユーザー向けに macOSクライアントを展開および更新する方法について説明します。

この機能は、macOSクライアント v5.0 以上でサポートされています。

概要

macOSクライアント v5.0から、Cato管理画面を設定して、組織内のmacOSクライアントの展開と更新を管理するためにMDMを使用できます。すべてのクライアント更新はMDMを使用して管理され、エンドユーザーには新しいクライアントバージョンの通知が届きません。

macOSクライアントの管理されたデプロイとアップグレードの概要

これは、アカウント内のmacOSクライアントに対してMDMソリューションを実装するためのワークフローの概要です。

ナビゲーションメニューから、アクセス > クライアント展開 をクリックします。
クライアントアップグレードポリシー タブをクリックします。
macOSクライアント用に 管理者によって管理されています を選択します。
macOSパッケージをインポートします。
MDM を設定してDMG 拡張子とVPNプロファイルをエンドユーザーに許可するポリシーを作成します。

そうでない場合、エンドユーザーはmacOSで上記の項目を手動で承認し、許可する必要があります。
MDM で新しい macOSクライアントバージョンをアカウントのエンドユーザーに配信します。

macOSパッケージのインポート

アカウント内の macOSクライアントのマネージドアップグレードを使用するには、まずパッケージをMDMにインポートする必要があります。

macOSパッケージをインポートするためのサンプル JAMF 手順

ナビゲーションメニューから 設定 > コンピュータ管理 を選択します。
パッケージ を選択して新規をクリックします。
表示名 を入力します。
ファイルを選択 をクリックしてmacOSクライアントパッケージを選択します。
保存をクリックします。

macOSクライアントパッケージが JAMF にインポートされました。

MDMを使用して自動的にクライアントのmacOS権限を許可する

macOSクライアント v5.0 以降では、次の権限がmacOSホストへのクライアントのインストールに必要です。

CatoクライアントがVPNプロファイルを作成することを許可します
Catoクライアントのためにシステム拡張を許可します

MDM を設定して、インストールプロセスの一環として新しいクライアントバージョンのエンドユーザーに自動的にこれらの権限を許可できます。そうでない場合、エンドユーザーはインストールプロセスの一環としてmacOS設定を手動で構成する必要があります。

VPNプロファイルの権限を許可する

MDM で、macOSがCatoクライアントVPNプロファイルの許可を自動的に設定する設定を含むVPNペイロードを作成します。クライアントがインストールされると、VPNプロファイル権限が正しく設定され、macOSはエンドユーザーに手動で構成するよう要求しません。

設定	値
接続名	Cato Networks VPN
接続タイプ	カスタムSSL (ドロップダウンメニューから)
識別子	com.catonetworks.mac.CatoClient
サーバー	vpn.catonetworks.net
アカウント	CatoClientVPN
プロバイダバンドル識別子	com.catonetworks.mac.CatoClient.CatoClientSysExtension
ユーザー認証	パスワードオプションを選択します。すべてのトラフィックをVPN経由で送信オプションをクリアします。
プロバイダタイプ	パケットトンネル
プロバイダ指定要件	anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists / or certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

VPN設定に対する権限を設定するためのサンプル JAMF 手順

新しいプロファイルを作成し、そのプロファイルに対するVPN設定を構成します。

macOSクライアント向けのプロファイルを作成します:
1. ナビゲーションペインから コンピュータ > 設定プロファイル を選択します。
2. 新規をクリックしてCatoクライアント用の新しいプロファイルを作成します。
上記のテーブルのデータに基づいて、VPN権限を受け取るためにプロファイルの VPN 設定を編集します。
1. 設定プロファイル で、前のステップで作成したプロファイルを編集し、VPN を選択します。
2. VPNタイプ、接続タイプ、識別子、サーバー、アカウント、プロバイダバンドル識別子 の設定を入力します。
3. ユーザー認証、プロバイダタイプ、プロバイダ指定要件 の設定を構成します。

システム拡張を許可する

MDM でポリシーを設定して、macOSクライアントによって使用されるシステム拡張を許可します。クライアントがインストールされると、システム拡張権限が正しく設定され、macOSはエンドユーザーに手動で構成するよう要求しません。

設定	値
表示名	CatoClientシステム拡張
システム拡張タイプ	許可されたシステム拡張
チーム識別子	CKGSB8CH43
許可されたシステム拡張	com.catonetworks.mac.CatoClient com.catonetworks.mac.CatoClient.CatoClientSysExtension

システム拡張に対する権限を設定するためのサンプル JAMF 手順

上記のテーブルのデータに基づいて、プロファイルのシステム権限を受け取るために システム拡張 設定を編集します。

ユーザーがシステム拡張を承認することを許可 を選択します。
表示名 を入力します。
システム拡張タイプ を選択します。
チーム識別子 を入力します。
承認されたシステム拡張の値が正しいことを確認します。
macOSクライアントプロファイルへの変更を保存します。

macOSクライアントの配信

MDM で、Cato VPN プロファイルを受信しているユーザーとグループを選択します。その後、macOS パッケージで新しいポリシーを作成し、ユーザーにポリシーをプッシュします。

デプロイ中にEULA画面を抑制する

macOS v5.10.6から、EULA画面を抑制するサイレントインストールを展開できます。

デプロイ中にEULA画面を抑制するには:

プロファイルファイルをテキストエディタで開きます。
ファイルのPayloadContentセクションで、mcx_preference_settingsの下に次を含めます:
```
<dict>
      <key>suppressEULAScreen</key>
      <integer>1</integer>
</dict>
```
ファイルを保存します。

JAMF用のサンプルプロファイルがこの文書に添付されています。

macOSクライアントを配信するためのサンプル JAMF 手順

コンピュータ > 設定プロファイル で、Cato VPNプロファイルを受信しているグループまたは特定のユーザーを選択します。
新しいポリシーを作成し、そのポリシーにmacOSパッケージを追加します。
1. コンピュータ > ポリシー で新しいポリシーを作成します。
2. 一般セクションから次の設定を構成します:
  1. 表示名 を入力します。
  2. 組織の要件に基づいて、他のポリシー設定を構成します。
3. パッケージ セクションでmacOSクライアントパッケージを追加します。
保存をクリックします。プロファイルは、クライアントを macOS デバイスに配布する準備が整いました。

既知の制限

MDMでクライアントをアップグレードすると、システム拡張とVPN設定のインストールの許可を要求するポップアップが表示されることがあります。

この問題を防ぐには、まずDMG拡張とVPNペイロードの許可を配布し、次にクライアントをmacOSホストに配布します。

sample_profile.mobileconfig3 KB
EULASuppress.mobileconfig2 KB