Techtouch Developers Blog

テックタッチ株式会社の開発チームによるテックブログです

Microsoft Intune で Mac を管理するときに躓いたこと

あいさつ

こんにちは、CSE(Customer Success Engineer) の kacchan です。先日、大学時代からファンであるプロのジャズギタリストからレッスンを受けたこともあり、毎週末とりあえずギターをさわるようになってきました。アドリブをいいかんじで取れるように練習するぞ!

さて、半年くらい前にはなるのですが社内へ Microsoft Intune 導入を進めました。そのときに Mac 関係で躓いたことがあったのですが、あまりインターネット上に情報がなかったので紹介します。

Mac のパスワードポリシーを変更すると必ずローカルユーザーのパスワードを変更する必要がある

結論から述べると、以下の macOS の仕様があるためです。

パスワード ポリシーが更新されるたびに、これらの macOS バージョンを実行しているすべてのユーザーは、現在のパスワードが新しい要件に準拠している場合でも、パスワードを変更する必要があります。

Microsoft Intuneの macOS デバイス設定 | Microsoft Learn

躓いたポイントは「ポリシー適用したら今まで使っていたパスワードが使えなくなった!」でした。 同じ事象に悩まれている方のために、ここから上記の情報にたどり着くまでの経緯を少し書いておきます。

Mac にパスワード制約(桁数制限を入れただけの単純なもの)をかけるために検証用のポリシーを作成・適用したら、今まで使っていたパスワードが使えなくなりました。

Mac 組み込みのパスワードマネージャーは今までのパスワードで利用可能(つまりパスワードは合っている)なのに、ファイアウォール設定など強い権限が必要な設定変更だとパスワードが通らない、という現象でした。

一度 Mac をロック状態にしたら2度と開けないかも、、、と一瞬思いましたが、ローカルユーザーのパスワード変更はちゃんと今まで設定していたパスワードを”古いパスワード”として認識してくれたので助かりました。とりあえずパスワードを変更すれば良かったです。

その後パスワードポリシーの検証を進めてわかったことは以下の通りです。

  • パスワード関連のポリシーを適用すると必ずローカルユーザーのパスワード変更が必要になる
  • パスワード関連のポリシーを外した際も同様にパスワード変更が必要になる

ここからいろいろとググったもののなかなか答えにたどり着けず、結局 Microsoft のサポートへ問い合わせました。

Mac へブラウザ拡張機能を配布するにはplistを配布する

Mac 端末 × Google Chrome × Intune では、以下のような設定で実現できました。(Windows 環境ではいろいろ情報は出てきますが、Mac は少なかった。。。)

  1. macOS で環境設定用のプロパティを記載するplistファイルを作成します。今回の例では ExtensionInstallForcelist へ設定します。(ブラウザ拡張機能管理用の別のポリシーを設定できます。)

     <key>ExtensionInstallForcelist</key>
     <array>
         <string>(インストールしたい拡張機能のIDを記載)</string>
     </array>
    
  2. Intune でデバイス構成プロファイルを作成します。デバイス > macOS > 構成プロファイル から「プロファイルの作成」をクリックします。プロファイルの種類 はテンプレートを選択し、テンプレート名は設定ファイルを選択し作成します。

  3. 構成プロファイルに plist ファイルを設定します。優先ドメイン名 にはcom.google.Chromeと入力、プロパティファイルリスト には作成したplistファイルをアップロードします。

おわりに

社内で Intune 導入を進めたときに調査・検証したことの紹介でした。Mac 端末については Intune で管理するのはまれかと思いますが、ご紹介した内容は他の MDM 製品でも読み替えることは可能かなと思います。

もし同様の事象で悩んでいる方がいたら、参考にしていただけると嬉しいです!