【後編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた


Intune後編.png

Macの管理はMicrosoft Intuneで事足りる?

前編では、MDM基本フレームワークの機能を中心に比較を進めてきました。

(前回の記事はこちら!)
▶︎【前編】IntuneでMacはどこまで管理できるのか?Jamf Proの各種機能と比較してみた

後編ではmacOS管理の要、パッケージ、スクリプト配布に関する比較などが中心となります。(前回同様少し長めの内容となっていますので、目次の気になるところを適宜ご参照ください!)

目次

    ----------【前編】----------
  1.  はじめに
  2.  インベントリ
  3.  2-1. デフォルトで収集できる情報
     2-2. グループ管理
     2-3. 追加の情報を収集
  4.  リモートコマンド
  5.  構成プロファイル
  6.  アプリ配布
  7.  5-1. App Store
    ----------【後編】----------
     5-2. パッケージ
     5-3. パッケージ(カスタム)
     5-4. ポータルサイト
  8.  スクリプト配布
  9.  制限付ソフトウェア
  10.  パッチ管理
  11.  まとめ

アプリ配布 -パッケージ

Macで使用するアプリは、パッケージ(.pkg形式のファイル)を実行してインストールするものが多く存在します。

・Macでインターネットまたはディスクからアプリケーションをインストールする/アンインストールする

0001.png

Jamf Proでは、ポリシー機能を活用してパッケージを展開することが可能です。
Intuneの場合は、基幹業務(LOB)アプリという機能がそれに該当します。

・macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法

0002.png

これにより、キッティング作業の自動化だけでなく、管理者権限が無いユーザに対してもサイレントでアプリを追加する事が可能です。

Jamf Proの場合は入手したパッケージをそのままアップロードして配布することが可能ですが、Intuneの場合はMac用のIntuneアプリ ラッピング ツール(およびコマンドライン)を使用して、.pkg形式のファイルを.intunemac形式のファイルに変換してやる必要があるなど少し手間がかかります。

※例えば、Google Chrome.pkgを変換する場合、以下のような作業をターミナル上で行うのですが、詳細な手順については先述のMicrosoft Docs、あるいは以下の素晴らしい記事などで解説されているため今回は割愛します。(丸投げ...)

・くらめその情シス:Intuneで業務用アプリを自動インストール(MacOS編)

0003.png
また、ポリシー機能の場合はトリガー実行頻度という概念を組み合わせることで、 「次回チェックイン時(デバイスとJamf Proサーバが疎通するタイミング)にコンピュータに対して1回実行」「Macのログイン時に毎回実行」など適用タイミングをかなり柔軟にコントロールすることができますが、Intuneの場合は登録されてから1 時間まで 15 分ごと、その後は約 8 時間ごとに固定されているため、インストール完了までにかなり時間がかかる場合があります。

・デバイスへのポリシー、プロファイル、アプリの割り当て後にそれらが取得されるまでどれくらいの時間がかかりますか。

0004.png

その他にもIntuneでは、アプリごとに最大2GBのサイズ制限があるため、例えばmacOSインストーラやXCodeやAdobe Creative Cloudなど、容量の大きいパッケージを配布することが難しいといった問題もあります。

このようにパッケージ配布機能自体はどちらも有しているものの、使い勝手はJamf Proのほうが圧倒的に優れていると言えます。

そのため、定期的に新しいアプリやアップデートを配布する必要がある、ユーザに管理者権限が無い、といった場合にはJamf Pro一択となってくるかと思いますが、端末のキッティング時にGoogle ChromeやZoomなどの必須アプリをいくつかインストールしておいて後はユーザの自由にお任せ!、といった場合にはIntuneでも事足りる可能性はあるかもしれません。

アプリ配布 - カスタムパッケージ

Macで使用するアプリの中には以下のように、ディスクイメージ(.dmg形式のファイル)を展開すると中にアプリ本体(.app形式のファイル)が格納されており、それをコピーしてインストールするものも多く存在します。

0005.png
MDMを使用してアプリを配布する場合、基本的にはパッケージ形式にビルドされている必要があります。
そのため、こういったアプリについては何らかの方法でパッケージ化してやる必要があります。

Jamf ProにはComposerというツールが提供されており、GUI上で比較的簡単にパッケージを作成することが可能です。
・Composer ユーザガイド | Jamf

例えば、Firefoxをインストールするパッケージを作成するだけなら、以下のようにアプリケーションフォルダに格納済のFirefox.appをComposerにドラッグアンドドロップするだけでソースが作成できます。

0006.png 0007.png

Intuneの場合そういったツールは提供されていないため、以下のリンクなどを参照しすべての工程をコマンドラインで行う必要があります。
・How to deploy DMG or APP-format apps to Intune-managed Macs

その際、.intunemac形式に変換するためには、Developer ID証明書によるパッケージへの署名が必要なため、Apple Developer Programへの登録など、割とハードルが高めです。

したがって、先程のFirefoxの他にもDropboxやNotionなどMacでよく使用するアプリを配布する度、Intuneは手間取ってしまうことになります。 事前に自社で必要なアプリがパッケージ形式で提供されているものか、あるいはそうでないか確認しておく必要がありそうです。

0008.png

スクリプト配布

Macではスクリプトを用いて、色々な設定を適用することがあります。Jamf Proの場合、スクリプトもポリシー機能で配布することが可能です。
Intuneの場合は、デバイスメニューのシェルスクリプトから配布することが可能です。

0009.png

※IntuneでMacにスクリプトを展開する方法については以下の素晴らしい記事で詳細に解説されていますので併せてご参照ください。(丸投げ2...)
・Intuneからmacにシェルスクリプトを流してみた

基本的に両者ともスクリプトをアップロードして配布する、という流れは同じです。
また、適用タイミングについても今回はIntuneもかなり健闘しています。

0010.png
というわけで、両者とも引き分け...、に見えるのですが、細かな使用感が異なっています。
その中でも、アップロードしたスクリプトの内容をプレビューできない、ダウンロードできないという点が大きいです。
また、Jamf Proの場合UI上で編集もできるため、検証時には非常に助かります。

0011.png

スクリプトはすべてGitHub等で管理しているので問題ないよ!、というスマートなお客様も中にはいらっしゃると思いますが、Jamf Proの場合更にこんな便利なこともできたりします。(すごい...。 これは完全に丸投げです...。)
・GitHub Actions を使って Jamf Pro にスクリプトを自動デプロイしてみた

したがって、スクリプトを使用してMacをより細かく管理していこうとする場合、やはりJamf Proの方に分があるかな...、と感じました。

制限付ソフトウェア

Jamf Proには、指定したアプリケーションやプロセスを制限/削除する制限付ソフトウェアという機能があります。
例えばチェスの利用を制限する場合は以下のような形になります。

0012.png
設定内容としてはプロセス名にChess.appと指定、検出時に強制終了するか削除するか選択し、その際に表示するメッセージを入力するだけです。 実際にデバイスでチェスを起動しようとすると以下のような形になります。

0013.png
シンプルかつ便利な機能で、企業として制限したいアプリをあらかじめ指定しておくことで、ユーザがインストールしたとしても利用を防ぐことが可能です。

また、制限付ソフトウェアはmacOSのメジャーアップグレードを抑制するためにも用いられます。
以下のような形で指定することで例えば、「自社で導入しているアンチウイルスソフトがmacOSの最新バージョンに対応していないので、対応までの間アップグレードを抑制する」なんてことも可能になります。

0014.png 0015.png
※macOSバージョン管理については以下の動画を併せてご覧ください。
・Apple OS アップグレード 上級編 - YouTube

そんな制限付ソフトウェアですが、Intuneの場合、該当する機能が存在しません...!
構成プロファイルの「デバイスの制限」テンプレート内に、制限付きアプリというメニューは存在しているのですが、こちらはアプリの起動を制限するものではなく、あくまでもアプリがインストールされているかの状況を監視するための機能となります。
設定方法としては、以下のようにアプリのバンドルIDを検索して指定します。

0016.png
このバンドルID、コマンドを使用しないとわからない場合があるため、ちょっと戸惑いますね。

0017.png

しかしそんなことはまだ序の口、この制限付きアプリ、展開後のステータスが非常に分かりづらいです...!以下の画像をご覧ください。

①指定したアプリがインストールされていない時
0018.png

②指定したアプリがインストールされている時
0019.png

※筆者は当初、macOSのプリインストールアプリであるチェスを指定して検証を行っていたため、「展開状態:失敗」を「プロファイルの配布自体が何らかの要因で失敗したのかな...。」と無駄に頭を悩ませてしまいました...。
その後、「"このビューのデータはライブです。"ってそういうことか...!」と納得しつつも、地味に今までで一番ストレスが溜まったのは内緒です。

というわけで、制限付ソフトウェアに関しては、Jamf Proの完勝です!
macOSのlaunchdを駆使してスクリプトで擬似的に監視することも(やろうと思えば)できなくはないですが、上記のような要件がある場合、基本的にJamf Proを選択したほうが良いかと思います。

・Macの「ターミナル」でのlaunchdを使ったスクリプトの管理

パッチ管理

Jamf Proには、アプリのバージョンを管理するパッチ管理機能があります。
これにより、例えば何台のデバイスにGoogle Chromeがインストールされていて、また、どのバージョンを使用しているか確認することができます。

0020.png
Intune の場合、こういった機能は存在しないので、インベントリ詳細画面からデバイスごとに確認する必要があります。 もちろんそれで問題ないケースもあるかと思いますが、管理する台数が多い場合、状況をサマリー化出来るのは割と重要だったりします。

前編でご紹介した拡張属性/カスタム属性を使用してスクリプトで似たような情報を一覧化することもできなくはないですが、カスタム前提のお話なので、標準機能でここまで管理できるのはアドバンテージかなと思います。

0021.png
ちなみに、パッチ管理の一覧にはかなりの数(2021年8月時点で)がありますので、普段業務で使用しているアプリの多くはサマリ化できるかと思います。
(ただ、セキュリティ製品まわりが少しさびしい感じです。2021年8月時点で、EPPだとMcAfee/Symantec/Sophos、EDRだとMicrosoft Defenderしかない状態でした。今後に期待ですね!)

まとめ

後編ではMDMの基本フレームワーク以外の部分を中心に比較を行いました。
コマンドラインを使用したり、カスタム要素も絡んでくるため、前編以上にIntuneとJamf Proで大きく差が出たように思います。

また、前後編を通して強く感じたのは、
一度構築した環境のまま、基本的にいじらない、有事の際のみ状況を確認する、ということであればIntuneでも問題ない場面はいくつかあったものの、リアルタイムにMacを管理していく上ではやはりJamf Pro一択だな、という点です。

日々の運用でIntuneと付き合っていくのはUI、現状の機能、適用タイミングのハンドリングの面などから、ストレスになる部分が多く出るのではないかと...。

とはいえ、Jamf Proもその機能の豊富さ故、取っ掛かりにつまづく点もあるかと思います。
※特に、「メニューが多すぎるので不要な項目を非表示にできませんか?」というのは最近よく頂くご質問だったりします。

現状抱えている課題、導入のご相談、その他気になることがございましたら、ご提案、サポートさせて頂ければと思いますので、ぜひお気軽にお問い合わせください!


というわけで、前後編に渡ってお送りしてきた、Intune/Jamf 比較記事、これにてひとまず終了です。
お付き合いいただきありがとうございました。
今後も、Appleデバイス管理、Jamfにまつわる情報をブログ、YouTubeを通じて発信していきますので、よろしければぜひご覧ください!

Apple相談会汎用.png

Apple専用の統合デバイス管理Jamf Pro
Apple法人導入Tipsへ

記事は2021年8月31日現在の内容です。

page top