見出し画像

Jamf ProとGoogle Workspace Enterprise PlusでMDM比較してみた

株式会社3Sunny

皆さん、こんにちは。
3Sunnyでセキュリティエンジニアをしております牧野です。

現在不定期でセキュリティマガジンを発信しています。
今回のテーマはMobile Device Management(以下、MDM)についてです。

・MDM導入を検討されている方
・デバイス管理についてお悩みの方
・Google Workspace Adminのデバイス管理機能について知りたい方

このような方の参考に少しでもなれば幸いです🌟


背景

弊社は40名程度のスタートアップ企業で、この数ヶ月で仲間が急激に増えました。このスピードは今後もっと加速していく予定です。
新入社員向けPCのキッティングを、手作業で1台あたり2時間かけて行っていたのですが、そろそろ限界になりそうでした。
またデバイス管理に関しても、FileVaultなどのシステム設定を社員それぞれに委ねており、会社としてセキュリティポリシーを強制できていませんでした。

そこで今回、MDMサービスを検討することになり、Jamf Proを導入する流れで動いていたのですが、すでに導入済みのGoogle Workspace Enterprise Plus(以下、GWEP)でもMDM機能があると知り、両者を比較することにしました。

検証方法

▼ 利用端末
・Mac … Apple Business Manager(以下、ABM)登録あり・なし
・iPhone … ABM登録あり・なし

▼ 検証内容
・Jamf ProでできることがGWEPでもできるのか?
  ・端末の登録
  ・アプリの配布
  ・デバイスを探す
  ・デバイスのワイプ

・Jamf ProではできないがGWEPでできることはあるのか?

検証結果

端末の登録

▼ Jamf Pro
MacとiPhone共に自動デバイス登録と手動デバイス登録ができます。
自動デバイス登録は、ABM登録ありの端末が、自動的にJamf Proに登録される仕組みです。手動デバイス登録は、ABM登録なしの端末利用者に構成プロファイルをインストールしてもらう仕組みです。

▼ GWEP
MacとiPhoneで登録方法が異なります。
MacはJamf Proのような自動デバイス登録や手動デバイス登録はできません。シリアル番号とタグを記入したCSVファイルをアップロードすることで登録ができます。ABM登録あり・なしは問いません。

Macのデバイス追加1/7
Macのデバイス追加2/7
Macのデバイス追加3/7
Macのデバイス追加4/7
Macのデバイス追加5/7
Macのデバイス追加6/7
Macのデバイス追加7/7

iPhoneはABM登録あり端末に対して、自動デバイス登録が可能でした。
ABM登録なし端末は登録できません。

iPhoneの自動デバイス登録1/3
iPhoneの自動デバイス登録2/3
iPhoneの自動デバイス登録3/3


アプリの配布

▼ Jamf Pro
MacもiPhoneもABM登録あり・なし共に、Self Serviceを用いてアプリ配布ができます。

▼ GWEP
Macにはアプリ配布はできません。
ただし、ABM登録あり・なし共に、アプリインストール先URLをLaunchpad上に配布することは可能でした。

URLの配布1/2
URLの配布2/2

iPhoneはABM登録あり端末で、Google Device Policyを用いてアプリ配布が可能です。

Google Device Policyのアプリ一覧画面


デバイスを探す

▼ Jamf Pro
Macはできません。
iPhoneはABM登録あり端末で機能を使うことができます。

▼ GWEP
MacおよびiPhone共にできません。

デバイスのワイプ

▼ Jamf Pro
MacもiPhoneもABM連携あり・なし共に、ワイプができます。

▼ GWEP
Macに対してはワイプができません。
iPhoneに対してはABM連携ありの端末でワイプができます。

GWEPからデバイスをワイプする
デバイスワイプされたiPhone

GWEP独自の機能

▼ Workspaceにログイン済みの端末の把握
GWEPの特徴として、Endpoint Verificationを用いることでGoogle Workspaceにログイン済みの端末を、デバイス一覧に表示する機能があります。そのため、MDM管理配下に置くことができない端末でのログインも把握することができます。

GWEPのデバイス一覧画面

▼ デバイスをブロックする機能
コンテキストアウェアアクセスに「管理者によって承認されている」を設定し、デバイスを指定して「ブロック」を行うと、そのデバイスからはGoogle Workspaceにログインできなくなります。この機能も、MDM管理配下に置くことができない端末に対してもブロックをすることができます。

コンテキストアウェアアクセス画面
アクセスレベルの編集
デバイスのブロック機能
ブロックしたデバイスからのアクセス

まとめ

JamfとGWEP比較まとめ

Jamf ProとGWEPを比較を通じて、MacについてはJamf Proに圧倒的な優位性がある一方で、iPhoneについてはGWEPでも十分なMDM管理が可能であることがわかりました。
比較を始める前は、GWEPでどれだけのことができるのか疑問でしたが、検証を進めていく中で想像以上の機能を発見し、非常に有益な結果となりました。
弊社では、MacはJamf Pro、iPhoneはGWEPでデバイス管理を始めました。ぜひ皆さんも検討してみていただけたらと思います。


今後も記事を投稿していきますので、
セキュリティマガジンのフォローよろしくお願いします🙌