MDMを使用したmacOSクライアントの展開とアップグレード

この記事では、アカウント内のSDPユーザーのためにmacOSクライアントを展開および更新するためのMDM（モバイルデバイス管理）の設定方法について説明します。

この機能はmacOSクライアントv5.0以降でサポートされています。

概要

macOSクライアントv5.0から、組織内のmacOSクライアントの展開と更新を管理するために、MDMを使用するようにCato管理アプリケーションを設定できます。すべてのクライアント更新はMDMを使用して制御され、エンドユーザーに新しいクライアントバージョンの通知が届きません。

macOSクライアントの管理された展開とアップグレードの高レベルワークフロー

これは、アカウント内のmacOSクライアントに対してMDMソリューションを実装するためのワークフローの概要です。

ナビゲーションメニューから、アクセス > クライアント展開をクリックします。
クライアントアップグレードポリシータブをクリックします。
macOSクライアントに対して、管理者を選択します。
macOSパッケージをインポートします。
エンドユーザーのためにDMG拡張とVPNプロファイルを許可するポリシーを作成するようにMDMを設定します。

そうでない場合、エンドユーザーはmacOSで上記のアイテムを手動で承認し許可する必要があります。
MDMで、macOSクライアントの新しいバージョンをアカウント内のエンドユーザーに配布します。

macOSパッケージのインポート

アカウント内でmacOSクライアントのマネージドアップグレードを使用するには、まずMDMにパッケージをインポートする必要があります。

macOSパッケージをインポートするためのJAMFのサンプル手順

ナビゲーションメニューから、設定 > コンピュータ管理を選択します。
パッケージを選択し、新規作成をクリックします。
表示名を入力します。
ファイルを選択をクリックし、macOSクライアントパッケージを選択します。
保存をクリックしてください。

macOSクライアントパッケージはJAMFにインポートされます。

MDMを使用してクライアントのためのmacOS権限を自動的に許可

macOSクライアントv5.0から、macOSホストにクライアントをインストールするために次の権限が必要です：

CatoクライアントがVPNプロファイルを作成できるようにします
Catoクライアントのシステム拡張を許可します

新しいクライアントバージョンのインストールプロセスの一部として、これらの権限をエンドユーザーに自動的に許可するようにMDMを設定できます。そうでない場合、ユーザーはインストールプロセスの一部としてmacOSの設定を手動で構成する必要があります。

VPNプロファイルの権限を許可

MDMで、macOSを自動的に設定してCatoクライアントVPNプロファイルの権限を許可する設定を含むVPNペイロードを作成します。クライアントがインストールされると、VPNプロフィールの権限が正しく設定され、macOSはエンドユーザーに手動で構成を要求しません。

設定	値
接続名	Cato Networks VPN
接続タイプ	カスタムSSL (ドロップダウンメニューから)
識別子	com.catonetworks.mac.CatoClient
サーバー	vpn.catonetworks.net
アカウント	CatoClientVPN
プロバイダーバンドル識別子	com.catonetworks.mac.CatoClient.CatoClientSysExtension
ユーザー認証	パスワードオプションを選択します。 VPNで全てのトラフィックを送信オプションをクリアします。
プロバイダータイプ	パケットトンネル
プロバイダー指定の要件	anchor apple generic and identifier "com.catonetworks.mac.CatoClient" and (certificate leaf[field.1.2.840.113635.100.6.1.9] /* exists / or certificate 1[field.1.2.840.113635.100.6.2.6] / exists / and certificate leaf[field.1.2.840.113635.100.6.1.13] / exists */ and certificate leaf[subject.OU] = CKGSB8CH43)

VPN設定の権限を設定するためのJAMFサンプル手順

新しいプロファイルを作成し、そのプロファイルのVPN設定を構成します。

Create the profile for the macOS Client:
1. ナビゲーションペインから、コンピュータ > 設定プロファイル を選択します。
2. 新規作成 をクリックして、Catoクライアントの新しいプロファイルを作成します。
プロファイルのVPN権限を許可するためにVPN 設定を編集します（上記のテーブルのデータに基づく）：
1. 構成プロファイル で、前のステップで作成したプロファイルを編集し、VPN を選択します。
2. VPNの種類、接続タイプ、識別子、サーバー、アカウント、およびプロバイダバンドル識別子の設定を入力します。
3. ユーザー認証、プロバイダー種類とプロバイダー指定の要件の設定を構成します。

システム拡張を許可

MDMで、macOSクライアントが使用するシステム拡張を許可するポリシーを設定してください。クライアントがインストールされると、システム拡張の権限が正しく設定され、macOSはエンドユーザーに手動で構成を要求しません。

設定	値
表示名	CatoClientシステム拡張
システム拡張の種類	許可されたシステム拡張
チーム識別子	CKGSB8CH43
許可されたシステム拡張	com.catonetworks.mac.CatoClient com.catonetworks.mac.CatoClient.CatoClientSysExtension

システム拡張の権限を設定するためのサンプルJAMF手順

システム拡張の設定を編集して、上記テーブルのデータに基づいてプロファイルのシステム権限を許可してください。

ユーザーがシステム拡張を承認することを許可を選択します。
表示名を入力します。
システム拡張の種類を選択します。
チーム識別子を入力します。
承認済みシステム拡張の値が正しいことを確認してください。
macOSクライアントプロファイルへの変更を保存します。

Distributing the macOS Client

MDMで、Cato VPNプロファイルを受信しているユーザーとグループを選択します。次に、macOSパッケージを含む新しいポリシーを作成し、そのポリシーをユーザーにプッシュします。

デプロイ中にEULA画面を非表示にする

macOS v5.10.6から、EULA画面を非表示にするサイレントインストールをデプロイできます。

デプロイ中にEULA画面を非表示にするには:

テキストエディタでプロファイルファイルを開きます。
ファイルのPayloadContentセクション内のmcx_preference_settingsで、以下を含めます:
```
<dict>
      <key>suppressEULAScreen</key>
      <integer>1</integer>
</dict>
```
ファイルを保存します。

JAMF用のサンプルプロファイルがこのドキュメントに添付されています。

Sample JAMF Procedure to Distribute the macOS Client

コンピュータ > 設定プロファイルで、Cato VPNプロファイルを受け取るグループまたは特定のユーザーを選択してください。
新しいポリシーを作成し、それにmacOSパッケージを追加します。
1. コンピュータ > ポリシーで、新しいポリシーを作成します。
2. 一般セクションから、これらの設定を構成します：
  1. 表示名を入力します
  2. 組織の要件に基づいてその他のポリシー設定を構成します。
3. パッケージセクションで、macOSクライアントパッケージを追加します。
保存をクリックしてください。プロファイルはmacOSデバイスにクライアントを配布する準備ができています。

既知の制限

MDMでクライアントをアップグレードすると、システム拡張とVPN構成のインストールを許可するための権限を求めるポップアップが表示されることがあります。

この問題を防ぐには、まずDMG拡張機能とVPNペイロードの権限を配布し、次にmacOSホストにクライアントを配布します。

sample_profile.mobileconfig3 KB
EULASuppress.mobileconfig2 KB