概要
Google Chromeといえばブラウザのデファクトスタンダード(?)で、多くの組織で利用・管理されているかと思います。たくさん使われるということは、それだけ攻撃者の標的になりやすいということでもあります。そのため、基本的には常に最新バージョンを利用することが組織では求められますが、なかなか即時の全社展開が難しいものです。そこで、Intuneのスクリプトを利用してユーザを誘導してアップデートを促すような仕組みを作ってみました。
スクリプト
gist : https://gist.github.com/Miyu-dev/8ab8fe2cd25e73e064df61f8a4d6a72a
仕様とか注意点とか
バージョン情報の取得は、Chrome DevのVersionHistory APIを利用しています。https://developer.chrome.com/docs/web-platform/versionhistory/reference?hl=ja
MacにインストールされているChromeバージョンと、Stable ReleaseしているChromeのバージョンを比較して、一致しない場合はポップアップを表示する単純な仕組みです。ポップアップ内の「更新する」ボタンは、Chromeの「chrome://settings/help」を直接開くようにしているため即時のアップデートが可能でユーザ体験としても悪くないと思われます。
実装ポイントですが、バージョンの大小を比較せず一致するかしないかを見ているという部分になります。この手のアプリケーションはバージョンが「111.222.333.444」といった複数の「.」で区切られた番号が付けられますが、これを数字として比較しようとすると複雑化するためです。今回のような場合、Chromeが最新なのかそうではないのかだけ見ればよいため、合理的です。
Intuneでは、単にスクリプトとして配布するだけで機能しますので特別な設定は不要です。
配布する際の注意点ですが、繰り返し実行は数時間おき・1日おきをおすすめします。
なぜかというと、Chromeは緊急リリース・ラピッドリリースするときに段階的ロールアウトを行うため、APIで最新バージョンが取得できるのに実際のアップデートはまだ提供されていないという状況が発生するためです。「アップデートあるって言うから対応したのにアップデートされないし、頻繁に表示されて邪魔くさい」と思われると、今後のユーザの対応が悪くなる可能性が高くなるため、ここは要調整下さい。
Chrome Enterprise環境があれば、「RelaunchNotification」などのポリシーを合わせて適用すると効果的かもしれません。
参考にした情報
JamfProの場合、Jamf Helperを使うことで簡単に実装できる かつバージョン管理も容易であるという発想をベースに今回はスクリプト作成しました。
https://note.com/yasuym1/n/n92c1560d1952
あくまでもGoogle Chromeだけに対応するものですが、お役に立てたら嬉しいです。