ScalefusionというMDMを使ってみた
この記事は「corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#1 Advent Calendar 2024」の12/1、トップバッターの記事となります。
まずは情シスSlack 5周年おめてとうございます!
初期に参加したうちの1人だったりするので感慨深いなと思うと共に運営の皆様いつもありがとうございます。
はじめに
さて、まず簡単に自己紹介させていただきますと、みともりと申しまして直近で情シスを10年くらいやっております。ちなみに今年の1月から独立して主に情シスの皆さんを支援する仕事を始めております。(もちろん情シスもやってます)
最近はエンドポイントデバイス関連、特にMDMの導入・運用に関してご相談をいただくことが多いのですが、2022年から続く円安のおかげで、MDM製品に対して「え、高いね」と言われることが多いです。
「MDMを導入したい」とご相談いただく場合は、まずは世の中にナレッジが多いこともあり Microsoft Intune(以下Intune)や Jamf Pro をお勧めすることが多いです。ただ、はじめてMDMを導入する組織では外部や経営層から言われてやむを得ずにというケースが多く、事前に情報があまり無いなかで費用を聞くと「いや、こんな高いとは思ってなかったな...」と二の足を踏んでしまうことが多々あります。
お金をあまりかけずになんとかする方法はあるものの、機能が足りなかったり構築や運用に一手間二手間必要だったりとなかなかそういう選択肢も取りづらいのですが、他のことを差し置いてデバイスの統制にお金や工数を出しましょうと言うのもちがうよな...と、ご支援している立場としてなかなか心苦いことがありました。
ということで、そこそこ機能が豊富で、そこそこ安い、運用も難しくない、そんないい感じのMDMがないかなと調べてみましたが...ありました。
Scalefusion というMDMです。
Scalefusionとは
ChatGPTに聞いてみました。
Scalefusionは、モバイルデバイスおよびエンドポイント管理(MDM/EMM)ソリューションを提供する企業で、2015年にインドのプネを拠点とするProMobi Technologiesによって設立されました。当初は「MobiLock」として知られていましたが、現在では企業のIT管理者が多数のデバイスを効率的かつ安全に管理できるプラットフォームを提供しています。
現在、Scalefusionは120か国以上で8,000社以上の企業に採用されており、特に中小企業から大企業まで幅広い業界で支持されています。2024年には、G2の「Unified Endpoint Management (UEM)」分野でリーダーとして認められました。
2015年にMobiLockという名前でサービスを開始した(調べたら設立は2014年)ということですが、群雄割拠のMDM業界で現在もアップデートがあるようなのでサービスの継続性は信頼できるのではないでしょうか。
本社がインドといえばFreshworksやZohoなんかもそうですが、インド発のSaaSはコスパいいものが多い気がします。
そして気になる価格がこちら
一番安いEssentialsプランだと1デバイスあたり日本円で約300円/月です。(2024年11月30日現在)
安い!
これならとりあえず導入してみようかなと思える価格帯じゃないかと思います。
Essentialsプランで対応している機能はこんな感じです
対応OS : Windows, macOS, iOS, Android
自動登録:ADE対応
アプリ管理:Microsoft Store, Apple App Store, Google Play
収集できるデバイス情報:ハードウェア情報、ソフトウェアインベントリ、位置情報の履歴
リモートコマンド:ワイプ、紛失モード、再起動、シャットダウン
ただし、Essentialsプランでは、
・セキュリティポリシーは設定できない
・カスタムアプリは配布できない
ので、この2点が許容できれば全然アリだと思います。
ということでどんな感じかちょっと触ってみたいと思います。
トライアル
Scalefusion は14日間のトライアルが可能です。(強制的にEnterpriseプランでのトライアルとなります)
ちなみに、もしトライアルしたい方はM365によるサインインを選択しEntra IDのグローバル管理者アカウントで連携しておくと、後でEntra IDと連携しようとするときに楽です。
今回はEssentialsプランで使える機能 + Windowsの管理という観点で試してみたいと思います。
なお、利用規約で明示的に許可されているか確認できなかったのでスクリーンショットは控えます。気になる方は実際にトライアルしてみてください。
Windowsの登録
ブラウザで登録用のURLにアクセスし、特定のコードを入力するとあとは基本的に画面通りに進めるだけで登録が完了します。エージェントも自動でインストールされます。ここまで簡単だとゼロタッチじゃなくても運用は結構楽だと思います。
ちなみに手順はちょっと異なりますがHomeエディションでも登録可能です。
「今後はProで調達する予定だけど、現在のPCをリプレイスするまではHomeのまま使い続けたい」というケースはそこそこあるのでそれに対応できるのは強いですね。
デバイス構成情報
OSのバージョン・エディションやシリアル番号やモデルなどの一通りのハードウェア情報は取得できます。
接続しているネットワークの情報や、ストレージの使用率なんかも取得できます。
これだけあったらほとんどのケースでは困らないだろうなという感じです。
位置情報
なぜか位置情報をデフォルトでめちゃくちゃ細かく取得してます。時間ごとの位置情報の履歴も見れるので「これ大丈夫かな?」とちょっと思いました。(とはいえOSの位置情報サービスを有効にしていないと取得はできないはず)
プライバシーの観点で逆に取得したくないという企業も多いと思いますが、(多分)無効化することはできると思います。
リモートコマンド
ワイプ(初期化)やシャットダウン、再起動はもちろん対応しています。
そしてIntuneには実装されていない「リモートロック」が使えるのがポイントだと思います。
リモートロックを実行すると青い画面にメッセージが表示されてなにも操作ができなくなり、リモートからアンロックすることで再度利用可能になります。
なお、ロックの際のメッセージは日本語にしたところ文字化けしてしまいました。
その他の機能
上位プランになると便利な機能が使えるようになりますので一部を紹介します。
詳しくはこちら
Entra joinによる自動登録
WindowsPCをEntra joinした際に自動でScalefusionを登録することができます。Autopilotも利用できるようですがESP(登録ステータスページ)は利用できません。デスクトップが表示されてからアプリのインストールや構成プロファイルの適用が開始するという動作になります。ゼロタッチは少し厳しいかも。
動的グループ
Entra IDの動的グループや、Jamf Proのスマートグループのような機能です。前者2つのように即時もしくは短時間で更新されるわけではないですが、同様にデバイスの条件を指定してグループにデバイスやユーザーを追加することができます。
ちなみにデバイスに特定のソフトウェアがインストールされているかを条件にすることができるので結構便利です。(Intuneはこれができない)
高度なセキュリティポリシー
Appleデバイスへの構成プロファイル(mobileconfig)やWindowsのCSPを設定することができます。テンプレートが少ないのでIntuneやJamfでよく使う内容を設定しようとするとちょっと苦労するかもしれません。
とはいえmobileconfigやCSPを直接XMLで記述できるので、頑張ればIntune/Jamf Proでできる設定はScalefusionでも設定できます。(極論)
Scalefusion公式でXMLのサンプルや設定変更用のPower Shellが数多く用意されているので、MDMのプロフェッショナルではなくても意外となんとかなったりします。
アプリカタログ
Windows用にScalefusion独自のアプリカタログが用意されています。7zipやChromeなどがカタログに含まれているのでカスタムアプリとして設定する手間が不要です。
IntuneのエンタープライズアプリカタログのようなものですがScalefusionの場合はプランに含まれているのでコストを抑えることができます。
(Intuneはアドオンライセンスが必要なのでハードルが高い)
Macに関してはVPPのみです。Jamf App Catalogのような機能はありませんがカスタムアプリを設定できるのである程度はなんとかできます。(もちろんWindowsもカスタムアプリの設定が可能)
リモートコントロール
専用のエージェントを配布しておくことでIT管理者によるリモート操作が可能です。IntuneだとアドオンですがScalefusionだとプランに含まれています。
なお、リモート操作する際は必ず利用者の承認が必要です。
ファイルの配布
Scalefusionにアップロードした任意のファイルを指定したパスに配布できます。
Intuneでファイルを配布しようとすると、わざわざintunewinファイルを作ってアプリとして配布する必要があったのでその点Scalefusionはかなり使い勝手が良いです。
URLで公開されたGoogle Driveのファイルをダウンロードさせることもできるので、随時更新されるオンボーディング用のドキュメントを配布するなんて使い方もできそうですね。
この機能でインストーラーを配布して後からスクリプトで実行という使い方もできます。
スクリプトの実行
PowerShell(Windows)およびShell Script(macOS)を実行することができます。定期的に実行することもできるので地味に便利です。(IntuneでPowerShellを定期実行するには追加ライセンスが必要)
EDRやIdPがついてくる?
Scalefusionに組み込まれた形で、OneIdPというIdPやVelterというEDR/CASB的な機能が提供されるらしいです(オプションになるかは不明)
もしかしたらAll-In-Oneなソリューションとして使えるようになるかもしれません。
Scalefusionがイマイチなところ
ゼロタッチキッティングが厳しい
ESPが無かったりアプリのインストールの順番を指定することができないので、ゼロタッチにした場合はなにも表示されない画面でインストールを待つ必要があるので運用はちょっと厳しいかなと思います。
セルフサービスがない
Jamf Pro の Self Service、Intune の Company Portal のように利用者自身がアプリのインストールを実行する機能がありません。割り当てられたアプリは全て強制的にインストールされます。
Jamf Proの「ポリシー」のような機能がない
Jamf Proはポリシー機能で複雑なアクションを実装することができますが、Scalefusionではそこまで細かい運用はできません。
プロファイルの割り当てが直感的ではない(?)
これは私がIntuneやJamf Proに慣れすぎていることが原因だと思うのですが、アプリや構成プロファイルを直接デバイスに割り当てられないので最初はちょっとわかりづらいです。
(すみません、言語化しづらくて意味がわからないと思うかもしれませんが使ってみたらわかります)
インストールされているアプリ一覧が見づらい
デバイスの詳細からインストールされているアプリを確認しようとすると、リスト形式ではなくアイコンが並んでいる形式なのでぱっと見でわかりづらいです。正直なところリスト形式でも表示して欲しいところ。
日本語対応が弱い
言語設定で日本語を選択できますが、翻訳がイマイチだったり一部は英語のままだったりします。
さいごに
触ってみた感想としては、癖がある部分はありつつも必要な機能は最低限揃っているし一部機能は他のMDMより使い勝手がよいという感想です。
「最初はEssentialsプランで最低限管理して、セキュリティを強化したくなったら上位プランにアップグレード」という進め方は普通にアリだと思いました。
ただ、私も全ての機能を試せたわけではないですし長期間運用したわけではないので、実際にしっかり運用して他のMDMと比較していきたいなと思います。
(もしPoCやってみようかなという方がいたらぜひお声がけください!)
ちなみに公式ドキュメント( https://help.scalefusion.com/ )がかなり充実しているので、使ってみる場合は一通り読んでもらうだけでなんとかなったりしますが、癖が強いなという部分もあるので、使ってみたいけど自社だけじゃ不安かもという方がいたらぜひ私のXアカウントまでご相談ください。
ということでインド発MDMの Scalefusionのお話でした。
おわり。
Discussion