【後編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた【2025】
Macの管理はMicrosoft Intuneで事足りる?
IntuneでどこまでMacが管理できるのか、気になっている方も多いかと思います。
Jamf Proがスゴイのは色々なところで目にするけど、Intuneはすでにあるし、これで事足りるなら余計なコストはかけたくない...。
しかもカタログスペックだけ見るとなんだかさほど変わらない気も...?
そんな疑問を解消するべく、機能ごとにIntuneとJamf ProでMacを管理する際の比較を実際の使用感も含めてやっていこうと思います!
後編ではmacOS管理の要、パッケージ、スクリプト配布に関する比較などが中心となります。(前回同様少し長めの内容となっていますので、目次の気になるところから適宜ご参照ください!)
2025.1追記:本ブログの初出は2021年8月ですが、Jamf Pro、Intuneの様々な機能追加や仕様変更に伴い、前後編ともに内容を全体的に見直しています。
今後も継続的に改廃を行っていきますが、時期によっては以前の仕様が含まれてしまう可能性があることをあらかじめご了承ください。
※こちらの記事は前後編の後編となります。前編の記事はこちらです。
アプリケーション配布アプリケーション配布
Macで使用するアプリケーションには前編でご紹介したApp Store上から入手するものもありますが、どちらかと言えばパッケージ(.pkg)形式のファイルやディスクイメージ(.dmg)形式のファイルを用いてインストールするものが多く見受けられるかと思います。
それぞれのファイル形式ごとに配布方法を確認していきましょう。
パッケージ(.pkg)
まずはMicrosoft 365やZoomなどのアプリケーションのように、パッケージ(.pkg)形式のファイルで提供されている場合です。
Jamf Proでは「ポリシー」機能を使用してパッケージを直接配布することが可能です。Intuneの場合は「macOSのアプリ(PKG)」という機能が該当します。
アンマネージド macOS PKG アプリを Microsoft Intune に追加する | Microsoft Learn
こちらは2022年に追加された比較的新しい機能となっており、かつては「基幹業務(LOB)アプリ」という機能のみが提供されていました。
参考:macOS の基幹業務アプリをMicrosoft Intuneに追加する方法|Microsoft Learn
「基幹業務(LOB)アプリ」を使用する際は、Mac用のIntuneアプリ ラッピング ツール(およびコマンドライン)を使用して.pkg形式のファイルを.intunemacという形式に変換する必要があるため、かなりの手間がかかってしまっていました。
「macOSのアプリ(PKG)」ではJamf Pro同様、Intuneに直接アップロードして配布することが可能になったため、この点においてはJamf ProとIntuneの機能差が埋まったと言えます。
しかし、配布方法などの柔軟性に目を向けると両者に違いが見えてきます。
Jamf Proのポリシーの場合は「トリガー」と「実行頻度」という概念を組み合わせることで、 「次回チェックイン時(デバイスがJamf Proサーバと疎通するタイミング)にコンピュータに対して1回実行 」「Macのログイン時に毎回実行」「Self Service(※)に掲載してユーザ任意のタイミングで実行」など、適用タイミングをかなり柔軟にコントロールすることができます。
(※) Self Service …Jamf Proに登録されているデバイスに対してインストールされ、様々なアプリケーションやメンテナンス設定、ブックマークなどをカテゴリ別に掲載しておくことによって組織専用のポータルサイトを構築することが可能です。
対してIntuneの場合は「登録されてから1時間まで15分ごと」「その後は約8時間ごと」に適用タイミングが固定されているため、インストール完了までにかなり時間がかかる、あるいはばらつきが生じる場合がありました。
Microsoft Intune のポリシーとプロファイルに関する質問 | Microsoft Learn
Self Serviceに掲載してユーザ任意のタイミングで適用するワークフローについては「Intune ポータルサイト(Company Portal)」がその役割を担っています。
ブランディングのカスタマイズやカテゴリ分けなど近しい機能は有しているものの、Entra IDのユーザグループ単位でしか配布対象を指定できない、設定した内容がポータルサイト上に中々反映されない、など細かな使用感については若干の不便さを感じました。
その他にもファイルをアップロードする際に最大8GBのサイズ制限があるため、例えばAdobe Creative Cloudのカスタムパッケージなど容量の大きいファイルを配布したいとなった場合に実現が難しいといった問題もあります。
(Jamf Proの場合、2024年12月時点のドキュメント上ではサイズ制限について明記されていないのですが、原則として20GB未満が基準となっています。)
このようにパッケージ配布機能自体はどちらも有しているものの、使い勝手については随所でJamf Proのほうが圧倒的に優れていると感じました。
したがって、定期的に新しいアプリケーションのアップデートを配布する必要がある、ユーザに管理者権限が無い、といった場合にはJamf Pro一択となってくるかと思いますが、デバイスのキッティング時にいくつかの必須アプリケーションをインストールしておいて、後はユーザの自由にお任せ!といった場合にはIntuneでも事足りる可能性はあるかもしれません。
ディスクイメージ(.dmg)
次にFirefoxやNotionなどのように、ディスクイメージ(.dmg)形式のファイルで提供され、ドラッグアンドドロップでインストールするようなアプリケーションの場合についてです。
まず、Jamf Proで上記のようにディスクイメージ形式で提供されているアプリケーションを配布するためには、「Composer」というツールを使用してパッケージ形式にビルドし直す必要が出てきます。
例えばFirefoxのインストールするパッケージであれば、以下のようにアプリケーションフォルダに格納済みのFirefox.appをComposerのサイドバーにドラッグアンドドロップするだけでソースが作成できます。
その他にもComposerを使用することで、「ユーザのデスクトップにPDFファイルを配布する」「所定のディレクトリに設定ファイルを格納する」ためのパッケージを作成することもできるため、様々な場面で活用することが可能です。
IntuneではComposerのようなツールは提供されていない…のですが、「macOS のアプリ(DMG)」という機能が提供されており、なんとディスクイメージ形式のファイルを直接配布することが可能です。(ここにきてはじめてJamf Proにない機能をIntuneが実装しているケースの登場ですね…!)
Microsoft Intuneに macOS DMG アプリを追加する | Microsoft Learn
先述の「macOSのアプリ(PKG)」と同じく近年追加された機能となっており、アップロード可能なファイルのサイズ制限や設定の適用タイミングなどについても基本的には同じ仕様となっています。
そのため、最終的な使い勝手としてはやはりJamf Proに軍配はあがるもののファイル準備の手間としてはIntune側にも優位性が見られる結果となりました。
ちなみに、Jamf Proでは「Appインストーラ」という機能も提供されており、カタログ化された一部の主要なアプリケーションについてはJamfがあらかじめ用意するインストーラを使用して直接配布することも可能ですが、立ち位置の異なる機能でもあるため今回の記事では詳細は割愛します。
※Appインストーラのカタログリストは以下のページをご参照ください。
App Installers Software Titles - Jamf App Catalog | Jamf
スクリプト配布
Macではコマンドライン、ないしスクリプトを用いて様々な設定を適用することがあります。
Jamf Proの場合はスクリプトもポリシー機能で配布することが可能です。
Intuneの場合は、デバイスメニューの「スクリプト」から配布することが可能です。
基本的に両者ともスクリプトをアップロードして配布する、という流れは同じです。
また、実行タイミングについて複数の選択肢が用意されており今回はIntuneもかなり健闘しています。
というわけで両者とも引き分け…、に見えるのですが、やはり細かな使用感が異なっています。
その中でもIntuneは、「アップロードしたスクリプトの内容をプレビューできない」「ダウンロードできない」という点が実運用に際して使いづらいように感じました。
Jamf Proの場合はUI上で編集もできるため、検証作業やちょっとした改廃作業の際には非常に助かります。
したがって、スクリプトを使用してMacをより細かく管理していこうとする場合、やはりJamf Proの方に分があるかな…、と感じました。
制限ソフトウェア
Jamf Proには、指定したアプリケーションやプロセスを制限したり削除することができる「制限ソフトウェア」という機能があります。
例えばMacに標準でインストールされているチェスの使用を制限する場合は以下のような形になります。
設定としてはプロセス名に「Chess.app」、検出時に強制終了するか削除するか選択し、その際に通知するメッセージを入力するだけです。実際にデバイスでチェスを起動しようとすると以下のような形になります。
シンプルかつ便利な機能で、組織として制限したいアプリケーションをあらかじめ指定しておくことで、ユーザがインストールしたとしても起動を防ぐことが可能です。
Intuneの場合、該当する機能は残念ながら存在しません。
構成プロファイルの「デバイスの制限」テンプレート内に「制限付きアプリ」というメニューは存在しているのですが、こちらはアプリケーションの起動を制限するものではなく、あくまでもアプリケーションがインストールされているかの状況を監視するための機能となります。
設定方法としては以下のようにアプリケーションのバンドルIDを検索して指定します。
Firefoxであれば「org.mozilla.firefox」のような形となり、このバンドルIDはコマンドラインを使用したり、アプリケーション内の「Info.plist」から取得することが可能です。
(IntuneではこのバンドルIDで指定するシーンが度々あるのですが、初見では少し戸惑ってしまうかもしれません…。)
しかしそんなことはまだ序の口、この制限付きアプリ、展開後のステータスが非常に分かりづらいです…!以下の画像をご覧ください。
① 指定したアプリケーションがMacにインストールされている場合
② 指定したアプリケーションがMacにインストールされていない場合
Firefoxをすでにインストール済みのMacにプロファイルを展開したところ①のように「チェックイン状態:エラー」となったため、最初は「プロファイルの配布自体が何らかの要因で失敗したのかな…?」と無駄に頭を悩ませてしまいましたが、よくよく確認するとこのエラーがインストール済みを示していることがわかりました…。
というわけで、制限ソフトウェアに関してはJamf Proの完勝です!
macOSのlaunchdを駆使してスクリプトで擬似的に監視することも(やろうと思えば)できなくはないですが、上記のような要件がある場合、基本的にJamf Proを選択したほうが良いかと思います。
パッチ管理
Jamf Proには、アプリケーションのバージョンを管理する「パッチ管理」機能があります。
これにより、例えば何台のデバイスにGoogle Chromeがインストールされていて、また、どのバージョンを使用しているか確認することができます。
Intuneの場合、該当する機能は存在しないので、デバイスの詳細情報(検出されたアプリ)から状況を個別に確認する必要があります。もちろんそれで問題ないケースもあるかと思いますが、管理する台数が多い場合、パッチ管理のように状況を一覧化できるのは割と重要だったりします。
前編でご紹介した「カスタム属性」を使用してスクリプトで似たような情報を一覧化することもできなくはないですが、カスタム前提のお話なので、標準機能でここまで管理できるのはアドバンテージかなと思います。
https://gist.github.com/toocorp/eafd17b089cdff51cd2d5d538bd902b8
パッチ管理には2024年12月時点で1300以上ものアプリケーションがカタログ化されていますので、業務で使用しているアプリケーションのほとんどはサマリー化できるかと思います。
Patch Management Software Titles - Jamf App Catalog | Jamf
まとめ
いかがでしたでしょうか。
後編ではMDMの基本フレームワーク以外の機能を中心に比較を行いました。
コマンドラインを使用したり、カスタム要素も絡んでくるため、前編以上にIntuneとJamf Proで大きく差が出たように思います。
また、前後編を通して改めて強く感じたのは、リアルタイムにMacを管理していく上ではやはりJamf Pro一択だな、という点です。
「一度構築した環境のまま基本的にいじらない」「有事の際のみデバイスの状況を確認する」ということであればIntuneでも問題ない場面はいくつかあったものの、UIの使いやすさ(どこにどのようなメニューがあるか)や設定の適用タイミングのハンドリングなど観点から、日々の運用においてストレスになる部分が多く出るのではないかと感じています。
※今回の記事の執筆においても、設定を追加 →「同期」ボタン(あるいはデバイス上のポータルサイトから「状態の確認」)をクリック →「あれ…、反映されてないなー…。」を何度繰り返したことか…。
とはいえ、Jamf Proも機能の豊富さが故に、特に使い始めや構築済みの環境を前任の方から引き継ぐタイミングなどつまづくケースもあるかと思います。
デバイス管理の要件や課題を整理し、どういった機能、ひいてはどういった製品であれば解決が可能なのか考えていくことが大事ですね…!
今回の記事がそんなMDM製品の選定や見直しの一助となれば幸いです。
現状抱えている課題、導入のご相談、その他気になることがございましたら、ご提案、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!
というわけで、前後編に渡ってお送りしてきた、Intune/Jamf 比較記事、これにてひとまず終了です。
お付き合いいただきありがとうございました。
今後も、Appleデバイス管理、Jamfにまつわる情報をブログ、YouTubeを通じて発信していきますので、よろしければぜひご覧ください!
記事は2025年1月 6日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
