Jamf ProとGoogle Workspace Enterprise PlusでMDM比較してみた
皆さん、こんにちは。
3Sunnyでセキュリティエンジニアをしております牧野です。
現在不定期でセキュリティマガジンを発信しています。
今回のテーマはMobile Device Management(以下、MDM)についてです。
このような方の参考に少しでもなれば幸いです🌟
背景
弊社は40名程度のスタートアップ企業で、この数ヶ月で仲間が急激に増えました。このスピードは今後もっと加速していく予定です。
新入社員向けPCのキッティングを、手作業で1台あたり2時間かけて行っていたのですが、そろそろ限界になりそうでした。
またデバイス管理に関しても、FileVaultなどのシステム設定を社員それぞれに委ねており、会社としてセキュリティポリシーを強制できていませんでした。
そこで今回、MDMサービスを検討することになり、Jamf Proを導入する流れで動いていたのですが、すでに導入済みのGoogle Workspace Enterprise Plus(以下、GWEP)でもMDM機能があると知り、両者を比較することにしました。
検証方法
検証結果
端末の登録
▼ Jamf Pro
MacとiPhone共に自動デバイス登録と手動デバイス登録ができます。
自動デバイス登録は、ABM登録ありの端末が、自動的にJamf Proに登録される仕組みです。手動デバイス登録は、ABM登録なしの端末利用者に構成プロファイルをインストールしてもらう仕組みです。
▼ GWEP
MacとiPhoneで登録方法が異なります。
MacはJamf Proのような自動デバイス登録や手動デバイス登録はできません。シリアル番号とタグを記入したCSVファイルをアップロードすることで登録ができます。ABM登録あり・なしは問いません。
iPhoneはABM登録あり端末に対して、自動デバイス登録が可能でした。
ABM登録なし端末は登録できません。
アプリの配布
▼ Jamf Pro
MacもiPhoneもABM登録あり・なし共に、Self Serviceを用いてアプリ配布ができます。
▼ GWEP
Macにはアプリ配布はできません。
ただし、ABM登録あり・なし共に、アプリインストール先URLをLaunchpad上に配布することは可能でした。
iPhoneはABM登録あり端末で、Google Device Policyを用いてアプリ配布が可能です。
デバイスを探す
▼ Jamf Pro
Macはできません。
iPhoneはABM登録あり端末で機能を使うことができます。
▼ GWEP
MacおよびiPhone共にできません。
デバイスのワイプ
▼ Jamf Pro
MacもiPhoneもABM連携あり・なし共に、ワイプができます。
▼ GWEP
Macに対してはワイプができません。
iPhoneに対してはABM連携ありの端末でワイプができます。
GWEP独自の機能
▼ Workspaceにログイン済みの端末の把握
GWEPの特徴として、Endpoint Verificationを用いることでGoogle Workspaceにログイン済みの端末を、デバイス一覧に表示する機能があります。そのため、MDM管理配下に置くことができない端末でのログインも把握することができます。
▼ デバイスをブロックする機能
コンテキストアウェアアクセスに「管理者によって承認されている」を設定し、デバイスを指定して「ブロック」を行うと、そのデバイスからはGoogle Workspaceにログインできなくなります。この機能も、MDM管理配下に置くことができない端末に対してもブロックをすることができます。
まとめ
Jamf ProとGWEPを比較を通じて、MacについてはJamf Proに圧倒的な優位性がある一方で、iPhoneについてはGWEPでも十分なMDM管理が可能であることがわかりました。
比較を始める前は、GWEPでどれだけのことができるのか疑問でしたが、検証を進めていく中で想像以上の機能を発見し、非常に有益な結果となりました。
弊社では、MacはJamf Pro、iPhoneはGWEPでデバイス管理を始めました。ぜひ皆さんも検討してみていただけたらと思います。
今後も記事を投稿していきますので、
セキュリティマガジンのフォローよろしくお願いします🙌