Oligur

• ニュース

3年前のSnow Leopard Serverのリリース以来、Appleは自社のサーバープラットフォームを大規模エンタープライズへの導入から遠ざけてきました。代わりにAppleは、中小企業市場のニーズだけでなく、大規模組織におけるApple中心の部門やワークグループのニーズにも対応できるよう、OS X Serverを再設計しました。Mountain Lion Serverをダウンロードしてインストールしたり、Appleが提供するMountain Lion Serverのドキュメントを読めば、その重点は非常に明確です。

Appleが昨年夏にリリースしたLionとLion Serverで開始した移行の一つは、10年以上前にプラットフォームを立ち上げて以来、OS X Serverで提供してきた従来のMac管理アーキテクチャからの脱却でした。Appleはその代わりに、iOSで利用可能なモバイル管理機能に非常によく似たMac管理システムを構築しました。

Appleは、Macのシステム管理者やその他のITプロフェッショナルを完全に見捨てたわけではありません。同社は、ユーザーアカウント、グループ、そしてMacワークステーションの作成と管理に従来から使用されているツールであるWorkgroup ManagerのMountain Lion対応版をひっそりとリリースしました。さらに重要なのは、「Managed Preference（管理環境設定）」と呼ばれるMacクライアントとユーザー管理システムが、AppleのOpen Directoryアーキテクチャ（Windows ServerのActive Directoryに相当するMac版）の一部として、Mountain LionとMountain Lion Serverでも引き続き利用できることです。

つまり、Mountain Lion Serverは、長年OS XおよびOS X Serverに搭載されてきたユーザーおよびクライアント管理機能をすべて引き続き提供できるということです。これは重要な点です。Appleが導入を進めている新しい構成プロファイルシステムは、LionまたはMountain Lionを搭載したMacの管理にしか使用できないためです。Snow Leopardやそれ以前のOS Xリリースを搭載したMacは、構成プロファイルを使用して効果的に管理できません。

ワークグループマネージャと管理対象環境設定を使用するオプションは、Appleのドキュメントでは予想外でしたが、長年Macシステム管理者を務めてきた人にとっては、余裕が生まれるでしょう。Mountain Lionに完全移行する組織であっても、既存の管理対象環境設定から構成プロファイルへの移行には、計画、テスト、そして実際にアーキテクチャ間の切り替えを行う必要があります。

しかし、Mountain Lion版のワークグループマネージャをざっと見てみると、これが一時的な対策であることは明らかです。ワークグループマネージャは、昨年夏のLionリリースから実質的に何も更新されていません。このツールがいかに古くなったかを示すように、AppleがMac OS 9アプリ用に作成したClassic環境をOS Xで管理するオプションがまだ残っています。この機能は、Intel Macへの移行とLeopardのリリースでAppleによって廃止されました。

管理された設定と構成プロファイル

従来の管理対象設定と構成プロファイルの違いは何でしょうか？実のところ、この2つのアプローチは非常に似ています。どちらもXMLデータを使用して、システムやアプリケーションの設定、セキュリティ要件、ユーザーアクセス制限、組織内のネットワークリソースなどを定義します。

Mountain Lion Serverで動作するワークグループマネージャとプロファイルマネージャを見ると、両方のツールが同じ管理オプションとXMLデータで動作していることがわかります。プロファイルマネージャのMac管理オプションのほとんどはワークグループマネージャの管理オプションと完全に一致していますが、一部は異なるカテゴリにグループ化されています。どちらのツールにも、アプリケーションの環境設定に基づいてカスタムXMLデータを定義することで、任意のアプリケーション（Apple製またはサードパーティ製）を設定および管理するオプションが含まれています。

両者の実際の違いは、管理データが Mac クライアントに伝達され、保存される方法にあります。

管理された環境設定は、管理者が定義した様々な設定を Open Directory（または、冒険心があり、Active Directory スキーマの変更や拡張に抵抗がない場合は Active Directory）内のレコードに保存します。これらの設定は、ユーザ、グループ、コンピュータ、およびコンピュータグループのレコードに保存できます。Mac が Open Directory ドメインに参加すると、Mac は、その Mac に適用されるコンピュータまたはコンピュータグループの設定を読み込んで適用します。ユーザがその Mac にログインすると、ユーザのアカウントで定義されている設定に加え、ユーザのグループメンバーシップと関連設定も読み込んで適用します。

構成プロファイルの動作は少し異なります。各プロファイルには、1つ以上の管理対象設定またはアクセス制限が含まれます。プロファイルは、.mobileconfig 拡張子を持つXMLファイルとして保存されます。LionまたはMountain Lion搭載のMacでプロファイルを開くと、プロファイルをインストールするオプションが表示されます。インストールされると、Macはプロファイル内のデータを読み取って適用します。プロファイルは、システム環境設定の「プロファイル」パネルから手動で管理できます。プロファイルがインストールされている場合は、そこから表示されます。iOSデバイスと同様に、Macの構成プロファイルは、メール、Webサイトへの投稿、またはMacへの手動コピーで配布できます。

プロファイルが確実にインストールされ、ユーザーによる無効化を防止するには、より積極的なメカニズムが必要です。iOSと同様に、AppleはMountain Lion Serverのプロファイルマネージャなどのモバイル管理ツールの使用をサポートしており、この課題に対処しています。こうした管理ツールを使用すると、複数の構成プロファイルを作成・管理し、デバイスを登録し、管理対象のMacに変更をプッシュすることができます。

サードパーティツール

AppleのManaged Preferenceアーキテクチャにプラグインすることで、OS X Serverやワークグループマネージャと同様のMac管理機能を提供するサードパーティ製ソリューションが市場にいくつか存在します。これらのソリューションは、Windowsが主流の組織にMac管理機能を追加し、大量導入ツールを含む幅広いエンタープライズ向け機能を提供します。こうした製品には、CentrifyのDirectControl for Mac、ThursbyのADmit Mac、JAMFのCasper Suiteなどがあります。

最近、モバイル管理ツールを開発する企業がMac管理のサポートを発表しました。LionおよびMountain Lionの構成プロファイルは基本的にiOS構成プロファイルのバリエーションであるため、iPhoneやiPadをサポートするモバイル管理ベンダーがMacワークステーションの管理サポートを追加するのは比較的容易です。例えば、AirWatchはすでにMac管理をサポートしており、MobileIronも近い将来にMac管理機能を追加することを発表しました。

この新しいアプローチの利点の一つは、企業向け管理ソリューションのワンストップショッピングを促進することです。単一の製品と単一のインターフェースで、Mac、iPad、Androidスマートフォン、その他様々なデバイスやプラットフォームを一貫して管理できます。これにより、経費と管理業務が効率化されます。しかし、欠点としては、構成プロファイルがManaged Preferenceに比べて比較的新しいこと、そして古いMacや古いバージョンのOS Xを搭載しているMacがサポートされていないことが挙げられます。

今後の道

AppleがOS X ServerとMac管理に行っている変更は、結局のところプラスです。Apple製品に重点を置く中小企業にとって、Mountain Lion Serverは優れた、かつ非常に安価な選択肢となります。大企業にとっては、Mac、iPhone、iPad、その他のモバイルデバイスを簡単かつ効率的に管理するための選択肢がますます増えています。この移行は、一部の組織にとっては多少の違和感があるかもしれませんが、Managed Preferenceがこれまで提供してきたコア機能はそのままに、より柔軟で導入が容易になり、インフラの追加や変更も最小限で済むというメリットがあります。移行に伴う影響はあるものの、最終的にはApple、ビジネスユーザー、そしてMac ITプロフェッショナルにとって良い結果をもたらすでしょう。