見出し画像

Ventura へのアップグレードの仕組み & Jamf Proで制限する方法(macOS Monterey端末用)

macOS Monterey 以前のOSアップグレードの仕組み

OSアップグレード(メジャーOSのアップデート)をするための方法は以下です。

  • システム環境設定>ソフトウェアアップデートからアップグレード

  • App Storeからインストーラをダウンロードし、インストール

  • コマンドラインを使用

  • (Jamf Pro使用の場合) リモートコマンドを送信など

いくつか方法はありますが、どの方法も新OSのインストーラアプリをダウンロードをしてインストーラを起動し実行します。

そのため、OSアップグレードしないようにするには、新OSのインストーラのプロセスを強制終了することで対応可能でした。
そのため、例えば Jamf Pro を使用している場合は、「制限付きソフトウエア」の機能を使用してプロセスを制限する対応のみでアップグレードを止めることができました。

macOS Ventura からアップグレードの仕組みが変わった。。

Monterey( macOS 12.3以降)からVenturaにアップグレードする仕組みが
変わり、システム環境設定のソフトウェアアップデート経由で、 アップグレード
する時に完全な新OSインストーラをダウンロードしたり、ユーザが管理者として認証する必要がなくなりました。
そのため、従来のOSアップグレードの制限方法(Jamf Proの制限付ソフトウェア)を使用しても制限ができなくなりました。

OSアップグレードの仕組み

MDMに登録している端末
管理体制下で macOS Monterey 12.6.1 へのアップデート配信を時間をかけて
進められるように、モバイルデバイス管理に登録されている監視対象の Mac
コンピュータに対しては、macOS Ventura 13.0 および 13.0.1 の新しい
アップグレードパスは無効になり、フルインストーラのパスのみが提供されます。新しいアップグレードパスは、macOS Ventura 13.1 以降に限り、監視対象の Mac コンピュータに提供されます。

技術文書:組織における macOS Ventura へのアップグレードを管理する

Jamf Pro で macOS Ventura へのアップグレード制限まだ可能?

制限することは可能ですが、制限する方法はOSによって異なっています。

① OSアップデート通知の延期設定(新OSアナウンス日から最大90日まで)
構成プロファイル→制限→Functionalityタブで「X のアップデートを<Only major software updates>Y 間延期する」を設定すると、通知の延期が
できます。

メジャーOSアップデート延長設定

ただ、macOS 12.3–12.6を搭載したコンピュータでは、OSのアップグレードがマイナーアップデートと同様に扱われる不具合があり、ユーザのプロンプトによりアップデートが行われてしまいます。
macOS 12.3–12.6を搭載したコンピュータで通知の延期をするには、
構成プロファイル→制限→Functionalityタブで「X のアップデートを<Software Updates>Y 間延期する」に加えて、「メジャーソフトウェアアップデートを
含む」
という項目のチェックを入れます。
または、macOS 12.6.1 以上へOSアップデートします。

重要:
macOS 12.3–12.6を搭載したコンピュータでは、延期がメジャーソフトウェア
アップグレードに対してのみ構成されている場合、macOS 13へのメジャーアップグレードが誤ってユーザによって、インストールおよびアップグレードされてしまう可能性があります。

技術文書:Jamf Pro を使用して macOS のアップグレードとアップデートを展開
macOS 12.3–12.6 にマイナーOSアップデート含める延長設定
<スコープは、macOS 12.3–12.6を搭載したコンピュータグループ>

② OSアップグレードを制限
macOS 12.3より前のOSを搭載したコンピュータや、新OSのインストーラを
ダウンロードして
アップグレードする際は、OSインストーラーのプロセスが実行されるため、Jamf Proの「制限付きソフトウェア」で Ventura のインストーラ(Install macOS Ventura.app)をプロセス名に設定することで制限ができます。

MacOS Venturaプロセスを制限する設定

macOS 12.3以降を搭載したコンピュータでOSアップグレードをする際、
システム環境設定のソフトウェアアップデート経由で実施すると、OSインストーラのプロセスが起動しないため、Jamf Pro の「制限付きソフトウエア」で
アップグレードを制限することができません。
そのため、ソフトウエアアップデートによるアップグレードを実施されないよう、構成プロファイルで以下設定を展開します。

① ソフトウェアアップデートへアクセスができないように設定
 → [制限] ペイロード:PreferencesタブでSoftware Updateを無効にする

② OSアップデートを自動的に実施しないように設定
 → [ソフトウェアアップデート] ペイロード:以下のチェックを外す
  ・macOS アップデートを自動的にインストールします
  ・アップデートを自動的に確認します
 ※スコープは、MacOS 12.3 - 12.6.5 を搭載したコンピュータグループを指定
 ※ソフトウェアアップデートを自動でインストールを制限するので、
  OSアップデートをする場合、Jamf のリモートコマンドで送信
  または、構成プロファイルのスコープから外してください。

①ソフトウェアアップデートへアクセスができないように設定
② OSアップデートを自動的に実施しないように設定

まとめ

macOS Ventura へのアップグレード制限は、macOS のバージョンごとに
以下3パターンに整理することができます。

macOS Venturaへのアップグレード制限設定

ここまでアップグレード制限についてまとめましたが。。。

基本的にはアップグレードの制限はお勧めしません。
業務要件やセキュリティソフトの互換の問題など、避けられない問題がある場合のみ制限を実施してください。
セキュリティの観点からも macOS Ventura へアップグレードをお勧めします。

以上、 今回はエンジニアのナトニチャが担当いたしました。
最後まで読んでいただき、ありがとうございました。


新しい記事の情報をツイッターで報告しておりますので是非@magichat2011もフォローして下さい!