Auto Appsの概要

  • hC
  • EF

Auto Appsとは何ですか?

Auto Apps は、 Kandji Web Appを通じてすぐにデプロイできる、事前にパッケージ化されたアプリケーションです。 Auto Appsを使用すると、 Kandji によっていくつかの重要なタスクが自動的に処理されます。

  • 自動更新 - Kandji は、これらのアプリケーションのアップデートを管理および適用します。

  • macOS Ventura 以降のバックグラウンド アイテム - Auto Apps は、macOSのバックグラウンドプロセスにシームレスに統合されています。

  • カスタマイズ可能な通知 - 管理者は、エンドユーザーエクスペリエンスを効果的に管理するように通知を調整できます。

  • プライバシー設定ポリシー制御 (PPPC) - Kandjiは、これらのアプリケーションがプライバシー設定に準拠していることを確保します。

  • Apple Siliconデバイス 用のRosetta 2 - Auto AppApple Siliconを搭載した Mac で Rosetta を実行する必要がある場合、Kandji エージェントは必要に応じて Rosetta 2 を自動的にチェックしてインストールします。

  • システム拡張機能とレガシーの拡張機能 - Auto Apps は、必要な拡張機能の使用が自動的に許可されます。

Auto Appsの完全なリストについては、利用可能なAuto Appsのサポート記事を参照してください。

Auto Appの追加

  1. 左側のナビゲーションバーから 「ライブラリ」を選択します。

  2. 右側から [新規追加] を選択します。 

  3. Library Itemを追加」ページで、目的の Auto Appを選択します。検索バーを使用して、使用可能な Library Itemsをフィルタリングすることもできます。

  4. 追加するLibrary Itemの横にある「追加と設定」をクリックします。この例では、SAP Privileges を使用しています。 

Auto Appの設定

Auto Appがシステム拡張機能、プライバシー設定ポリシー制御サービス、通知、またはmacOS Ventura以降のバックグラウンドアイテムを許可するプロファイルをインストールすると、Kandji Web アプリに警告が表示されます。

  1. 必要に応じて、 ラベルを追加します。

  2. このLibrary Itemを割り当てるBlueprintを選択します。 

  3. [インストール] ドロップダウンからオプションを選択します。オプションには、次のものがあります。

  4. [継続的な適用] を選択した場合は、上記で選択した適用方法と共に Self Service の利用を有効にすることができます。

  5. この Library ItemSelf Serviceで使用可能な場合は、 カテゴリも設定する必要があります。 

  6. [バージョンの適用] ドロップダウンからオプションを選択します。オプションには、次のものがあります。

    • アップデートを管理しない

    • 新しいアップデートを自動的に適用する

    • 最小バージョンを手動で適用する

  7. [ 新しいアップデートを自動的に適用する] を選択した場合は、[適用期間] を選択します。 

  8. 最小バージョンを手動で適用することを選択した場合は、最小バージョン 適用期限の日付、時刻、およびタイムゾーンを選択します。 

  9. 必要に応じて、通知を管理できます。通知を管理する場合、ユーザーは構成した設定を変更できません。さらに、通知設定が変更された場合、更新された構成プロファイルは、次回の毎日のMDMチェックインまで再配布されません 。すぐにチェックインをトリガーするには、Mac で sudo kandji update-mdm をローカルに実行します。

    • [管理対象外] の場合、エンド ユーザーがこのアプリの通知設定を管理することができます。

    • Auto Appが通知をサポートしていない場合は、次のメッセージが表示されます: このアプリケーションは通知をサポートしていません

    • [通知を許可しない ] を選択すると、ユーザーはこのアプリケーションの通知をオンにできなくなります。

    • [通知を許可する ] は、このアプリケーションの通知を強制的にオンにし、以下のカスタマイズ オプションを利用できます。 

  10. 必要に応じて、 インストール中にDock に追加を選択して、アプリのアイコンを Dock に追加します。

  11. 「保存」をクリックします。 

アップデートのみ

デバイスに展開したり、セルフサービスで利用できるようにしたくないアプリケーションの場合は、[アップデートのみ] を有効にすることができます。この構成では、適用設定に従って既存のインストールに利用可能なアップデートが適用されますが、まだインストールされていないデバイスにはアプリは展開されません。さらに、更新のみモードの Auto Apps 、システム拡張機能、プライバシー設定ポリシー制御サービス、通知、またはバックグラウンドアイテムに関連するプロファイルはデプロイされません。

Auto App アップデートの適用に関する考慮事項

通知

  • Auto Appアップデートが管理対象として構成されている場合、アプリケーションが通知を受信できるように、MDM を介してプロファイルが自動的にインストールされます。

適用

  • 適用オプションが選択され、アプリケーションが必要な最小バージョンを下回っている場合、インストール方法を [アップデートのみ] に設定すると、バンドル ID が一致する限り、 Kandji以外でインストールされたアプリケーションにアップデートが適用されます。この設定では、アプリケーションが既に存在しない場合に Kandji 経由でインストールされることはなく、既存のアプリケーションを最新の状態に保つのみとなります。

  • 同様に、適用オプションが選択され、アプリケーションのバージョンが強制される最小バージョンを下回っている場合、インストール方法を [ Self Service からオンデマンドでインストール] に設定すると、バンドル ID が一致する限り、 Kandjiの外部にインストールされたアプリケーションにもアップデートが適用されます。

  • 新しいアップデートがリリースされると、ユーザーのデバイスに即座に自動でキャッシュされます。アプリが正常にキャッシュされた後、アプリが実行中であれば、保留中のインストールがユーザーに通知されます。一方で、アプリが実行されていない場合、Kandji Agentはユーザー操作を必要とせずにアプリをバックグラウンドでアップデートします。

  • アップデートをいつ適用するかを決定するには、 強制時間 を選択する必要があります。施行期限は、選択した 施行タイムゾーンに基づいてサーバー側で決定されます。

ユーザーエクスペリエンス

  • アップデートの適用を活用する際、アップデートがデバイスにローカルにキャッシュされると、エンドユーザーは Kandji メニューバーアイコンを介してアップデートのアラートを受け取ります。必要な Auto App のアップデートが利用可能で、アプリが開いていない場合、Kandji Agent はユーザーの操作を必要とせずにアプリをバックグラウンドでアップデートします。

  • エンドユーザーエクスペリエンスの詳細については、Auto Apps記事のユーザーエクスペリエンスをご覧ください

ライブラリに複数の Auto Apps を追加する

Kandjiを使用すると、同じAuto Appをライブラリに複数回追加できます。この機能は、さまざまなBlueprintsに対して異なる設定を構成する場合に便利です。たとえば、あるBlueprint内ではデバイスに自動的にインストールされる一方、別のBlueprintではSelf Service内でAuto Appを利用できるように設定できます。 

同じ Auto App を複数回設定する場合は、ラベルを追加できます。このラベルは、ライブラリ内の各 Auto App Library Item を他のものと区別するのに役立ちます。これらのラベルはエンドユーザーには表示されませんが、下記に示すように、 Kandji 管理インターフェース全体に表示されます。

Auto App セキュリティ情報

Auto Appsはそれぞれのソフトウェアベンダーから直接提供されています。 Kandji は、ダウンロードおよびパッケージ化中に厳密な署名検証を実行することにより、すべてのアップデートの忠実性を確保します。 

  • コード署名の確認:

    • アプリケーションコードは、Appleが発行した証明書を使用して適切に署名されていることを確認します。

    • Appleが割り当てたチーム識別子が、登録されたデベロッパの既知のIDと一致することを確認します。

    • App Bundle のコード署名識別子が想定される値と完全に一致することを検証します。

    • ノータリゼーションを評価して、コード署名の問題がないこと、およびソフトウェアに既知の悪意のあるコンテンツがないことを証明します。

  • 署名機関の検証:

    • 包括的な内部QAの一環として、 Auto Appsの署名機関を確認します。

    • このプロセスでは、アプリの署名証明書が Apple の中間認証局とルート認証局によって発行されたことを確認することで、信頼チェーンを確立します。

    • これにより、 Auto Appのコード署名が開発者の名前と識別子と正確に一致することが保証されます。

    • Appleが発行したこれらの値は、なりすましや改ざんすることはできません。

すべての Auto App インストーラーは、 Gatekeeperが使用する登録済みのApple開発者プログラムの下でAppleが発行した有効な開発者ID証明書で署名されています。これらの証明書は、 Kandji またはサードパーティベンダーに発行され、インストーラーの整合性を検証する信頼関係を確立します。

Custom App から Auto App への移行

一部のAuto AppsCustom AppsとしてKandj テナントに既にデプロイしている場合があります。 Auto Appに移行するには、次の手順を実行します。

Custom App Library Itemを削除しても、インストールされているデバイスからアプリは削除されません

  1. Auto Appを同じBlueprintに追加します。

  2. Auto Appsの概要の手順を使用して、Custom Appを置き換えるAuto Appをデプロイします。すでにインストールされているアプリの場合、これによりアプリが上書きされることはありません。ただし、インストールされているアプリが古い場合は、バージョン適用オプションが適用され、エンドユーザーにアプリのアップデートを求める場合があります。 

  3. 既存の Custom App を削除するか、非アクティブにします。

  4. 既存の PPPC プロファイルまたは System Extension プロファイルを削除します。Custom Appにシステム拡張機能プロファイルまたはPPPCプロファイルがある場合は、ここで削除できます。Auto Appsは、Kandjiによってインストールされたプロファイルを介して、System Extension要件と PPPC 要件が自動的に許可されます。