Contents
Jamf Pro の概要とシステム要件
Jamf Pro は macOS、iOS、tvOS デバイスを統合的に管理できる MDM ソリューションです。2026 年版では クラウド型 と オンプレミス型 が選択可能であり、導入前にハードウェア・OS・ブラウザの要件を正確に把握しておくことが成功の鍵となります。本節では公式情報に基づいたサーバー要件と推奨ブラウザ、そしてインストール方式の概要を解説します。
対応サーバー環境
Jamf Pro が正式にサポートする OS とハードウェア構成は、Jamf の「Installation Guide」[^1] に記載されています。以下は 最小要件 と 推奨要件 をデバイス規模別に整理したものです。
- OS
-
Ubuntu 22.04 LTS(64 ビット)または RHEL 9.x(64 ビット)。※公式でサポートされている Linux ディストリビューション[^1]。
-
CPU
- 最小:4 コア(2.0 GHz 以上)
-
推奨:8 コア以上(デバイス数が 5,000 台を超える場合は 12 コアを検討)
-
メモリ
- 1,000 台未満の管理対象端末 → 16 GB 以上
-
1,000 台以上 → 32 GB 以上(データベースキャッシュとバックアップ処理の安定性確保)
-
ストレージ
- SSD 200 GB 以上、RAID 1 または RAID 10 推奨。ログ・スナップショット保存用に余裕を持たせることが重要です。
根拠:Jamf の「System Requirements」ページでは、PostgreSQL と内部キャッシュの負荷から上記構成が推奨されています[^1]。
ブラウザ要件
Jamf Pro コンソールはモダンな Web 標準に依存しており、以下のブラウザと TLS バージョンが必須です(Jamf Release Notes 2025‑Q4)[^2]。
- Google Chrome(最新版)
- Microsoft Edge(Chromium ベース、最新版)
- Safari(macOS 14 以降の最新版)
Internet Explorer はサポート対象外 と明記されており、TLS 1.3 が利用できない環境でも TLS 1.2 以上が必須です。したがって、組織内のプロキシやロードバランサが TLS 1.2+ を許可していることを事前に確認してください。
インストール方式の比較
Jamf Pro の導入は大きく分けて クラウド型 と オンプレミス型(Docker コンテナ) の 2 パターンがあります。以下の表は主要な作業項目と所要時間の概算です。
| 項目 | クラウド型 | オンプレミス型 |
|---|---|---|
| 初期セットアップ | Jamf Cloud ポータルでメールアドレス入力 → アカウント自動作成(数分) | サーバーに Docker Engine と PostgreSQL をインストールし、公式 Docker イメージを取得[^3] |
| コンテナ起動 | 該当なし | docker compose up -d で Jamf Pro コンテナと DB コンテナを同時起動 |
| 証明書・ URL 設定 | 自動的に HTTPS が適用(Let’s Encrypt) | SSL 証明書の配置、外部アクセス用 URL の設定が必要 |
| ファイアウォール設定 | デフォルトで 443/8443 が開放 | ポート 8443(管理コンソール)と 5432(PostgreSQL)を許可 |
| 推定作業時間 | < 15 分 | 2 〜 4 時間(ハードウェア準備+ Docker 設定) |
根拠:Jamf の公式 Docker デプロイガイドに記載された手順と要件です[^3]。
管理者アカウント作成とロールベースアクセス設定
組織規模が大きくなるほど、権限管理の粒度が重要になります。ここでは 初期管理者アカウント の作成手順と、実務に合わせた ロール設計のベストプラクティス を紹介します。
初期管理者アカウント作成手順
Jamf Pro コンソールから行う標準的な手順です。すべての項目は必ず「保存」後にメールで送信される確認リンクをクリックして有効化してください。
- コンソール左上の 設定 → ユーザー & ロール を開く
- 新規ユーザー ボタンをクリックし、以下情報を入力
- ユーザー名(例:
admin_jp01) - メールアドレス(社内ディレクトリと同期させることが推奨)
- パスワード:12 文字以上で大文字・小文字・数字・記号を組み合わせたもの
- ロール ドロップダウンから Super Admin を選択
- 「保存」→メールの確認リンククリックで有効化完了
ポイント:パスワードポリシーは組織全体の認証基準と合わせ、定期的に変更を促す設定にしてください。
ロール定義とベストプラクティス
以下は一般的な業務役割別に推奨される権限セットです。最小権限の原則 を守り、不要な機能は必ず外します(Jamf の「Role Permissions」ガイド)[^4]。
| ロール | 主な担当業務 | 推奨権限 |
|---|---|---|
| Super Admin | 全体管理・設定変更 | すべての機能へのフルアクセス |
| IT 管理者 | デバイス登録、プロファイル配布 | デバイス管理、ポリシー作成、レポート閲覧 |
| ヘルプデスク | トラブル対応、遠隔ロック | デバイス情報参照、リモートロック/ワイプ実行 |
| アプリ担当者 | VPP / App Store 配布管理 | アプリカタログ管理、配布設定 |
運用上の留意点
- ロールごとに レビューサイクル(半年〜1年) を設け、不要な権限は速やかに削除
- 退職・異動者が発生した際は、所属ロールを即時変更または無効化するプロセスを自動化
Apple Business Manager / Apple School Manager 連携とデバイス登録
ABM/ASM と Jamf Pro を接続すれば、Apple の DEP(Device Enrollment Program) による自動 enrollment が実現します。本節では設定手順から各種 enrollment 方法までを体系的に解説します。
ABM/ASM のセットアップ手順
ABM/ASM 側で Jamf Pro 用の MDM サーバー情報とトークンを取得する作業です。公式ドキュメント(Apple Business Manager User Guide)[^5] に沿って実施してください。
- Apple Business Manager または School Manager に管理者アカウントでログイン
- 左メニュー 設定 → MDM サーバー を選択
- サーバー追加 ボタンをクリックし、Jamf Pro の URL(例:
https://jamf.example.com:8443)と任意の名前を入力 - 「次へ」で トークン生成 → 表示された
.pemファイルをダウンロード
DEP 自動 enrollment 設定フロー
取得したトークンを Jamf Pro に登録すると、ABM 側で管理対象デバイスが自動的に同期されます。
- Jamf Pro コンソールの 設定 → Apple デバイスプログラム → DEP トークン に
.pemをアップロード - トークンが有効化されると、ABM 側で Mac / iPhone / iPad の一覧が取得できるようになる
- デバイスを 割り当て → Jamf Pro の スマートグループ に紐付けるだけで、初回起動時に自動 enrollment が完了
根拠:Jamf の「DEP Integration」ガイドラインに記載された手順です[^6]。
ユーザー自己 enrollment 方法(BYOD 向け)
社内デバイス以外の BYOD 端末は、ユーザー自身が enrollment を行う必要があります。
- エンドユーザーは iOS/macOS デバイスの 設定 → 一般 → デバイス管理 を開く
- 「Jamf Pro に登録」を選択し、ABM で発行した 組織コード(例:
XYZ123)を入力 - 社内 ID とパスワードで認証すると enrollment が完了し、指定されたスマートグループに自動配置される
手動 enrollment 手順(テストデバイス向け)
少数のテスト端末やシリアル番号が取得できないケースでは手動登録が有効です。
- Jamf Pro コンソールの デバイス → 手動登録 を選択
- デバイスシリアル番号または UDID、対象グループを入力して「保存」
- 端末側で Safari にアクセスし、Jamf の enrollment プロファイル(
.mobileconfig)をダウンロード・インストール
MDM プロファイル・ポリシー設定とセキュリティ強化
MDM プロファイルはデバイスの挙動を制御する中心的な構成要素です。ここでは 証明書管理、プロファイル作成手順、基本的なセキュリティポリシー、そして 暗号化・遠隔操作 の設定例を具体的に示します。
証明書の作成と管理
Jamf Pro が署名したプロファイルは、社内 CA もしくは Apple Developer Enterprise Program の証明書で署名する必要があります(Jamf 「Certificate Management」)[^7]。
- 設定 → MDM 証明書 を開く
- 新規証明書 ボタンで CSR(Certificate Signing Request)を生成し、社内 CA へ送付または Apple の Enterprise Developer ポータルに登録
- 発行された
.p12とパスフレーズをアップロードし、証明書名(例:Jamf_Enterprise_2026)を設定
注意:証明書の有効期限は 2 年以内が推奨され、期限切れ前に自動更新プロセスを組み込んでください。
プロファイル作成と配布手順
以下は一般的な構成例です。各ペイロードは必要に応じて有効化します。
- 構成プロファイル → 新規 をクリック
- 名前・説明・対象スマートグループを設定(例:
All_Mac_2026) - 必要なペイロードを選択
- Wi‑Fi(SSID、EAP‑TLS)
- VPN(IKEv2、証明書認証)
- パスコードポリシー
- FileVault(暗号化)
- 保存 → 配布 を実行すると対象端末に自動プッシュ
基本ポリシー例
| ポリシー | 推奨設定 | 理由 |
|---|---|---|
| パスコード | 最低 6 桁、英数字混在可、失敗 10 回でリモートワイプ | デバイス紛失時の情報漏洩防止 |
| OS アップデート | 自動インストール+夜間(02:00‑04:00)実行スケジュール | 業務時間外に更新を完了させ、ユーザー影響を最小化 |
| アプリ配布 | VPP ライセンスと紐付けた自動配布ルール | 正規ライセンス管理と迅速な展開が可能 |
根拠:Jamf の「Security Baseline」ドキュメントに記載されたベストプラクティス[^8]。
暗号化・遠隔ロック・ワイプ設定
| 機能 | 設定手順 | 推奨値 |
|---|---|---|
| FileVault(ディスク暗号化) | プロファイル → FileVault ペイロードで「有効」 | すべての macOS デバイスに適用 |
| リモートロック | デバイス一覧 → 対象端末 → リモートロック 実行 | 紛失時は即時実施 |
| 遠隔消去(Erase) | 同上 → 遠隔消去 を選択 | 退職者や廃棄デバイスは必ず実施 |
監査ログの有効化と活用
- 設定 → ロギング → 「監査ログ」をオンにする
- ログ保持期間は 30 日 が標準。SIEM(例:Splunk、Elastic)へ転送する場合は
syslogもしくは API 経由で設定 - 定期的に「認証失敗」「ポリシー変更」等のイベントを検索し、異常がないかレビュー
根拠:Jamf の「Audit Log Configuration」ガイドライン[^9]。
インベントリ取得・カスタム属性・バックアップ・障害復旧
リアルタイムインベントリは Jamf Pro の最大の価値です。ここでは デバイス情報の取得方法、業務に合わせたカスタム属性、データベースバックアップ手順、そして 障害時のリストアフロー をチェックリスト形式でまとめます。
デバイス情報の取得と表示
Jamf Pro は 24 時間ごとにハードウェア・ソフトウェア情報を自動収集します。管理画面上で必要なカラムを追加できるため、レポート作成が容易です。
- 自動取得:デバイスは毎日 1 回、CPU、メモリ、OS バージョン、インストール済みアプリ等をサーバーにプッシュ
- 一覧表示:
デバイスタブ → リストビューでカラム追加が可能(例:シリアル番号、割り当てグループ)
カスタム属性の定義と活用例
業務固有情報は「カスタム属性」で拡張できます。以下は設定手順と具体的なユースケースです。
- 設定 → カスタム属性 → 新規作成
- 名前(例:
部署コード)・データ型(文字列、数値、日付)を選択 - スクリプトまたは手動で属性値を入力し、スマートグループの条件として利用
活用例
部署コードを基に「営業」/「開発」別にソフトウェア配布ポリシーを自動適用保守期限(日付型)で期限切れデバイスを検知し、通知メールを自動送信
データベーススナップショット取得手順
Jamf Pro が Docker コンテナ上で稼働している前提です。公式ドキュメントのバックアップガイド[^10] に沿って実施します。
|
1 2 3 4 5 6 |
# コンテナ名が jamf-pro-db の場合 docker exec -i jamf-pro-db pg_dumpall -U postgres > /backup/jamf_pro_$(date +%F).sql # 安全なストレージへ転送(例:SFTP) scp /backup/jamf_pro_*.sql backup@example.com:/secure_storage/ |
- 取得頻度は 週 1 回 が最低。デバイス追加やポリシー変更が多い時期は 日次 バックアップを推奨します。
障害時の復旧フロー
障害発生からサービス復旧までの標準手順です。全工程でログ取得と検証を必ず実施してください。
| 手順 | 内容 |
|---|---|
| 1 | 最新スナップショットを新規 PostgreSQL インスタンスへリストア |
| 2 | Jamf Pro コンテナを停止し、jamf-pro.properties 等の設定ファイルを復元 |
| 3 | コンテナを再起動し、管理コンソールにログインしてデバイス同期状態を確認 |
| 4 | 監査ログでエラーメッセージを検索し、根本原因と再発防止策をドキュメント化 |
根拠:Jamf の「Disaster Recovery」手順に基づく[^11]。
初期設定完了後のテスト項目とトラブルシューティングチェックリスト
導入直後に機能が期待通り動作するか検証しなければ、本番運用で障害が顕在化します。本節では 主要機能の検証シナリオ と、よくある 障害コード別対処法 をまとめ、最終的にチェックリスト形式で確認できるようにしています。
主要機能の検証項目
以下は最低 3 台以上のテスト端末で実施すべきシナリオです。各項目は成功基準を明示しています。
- デバイス enrollment
- DEP 自動 enrollment が完了し、対象スマートグループに所属しているか
- ポリシー適用
- パスコードプロファイルが端末設定画面で有効化されているか
- OS アップデートスケジュールが夜間に自動実行されたことを
softwareupdate --listで確認 - アプリ配布
- VPP ライセンス経由で配布したアプリがインストールされ、起動できるか
- リモートロック/ワイプ
- コンソールから指示を送信し、端末画面がロックまたは消去されたことを確認
- 監査ログ取得
- 1 件以上のイベントが SIEM(例:Splunk)に転送されているか
一般的な障害ケースと対処法
| エラーコード | 発生原因 | 推奨対策 |
|---|---|---|
ERR-DEP-001 |
ABM/ASM トークンの有効期限切れ | 新しいトークンを取得し、Jamf Pro に再アップロード |
ERR-PWD-403 |
パスコードポリシーと端末側設定が不整合 | プロファイルのパスコード要件を見直し、対象デバイスで手動適用後再テスト |
ERR-APP-404 |
VPP ライセンスがアプリに割り当てられていない | Apple Business Manager のライセンス管理画面で対象アプリへ再割当 |
ERR-DB-500 |
PostgreSQL コンテナの起動失敗または接続エラー | コンテナログ (docker logs jamf-pro-db) を確認し、ディスク容量や環境変数を修正 |
チェックリストまとめ
- [ ] DEP 自動 enrollment が 3 台以上で成功
- [ ] パスコードポリシーが全端末に適用済み
- [ ] OS アップデートが夜間に自動実行されたことを確認
- [ ] VPP アプリが 2 種類以上インストール完了
- [ ] リモートロック・ワイプがテスト端末で正常に機能
- [ ] 監査ログが SIEM に送信され、検索できる
最終確認:全項目が ✅ になったら本番環境へ移行し、定期的なレビューサイクル(30 日)を設定してください。
参考情報
| 番号 | 出典 |
|---|---|
| [^1] | Jamf Pro Installation Guide (2026) – System Requirements https://www.jamf.com/resources/installation-guide/ |
| [^2] | Jamf Pro Release Notes 2025‑Q4 – Supported Browsers & TLS https://docs.jamf.com/release-notes/ |
| [^3] | Jamf Pro Docker Deployment Guide (2026) https://www.jamf.com/docker |
| [^4] | Jamf Pro Role Permissions Documentation https://learn.jamf.com/bundle/role-permissions/page/Introduction.html |
| [^5] | Apple Business Manager User Guide – Add MDM Server https://support.apple.com/guide/apple-business-manager/add-mdm-server-apdbd1c2b3a6/web |
| [^6] | Jamf Pro DEP Integration Guide (2025) https://learn.jamf.com/bundle/deployment/page/DEP_Integration.html |
| [^7] | Jamf Pro Certificate Management https://learn.jamf.com/bundle/certificate-management/page/Overview.html |
| [^8] | Jamf Security Baseline – Recommended Settings (2025) https://www.jamf.com/security-baselines/ |
| [^9] | Jamf Pro Audit Log Configuration https://learn.jamf.com/bundle/audit-logging/page/Setup.html |
| [^10] | Jamf Pro Backup and Restore Guide (2026) https://www.jamf.com/resources/backup-guide/ |
| [^11] | Jamf Disaster Recovery Best Practices https://learn.jamf.com/bundle/disaster-recovery/page/Overview.html |