【後編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた
Macの管理はMicrosoft Intuneで事足りる?
IntuneでどこまでMacが管理できるのか、気になっている方も多いかと思います。
Jamf Proがスゴイのは色々なところで目にするけど、Intuneはすでにあるし、これで事足りるなら余計なコストはかけたくない...。
しかもカタログスペックだけ見るとなんだかさほど変わらない気も...?
そんな疑問を解消するべく、機能ごとにIntuneとJamf ProでMacを管理する際の比較を実際の使用感も含めてやっていこうと思います!
後編ではmacOS管理の要、パッケージ、スクリプト配布に関する比較などが中心となります。(前回同様少し長めの内容となっていますので、目次の気になるところを適宜ご参照ください!)
※こちらの記事は前後編の後編となります。前編の記事はこちら
アプリ配布
パッケージ
Macで使用するアプリは、パッケージ(.pkg形式のファイル)を実行してインストールするものが多く存在します。
参考:Macでインターネットまたはディスクからアプリをインストールする/アンインストールする - Apple サポート(日本)Jamf Proでは、ポリシー機能を活用してパッケージを展開することが可能です。
Intuneの場合は、基幹業務(LOB)アプリという機能がそれに該当します。
これにより、キッティング作業の自動化だけでなく、管理者権限が無いユーザに対してもサイレントでアプリを追加する事が可能です。
Jamf Proの場合は入手したパッケージをそのままアップロードして配布することが可能ですが、Intuneの場合はMac用のIntuneアプリ ラッピング ツール(およびコマンドライン)を使用して、.pkg形式のファイルを.intunemac形式のファイルに変換してやる必要があるなど少し手間がかかります。
※例えば、Google Chrome.pkgを変換する場合、以下のような作業をターミナル上で行うのですが、詳細な手順については先述のMicrosoft Docs、あるいは以下の素晴らしい記事などで解説されているため今回は割愛します。
参考:くらめその情シス:Intuneで業務用アプリを自動インストール(MacOS編)|DevelopersIOまた、ポリシー機能の場合はトリガーと実行頻度という概念を組み合わせることで、 「次回チェックイン時(デバイスとJamf Proサーバが疎通するタイミング)にコンピュータに対して1回実行 」「Macのログイン時に毎回実行」など適用タイミングをかなり柔軟にコントロールすることができますが、Intuneの場合は登録されてから1 時間まで 15 分ごと、その後は約 8 時間ごとに固定されているため、インストール完了までにかなり時間がかかる場合があります。
その他にもIntuneでは、アプリごとに最大2GBのサイズ制限があるため、例えばmacOSインストーラやXCodeやAdobe Creative Cloudなど、容量の大きいパッケージを配布することが難しいといった問題もあります。
このようにパッケージ配布機能自体はどちらも有しているものの、使い勝手はJamf Proのほうが圧倒的に優れていると言えます。
そのため、定期的に新しいアプリやアップデートを配布する必要がある、ユーザに管理者権限が無い、といった場合にはJamf Pro一択となってくるかと思いますが、端末のキッティング時にGoogle ChromeやZoomなどの必須アプリをいくつかインストールしておいて後はユーザの自由にお任せ!、といった場合にはIntuneでも事足りる可能性はあるかもしれません。
カスタムパッケージ
Macで使用するアプリの中には以下のように、ディスクイメージ(.dmg形式のファイル)を展開すると中にアプリ本体(.app形式のファイル)が格納されており、それをコピーしてインストールするものも多く存在します。
MDMを使用してアプリを配布する場合、基本的にはパッケージ形式にビルドされている必要があります。
そのため、こういったアプリについては何らかの方法でパッケージ化してやる必要があります。
Jamf ProにはComposerというツールが提供されており、GUI上で比較的簡単にパッケージを作成することが可能です。
参考:Composer ユーザガイド|Jamf例えば、Firefoxをインストールするパッケージを作成するだけなら、以下のようにアプリケーションフォルダに格納済のFirefox.appをComposerにドラッグアンドドロップするだけでソースが作成できます。
Intuneの場合そういったツールは提供されていないため、以下のリンクなどを参照しすべての工程をコマンドラインで行う必要があります。
参考:How to deploy DMG or APP-format apps to Intune-managed Macs - Microsoft Community Hubその際、.intunemac形式に変換するためには、Developer ID証明書によるパッケージへの署名が必要なため、Apple Developer Programへの登録など、割とハードルが高めです。
したがって、先程のFirefoxの他にもDropboxやNotionなどMacでよく使用するアプリを配布する度、Intuneは手間取ってしまうことになります。 事前に自社で必要なアプリがパッケージ形式で提供されているものか、あるいはそうでないか確認しておく必要がありそうです。
スクリプト配布
Macではスクリプトを用いて、色々な設定を適用することがあります。Jamf Proの場合、スクリプトもポリシー機能で配布することが可能です。
Intuneの場合は、デバイスメニューのシェルスクリプトから配布することが可能です。
※IntuneでMacにスクリプトを展開する方法については以下の素晴らしい記事で詳細に解説されていますので併せてご参照ください。
参考:Intuneからmacにシェルスクリプトを流してみた- CloudNative Inc. BLOGs基本的に両者ともスクリプトをアップロードして配布する、という流れは同じです。
また、適用タイミングについても今回はIntuneもかなり健闘しています。
というわけで、両者とも引き分け...、に見えるのですが、細かな使用感が異なっています。
その中でも、アップロードしたスクリプトの内容をプレビューできない、ダウンロードできないという点が大きいです。
また、Jamf Proの場合UI上で編集もできるため、検証時には非常に助かります。
スクリプトはすべてGitHub等で管理しているので問題ないよ!、というスマートなお客様も中にはいらっしゃると思いますが、Jamf Proの場合更にこんな便利なこともできたりします。(すごい...。)
参考:GitHub Actions を使って Jamf Proにスクリプトを自動デプロイしてみた - ぴろログしたがって、スクリプトを使用してMacをより細かく管理していこうとする場合、やはりJamf Proの方に分があるかな...、と感じました。
制限付ソフトウェア
Jamf Proには、指定したアプリケーションやプロセスを制限/削除する制限付ソフトウェアという機能があります。
例えばチェスの利用を制限する場合は以下のような形になります。
設定内容としてはプロセス名にChess.appと指定、検出時に強制終了するか削除するか選択し、その際に表示するメッセージを入力するだけです。 実際にデバイスでチェスを起動しようとすると以下のような形になります。
シンプルかつ便利な機能で、企業として制限したいアプリをあらかじめ指定しておくことで、ユーザがインストールしたとしても利用を防ぐことが可能です。
また、制限付ソフトウェアはmacOSのメジャーアップグレードを抑制するためにも用いられます。
以下のような形で指定することで例えば、「自社で導入しているアンチウイルスソフトがmacOSの最新バージョンに対応していないので、対応までの間アップグレードを抑制する」なんてことも可能になります。
※macOSバージョン管理については以下の動画を併せてご覧ください。
そんな制限付ソフトウェアですが、Intuneの場合、該当する機能が存在しません...!
構成プロファイルの「デバイスの制限」テンプレート内に、制限付きアプリというメニューは存在しているのですが、こちらはアプリの起動を制限するものではなく、あくまでもアプリがインストールされているかの状況を監視するための機能となります。
設定方法としては、以下のようにアプリのバンドルIDを検索して指定します。
このバンドルID、コマンドを使用しないとわからない場合があるため、ちょっと戸惑いますね。
しかしそんなことはまだ序の口、この制限付きアプリ、展開後のステータスが非常に分かりづらいです...!以下の画像をご覧ください。
①指定したアプリがインストールされていない時
②指定したアプリがインストールされている時
※筆者は当初、macOSのプリインストールアプリであるチェスを指定して検証を行っていたため、「展開状態:失敗」を「プロファイルの配布自体が何らかの要因で失敗したのかな...。」と無駄に頭を悩ませてしまいました...。
(その後、「"このビューのデータはライブです。"ってそういうことか...!」と納得しつつも、地味に今までで一番ストレスが溜まったのは内緒です。)
というわけで、制限付ソフトウェアに関しては、Jamf Proの完勝です!
macOSのlaunchdを駆使してスクリプトで擬似的に監視することも(やろうと思えば)できなくはないですが、上記のような要件がある場合、基本的にJamf Proを選択したほうが良いかと思います。
パッチ管理
Jamf Proには、アプリのバージョンを管理するパッチ管理機能があります。
これにより、例えば何台のデバイスにGoogle Chromeがインストールされていて、また、どのバージョンを使用しているか確認することができます。
Intune の場合、こういった機能は存在しないので、インベントリ詳細画面からデバイスごとに確認する必要があります。 もちろんそれで問題ないケースもあるかと思いますが、管理する台数が多い場合、状況をサマリー化出来るのは割と重要だったりします。
前編でご紹介した拡張属性/カスタム属性を使用してスクリプトで似たような情報を一覧化することもできなくはないですが、カスタム前提のお話なので、標準機能でここまで管理できるのはアドバンテージかなと思います。
ちなみに、パッチ管理の一覧にはかなりの数(2021年8月時点で)がありますので、普段業務で使用しているアプリの多くはサマリ化できるかと思います。
(ただ、セキュリティ製品まわりが少しさびしい感じです。2021年8月時点で、EPPだとMcAfee/Symantec/Sophos、EDRだとMicrosoft Defenderしかない状態でした。今後に期待ですね!)
まとめ
後編ではMDMの基本フレームワーク以外の部分を中心に比較を行いました。
コマンドラインを使用したり、カスタム要素も絡んでくるため、前編以上にIntuneとJamf Proで大きく差が出たように思います。
また、前後編を通して強く感じたのは、
一度構築した環境のまま基本的にいじらない、有事の際のみ状況を確認する、ということであればIntuneでも問題ない場面はいくつかあったものの、リアルタイムにMacを管理していく上ではやはりJamf Pro一択だな、という点です。
日々の運用でIntuneと付き合っていくのはUI、現状の機能、適用タイミングのハンドリングの面などから、ストレスになる部分が多く出るのではないかと...。
とはいえ、Jamf Proもその機能の豊富さ故、取っ掛かりにつまづく点もあるかと思います。
※特に、「メニューが多すぎるので不要な項目を非表示にできませんか?」というのは最近よく頂くご質問だったりします。
現状抱えている課題、導入のご相談、その他気になることがございましたら、ご提案、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!
というわけで、前後編に渡ってお送りしてきた、Intune/Jamf 比較記事、これにてひとまず終了です。
お付き合いいただきありがとうございました。
今後も、Appleデバイス管理、Jamfにまつわる情報をブログ、YouTubeを通じて発信していきますので、よろしければぜひご覧ください!
記事は2021年8月31日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る