クローニングはもう古い? 〜プロビジョニングによる新しいMac教室の管理方法 | Edu at Mitani    
2021/11/24

クローニングはもう古い? 〜プロビジョニングによる新しいMac教室の管理方法

 

クローニングができない!?

Mac教室の管理 できてますか??

昨今Apple社では、macOSのシステムボリュームを保護するための機能を次々にリリースしています。
古くはSIP(System Integrity Protection)※1 にて、ルートユーザが実行できる操作を制約
macOS Catalina からは、システムボリュームが読み取り専用※2 となり、データ領域とボリュームが切り離されました。
またmacOS Big Surでは署名済みシステムボリューム※3 により、システムボリュームの改ざんを抑止する機能が搭載されました。

その他にも
・ファームウェアアップデートがmacOSアップデートに含まれるようになった
・macOSアップデートの入手がソフトウェア・アップデートからのみとなった
  (サポートページからのダウンロードが提供されなくなった)
・システム機能拡張の追加にユーザー承認が必要
といったシステムを未知の脅威から保護するための機能が搭載されてきています。

その兼ね合いもあり、これまでMac教室などで幅広く利用されていたシステムイメージの複製による端末キッティングが難しくなってきている実情があります。

今後、特に学校の教室管理社様においては、Mac教室の管理において

 クローニングができない

前提の元、新しい管理方法を模索いただく必要が出てきます。

※1 https://support.apple.com/ja-jp/HT204899
※2 https://support.apple.com/ja-jp/HT210650
※3 https://support.apple.com/ja-jp/guide/security/secd698747c9/web

プロビジョニングとは

クローニングに変わる端末キッティング方法で確実なのは
●1台1台セットアップする
です。
●システムボリュームはそれぞれのMacにインストールがされた状態に、追加の設定を個々に行う
といった手法なので、確実にセットアップを終えることはできます。
ただし、複数台とくにMac教室など数十、数百の単位で管理を行う必要がある環境では現実的ではありません。

そこで注目されるのが
●プロビジョニング
による端末展開です。
最近では、Windowsの展開やクラウド上のリソースの展開としてよく利用されているプロビジョニングという用語ですが
簡単にいうと
●あらかじめ準備しておいた設定情報を各端末に適用する
という展開手法になります。

各端末ごとに設定情報を適用するため、クローニングに頼ることなく
尚且つ、同じ設定をすべての端末に流し込むことができるため、
今後のMac教室の管理にふさわしい手法といえるでしょう。

 

MDMによるMacのプロビジョニング

Apple製品のプロビジョニング管理といえば、真っ先にMDM(モバイルデバイス管理)が浮かびます。
iPadの分野でいえば、直近ではGIGAスクール構想でキッティング及び管理ツールとして多数導入されています。

Macにおいても、MDMを利用することで、アプリのインストールや構成プロファイルによるポリシーによるmacOSの制御が可能です。

ただし、iPadとMacの管理で大きく異なる点があります。

1. アプリケーションのインストール方式
iPadは基本的にApp Storeを利用してアプリをインストールします。
MDMではApp Storeアプリの管理配布に対応しており、問題なく利用が可能です。
MacはApp Storeの他、パッケージ形式のインストーラ、appファイルをコピーする形式などのインストール方法があります。
教室利用では様々なアプリをインストールするので、少なくともこれらのインストールが可能である必要があるでしょう。

2. OSの設定
構成プロファイルにてmacOSの一部制御が可能ですが、
iPadOSに比べてmacOSでは、構成プロファイルで制御できない設定も多数あるためスクリプトや設定ファイルのコピーなどで補完する必要がでてきます。

教室管理でMDMを選択する場合は、少なくとも
●アプリインストールの汎用性
●スクリプトまたはコマンドの実行
●リソースファイルのコピー
の機能が搭載された製品を選択する必要があります。

MDMを利用したMac教室の導入イメージ

それでは、MDMを利用したMac教室の導入をイメージしていきましょう。

まずMDMへの登録ですが、MacもiPad同様、自動デバイス登録(ADE)※4 に対応しています。
Mac調達時にADE対応の販売店から購入することで利用が可能です。

ADEの機能を利用することで、初期アクティベーション時にMDMに自動的に登録することが可能になります。
さらにAuto Advance※5 の機能が利用可能であれば、電源を入れるだけでMDMに自動登録することができます。

MDMに登録されたあとは、事前に準備していたプロビジョニング設定に従い、アプリのインストール、スクリプトの実行、構成プロファイルのインストール などが行われます。
ActiveDirectoryへのバインドも構成プロファイルなどでできるため、よくある大学などのユーザ認証環境下での設定もシームレスに可能です。

ご利用の環境次第では、これらの機能のみで、すぐに利用ができる設定にすることが可能です。

導入時の注意点としては、

1. コンテンツキャッシュ※6 を準備する
App Storeのアプリやソフトウェアアップデートなどのデータはすべてインターネット経由で入手します。
データ量はインターネットの帯域によっては、キッティングがなかなか完了しないケースも出てきます。
コンテンツキャッシュを導入することで、これらのデータをローカルネットワーク上にあるキャッシュサーバに取得する設定が可能となり、キッティングの短縮につながります。

2. インストーラの配置場所
App Storeアプリ以外のアプリをインストールする場合、コンテンツキャッシュでのキャッシュ機能を利用することはできません。
そのため、インストーラの配置場所によっては、キッティングに時間を要することになります。
インストールするアプリの数やインストーラのデータ量によっては、インストーラの配置場所をローカルネットワーク上に指定できる機能を搭載したMDMを選択することを推奨します。

※4 https://support.apple.com/ja-jp/HT204142
※5 https://support.apple.com/ja-jp/guide/deployment/dep23db2037d/1/web/1.0#dep5f6edbfd0
※6 https://support.apple.com/ja-jp/guide/mac-help/mchl9388ba1b/mac

MDMはMac教室の管理ソリューションになりうるか

ここまでの内容を加味する限り、環境さえマッチすればMDMはMac教室の管理ソリューションになりうると思われます。

ただし、MDMは、元々の設計が
●サーバが常に準備している状態で、デバイスが自ら設定情報を取りにいく
といった構想になっているため、以下のような条件のプロビジョニングを不得手としています。

1.タスクを順番に適用する
2.指定したタイミングで適用する
3.大容量のアプリをインストールする

例えば、アプリケーションによっては、
 アプリAをインストール後に、拡張機能Bをインストールする
といった順番が重要な設定が存在します。
基本的にMDMではタスクの順番を指定することはできないため、手動で複数のタスクを実行する必要がでてきます。

教室環境ではDeep Freezeといった、再起動後にシステムの状態を元に戻す機能を要した「環境復元ソフト」が採用されるケースが多々あります。

このような環境では、
1.環境復元機能をオフにする
2.アプリを更新する
3.環境復元機能をオンにする
といった順番で適用する必要があります。

アプリの更新が複数に渡る場合、1の設定後に複数のタスクを手動で実行する必要があります。

また、アプリインストール時はインターネット上もしくはローカルネットワーク上のサーバからクライアントが個々にインストーラをダウンロードします。 Adobe CCのように数十GBのインストーラの実行が必要なケースでは、ダウンロードが完了するまでに数時間を要することも考えられます。

このような環境の場合は、
●タスクの順番を容易に変更ができる
●管理側のタイミングで設定変更ができる
●ネットワーク負荷を軽減できる
といったツールを採用する必要があります。

Mac専用プロビジョニングツールM2DeployTools

三谷商事が開発したMac専用プロビジョニングツール「M2DeployTools」を利用すれば、これらの課題が一気に解決します。

M2DeployTools(以下M2D)とは、アプリケーションインストールやシェルスクリプトといった複数のタスクを1つのパッケージとして一度に実行できるようにするプロビジョニングツールです。

通常であれば、

1. アプリAをインストール
2. アプリBをインストール
3. シェルスクリプトCを実行
・・・

といった処理を順番に実行する必要がありますが、M2Dを利用することで

1. アプリA〜シェルスクリプトC,・・・のタスクを含んだM2Dパッケージを作成
2. 該当端末にM2Dパッケージをインストール

を実行するだけで、複数のタスクを適用することが可能です。

タスクの順番も簡単な操作で変更ができ、タスクごとに再起動の指定もできます。

シェルスクリプトの実行機能や、リソースコピーの機能を組み合わせることで、macOSの設定や様々なアプリケーションの設定も可能です。

端末展開時のコンピュータ名の変更やActiveDirectoryのバインド設定も標準で搭載しているためMac教室展開にうってつけのアプリケーションです。

また、パッケージ形式のインストーラとなるため、Apple Remote Desktop(以下ARD)※7 を利用することで複数台の端末に、マルチキャストでパッケージを配布することが可能なため大容量のインストーラが含まれている場合でも、短時間で展開を終えることができます。

※7 https://support.apple.com/ja-jp/guide/remote-desktop/welcome/mac

M2DはMac教室の管理ソリューションになりうるか

M2DはARDとの相性も抜群のため、大量のMac端末に様々なタスクを同一に適用する環境において最適解の一つと言えるでしょう。

ただし、MDMの機能は要していないため
●App Storeアプリの管理配布
●構成プロファイルの適用
が必要という環境下では、M2D単一で解決できるとは言い難いです。

そのため、MDMのこれらの機能も必要となる場合は
●MDM+M2D on ARD によるハイブリッドでの教室管理
が最適解となります。

また、スクリプトの実行などに対応していないMDMでも、パッケージのインストールにさえ適応していればM2Dを利用して様々な設定が可能になります。

MDM単体、M2D on ARD、MDM+M2D on ARD 機能比較マトリクス

すべての設定を自動化できるのか

MDMやM2Dを導入することで全ての設定を自動化できるのか
答えは 否 です。

アプリケーションによっては、ユーザーによる操作が必須となるケースがあります。
M2Dではそのようなケースにおいて、設定し忘れを防止するため「手動設定タスク」機能を用意しています。

「手動設定タスク」機能は、
・ログインウインドウにテキストを表示する
・ログイン後にポップアップでテキストを表示する
ことができるため、ユーザーによる操作が必要となる設定においてナビゲーション機能として利用することが可能です。

まとめ

ここまで、クローニングに変わる新しい管理方法としてMDM、M2Dを利用したプロビジョニングによる端末の展開手法を紹介しました。

三谷商事では、これらの技術を利用し、お客様の環境に最も適したソリューションをご提案することが可能です。
Mac管理でお困りの管理者様、まずは三谷商事にご相談ください。

お問い合わせはこちら

本コラムに関するお問い合わせはこちらからよろしくお願いいたします。

  

M2DeployToolsの資料ダウンロードはこちら

M2DeployToolsとはいったい何なのか、何ができるのかなど、Macの導入と管理のポイントをまとめた資料がダウンロードできます。

Back Number

ADE(旧DEP)とは?

ADE(旧DEP)とは?

  iPadを組織で管理するためには、様々な方法があります。その中でも、Automated Device Enrollment(以下ADE)(旧:Device Enrollment Program)は、よく聞く管理方法だと思

Google Meet運用術 ~会議の開催を特定ユーザーに制限する方法~

Google Meet運用術 ~会議の開催を特定ユーザーに制限する方法~

  今回のコラムでは、Chromebookを利用されている自治体や学校関係者の方向けに、Google Meetの運用術をご紹介いたします。 Google Meetの利便性と不安要素 Google Work

Pythonプログラミング教育を実際にやってみて見えたもの/昭和学院中学校・高等学校 教諭(理科・情報)博士(工学) 榎本裕介

Pythonプログラミング教育を実際にやってみて見えたもの/昭和学院中学校・高等学校 教諭(理科・情報)博士(工学) 榎本裕介

  【連載】榎本裕介の "教育×Google Workspace" 最前線 Google Workspaceを教育現場の最前線で活用されている昭和学院中学校・高等学校 教諭(理科・情報)博士(工学)榎本裕介先生にお話を