【前編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた
Macの管理はMicrosoft Intuneで事足りる?
IntuneでどこまでMacが管理できるのか、気になっている方も多いかと思います。
Jamf Proがスゴイのは色々なところで目にするけど、Intuneはすでにあるし、これで事足りるなら余計なコストはかけたくない...。
しかもカタログスペックだけ見るとなんだかさほど変わらない気も...?
そんな疑問を解消するべく、機能ごとにIntuneとJamf ProでMacを管理する際の比較を実際の使用感も含めてやっていこうと思います!
2024.10追記:本ブログの初出は2021年8月ですが、Jamf Pro、Intuneの様々な機能追加や仕様変更に伴い、前後編ともに内容を全体的に見直しています。
今後も継続的に改廃を行っていきますが、時期によっては以前の仕様が含まれてしまう可能性があることをあらかじめご了承ください。
はじめに
Microsoft 365やEnterprise Mobility + Security(EMS)などのライセンスに含まれるクラウド型のデバイス管理ツール(MDM)であるMicrosoft Intune。その管理対象にはWindowsだけではなくMacも含まれています。
Jamf ProをはじめとしてAppleデバイスに特化したMDMもある中で、Intuneではどこまでの管理が行えるのでしょうか?
どんな要件ならIntuneだけで事足りるのか、そして、Jamf Proを導入するとどんなことまでできるようになるのか。機能ごとに比較をしていきます。
Macの管理を検討する際、少しでも参考になれば幸いです。
※Jamf Proが如何に優れたMDMかは、こちらの素晴らしい記事を読むとよく分かります!
運用で差が出る。Appleデバイス管理に迷ったらJamfを選ぼう!|CloudNative Inc. BLOGsインベントリ
MDMの基本機能として欠かせないのがインベントリ、すなわち資産情報の収集、管理です。
まずは、Jamf ProとIntuneではそれぞれどのような情報を収集でき、またどういった管理が可能なのか確認してみましょう。
デフォルトで収集できる情報
Intuneによるインベントリ収集
Intuneでもシリアル番号やMACアドレス、OSバージョン、インストールされているアプリ一覧など、Macの基本的なインベントリ情報を収集できます。
更新頻度は1週間ごとで固定されていますが、求められる要件が「OSバージョンやアプリ一覧の定期的な棚卸」などに留まる場合はこれくらいの頻度でも問題ないかもしれません。
Microsoft Intune でデバイスの詳細を表示する | Microsoft LearnJamf Proによるインベントリ収集
対して、Jamf Proの場合はより多くのインベントリ情報を収集することが可能です。
例えばモデル名やメモリ容量などの詳細なハードウェア情報、作成されているユーザアカウントやプリンタ設定の情報などについてもデフォルトで収集されるようになっています。
更新頻度も1日 / 1週間 / 1ヶ月ごとをベースに、その他Macの起動 / ログイン時や特定のタスクの実行完了時など、状況に応じたタイミングで適宜収集するようにカスタマイズすることも可能です。
後述するスマートグループや拡張属性と併せて、インベントリ情報をより詳細に、よりリアルタイムに管理する必要がある場合はJamf Proが適していると言えそうです。
ちなみに、IntuneとJamf Proで収集可能なインベントリ情報に差異が見られる背景としては、使用されているフレームワークが異なっていることが関係しています。
Intuneでは基本的にAppleが提供するMDMフレームワークを用いて情報を収集していますが、Jamf Proの場合はMDMフレームワークだけではなくJamf独自の管理フレームワークが動いています。
また、2021年からAppleが提供する宣言型デバイス管理プロトコルに対してもいち早く対応することによって、デバイス管理に必要な様々な情報が収集できるようになっています。
グループ管理
Jamf Proには収集したインベントリ情報に基づいて動的にグループ管理を行うスマートグループという機能があります。
Intuneの場合はフィルター、あるいはEntra IDに含まれる動的メンバーシップが近しい機能として挙げられます。
Intune:フィルター
Intuneのフィルターはテナント管理メニューから事前に定義しておくことで、後述する構成プロファイルやアプリ配布などの各ポリシー内で指定することが可能となります。
例えば「macOS 14.xのデバイス」を指定する場合、以下のような形になります。
しかし、先述のとおりIntuneで収集できるインベントリ情報は限られており、その中でフィルターの条件に使用できる項目はさらに限られています。
なおかつ、例に挙げたプロパティ(osVersion)の演算子に「~以上(greater than or equal)」や「~未満(less than)」などの選択肢が含まれていない点などから、柔軟な管理は難しく、あまり実用的な機能では無いように感じられました…。
Microsoft Intune でオペレーター & サポートされているフィルター デバイスとアプリのプロパティ | Microsoft LearnEntra ID:動的メンバーシップ
動的メンバーシップの場合はEntra IDあるいはIntuneでグループを作成する際、メンバーシップの種類から「動的ユーザー」「動的デバイス」を選択することで使用することが可能です。
※今回のブログでは主にデバイス管理の観点で比較を行っているため、動的デバイスルールを確認していきます。
こちらも先ほどと同じようにmacOSのバージョンにて指定してみましょう。
今回は演算子に「~以上(Greater Than or Equal)」が含まれているように見えます。これならある程度柔軟な管理ができそう!……と思っていたのですが、残念ながらそうではありませんでした…。
ルールを構成した後、保存もしくはルールの検証を行うと以下のようなエラーが返ってきます。
「Operator '-ge' cannot apply to property 'device.deviceOSVersion' because it is of type ‘System.String’」、すなわち「deviceOSVersion」は文字列(string)として扱われているプロパティのため、「~以上」といった数値(integer)に対して用いる演算子ではない、とのこと。
どのプロパティにもすべての演算子が表示されていたため、糠喜びしてしまいました…。
それぞれのプロパティの扱いについては以下のページに記載があるため、事前にこちらを確認する必要がありますね。
Jamf Pro:スマートグループ
Jamf Proでは収集したインベントリ情報のほぼすべてをグループの条件に指定できるだけでなく、後述する拡張属性によって追加で収集した情報も条件に指定できます。
例えば「macOS 14未満」「セキュリティソフトがインストールされていない」「FileVault暗号化済だが復旧キー未取得」など、柔軟にグループ管理を行うことが可能です。
また、スマートグループはアプリや設定の配布対象に指定するだけでなく、例えば気になる項目をトップページ(Jamf Pro Dashboard)に表示しておくことで、状況の監視にも活用できます。
また、両者でグループの条件に指定できる項目を比較した場合、以下のようにかなりの差が見られました。
もちろん、中にはほとんど使用する機会の無い条件もあったりしますので単純に数で比較することはできないのですが、先述のとおり使用できる演算子にも大きく差が見られましたので、グループ管理についてはJamf Proの圧勝かな...、という感じですね。
収集する情報の追加
Jamf Proには、スクリプトを使用して追加のインベントリ情報を収集する拡張属性という機能があります。
Intuneの場合はカスタム属性という機能がそれに該当します。
拡張属性を活用することで、例えば「ユーザが現在ログインしているApple IDの情報」「Macのキーボード配列(JIS / US)」など、企業におけるMac管理に役立つ様々な情報を収集することが可能です。
※拡張属性については以下のブログにて詳細にまとめていますのでぜひご覧ください!
Jamf ProでMacを管理する際によく使う拡張属性を大集合させてみた | Apple ブログ | Apple | 株式会社TooIntune:カスタム属性
Intuneで上記のスクリプトを使用してカスタム属性を作成すると以下のような形で情報を収集することができます。
デフォルトで収集できるインベントリ情報には大きく差がありましたが、この機能を駆使すればIntuneでも何とかなるかも...?Jamf Proの拡張属性と比較してみましょう。
Jamf Pro:拡張属性
Jamf Proの拡張属性には、以下の表のようにカスタム属性に無いメリットが存在します。
Intune:カスタム属性 | Jamf Pro:拡張属性 | |
扱えるデータタイプ | 文字列、整数、日付 | 文字列、整数、日付 |
UI上でのスクリプト閲覧・編集 | × ファイルのアップロードのみ |
○ |
デバイスのインベントリ一覧に表示 | × カスタム属性メニュー内でのみ閲覧可能 |
○ |
レポート出力 | △ カスタム属性の情報のみ出力可能 |
○ 出力する内容をカスタマイズ可能 |
動的グループの条件に指定 | × | ○ |
情報の収集頻度 | 8時間ごと(指定) | インベントリのアップデートに準ずる |
収集対象 | デバイス/ユーザグループごと | すべてのデバイス |
先述のとおり、まずは「動的グループ(スマートグループ)の条件に指定できるかどうか」がもっとも大きな違いとして挙げられるかと思います。
なおかつ、拡張属性で追加収集した情報もインベントリ一覧に表示できる点についても、地味に重要なポイントだったりします。
以下のような形で閲覧できるだけでなく、そのままレポートに出力することも可能なため、管理台帳を作成する際などに役立ちます。
というわけで、スクリプトを使用して追加のインベントリ情報を収集するという機能自体は両者で同じものの、実運用で活用しようとする場合はJamf Proに優位性があるという感じかなと思います。
リモートコマンド
インベントリと同じく、MDMの基本機能であるリモートコマンド。デバイスの紛失や盗難などの際に遠隔でロックやワイプを実行するなどの代表的なコマンドについては両者とも送信可能です。
コンピュータのリモートコマンド - Jamf Pro ドキュメント | Jamf Microsoft Intune を使用してデバイスでリモート アクションを実行する | Microsoft Learnちなみに、Appleサポートページを参照するとロック、ワイプ以外にも色々なコマンドが存在します。
参考:AppleデバイスのMDMコマンド - Apple サポート(日本)IntuneではBluetoothやリモートマネージメントのオン / オフなど対応していないコマンドがいくつか見受けられます。
Jamf ProについてもFileVault復旧キーのローテーションのみ唯一対応していませんが、Jamf Proの場合はFileVaultに対するアプローチが複数存在しており、スクリプトを活用したワークフローを用いることで擬似的に復旧キーのローテーションを行うことは可能です。
FileVault2_Scripts/reissueKey.sh at master · jamf/FileVault2_Scripts · GitHubとはいえ、先述の代表的なコマンド以外送る機会があるのかは疑問な部分もありますので、こちらについてはほとんど優劣は無いと捉えて良いかもしれません。
構成プロファイル
FileVaultによるディスクの暗号化をはじめ、パスコードポリシーやスクリーンセーバ、ネットワーク設定など、いずれも構成プロファイル機能を使用して定義します。
構成プロファイルの機能一覧はリモートコマンドと同様にAppleサポートページにまとめられており、Jamf Proはほぼすべてのペイロードに対応、項目もAppleのリファレンスに準拠した形になっていることが確認できます。
構成プロファイルの機能一覧はリモートコマンドと同様にAppleサポートページにまとめられており、Jamf Proはほぼすべてのペイロードに対応、項目もAppleのリファレンスに準拠した形になっていることが確認できます。
AppleデバイスのMDMペイロードを確認する - Apple サポート(日本)Intuneの場合は、まずテンプレートという独自の形式でいくつかのペイロードがまとまっており、これが使いやすい場合とそうでない場合があったりします。
実現したい要件がディスク暗号化やローカルアカウントのパスワードポリシー、OSの機能制限などに留まる場合はIntuneの方がわかりやすい可能性もありますが、省エネルギー設定など一部の汎用的なペイロードがしれっと無かったりするため、個人的には少し戸惑ってしまいました...。
その後、2022年には設定カタログという機能が追加され、こちらはテンプレートよりはいくらかAppleのリファレンスに準拠した形になっています。
また、更新履歴を確認すると新しいキーなどについては設定カタログを中心にアップデートがなされていく傾向にあったため、これから新しいプロファイルを作成する際には設定カタログの使用を検討していくのが良いかもしれません。
使いやすさや新しいキーへの対応スピードなど、細かい点で比較するとJamf Proの方が優れていると言えますが、要件によってはIntuneでも問題無いように感じました。事前に要件の整理や検証作業が重要になりそうですね。
アプリ配布(App Store アプリ)
Apple Business Managerと連携することで、両者ともVolume PurchaseによるApp Storeアプリの管理配布が可能です。
Apple ボリューム購入アプリを管理する - Microsoft Intune | Microsoft Learn※Apple Business ManagerとIntuneの連携方法については色々な記事でも解説されていますので、今回は割愛します。
連携後、Apple Business Managerのアプリとブックからライセンスの割当先にIntuneを選択してアプリを購入(入手)します。
※その際、購入したアプリがIntune側に中々反映されないことがありました。
仕様上、同期は1日に2回となっているようなので、購入後は必ず手動で同期してしまうのがベターかもしれません。
同期完了後は、アプリメニューから割り当てを行います。先述のグループ機能の差異などから、あまり柔軟な指定は難しいです。
とはいえ、対象の割り当て後は、問題なくApp Storeアプリが端末に配布されました。
こちらについても、機能面での大きな差異は無いと捉えて良いかと思います。
ということで、前編は以上となります。
今回は、主にAppleが提供するMDMフレームワークに基づいた機能を中心にご紹介させていただきました。
リモートコマンドやApp Store アプリの配布など、差異がほとんど無いものもありましたが、より柔軟にMacを管理しようと考えた場合、主にグループ管理などにおいてJamf Proに優位性が多く見られました。
逆に言うと、基本的なセキュリティ設定を全台一律に適用できていれば良い、ということであればIntuneでもある程度実現出来るケースもありそうです。
こういったデバイス管理の要件定義や導入に関する疑問点などございましたら、ぜひお気軽にお問い合わせください。
後編では、パッケージ、スクリプト配布などについてまとめますので、こちらも是非ご覧ください!
記事は2021年8月20日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る