Rocketman TechによるKandjiプラットフォーム徹底レビュー
Rocketman Techは管理プロセスをよりシンプルにするためのコンサルティングや各種ツールを提供し、Jamfで企業の成功をサポートしています。このブログでは、Rocketman Techの創設者、オーナー兼リードエンジニアChris Schasse氏による、KandjiとJamf Proの徹底比較を概括します。
Chris氏はこのブログの執筆に対して報酬を受け取っていません:本文の内容は同氏の私見であり、Jamfの見解を示すものではありません。
多くの組織と同様に、Rocketman Techでもデバイスをモバイルデバイス管理(MDM)に登録しており、品質、機能の充実性、そして使いやすさを基にベストなMDMを探して、常にアンテナを張っています。そこで今日は、この分野のパイオニアであり、最も知名度のあるMDMプラットフォーム「Jamf Pro」と2018年にスタートした新たなプラットフォーム「Kandji」を比較してみたいと思います。
インターフェイス
Kandjiインターフェイスで表示されるDevicesモジュール
まずはKandjiのインターフェイスを見てみましょう。Kandjiのインターフェイスには下記のモジュールが表示されます:
- Devices:ここに登録デバイスが保存されます。
- Blueprints:ここではデバイスをグルーピングできます。
- Library:ここではブックマーク、カスタムアプリ、プリンター、プロファイル、スクリプトを作成できます。
- Users:ここからアイデンティティプロバイダ(IdP)に基づくユーザデータを確認できます。
- Activity/Alerts:デバイスのすべてのアラート、および変更管理ログを表示します。
- Add Devices:ここからKandjiプラットフォームへの各種登録情報を変更できます。
- Integrations:ここでKandjiに他のプラットフォームを統合できます。
- Settings:ここで各種設定を行います。
Devices
Devicesは、Kandjiに登録されているすべてのデバイスを一覧で表示します。Devicesセクションでできること:
- デバイスリストの閲覧
- 特定のクライテリアに基づくデバイスのフィルタリング
- 特定デバイスの詳細情報閲覧
- デバイスのアラートやログの確認
- ユーザやアセットタグの追加
- デバイスに適用されているBlueprintの確認
- メモの追加
- デバイスに導入されているアプリの確認
Blueprint
KandjiのBlueprint
MacOSおよびiOSデバイスは、Apple ConfiguratorやJamf Nowとよく似たBlueprintと呼ばれるグループに仕分けされます。ユーザは各設定グループごとにBlueprintを設定し、同じBlueprintに属するすべてのデバイスは、同じアプリ、構成プロファイル、設定を持つようになります。
Library
KandjiのLibraryモジュール
ここではプラットフォーム内で最も大変な作業が行われています。Libraryでは、属するBlueprintを通じてデバイスに展開されるパッケージやスプリクトの作成を行えます。Libraryからデプロイできるもの:
- プロファイル:構成プロファイルの表示
- オートアプリ:自動的にインストールおよびアップデートされるアプリ
- 自動デバイス登録:プロファイルの事前登録
- リフトオフ:登録セットアップ画面(Jamf macOSオンボーディングと類似)
- パスポート:ユーザアカウントとアイデンティティプロバイダを同期(Jamf Connectと類似)
- ブックマーク:Kandjiアプリカタログのwebリンク
- オペレーティングシステム:デバイスに展開可能なオペレーティングシステム
- カスタムアプリ:PKG、DMG、ZIPファイルのアップロードが可能
- カスタムプリンター:IPアドレスでマップ可能なプリンター
- カスタムプロファイル:構成プロファイルとしてデプロイできるカスタムXML
- カスタムスクリプト:bashスクリプトをデバイス上で直接実行
Users
ユーザデータはUsersに保存され、Devicesセクションのデバイスに割り当てられているすべてのユーザが表示されます。アイデンティティプロバイダが統合されている場合は、IdPのユーザもすべて追加します。JamfはLDAPディレクトリ全体ではなく、デバイスに割り当てられているユーザのみを表示します。ここがKandjiとJamfで異なる点です。
Add devices
Kandjiにデバイスを追加
Kanjiにデバイスを追加する方法はいくつかあります:
- プロファイル登録:デバイスに直接、登録プロファイルをダウンロード。 これによりデバイスは事前登録されます。
- リンク登録:ユーザリンクを提供することでデバイスを登録。
- Apple Business ManagerあるいはApple School Manager:Apple School ManagerやApple Business Managerを通したやり方が一番よくあるデバイス登録方法です。この統合はSettingsかLibraryから設定できます。
Integrations
統合の追加
Integrationsには複数の統合を追加できます。例えば:
- Google Workspace Directory
- Azure Active Directory
- OktaなどIdP向けSCIM
- Microsoft Teams webhooks(Microsoft Teamsにアラートを送るため)
Settings
KandjiのSettingモジュール
最後はSettingを見てみましょう。Settingでは、以下のようなさまざまな設定を行えます。
- 会社名の設定
- プッシュ証明書の作成
- Apple School ManagerやApple Business Managerとの統合
- Self Service設定
- APIトークン作成
Kandjiの良い点
Kandjiプラットフォームの最も優れた点は、見た目が美しくモダンで、すぐに使えるところです。Libraryアイテムの大半はビルド済みで、素早く簡単に展開することが可能です。またBlueprintsは、制限こそあれど、極めて煩雑なグルーピングを極めて簡単かつ直感的に処理することができます。
Kandjiには、他にも素晴らしい機能があります。LiftoffとPassportを使えば、オンボーディング画面とIdPとのパスワード同期を簡単に設定でき、Auto Appsは大量のMacアプリのデプロイとパッチ管理を容易にします。
Operating Systemsは、複数のOSやアーキテクチャタイプに跨って、macOSを一斉にアップデートする巧妙かつ簡単な方法であり、Jamf同様、MDMプラットフォーム上に詳細なコミュニティスクリプト(Kevin WhiteがメンテナンスするS.U.P.E.R.M.A.N.など)が必要です。Kandjiは、これらの変数に応じて更新がどのようにプッシュされるかを説明する記事もリリースしています。
KandjiがIntelチップでMac PCにOSアップデートをプッシュする方法
KandjiがApple SiliconでMac PCにOSアップデートをプッシュする方法
Jamf Proとの比較
KandjiとJamf Proを比較するというのは本当はフェアでないかもしれません(お互いにとって)。JamfはKandjのシンプルさと使いやすさに敵いません。しかしシンプルがゆえにKandjは限界があります。Jamfは信じられないほどたくさんの機能を有し、Kandjiは大きく水を開けられています。数百もの環境でJamf Proを設定した経験から申し上げると、Jamf Proツールの多くは顧客全体のわずか1割〜2割でしか使用されていません。それでも、それらを使っている顧客にとってそれらのツールは彼らのワークフローを遂行する上でなくてはならないものなのです。
両者にはこのような違いがあることを認識しながら、もう少し掘り下げてみましょう。
インターフェイスまずは構成要素をチェックします。私は以前ブログでKandjiインターフェースを取り上げたのですが、実は構成要素が9つしかなく、短い投稿1つでインターフェイスの全てを語り尽くせてしまいました。対してJamf Proは設定だけでも75の構成要素があり、プラットフォーム全体では100を超えます。もちろんこれは対等な比較ではありませんが、JamfとKandji、それぞれどれぐらいのことができるかを知る目安になります。
API Jamf APIには、KandjiのAPIよりも桁違いに多いコマンドが用意されています。Kandjiにはプラットフォームを通じて送信できるコマンドが50ほどありますが、そのほとんどはGETコマンドで構成されており、APIを通じてプラットフォームをカスタマイズすることはあまりできません。一方Jamfには、同社が提供するクラシックAPI とプロダクションAPIを使用して送信できるコマンドが何千もあり、これによりJamf Pro内のほぼすべてのコンポーネントは自動化できます。Rocketman Techでも、この機能が頻繁に使われています。
クライテリアKandjiではレポート作成のクライテリア(基準)が 14種類のみ。一方Jamf Proは150以上のクライテリアが利用でき(拡張属性がある場合はさらに多い)、ニーズに合わせてレポートをカスタマイズできます。
スマートグループJamf Proのパワフルなスマートグループは、Blueprintsを凌ぎ、(非常に)具体的、またはそこまで具体的ではないクライテリアに基づいてPCをグループ化します。(自分で選択することが可能)
拡張属性Jamf Proの拡張属性は、デバイスからあらゆる種類の情報を収集し、レポートやその他のアクションに活用することを容易にします。これにより最適な作業方法に基づいて管理者の作業をカスタマイズできます。
ポリシー複雑ではありますが、ポリシーにより管理者は個々のデバイスの設定をカスタマイズできるようになります。逆を言えば、理由を問わず、デバイスから設定を外すことも可能であり、デバイスはひとつの“マスター”設定に従う必要はありません。つまり管理者はあらゆる規模や複雑性のビジネスに求められる、どんなニュアンスにも対応できるようになります。
CIS監査CIS Benchmarkとセキュリティ監査はとても複雑で、Kandjiは私たちが考える基本レベルの標準にも達しておらず、Jamfが設定する標準には遠く及びません。Jamf ProにCISベンチマーキングをアシストするツールはありませんが、Jamf Protectなどのツールが強力で完全なCIS監査を実施。さらにJamf ProとJamf Connect が、高いカスタマイズ性により企業がこれらのベンチマークを満たすのを助けます。Jamf Compliance Editorは、コンプライアンスベースラインを簡単に確立および管理する方法を管理者に提供し、NISTが主催するmacOS Security Compliance Projectを土台として構築されています。Jamf Compliance Editorは、複雑なスクリプトを必要としない使いやすいインターフェイスで、CIS、NIST、DISA STIGベースラインおよび機能をサポートします。
オンボーディングJamf Proがあれば、キャッシュパッケージの実行など思い通りの構成を作成できるだけでなく、インストールの依存関係を作成し、アプリのダウンロード順序を変更するのも簡単です。
まとめ
そして結論はと言うと・・・。Kandjiは、シンプルで見た目も良く、特定の種類の管理を行うユーザに合うよう作られた優秀なプラットフォームです。しかし、エンタープライズソフトウェアや独自のユースケースを持つ大規模な環境の場合、ワークフロー次第ではありますが、Kandjiは管理が面倒、あるいは管理不能になるかもしれません。
極めて狭い(しかし重要な)macOS管理セグメント、具体的にはAppleデバイスが50〜150台、少人数のITチーム、従業員数400人未満の現代的な中小企業を想定してKandjiは作られています。Jamf同様、KandjiもWindowsとAndroidをサポートしていません。しかしKandjiはAppleであっても、小中高等学校、総合大学、大企業、マネージドサービスプロバイダ、セキュリティの高い組織、インフラが古い組織、その他標準から逸脱する場合には対応できません。
正直、KandjiとJamfを比較するのは非常に難しい。なぜならKandjiにはKandjiという1つの製品しかなく、その範囲もJamf Proに比べれば非常に限定されているからです。JamfにはJamf Pro以外にも、Kandjiとよく似た製品のJamf Nowがあり、他にも小中高等学校向けに作られたJamf Schoolがあります。またJamf Protect、Jamf Trust、Jamf Compliance Editorといったセキュリティツールを擁し、KandjiのPassportとよく似ていますが、もっと多くの機能を持つJamf Connectもあります。
そして何よりも素晴らしいのが、常にその背後にはコミュニティが存在しているところです。Jamf Nation User Conferenceは世界最大にして最も長きにわたり開催されているApple管理者のカンファレンスであり、Jamf Nationは、バックグラウンドに関わらずApple管理者なら経験するよくある問題に対する回答が得られる場所となっています。Kandjiのようなより制限されたプラットフォームでは容易に使えない、Jamf Pro専用のユーティリティを作成しているというのはよくあることです。Rocketman Techだけでも、Jamf Pro専用に作られたツール(その多くはオープンソース)の数は50を超えています。しかし、Kandji専用のツールを開発するいうサービスプロバイダーは現れないでしょう。
徹底レビューの全編を視聴する。