Jamf Pro を使ったエンドポイントプロテクションのインストール
制限事項
ここにある手順は、macOS 11 Big Sur 以降がインストールされている Mac のみで使用できます。macOS 10.15 以前がインストールされている Mac では使用できません。これは、KEXT 認証の要件が変更されたことによります。詳細は、macOS のセキュリティパーミッションを参照してください。
エンドポイントプロテクションは、Jamf Pro を使って Mac にインストールできます。つまり、ソフォスの保護ソフトウェアをリモートでインストールできます。
ソフォスは、設定プロファイルを提供しています。プロファイルでは、設定に必要となる承認を指定されます。次が含まれます。
- フルディスクアクセス
- システム拡張機能
- 通知
これらの設定は、エンドポイントプロテクションが正しく機能するために必要です。
最新の macOS エンドポイントプロテクションのインストーラには、更新された設定プロファイルが含まれています。このプロファイルには、macOS 13 Ventura を実行している Mac で、Sophos Endpoint がユーザーによってオフにされることを防ぐために必要な設定が含まれています。
これらの手順は JAMF Pro 用ですが、MDM プロファイルとスクリプトは他の MDM ソリューションで動作します。
この情報は現時点で確認できている情報として提供され、Jamf Pro 10.40 を基にしてまとめたものです。特定の環境に関するサポートが必要な場合は、ソフォス プロフェッショナルサービスにお問い合わせください。
Jamf Pro を使ってエンドポイントプロテクションを Mac にインストールするには、次の手順を実行します。
- Sophos Central からインストーラをダウンロードします。SophosInstall のダウンロード URL もコピーする必要があります。
- インストーラから設定プロファイルとインストールスクリプトを保存します。
- 必要に応じて、Jamf Pro でコンピュータグループを設定します。
- Jamf Pro で、設定プロファイルを追加して割り当てます。
- Jamf Proで、スクリプトポリシーを作成して設定します。
- エンドポイントプロテクションがインストールされていることを確認します。
インストーラのダウンロード
Sophos Central にある macOS エンドポイントプロテクションのインストーラが必要です。SophosInstall の URL も必要です。これは、インストールスクリプトで使用するために必要です。
これには、次の手順を実行します。
- Sophos Central にサインインします。
- 「デバイス > インストーラ」に移動します。
-
「エンドポイントプロテクション」で、インストーラを選択します。
- 「macOS 用全機能のインストーラのダウンロード」をクリックして、ライセンスを購入したエンドポイント製品すべてを含むインストーラをダウンロードします。
-
「コンポーネントの選択…」をクリックして、インストーラに含める製品を選択します。
インストーラのダウンロードの詳細は、エンドポイントプロテクションを参照してください。
-
ダウンロード URL を保存します。これには、次の手順を実行します。
設定プロファイルとインストールスクリプトの保存
次に、インストーラの zip ファイルから、設定プロファイルとインストールスクリプトを保存する必要があります。
これには、次の手順を実行します。
- ダウンロードしたインストーラの zip ファイル、
SophosInstall.zip
を探します。 -
以下のファイルを展開します。
Sophos Endpoint.mobileconfig
Install Sophos Script.txt
-
これらのファイルを保存します。
コンピュータグループの設定
Jamf Pro を使ってグループを作成して、Mac を整理できます。これらのグループを使用して、エンドポイントプロテクションをリモートインストールできます。これを行うには、設定プロファイルとインストールスクリプトをグループに割り当てます。
ここでは、作業を開始するためにグループを作成する簡単な例を示します。
既にグループを設定済みの場合は、このセクションをスキップしてください。
- Jamf Pro にログインします。
- 「Computers」をクリックします。
-
「Static Computer Groups」をクリックします。
-
右側の「+ New」をクリックします。
これによって、新しいスタティックコンピュータグループが作成されます。
-
グループの「Display Name」を入力します。「Assignments」をクリックします。
-
エンドポイントプロテクションをインストールする Mac すべてを選択し、「Save」をクリックします。
これによって、新しいスタティックグループが作成されます。
-
「Static Computer Groups」に新しいグループが表示されることを確認します。
設定プロファイルの追加と割り当て
制限事項
この操作を行うには、グループが必要です。
次に、設定プロファイルを追加して割り当てる必要があります。これは、インストーラの zip ファイル、SophosInstall.zip
から保存したファイル、Sophos Endpoint.mobileconfig
です。
プロファイルの追加
プロファイルを追加するには、次の手順を実行します。
- Jamf Pro で、「Configuration Profiles」をクリックします。
- 「Upload」をクリックします。
-
「Choose File」をクリックして、
Sophos Endpoint.mobileconfig
を選択します。これは、ソフォスによって署名された設定プロファイルです。
-
「Upload」をクリックします。
- アップロードが完了したら、「Scope」をクリックします。
プロファイルの割り当て
次に、プロファイルを Mac に割り当てます。
これには、次の手順を実行します。
- 右側の「+ Add」をクリックします。
- 「Computer Groups」をクリックします。
-
グループを検索します。プロファイルを割り当てる各グループで、そのグループの右側にある「Add」をクリックします。
このスクリーンショットは、対象グループの例を示しています。
-
追加したグループは、リストから非表示になります。ページ下部の「Save」をクリックします。
-
左側のメニューで、「Configuration Profiles」をクリックします。
選択したグループに割り当てられた Sophos Endpoint の設定プロファイルが表示されるばずです。
スクリプトポリシーの作成と設定
制限事項
この操作を行うには、グループが必要です。
次に、ソフォスのインストールスクリプトを作成し、対象グループに割り当てる必要があります。先ほどダウンロードした Install Sophos Script.txt
ファイルを使用します。また、先ほどコピーしたインストーラのダウンロード URL も必要です。
ソフォスのインストーラスクリプトの作成
スクリプトを作成するには、次の手順を実行します。
-
Jamf Proで、右上にある「設定」アイコンをクリックします。
-
「Computer Management」をクリックします。
- 「Scripts」をクリックします。
- 「New」をクリックして、新しいスクリプトを追加します。
-
「Display Name」を入力します。
-
「Script」をクリックします。
- 「Mode」を「Shell/Bash」に設定します。
- 「Theme」を「Default」に設定します。
Install Sophos Script.txt
の内容をスクリプトのフィールドにコピーします。-
"put installer URL in these quotes"
を、先ほどコピーしたインストーラのダウンロード URL で置き換えます。 -
「保存」をクリックします。
コマンドラインオプションの詳細は、インストーラのコマンドラインオプション: Macを参照してください。
ポリシーの作成
次に、スクリプト用のポリシーを作成し、それにスクリプトを割り当てる必要があります。
これには、次の手順を実行します。
- 「Computers」をクリックします。
-
「Policies」をクリックします。
-
「新規作成」をクリックします。
- 「Display Name」を入力します。
-
ポリシーをアクティブにするイベントとして、「Recurring Check-in」を選択します。
-
「Scripts」をクリックします。
- 「Configure」をクリックします。
- 「Add」をクリックして、先ほど追加したスクリプトを選択します。
- 「Scope」をクリックして、展開の対象を追加します。
- 「Add」をクリックした後、「Computer Groups」をクリックします。
-
先ほど作成したグループを探して、右側にある「Add」をクリックします。
-
「保存」をクリックします。
ポリシーは、Jamf Pro が次回 Mac を検出したときに有効になります。これにより、エンドポイントプロテクションのインストールが Mac で実行されます。
エンドポイントプロテクションがインストールされていることの確認
Jamf Pro のログファイルをチェックして、ポリシーが有効化されていることを確認できます。また、Mac をチェックして、インストールが正常に完了したことを確認することもできます。
これには、次の手順を実行します。
- Jamf Pro で、「Computers」をクリックします。
- 「Policies」をクリックします。
- 先ほど作成したポリシーをクリックします。
-
ポリシーのログを確認します。グループには、次のいずれかのステータスが表示されます。
- Pending: スクリプトはまだ実行されておらず、インストールもまだ実行されていません。
- Completed: スクリプトは実行され、Mac にエンドポイントプロテクションがインストールされたはずです。
-
管理対象 Mac に Sophos Endpoint がインストールされていることを確認します。各 Mac で、次の項目を確認します。
- 「システム環境設定」で「プロファイル」を選択します。Jamf Pro で設定した設定プロファイルの名前が表示されるはずです。
- Sophos Endpoint で、「Endpoint Self Help Tool」を確認します。インストールや設定に関する問題はここに表示されるはずです。
パーミッションの問題の解決方法については macOS のセキュリティパーミッション を参照してください