【前編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた
Macの管理はMicrosoft Intuneで事足りる?
IntuneでどこまでMacが管理できるのか、気になっている方も多いかと思います。
Jamf Proがスゴイのは色々なところで目にするけど、Intuneはすでにあるし、これで事足りるなら余計なコストはかけたくない...。
しかもカタログスペックだけ見るとなんだかさほど変わらない気も...?
そんな疑問を解消するべく、機能ごとにIntuneとJamf ProでMacを管理する際の比較を実際の使用感も含めてやっていこうと思います!
はじめにはじめに
Office 365・Microsoft 365に含まれるクラウド型の端末管理ツールであるMicrosoft Intune。その管理対象にはMacも含まれています。
Macに特化した管理ツールもある中で、Intuneではどこまでの管理が行えるのでしょうか?
どんな要件ならIntuneだけで事足りるのか、そして、Jamf Proを導入するとどんなことまでできるようになるのか。機能ごとに比較をしていきます。
Macの管理を検討する際、少しでも参考になれば幸いです。
※Jamf Proが如何に優れたMDMかは、こちらの素晴らしい記事を読むとよく分かります!
運用で差が出る。Appleデバイス管理に迷ったらJamfを選ぼう!|CloudNative Inc. BLOGs
インベントリ
デフォルトで収集できる情報
Intuneによるインベントリ収集
Intuneでも、Macの基本的なインベントリ情報を収集できます。
更新頻度は1週間ごとに固定されていますが、ハードウェア情報はOSバージョン以外不変のものが多いので、インストールされているアプリ一覧を定期的に確認するだけであればこれくらいの頻度でも問題ないのかもしれません。
参考:Microsoft Intune - Azureでデバイスの詳細を表示する|Microsoft Learn
参考:検出されたアプリ - Microsoft Intune|Microsoft Learn
Jamf Proのインベントリ収集
Jamf Proの場合は、より多くのインベントリ情報を収集することが可能です。
例えばモデル型番やメモリ容量などの詳細なハードウェア情報、作成されているユーザアカウントやプリンタ設定の情報などについてもデフォルトで収集されるようになっています。
参考:コンピュータインベントリ情報リファレンス - Jamf Pro管理者ガイド|Jamf
更新頻度も1日・1週間・1ヶ月 ごとをベースに、その他Macの起動・ログイン・ログアウトなど状況に応じたタイミングで適宜収集可能です。
後述する拡張属性と併せて、インベントリ情報をより詳細に、よりリアルタイムに管理する必要がある場合はJamf Proが適していると言えそうです。
グループ管理
Jamf Proには収集したインベントリ情報に基づいて動的にグループ管理を行うスマートグループという機能があります。
Intuneの場合は、Azure AD Premiumの動的メンバーシップおよび2021年7月時点でパブリックプレビューとしてリリースされているフィルターという機能がそれに該当します。
参考:Microsoft Intuneでフィルターを作成する - Azure|Microsoft Learn
この機能を活用することで、アプリや設定の配布対象を個別に選択しなくても、指定した条件に基づいて自動的に対象をピックアップしてくれます。
Intuneのグループ管理
Intuneで「macOS 11.xのデバイス」グループを指定する場合、以下のような形になります。
しかし、先述の通りIntuneで収集できるインベントリ情報は限られており、なおかつグループの条件に使用できる項目はさらに限られている点、演算子にgreater than or equal(以上)やless than(未満)などの選択肢が無い点などから柔軟な管理は難しく、あまり実用的な機能では無いように感じられました...。
参考:動的に設定されるグループ メンバーシップのルール - Azure AD|Microsoft Learn
参考:Microsoft Intune でサポートされているフィルター デバイスのプロパティと演算子 - Azure | Microsoft Docs
Jamf Proのグループ管理
Jamf Proではデフォルトで収集している様々なインベントリ情報のほぼすべてをグループの条件に指定できるだけでなく、後述する拡張属性によって追加で収集した情報も条件に指定できます。
例えば「macOS のバージョンが10.15以上」「アンチウイルスソフトがインストールされていない」「ログインしているApple ID が会社のドメインでない」「FileVault 2 暗号化済だが復旧キー未取得」など、柔軟にグループ管理を行うことが可能です。
また、スマートグループはアプリや設定の配布対象に指定するだけでなく、例えば気になる項目をDashboard(Jamf Proのトップページ)に表示しておくことで、状況の監視にも活用できます。
両者でグループの条件に指定できる項目を比較した場合、以下のようにかなりの差が見られました。
もちろん、中にはほとんど使用する機会の無い条件もあったりしますが、グループ管理についてはJamf Proの圧勝かな...、という感じですね。
追加の情報の収集
Jamf Proには、スクリプトを使用して追加のインベントリ情報を収集する拡張属性という機能があります。
Intuneの場合はカスタム属性という機能がそれに該当します。
この機能を活用することで、例えば「ユーザが現在ログインしているApple IDの情報」「Macのキーボード配列(JIS/US)」など、企業におけるMac管理に役立つ様々な情報を収集することが可能です。
Intuneのカスタム属性
Intuneで上記のスクリプトを使用してカスタム属性を作成すると以下のような形で情報を収集することができます。
デフォルトで収集できるインベントリ情報には大きく差がありましたが、この機能を駆使すればIntuneでも問題ないのでは...?
(そんなふうに考えていた時期が私にもありました。)
Jamf Proの拡張属性
Jamf Proの拡張属性には、以下の表のようにカスタム属性に無いメリットが存在します。
| Intune:カスタム属性 | Jamf Pro:拡張属性 | |
| 扱えるデータタイプ | 文字列、整数、日付 | 文字列、整数、日付 |
| UI上でのスクリプト閲覧・編集 | × ファイルのアップロードのみ |
○ |
| デバイスのインベントリ一覧に表示 | × カスタム属性メニュー内でのみ閲覧可能 |
○ |
| レポート出力 | △ カスタム属性の情報のみ出力可能 |
○ 出力する内容をカスタマイズ可能 |
| 動的グループの条件に指定 | × | ○ |
| 情報の収集頻度 | 8時間ごと(指定) | インベントリのアップデートに準ずる |
| 収集対象 | デバイス/ユーザグループごと | すべてのデバイス |
先述の通り、まずは動的グループ(スマートグループ)の条件に指定できる点が大きいです。
なおかつ、拡張属性で追加収集した情報もインベントリ一覧に表示できる点についても、地味に重要なポイントだったりします。
以下のような形で閲覧できるだけでなく、そのままレポートに出力することも可能なため、管理台帳を作成する際などに役立ちます。
というわけで、スクリプトを使用して追加のインベントリ情報を収集するという機能自体は両者で同じものの、実運用で活用しようとする場合はJamf Proに優位性があるという感じかなと思います。
リモートコマンド
リモートロック、ワイプなどの代表的なコマンドについては両者とも送信可能です。
参考:Microsoft Intune でデバイスを管理する - Azure | Microsoft Learn
参考:コンピュータのリモートコマンド - Jamf Pro 管理者ガイド | Jamf
※ちなみに、IntuneにおけるワイプはiOS/iPadOS用で、macOSの場合は消去(Erase)から実行する形になるようです。 (ワイプはグレーアウトしているので少し戸惑いました...。あと、メニューの場所が少し分かりづらい...。)
Appleサポートページを参照するとロック、ワイプ以外にも色々なコマンドが存在します。
参考:AppleデバイスのMDMコマンド - Apple サポート(日本)
Jamf Proの場合はほぼすべての項目に対応していますが、Intuneでは対応していないものも多くあります。(Bluetoothやリモートマネージメントのオン/オフなど)
とはいえ、先述の代表的なコマンド以外送る機会があるのかは疑問な部分もありますので、こちらについてはほとんど優劣は無いと捉えて良いかもしれません。
構成プロファイル
構成プロファイルで設定できる内容は以下のAppleサポートページにまとまっています。
AppleデバイスのMDMペイロードを確認する - Apple サポート(日本)
Jamf Proの場合はAppleが提供するほぼすべてのペイロードに対応しており、macOS Server(プロファイルマネージャ)などと同様に様々な構成プロファイルを作成することが可能です。(ローカライズの影響でメニュー名の差は若干ありますが...。)
Intuneの場合は、テンプレートと言う独自の形式でいくつかのペイロードがまとまっており、これが使いやすい場合とそうでない場合があったりします。
実現したい要件がFileVault 2暗号化、ローカルアカウントのパスワードポリシー、OSの機能制限に留まる場合はIntuneの方がわかりやすい可能性もあります。
ですが、その他のペイロードやカスタムプロファイル(例えばGoogle Chromeのホームページやブックマークを指定するなど)を展開したい場合は、先述のプロファイルマネージャやProfile Creatorなど何らかの方法で構成プロファイル(.mobileconfig形式のファイル)を作成してIntuneにアップロードする必要があります。
※また、省エネルギー設定など一部の汎用的なペイロードがしれっと無かったりします...。
そのため、こちらについてもJamf Proの方が優れていると言えますが、要件によってはIntuneでも問題無いかもしれません。事前に要件の確認が必要ですね。
アプリ配布 - App Store
Apple Business Managerと連携することで、両者ともVolume PurchaseによるApp Storeアプリの管理配布が可能です。
参考:Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法 - Microsoft Intune|Microsoft Learn
※Apple Business ManagerとIntuneの連携方法については色々な記事でも解説されていますので、今回は割愛します。連携後、Apple Business ManagerのAppとブックからライセンスの割当先にIntuneを選択してアプリを購入(入手)します。
※購入したアプリがIntune側に中々反映されないことがあったのですが、仕様上、同期は1日に2回となっているようなので、購入後は必ず手動で同期してしまうのがベターかと思います。
同期完了後は、アプリメニューから割り当てを行います。先述のグループ機能の差異などから、あまり柔軟な指定は難しいです。
とはいえ、対象の割り当て後は、問題なくApp Storeアプリが端末に配布されました。
こちらについても、機能面での大きな差異は無いと捉えて良いかと思います。
というわけで、前編は以上となります。
今回は、いわゆるAppleが提供するMDMの基本フレームワークに則った機能を中心にご紹介させて頂きました。
リモートコマンドやApp Storeアプリの配布など、機能的に差異が無いものもありましたが、グループ管理などを中心に、より柔軟にMacを管理しようと考えた場合Jamf Proに優位性が多く見られました。
逆に言うと、基本的なセキュリティ設定を全台一律に適用できていれば良い、ということであればIntuneでもある程度実現出来るケースもありそうです。
この辺りの要件定義や導入に関する疑問点などございましたら、ぜひお気軽にお問い合わせください。
後編では、パッケージ、スクリプト配布などについてまとめますので、こちらも是非ご覧ください!
記事は2021年8月20日現在の内容です。
この記事に付けられたタグ
おすすめ記事を見る
