Aktionen und Erkennungsregeln für App-Verteilungspakete

Mit ihnen lässt sich feststellen, ob die App bereits installiert ist und deshalb nicht erneut installiert werden sollte.

WICHTIG: Wenn ein Erkennungsschritt mit "wahr" aufgelöst wird, stoppt die Paketverarbeitung und der App-Status des Geräts wird als konform angezeigt.

Weitere Informationen zu den verfügbaren Erkennungsregeln finden Sie weiter unten in diesem Thema unter Paketerkennungsregeln.

: Lädt eine Datei in den Standardarbeitspfad der Ivanti App-Verteilung herunter:

C:\ProgramData\Ivanti\Ivanti Cloud Agent\Agent\SWD\working

Jede Aktion, die einen Dateipfad akzeptiert, setzt diesen Pfad voraus, sofern Sie keinen anderen angeben. Dieser Ordner wird vor und nach jeder Paketausführung geleert.

Sie können hier mehrere Dateien angeben und bei Bedarf mehrere Aktionen vom Typ "Datei herunterladen" festlegen. Die Dateien können an einem beliebigen HTTP(S)-Speicherort gehostet werden, der keine Authentifizierung erfordert und auf den die Clients, auf denen Sie die Bereitstellung durchführen, zugreifen können.

Sie können eine URL in das Feld Von URL eingeben oder einfügen. Die angegebene URL muss direkt auf die Datei verlinken, die Sie herunterladen möchten. Der über die URL erkannte Dateiname wird neben der Schaltfläche Datei wählen angezeigt.

Über die Schaltfläche Neue Datei hinzufügen können Sie bei Bedarf weitere URLs für das Herunterladen von Dateien hinzufügen. Wenn Ihre Dateien in Microsoft Azure Blob Storage oder in Amazon Web Services Buckets gespeichert sind, wählen Sie Datei wählen, um den Cloud-Datei-Explorer zu öffnen.

Cloud-Datei-Explorer

Über die Schaltfläche Datei auswählen wird der Cloud-Datei-Explorer geöffnet, wo Sie Dateien aus dem Microsoft Azure Blob Storage oder den Amazon Web Services Buckets Ihres Unternehmens auswählen können. Das Azure- oder Amazon-Speicherkonto ist nicht in Ivanti Neurons enthalten.

• Informationen zum Erstellen eines Speichercontainers in Azure finden Sie in diesem Microsoft-Artikel.
• Informationen zum Erstellen eines Buckets in Amazon S3 finden Sie in diesem Amazon-Artikel.

Damit Sie den Cloud-Datei-Explorer verwenden können, müssen Sie zuerst Ihre Anmeldeinformationen für Azure Blob Storage oder Amazon S3 unter Admin > Anmeldeinformationen hinzufügen. Weitere Informationen finden Sie unter Anmeldedaten. Bei Azure empfehlen wir Ihnen, in Ivanti Neurons Anmeldeinformationen sowohl für Ihren Azure key1 als auch für Ihren Azure key2 zu erstellen, um die Azure-Schlüsselrotation zu ermöglichen. Anschließend können Sie im Cloud-Datei-Explorer das gewünschte Konto auswählen.

Diese Anmeldeinformationen werden zum Befüllen der Ordner- und Dateiliste verwendet, sodass durch die Aktion "Datei herunterladen" Shared Access Signature-URLs (Microsoft Azure) oder vorsignierte URLs (Amazon Web Services) für die von Ihnen ausgewählten Dateien abgerufen werden können. Clients werden diese Anmeldeinformationen nicht verwenden.

Nachdem Sie die Anmeldeinformationen hinzugefügt haben, können Sie im Cloud-Datei-Explorer Ihr Konto und Ihren Container oder Ihren Bucket auswählen. Der Container-Browser zeigt die dort gespeicherten Dateien und Ordner an. Fügen Sie eine oder mehrere Dateien hinzu, indem Sie das Kontrollkästchen daneben aktivieren und die Schaltfläche Hinzufügen auswählen. URLs für die von Ihnen hinzugefügten Dateien werden dann bei den Aktionseigenschaften von Datei herunterladen angezeigt.

Die Cloudspeicheranbieter verlangen, dass die generierten URL-Token ein Ablaufdatum haben. In der App-Verteilung ist die Ablaufdauer des Tokens auf sieben Tage festgelegt und wird alle fünf Tage verlängert, um zu verhindern, dass die Zielclients den Zugriff verlieren.

Die Filterung von Clouddateien im Textfeld Nach Präfix filtern wird durch die APIs von Microsoft und Amazon S3 eingeschränkt. Der Filter ist auf den von Ihnen ausgewählten Ordner begrenzt und schließt Unterordner aus. Der von Ihnen eingegebene Filtertext muss exakt mit dem Dateinamen übereinstimmen (Groß-/Kleinschreibung beachten) und mit dem ersten Zeichen des gewünschten Dateinamens beginnen. Sie müssen nicht den vollständigen Dateinamen angeben, nur die Anfangsbuchstaben.

Durch Auswählen von Löschen wird das markierte Objekt (Datei oder Ordner) gelöscht. Vergewissern Sie sich, dass nur ein Objekt markiert ist, bevor Sie auf "Löschen" klicken. Wenn Sie versuchen, mehrere Objekte gleichzeitig zu löschen, wird eine Fehlermeldung angezeigt. Wenn Sie einen Ordner löschen möchten, müssen Sie zuerst seinen Inhalt (objektweise) löschen.

Ivanti Cloudspeicher

Ab Version 2024.4 bietet Ivanti Unterstützung für einen Ivanti Cloudspeicher, in dem Sie zu verteilende Pakete und Dateien ablegen können. Dieser bietet sich für Kunden an, die nicht über ein Azure Blob Storage- oder Amazon S3-Speicherkonto verfügen.

Zum Verwenden des Ivanti Cloudspeichers sind keine zusätzliche Konfiguration oder Anmeldeinformationen erforderlich. Jeder Ivanti Neurons-Mandant besitzt einen eigenen Ivanti Azure-Speichercontainer.

Über die Aktion Datei herunterladen in der App-Verteilung können Sie auf den Cloud-Datei-Explorer zugreifen. Wählen Sie dort die Option Ivanti Speicher unter Konto aus. Über die Schaltfläche Dateien hochladen können Sie anschließend Dateien hochladen, die Sie verteilen möchten. Zum Entfernen von Dateien verwenden Sie die Schaltfläche Löschen.

Bei der Verwendung des Ivanti Cloudspeichers ist Folgendes zu beachten:

• Der Ivanti Cloudspeicher ist auf 10 GB begrenzt. Im Cloudspeicher-Explorer wird angezeigt, wie viel davon Sie bereits belegen. Eine Erweiterung dieses Speicherplatzes ist nicht möglich.
• Die Dateigröße darf maximal 2 GB betragen.
• Ivanti beinhaltet einen Dienst, der die hochgeladenen Dateien auf Malware prüft. Bei Erkennung von Malware wird die Datei gelöscht. Der Vorgang wird in einer Ivanti Neurons-Benachrichtigungsmeldung bestätigt.
• Wenn Sie ausschließlich Ivanti Cloudspeicher verwenden, müssen Sie Cross-Origin Resource Sharing (CORS) nicht konfigurieren.
• Das Erstellen von Ordnern wird nicht unterstützt.

Hochladen von Dateien

Über die Schaltfläche Dateien hochladen können Sie zu den gewünschten Dateien navigieren und diese auswählen und hochladen. Hochgeladene Dateien werden in dem Ordner abgelegt, den Sie im Explorer ausgewählt haben. Hochgeladene Dateien dürfen maximal 2 GB groß sein. Die Dateien müssen einzeln hochgeladen werden. Bei großen Dateien kann es eine Weile dauern, bis der Upload abgeschlossen ist. Daher werden hochgeladene Dateien möglicherweise nicht sofort im Explorer angezeigt.

Während die von Ihnen ausgewählte Datei vorbereitet wird, wird eine Statusleiste eingeblendet. Während des Uploads wird der Fortschritt des Vorgangs angezeigt. Nach Abschluss des Uploads wird in einer Meldung angegeben, ob das Hochladen erfolgreich war oder fehlgeschlagen ist.

Wenn Sie Dateien hochladen möchten, die größer als 2 GB sind, verwenden Sie die nativen Verwaltungstools von Amazon oder Azure.

Vor dem Hochladen der Dateien müssen Sie Cross-Origin Resource Sharing (CORS) konfigurieren. Wenn Sie versuchen, eine Datei hochzuladen, obwohl CORS nicht konfiguriert ist, weist eine Meldung darauf hin, dass Sie zuerst CORS konfigurieren müssen.

Azure Blob Storage – Uploadkonfiguration

Azure konfiguriert CORS auf Kontoebene, nicht auf Containerebene. Microsoft stellt Informationen zu CORS hier zur Verfügung.

• Zulässige Methoden: PUT
• Zulässige Header: content-type,x-ms-client-request-id,x-ms-useragent,x-ms-version
• Exposed Header: Etag
• Zulässige Ursprünge: Die Domäne, die in der Browser-URL auf Ihrer Ivanti Neurons-Anmeldeseite angezeigt wird (nicht die URL nach der Anmeldung). Dies ist davon abhängig, wo Ihr Mandant gehostet wird. Beispiele dafür sind https://nvuprd-sfc.ivanticloud.com, https://ukuprd-sfc.ivanticloud.com usw.

Amazon S3 – Uploadkonfiguration

Amazon S3 konfiguriert CORS auf Bucket-Ebene, nicht auf Kontoebene. Amazon stellt Informationen zu CORS hier zur Verfügung.

• Zulässige Methoden: PUT
• Zulässige Header: content-type
• Exposed Header: Etag

• Zulässige Ursprünge: Die Domäne, die in der Browser-URL auf Ihrer Ivanti Neurons-Anmeldeseite angezeigt wird (nicht die URL nach der Anmeldung). Dies ist davon abhängig, wo Ihr Mandant gehostet wird. Beispiele dafür sind https://nvuprd-sfc.ivanticloud.com, https://ukuprd-sfc.ivanticloud.com usw.

SHA256-Hashwert

Die Option "Datei herunterladen" beinhaltet auch ein optionales Feld für den Hashwert. Wenn Sie einen Hashwert angeben, wird der Hashwert der heruntergeladenen Datei bei der App-Verteilung validiert. Stimmen die Werte nicht überein, löscht die App-Verteilung die heruntergeladene Datei und stoppt die Verteilung. Wenn Sie möchten, dass bei der App-Verteilung erweiterte Verteilungstechnologien wie der Peer-Download zum Einsatz kommen, müssen Sie einen Hashwert angeben.

Die einfache Aktion Ausführen ermöglicht es Ihnen, eine auszuführende Datei und eine Befehlszeile anzugeben und festzulegen, über welchen Benutzer das Installationsprogramm ausgeführt werden soll. Über die Aktionen MSI ausführen und MSIX ausführen lassen sich spezifische MSI-, MSP- und MSIX-Vorgänge und Anzeigeoptionen auswählen.

Beinhaltet das Erstellen von Ordnern und das Verschieben, Kopieren und Löschen von Dateien sowie das Komprimieren und Extrahieren.

Führt einen Neustart des Geräts unter Berücksichtigung der Agentenrichtlinie des Geräts durch. Wenn eine App einen Neustart erfordert, können auf dem Gerät keine weiteren Apps installiert werden, bis der Neustart abgeschlossen ist.

Erstellt oder löscht Registrierungsschlüssel. Legen Sie Registrierungswerte fest oder löschen Sie sie.

Führt eine Batch-Datei oder ein PowerShell-Skript aus. Mit der PowerShell Core-Option wird PowerShell Core nicht installiert, falls nicht vorhanden. Die Option Automatisch versucht zuerst, PowerShell Core auszuführen. Ist PowerShell Core nicht installiert, wird ersatzweise PowerShell verwendet. Ein Skripteditor ist in der Aktion integriert. Ihr Skriptcode muss innerhalb dieses Editors hinzugefügt werden.

Pausiert die Ausführung des Pakets für die von Ihnen angegebene Anzahl von Sekunden. Verwenden Sie diese Funktion, falls frühere Aktionen mehr Zeit bis zum Abschluss benötigen.

Verwaltet ein Paket mit dem Windows-Paketmanager (Winget).

Diese Aktion wird automatisch konfiguriert, wenn Sie auf der Hauptseite des App-Katalogs die Option Anwendung hinzufügen > Windows-Paketmanager (Winget) auswählen und ein Paket auswählen. Für diese Aktion sind keine weiteren Aktionen oder Änderungen erforderlich.

Sie können diese Aktion bei Bedarf manuell hinzufügen und konfigurieren. Diese Aktion kann auch in Kombination mit anderen Aktionen und Erkennungsregeln verwendet werden.

Weitere Informationen zur Verwendung von Winget finden Sie in diesem Microsoft-Thema.

Der Paketmanager erfordert auf verwalteten Geräten eine aktuelle Version von Winget. Wenn Sie den Microsoft Store auf verwalteten Geräten deaktiviert haben, ist deren Winget-Version möglicherweise veraltet und die Paketmanagerverteilung an diese Geräte schlägt möglicherweise fehl. Um dies zu beheben, stellen Sie ein Paket bereit, das die Winget-Version aktualisiert, oder aktivieren Sie den Microsoft Store.

Im Bereich Optionen für Paketmanager können über die Schaltfläche Paket auswählen die im Winget-Katalog verfügbaren Pakete angezeigt werden. Dieser Katalog wird auch angezeigt, wenn Sie auf die Schaltfläche Anwendung hinzufügen auf der Hauptseite des App-Katalogs klicken.

Der App-Katalog beinhaltet nur Apps im winget-Repository, nicht im msstore-Repository. Falls Sie über eine msstore-App-ID verfügen, können Sie sie manuell in der Befehlszeile nach dem Parameter "--id" angeben. Darauf wird später in diesem Abschnitt genauer eingegangen.

Wenn Sie in das Feld Pakete durchsuchen Text eingeben, werden alle Metadaten aller Pakete im Katalog durchsucht. Wenn Sie nach Pakettext in einer bestimmten Metadatenkategorie suchen möchten, beginnen Sie Ihre Suche mit Name:, Herausgeber: usw. (siehe Beispiel für Auswahl des Suchfelds).

Bei der App-Verteilung wird die neueste verfügbare Version eines von Ihnen ausgewählten Pakets installiert, unabhängig von der im Katalog angezeigten Version. Sie können die Aktion auch manuell konfigurieren, um eine bestimmte Version zu installieren.

Wenn Sie im Katalog ein Winget-Paket auswählen, werden die Befehlszeilenargumente zum Installieren dieses Pakets ausgefüllt. Sie können die Befehlszeile bei Bedarf ändern.

Nachstehend eine typische Winget-Befehlszeile:

install -e --id GitHub.GitHubDesktop --accept-package-agreements --accept-source-agreements --silent

Wenn Sie ein Paket installieren möchten, das nicht im App-Katalog aufgeführt ist, können Sie Ihre eigene Winget-Befehlszeile erstellen. In einer Windows-Eingabeaufforderung gibt der Befehl winget search <query> eine Liste mit übereinstimmenden Paketen zurück. Machen Sie die Spaltenzeichenfolge Id für das gewünschte Paket ausfindig und fügen Sie sie in der Winget-Befehlszeile nach dem Parameter --id hinzu.

Da Winget nur im Benutzerkontext ausgeführt wird, muss der Benutzer angemeldet sein, damit das Paket ausführbar ist. Einige Installationspakete erfordern zusätzlich einen Benutzer mit lokalen Administratorrechten, damit das Paket ausgeführt werden kann.

Der Autor eines Winget-Pakets kann Installationsprogramme in das Paket aufnehmen, die entweder auf Benutzer (angemeldeter Benutzer), Computer (alle Benutzer) oder null (nicht angegeben) beschränkt sind. Standardmäßig versucht Winget, die beste Übereinstimmung für das Gerät auszuwählen. Dies ist oft der Benutzer.

Sie können diese automatische Auswahl außer Kraft setzen, indem Sie in der Befehlszeile mit dem Parameter --scope einen Bereich angeben. Wenn Sie beispielsweise möchten, dass das Paket für alle Benutzer auf einem Gerät installiert wird, fügen Sie --scope machine in die Winget-Befehlszeile ein. Beachten Sie, dass die Paketinstallation fehlschlägt, wenn das Paket keinen Computerbereich unterstützt und Sie den Parameter in die Befehlszeile einfügen.

Testen Sie wie immer die Befehlszeile, bevor Sie das Paket bereitstellen.

Geben Sie den vollständigen Dateipfad und den Dateinamen an. Wählen Sie Existiert oder Existiert nicht aus.

Die Dateiversion ist im Allgemeinen nur für ausführbare Dateien verfügbar. Die App-Verteilung verwendet den Wert "Dateiversion" und nicht den Wert "Produktversion". Geben Sie den vollständigen Dateipfad und den Dateinamen an. Der Operator kann eine Variante von kleiner als, größer als, gleich oder zwischen sein. Wenn die von Ihnen angegebene Datei und der Pfad nicht existieren oder wenn die Datei keine analysierbare Version besitzt, wird "falsch" zurückgegeben.

Einzelheiten zur Funktionsweise von Vergleichsoperatoren finden Sie in diesem Artikel von Microsoft.

Geben Sie den vollständigen Dateipfad und den Dateinamen an. Geben Sie die Dateigröße in Bytes an. Die App-Verteilung verwendet den Wert "Größe" und nicht "Größe auf Datenträger". Wenn die von Ihnen angegebene Datei und der Pfad nicht existieren, wird "falsch" zurückgegeben.

Geben Sie den vollständigen Dateipfad und den Dateinamen an. Wählen Sie die SHA-2-Bitlänge aus, die Sie vergleichen möchten. Wenn die von Ihnen angegebene Datei und der Pfad nicht existieren, wird "falsch" zurückgegeben. Sie können mithilfe von PowerShell einen Hashwert generieren:

• Get-FileHash -Algorithm SHA256 -Path C:\MyApp\myfile.exe

Diese Regel prüft nur das Datum, jedoch nicht die Uhrzeit. Geben Sie den vollständigen Dateipfad und den Dateinamen an. Wählen Sie einen Operator aus, z. B. Ist gleich. Das Dateidatum muss in UTC (koordinierte Weltzeit) angegeben werden und mit dem MM/TT/JJJJ-Format Ihres Gebietsschemas gleichwertig sein. Die App-Verteilung verwendet das Änderungsdatum "Modifiziert" und nicht das Erstellungsdatum "Erstellt". Wenn die von Ihnen angegebene Datei und der Pfad nicht existieren, wird "falsch" zurückgegeben. Sie können mithilfe von PowerShell das Dateidatum der Zeitzone UTC abrufen: 

• (Get-Item C:\MyApp\myfile.exe).LastWriteTimeUtc

Geben Sie die MSI-Produktcode-GUID an und wählen Sie Ist installiert oder Ist nicht installiert für das MSI-Paket aus. Verwenden Sie das Tool Orca von Microsoft, um die "ProductCode"-GUID anzuzeigen. Unter den folgenden Registrierungsschlüsseln können Sie ebenfalls feststellen, welche MSI-GUIDs installiert sind:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
• HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall

Geben Sie den vollständigen Namen des MSIX-Pakets an und wählen Sie Ist installiert oder Ist nicht installiert für das MSIX-Paket aus. Ermitteln Sie den vollständigen Paketnamen mit dem PowerShell-Befehl 'Get-AppxPackage'. Eine Beschreibung von Microsoft finden Sie hier.

Geben Sie die Informationen zum Registrierungsschlüssel an, den Sie erkennen möchten.

• Registrierungsversion: Wählen Sie je nach Fall 32-Bit oder 64-Bit aus oder wählen Sie System, wenn Sie die Version, die vom Zielgerät verwendet wird, automatisch übernehmen möchten.
• Stammschlüssel: Wählen Sie den Stammschlüssel aus, der den zu erkennenden Schlüssel enthält, z. B. HKEY_LOCAL_MACHINE.
• Schlüssel: Geben Sie den vollständigen Pfad (ohne den bereits angegebenen Stammschlüssel) zu dem zu erkennenden Registrierungsschlüsselnamen ein.
• Geben Sie Existiert oder Existiert nicht an.

Geben Sie den Registrierungsschlüssel und die Informationen zum Wert an, den Sie erkennen möchten. Wenn der Schlüssel oder der Wert nicht existiert oder für den Benutzer nicht zugänglich ist, gibt die Regel "falsch" zurück (es sei denn, der Vergleichsoperator lautet Existiert nicht).

Sie müssen einen Wertnamen angeben, es sei denn, Sie möchten den Wert "(Standard)" prüfen. In dem Fall darf nichts eingegeben werden.

Beim Durchführen eines Versionsvergleichs müssen die Vergleichsoperanden und die mit dem Registrierungswert verknüpften Daten das hier beschriebene Versionsformat aufweisen. Wenn das Format falsch ist, generieren die Erkennungsregeln (und das Paket) einen Fehler.

Einzelheiten zur Funktionsweise von Vergleichsoperatoren finden Sie in diesem Artikel von Microsoft.

Bei Zeichenfolgenvergleichen wird zwischen Groß- und Kleinschreibung unterschieden. Wenn der Registrierungswert Daten aufweist, die nicht dem Typ REG_SZ (Zeichenfolge) entsprechen, wird er wie folgt in eine Zeichenfolge konvertiert:

• REG_DWORD: Es wird die Dezimalform (gemäß regedit.exe) verwendet.
• REG_QWORD: Es wird die Dezimalform (gemäß regedit.exe) verwendet.
• REG_BINARY: Es wird die Bytepaarform übernommen, die von regedit.exe verwendet wird, allerdings in Großbuchstaben (z. B. "46 AA 6C 6B 65 6E").
• REG_MULTI_SZ: Die Zeilen werden zu einer einzelnen Zeile mit Leerzeichen dazwischen zusammengefasst (z. B. "Zeile1 Zeile2 Zeile3").
• REG_EXPAND_SZ: Alle Umgebungsvariablen werden erweitert.

Erkennungsskripte können PowerShell (jedoch nicht PowerShell Core) oder die Batch-Syntax verwenden. Die erfolgreiche Erkennung ist vom numerischen Beendigungscode des Skriptes abhängig. Der Beendigungscode "0" (null) entspricht "wahr". Jeder andere Beendigungscode gilt als "falsch". Der Beendigungscode muss numerisch sein, darf also nicht mit dem Wort "wahr" angegeben werden. Verwenden Sie den integrierten Skripteditor, um Ihr Skript zu erstellen.

Verwenden Sie den integrierten Skripteditor, um Ihr Skript zu erstellen, oder navigieren Sie über die Option Datei auswählen zu einer Datei. Die Datei und der Pfad die/den Sie angeben, muss auf dem Zielsystem vorhanden sein. Falls sich die Skriptdatei noch nicht auf dem Gerät befindet, legen Sie sie mit der Aktion Datei herunterladen auf dem Gerät ab. Die heruntergeladene Datei wird an einem Standardpfad abgelegt und Sie können einfach den Dateinamen angeben.

Da Erkennungsregeln vor allen anderen Paketaktionen ausgeführt werden, befinden sich die Skripte für die Erkennungsregeln in einer ganz bestimmten Phase des App-Installationsprozesses. Es können hier auch komplexere Vorgänge definiert werden. So könnte beispielsweise ein benutzerdefiniertes Upgradeskript ausgeführt werden, das nach älteren App-Installationen sucht und diese ggf. deinstalliert, bevor der Rest des Pakets weiterverarbeitet wird.