MDMプロファイルの削除を禁止する設定をしていない場合（自動デバイス登録以外のMacを使用している場合）、端末利用者が管理者権限を保持しているとMDMプロファイルの削除をすることができます。
また、何らかの理由でMDM プロファイルが消えてしまう現象が起きることもあります。

MDM プロファイルが削除されたり、消えたりする現象は、デバイス管理担当から見ると、非常に厄介な問題で、MDMのシステム的な表示は「Managed」となっているにも関わらず MDMによる管理ができない状態になっています。

この状態を簡単に、早く検知する方法をお伝えしたいと思います。
今回は、とにかく簡単にやることを意識してプログラムなし・設定のみで実施する方法をご紹介しようと思います。

1. 前提条件

MDMに Jamf Pro を使用していること

2. 必要な準備

2-1. スマートコンピュータグループ

添付の設定でMDMプロファイルが削除された端末を特定するグループを作成します

2-2. SMTPサーバ設定

今回はメールで通知することにします。
使用しているサービスは会社によってまちまちだと思いますが、主要な２つのサービスでの設定のリンクを掲載しておきます。

Gmailを使用している場合

送付先が社内のみであれば、「制限付き Gmail SMTP サーバーを使用してメールを送信する」の設定で送信可能です。

o365メールを使用している場合

組織内のユーザにのみ送信する場合は、オプション2の直接送信の方法も採用可能です。

2-3. アカウントの通知設定

まず、［設定］＞[システム]タブ＞ユーザアカウントおよびグループから、通知メールを受信したいメールアドレスを持つユーザアカウントを作成してください。

作成例

作業で使用しない場合は、権限セットを「カスタム」に設定して権限を付与しない状態で結構です。

＜注意＞
SSO設定をしている場合、通知設定を行うためのログインができるよう、一時的に
[権限]タブ＞ [Jamf Pro サーバ設定] の Sso Settings の更新権限を付与してください。設定終了後は権限剥奪して問題ありません。

アカウント作成後、作成したアカウントでJamf Proへログインし、画面右上の人型マーク > [通知] を選択してEMAIL通知の設定を実施します。

この設定によって、
2-1で設定した「メンバーシップの変更に関するEメール通知を送信」の通知が対象アカウントのメールアドレスに届くようになります。

3. 動作確認

ためしに Macの[システム設定] > [プライバシーとセキュリティ] > [その他] ＞ [プロファイル] から MDM Profileを削除すると・・・

「MDMプロファイルなし」のグループに端末が追加された旨のメールが届きます。

この通知はスマートグループのメンバーが変わった時に送信されるため、再登録した場合も以下のように「MDMプロファイルなし」のグループから端末が削除された（MDMプロファイルがインストールされた）旨のメールが来ます。

通知がたくさん来て鬱陶しいかもしれませんが、 2年毎に自動更新される「MDM Profile」の更新時は上記の2通がセットで届きます。
そのため、正常に「MDM Profile」が更新されたかの確認も可能です。

４. おまけ

メールをSlackに転送する場合はこのあたりのサイトが参考になります。

端末の再登録を行う際はこちらも参考にしてください。

＜参照箇所＞
・自動デバイス登録の場合は「1. 管理外にしてからユーザによる登録（User Initiated Enrollment ・ Webエンロール）」

・自動デバイス登録の場合は「2. 管理外にしてからTerminalからprofilesコマンドで再登録」

おわりに

ちょうどMacOSの新OSの発表などあってお客様もお忙しい中、立て続けにプロファイルのインストールができない（原因はMDMプロファイルが消えていたため）というお問い合わせが寄せられたため、現象の検知をするための対応をまとめた次第です。

今回のまとめた内容は、他の内容（例えばデバイスコンプライアンスのコンプライアンスグループの監視等）にも応用可能な内容です。
それほど難しくなく実装可能なので、ぜひお試しください。

以上、 エンジニアの中峯が担当いたしました。

最後まで読んでいただき、ありがとうございました。