Ein ausführlicher Bericht über die Kandji-Plattform von Rocketman Tech

Chris wurde für diesen Blog-Beitrag nicht finanziell vergütet und die geschilderten Ansichten sind seine eigenen und werden von Jamf nicht gesponsert.

Wie viele Unternehmen melden wir bei Rocketman Tech unsere Geräte bei der mobilen Geräteverwaltung (MDM) an. Wir sind immer auf der Suche nach dem besten MDM basierend auf der Qualität und dem Umfang der Funktionen sowie seiner Benutzerfreundlichkeit. Heute vergleichen wir den Pionier und die beliebteste MDM-Plattform Jamf Pro mit Kandji, einer neueren Plattform, die 2018 auf den Markt kam.

Die Oberfläche

Werfen wir zunächst einen Blick auf die Kandji-Oberfläche. Die Kandji-Oberfläche umfasst folgende Module:

• Geräte: Hier werden die registrierten Geräte gespeichert.
• Blueprints: Hier können Sie Ihre Geräte gruppieren.
• Bibliothek: Hier können Sie Lesezeichen, benutzerdefinierte Apps, Drucker, Profile und Skripte erstellen.
• Benutzer: Hier befinden sich die Benutzerdaten, einschließlich der Benutzer*innen, die von einem Identitätsprovider (IdP) bezogen werden.
• Aktivität/Warnmeldungen: zeigt Änderungsmanagementprotokolle sowie alle Warnmeldungen auf Geräten an
• Geräte hinzufügen: Hier können Sie die verschiedenen Registrierungsoptionen für die Kandji Plattform durchgehen.
• Integrationen: Hier können Sie andere Plattformen in Kandji integrieren.
• Einstellungen: zum Einstellen aller globalen Einstellungen.

Geräte

Im Abschnitt „Geräte“ werden alle Ihre bei Kandji registrierten Geräte aufgelistet. In diesem Bereich können die Benutzer*innen:

• Eine Liste von Geräten anzeigen lassen
• Geräte nach bestimmten Kriterien filtern
• Details zu einem bestimmten Gerät anzeigen lassen
• Warnmeldungen und Protokollen für die Geräte anzeigen lassen
• Einen Benutzer oder ein Asset-Tag zu einem Gerät hinzufügen
• Sehen, zu welchem Blueprint das Gerät gehört
• Notizen zu einem Gerät hinzufügen
• Sehen, welche Anwendungen sich auf dem Gerät befinden

Blueprints

MacOS und iOS Geräte werden in Gruppen sortiert, die Blueprints genannt werden, ähnlich dem Apple Configurator und Jamf Now. Die Benutzer*innen erstellen Blueprints für jede Gruppe von Konfigurationen, die sie brauchen. Alle Geräte in einem Blueprint haben die gleichen Anwendungen, Konfigurationsprofile und Einstellungen für alle Geräte in diesem Blueprint.

Bibliothek

Hier wird der größte Teil der Arbeit auf der Plattform erledigt. Im Bereich „Bibliothek“ können Sie z. B. Pakete und Skripte erstellen, die über die Blueprints auf den Geräten bereitgestellt werden, zu denen sie gehören. Über die Bibliothek können Sie die Folgendes bereitstellen:

• Profile: Voreingestellte Konfigurationsprofile
• Auto-Apps: Anwendungen, die automatisch installiert und aktualisiert werden
• Automatisierte Geräteregistrierung: Prestage-Registrierungsprofile
• Liftoff: Bildschirme für die Registrierung, ähnlich wie bei Jamf macOS Onboarding
• Passport: Synchronisierung von Benutzerkonten mit einem Identitätsprovider, ähnlich wie Jamf Connect
• Lesezeichen: Weblinks im App-Katalog von Kandji
• Betriebssysteme: bestimmte Betriebssysteme, die auf den Geräten bereitgestellt werden können
• Benutzerdefinierte Apps: ermöglicht das Hochladen von PKG-, DMG- und ZIP-Dateien
• Benutzerdefinierte Drucker: Drucker, die über eine IP-Adresse zugewiesen werden können
• Benutzerdefinierte Profile: Benutzerdefiniertes XML, das als Konfigurationsprofil bereitgestellt werden kann
• Benutzerdefinierte Skripte: Bash-Skripte, die direkt auf dem Gerät ausgeführt werden

Benutzer*innen

Die Benutzerdaten werden im Bereich „Benutzer“ gespeichert. Hier werden alle Benutzer*innen angezeigt, die den Geräten im Modul „Geräte“ zugewiesen sind. Wenn Sie einen Identitätsprovider integriert haben, werden auch alle Benutzer*innen Ihres Identitätsproviders angezeigt. Dies unterscheidet sich von Jamf, wo nur die Benutzer*innen angezeigt werden, die den Geräten zugewiesen sind, und nicht das gesamte LDAP-Verzeichnis.

Geräte hinzufügen

Es gibt verschiedene Möglichkeiten, Geräte über Kandji hinzuzufügen:

• Registrierungsprofil: Sie können ein Registrierungsprofil direkt auf das Gerät herunterladen. Dadurch wird das Gerät in eine bestimmte Vorstufe versetzt.
• Registrierungslink: Sie können den Benutzer*innen einen Link zur Verfügung stellen, um ihr Gerät zu registrieren.
• Apple Business Manager oder Apple School Manager: Die gängigste Methode zur Registrierung von Geräten ist der Apple School Manager oder der Apple Business Manager. Diese Integration wird im Bereich „Einstellungen“ zusammen mit dem Bereich „Bibliothek“ eingerichtet.

Integrationen

Im Bereich „Integrationen“ können Sie verschiedene Integrationen über Kandji hinzufügen. Dazu gehören:

• Integration von Google Workspace Directory
• Azure Active Directory-Integration
• SCIM-Integration für andere Identitätsprovider, einschließlich Okta
• Microsoft Teams Webhooks-Integration, zum Senden von Warnmeldungen an Microsoft Teams

Einstellungen

Schließlich gibt es noch die Einstellungen. Hier können die Benutzer*innen eine Reihe von globalen Einstellungen vornehmen, darunter:

• Festlegung Ihres Firmennamens
• Erstellen des Push-Zertifikats
• Integrationen für Apple School Manager oder Apple Business Manager
• Self Service Konfiguration
• Erstellung von API-Token

Was uns gefällt

Das Beste an der Kandji-Plattform ist, dass sie visuell ansprechend, modern und einfach zu bedienen ist. Viele der Bibliothekselemente sind vorgefertigt und können schnell und einfach genutzt werden. Blueprints sind zwar etwas begrenzt, aber eine sehr intuitive und einfache Möglichkeit, Gruppen zu erstellen, die ansonsten recht komplex sein könnten.

Außerdem hat die Plattform einige tolle, bereits integrierte Funktionen. Onboarding-Bildschirme und die Passwortsynchronisation mit einem Identitätsprovider lassen sich mit Liftoff und Passport leicht einrichten. Auto Apps ermöglicht die einfache Bereitstellung und Patch-Verwaltung für eine Vielzahl von Mac-Anwendungen.

„Betriebssysteme“ ist eine elegante und einfache Möglichkeit, macOS über mehrere Betriebssysteme und Architekturen hinweg zu aktualisieren, was auf einer MDM-Plattform wie Jamf detaillierte Community-Skripte (wie Kevin Whites S.U.P.E.R.M.A.N.) erfordern würde. Bei Kandji gibt es sogar einen Artikel darüber, wie diese Aktualisierungen in Abhängigkeit von diesen Variablen durchgeführt werden:

Der Vergleich mit Jamf Pro

Ein Vergleich zwischen Kandji und Jamf Pro scheint nicht wirklich fair zu sein - weder für die eine noch für die andere Plattform. Jamf kann nicht mit der Einfachheit und Benutzerfreundlichkeit von Kandj mithalten, aber diese Einfachheit hat ihren Preis: Einschränkungen. Jamf hat einen unglaublich viele Funktionen, an die Kandji nicht annähernd herankommt. Als jemand, der Jamf Pro in Hunderten von Umgebungen eingerichtet hat, weiß ich, dass viele der Werkzeuge in Jamf Pro nur von 10-20 % der Kunden verwendet werden, aber für die Kunden, die sie verwenden, sind diese Werkzeuge für ihre Arbeitsabläufe unerlässlich.

Um das Ausmaß dieser Unterschiede zu verstehen, muss ich das Ganze ein wenig aufschlüsseln.

Oberfläche Betrachten wir zunächst nur die Komponenten. Ich war in der Lage, die gesamte Benutzeroberfläche von Kandji in einem kurzen Blogbeitrag zu zeigen, und sie hat wirklich nur neun Bereiche. Jamf Pro hat 75 Komponenten, allein in den Einstellungen. Insgesamt verfügt Jamf über 100 Komponenten, die seine Plattform antreiben. Ich weiß, dass dies kein 1:1-Vergleich ist, aber es zeigt, was man in Jamf und Kandji alles machen kann.

API Die Jamf-API hat viel mehr Befehle zur Verfügung als die API von Kandji. Zum Vergleich: Kandji verfügt über etwa 50 Befehle, die über die Plattform gesendet werden können, die größtenteils aus GET-Befehlen bestehen, und erlaubt es nicht, die Plattform über die API stark anzupassen. Jamf hingegen verfügt über Tausende von Befehlen, die über die von Jamf angebotenen klassischen und produktiven APIs gesendet werden können. Damit können Sie fast jede Komponente in Jamf Pro automatisieren, eine Funktion, die wir bei Rocketman Tech intensiv nutzen.

Kriterien: Während Kandji nur 14 Kriterien für die Erstellung von Berichten anbietet, bietet Jamf Pro über 150 Kriterien (sogar noch mehr, wenn Sie Erweiterungsattribute haben), so dass Sie Ihre Berichte an Ihre Bedürfnisse anpassen können.

Smart Groups Die leistungsstarken Smart Groups von Jamf Pro gehen über Blueprints hinaus und gruppieren Computer nach (sehr) spezifischen oder nicht so spezifischen Kriterien. Sie haben die Wahl.

Erweiterungsattribute Mithilfe der Erweiterungsattribute in Jamf Pro können Sie ganz einfach verschiedene Arten von Informationen von einem Gerät sammeln und diese für Berichte oder andere Aktionen verwenden. Auf diese Weise können Sie Ihre Verwaltung an Ihre persönlichen Arbeitsgewohnheiten anpassen.

Richtlinien Die Richtlinien sind zwar komplex, aber sie geben Administrator*innen die Möglichkeit, die Konfiguration einzelner Geräte anzupassen. Das bedeutet aber auch, dass Sie die Richtlinien aus jedem beliebigen Grund von einzelnen Geräten entfernen können. Die Geräte müssen sich nicht an eine „Master“-Konfiguration halten. Dies gibt Administrator*innen die Möglichkeit, jede Nuance zu berücksichtigen, die für Unternehmen jeder Größe und Komplexität erforderlich ist.

CIS-Prüfung Die CIS-Benchmarks und Sicherheitsaudits sind sehr umfangreich, und Kandji erreicht nicht einmal annähernd das, was man als Basisstandards bezeichnen könnte, ganz zu schweigen von den Standards, die Jamf setzt. Obwohl Jamf Pro von Haus aus keine Tools zur Unterstützung des CIS-Benchmarking anbietet, bieten Tools wie Jamf Protect eine leistungsstarke und vollständige CIS-Prüfung, während Jamf Pro und Jamf Connect Unternehmen dabei helfen können, diese Benchmarks mit voller Anpassungsfähigkeit zu erfüllen. Der Jamf Compliance Editor bietet Administrator*innen eine einfache Möglichkeit, Compliance-Baselines zu erstellen und zu verwalten, und basiert auf den Grundlagen des macOS Security Compliance Project, das von NIST gehostet wird. Der Jamf Compliance Editor unterstützt CIS-, NIST- und DISA-STIG-Baselines und Funktionen mit einer benutzerfreundlichen Oberfläche, die keine komplizierte Skripterstellung erfordert.

Onboarding Mit Jamf Pro ist es möglich, Konfigurationen genau nach Ihren Wünschen zu erstellen, einschließlich der Ausführung von Paketen im Cache. Es ist einfacher, Installationsabhängigkeiten zu erstellen und die Reihenfolge zu ändern, in der die Apps heruntergeladen werden.

Die wichtigsten Erkenntnisse

Was ist also unsere Schlussfolgerung? Kandji ist eine sehr gut aufgebaute Plattform, die einfach zu bedienen ist, gut aussieht und den Benutz*innern eine gewisse Art der Verwaltung ermöglicht. Wenn Sie jedoch eine größere Umgebung mit Unternehmenssoftware oder speziellen Anwendungsfällen haben, kann Kandji je nach Arbeitsabläufen entweder schwerfällig oder unmöglich zu verwalten sein.

Kandji wurde für ein sehr kleines (aber wichtiges) Segment der macOS Administrationswelt entwickelt, und zwar für moderne KMUs mit 50 bis 150 Apple-Geräten, einem schlanken IT-Team und insgesamt nicht mehr als 400 Mitarbeitenden. Wie Jamf unterstützt es weder Windows noch Android, aber selbst in der Apple-Welt ist es nicht für Schulen, große Universitäten, große Unternehmen, Managed-Service-Provider, Hochsicherheitsorganisationen, Organisationen mit veralteter Infrastruktur oder alles, was nicht der Norm entspricht, konzipiert.

Und wenn wir ehrlich sind, ist es schwierig, Kandji überhaupt mit Jamf zu vergleichen, denn Kandji hat nur ein Produkt, das im Vergleich zu Jamf Pro sehr eingeschränkt ist. Jamf hat nicht nur Jamf Pro, sondern auch Jamf Now, das Kandji ähnlich ist. Außerdem gibt es Jamf School, das speziell für Schulen konzipiert wurde. Und es gibt die Sicherheitstools wie Jamf Protect, Jamf Trust und Jamf Compliance Editor. Außerdem gibt es Jamf Connect, das dem „Passport“ von Kandji ähnelt, aber über viel mehr Funktionen verfügt.

Und das Beste an Jamf war schon immer die Community, die dahinter steht. Die Jamf Nation User Conference ist die größte und am längsten laufende Apple-Admin-Konferenz der Welt. Jamf Nation ist die Anlaufstelle für viele Antworten auf häufige Probleme, die Apple-Administrator*innen aus den unterschiedlichsten Bereichen haben. Und zahllose Menschen haben speziell für Jamf Pro Hilfsprogramme entwickelt, die in anderen, eingeschränkteren Plattformen wie Kandji nicht so einfach verwendet werden können. Allein Rocketman Tech hat über 50 Tools entwickelt, von denen viele Open Source sind, die speziell für Jamf Pro entwickelt wurden. Es gibt keine Serviceanbieter, die solche Tools für Kandji entwickeln.