Richtliniengruppe – Details
Um auf die Seite mit den Details zur Richtliniengruppe zuzugreifen, klicken Sie auf eine der Gruppen auf der Seite "Richtliniengruppen". Dort werden alle Geräte und deren Details aufgeführt, die der Richtliniengruppe angehören.
Verfügbare Aktionen:
- Aktionen und Agenteneinstellungen bearbeiten: Wählen Sie diese Option aus, um den Bereich "Richtliniengruppen – Details" zu öffnen. Darin können Sie Name, Beschreibung, Peer-Download-Steuerelemente, Bandbreitennutzung, Funktionen, Neustarteinstellungen und Geräteanmeldedaten aktualisieren. Klicken Sie nach dem Bearbeiten auf Änderungen bereitstellen.
- Geräte hinzufügen: Wählen Sie diese Option aus, um Kontrollkästchen in der Geräteliste anzuzeigen. Wählen Sie die Geräte aus, auf denen Sie die Agentenrichtlinie installieren möchten. Wenn Anmeldeinformationen für die Geräte erforderlich sind, wird der Bereich "Richtliniengruppe – Details" angezeigt, in dem Sie die Anmeldeinformationen eingeben können. Wählen Sie Geräte hinzufügen aus, um die Bereitstellung zu starten.
Diese Option ist für einen Bereitstellungsrepräsentanten oder ein Connector-Servergerät nicht verfügbar.
Linux- und macOS-GeräteSie können SSH-Fingerabdrucksicherheit auf das Gerät anwenden. SHA256-Hash-Fingerabdrücke werden unterstützt. Wenn Sie ein Kontrollkästchen aktivieren, wird ein Symbol mit einem offenen Vorhängeschloss angezeigt . Klicken Sie auf das Symbol, um das Dialogfeld mit den Optionen für den SSH-Fingerabdruck anzuzeigen. Sie haben folgende Möglichkeiten:
- Ohne SSH-Fingerabdruck bereitstellen: Wählen Sie diese Option aus, um mit Bereitstellungen ohne Verifizierung des SSH-Fingerabdrucks fortzufahren.
- SSH-Fingerabdruck abrufen: Wählen Sie diese Option aus, um eine Anfrage zum Abrufen des SSH-Fingerabdrucks vom Gerät zu senden.
- Wenn diese Option ausgewählt ist, wird nach dem Empfang des Fingerabdrucks des Geräts das Symbol für "SSH-Fingerabdruck abgerufen" in der Spalte "Bereitstellungsstatus" der Seite "Richtliniengruppe – Details" angezeigt.
- Klicken Sie auf das Symbol , um das Dialogfeld mit den Optionen für den SSH-Fingerabdruck anzuzeigen. Dieses Mal verfügt das Dialogfeld über die Option Abgerufenen verwenden.
- Wählen Sie die Option Abgerufenen verwenden aus, um den Fingerabdruck im Textfeld Fingerabdruck anzuzeigen. Die Option Nach Überprüfung des SSH-Fingerabdrucks bereitstellen wird ebenfalls ausgewählt.
- Wählen Sie OK, um das Dialogfeld zu schließen.
- Nachdem Sie nun über den richtigen Fingerabdruck verfügen und "Nach Überprüfung des SSH-Fingerabdrucks bereitstellen" ausgewählt haben, können Sie die Bereitstellung initiieren. Wählen Sie dazu auf der Seite "Richtliniengruppe – Details" die Option Fehlgeschlagene Bereitstellungen wiederholen aus.
- Wählen Sie im Dialogfeld "Fehlgeschlagene Bereitstellungen wiederholen" die Anmeldeinformationen und den Bereitstellungsrepräsentanten nach Bedarf aus.
- Wählen Sie OK, um die Bereitstellung zu starten.
- Nach Überprüfung des SSH-Fingerabdrucks bereitstellen: Wählen Sie diese Option aus, um Bereitstellungen mit dem angegebenen SSH-Fingerabdruck fortzusetzen. Geben Sie den Fingerabdruck in das Textfeld "Fingerabdruck" ein. Wenn Sie den Fingerabdruck nicht kennen oder überprüfen möchten, ob es sich um den richtigen handelt, sollten Sie zuerst die Option SSH-Fingerabdruck abrufen auswählen. Anschließend haben Sie die Möglichkeit, das Textfeld "Fingerabdruck" über die Option Abgerufenen verwenden auszufüllen. Einzelheiten siehe oben.
Tipp: Um die SHA256 SSH-Fingerabdrücke manuell auf einem Gerät zu erhalten, öffnen Sie ein Terminal und geben Sie Folgendes ein:
sudo ssh-keyscan localhost | ssh-keygen -l -E sha256 -f -
Fehlerbehebung: Wenn bei der Bereitstellung mit SSH-Fingerabdruck und dem Bereitstellungsrepräsentanten ein Fehler auftritt, meldet die Datei DeploymentEngine.log Folgendes:
sudo: Es tut uns leid, Sie müssen ein TTY haben, um sudo auszuführen.
Überprüfen Sie die Shell-Tipps, um das Problem zu beheben. Nachdem die Änderungen vorgenommen wurden, müssen Sie die Bereitstellung wiederholen.Ein Gerät, das SSH-Fingerabdrucksicherheit verwendet, zeigt das Symbol mit dem geschlossenen Vorhängeschloss an.
- Geräte entfernen: Mit dieser Option können Sie eine Spalte mit Kontrollkästchen in der Geräteliste einblenden. Markieren Sie das Kontrollkästchen für jedes Gerät, auf dem Sie die Agentenrichtlinie deinstallieren möchten. Klicken Sie anschließend auf Entfernen und Agenten deinstallieren. Der Agent wird auf den ausgewählten Geräten deinstalliert und der Bereitstellungsstatus wechselt von "Aktuell" in "Deinstalliert". Nachdem Aktualisieren der Seite wird das Gerät nicht mehr in der Liste angezeigt.
Damit diese Aktion erfolgreich verläuft, muss der Agent einchecken. Wenn kein Agent auf dem Gerät vorhanden ist und der Bereitstellungsstatus bei Wird deinstalliert verbleibt, wählen Sie Geräte entfernen ein weiteres Mal aus, um das Gerät von der Liste zu entfernen.
Ein Gerät, das als Bereitstellungsrepräsentant fungiert, kann nicht entfernt werden. Weitere Informationen erhalten Sie unter Bereitstellungsrepräsentanten.
- Fehlgeschlagene Bereitstellung erneut ausführen: Wählen Sie diese Option aus, um zu versuchen, die fehlgeschlagene Installation des Ivanti Neurons-Agenten, der über eine Richtliniengruppe bereitgestellt wird, erneut auszuführen. Mögliche Ursachen für Fehler: das Gerät ist ausgeschaltet, das Netzwerk für das Gerät ist offline, oder die Anmeldeinformationen für die Bereitstellung sind ungültig. Wenn Sie Hilfe benötigen, finden Sie weitere Informationen unter Anleitung zum Beheben von Bereitstellungsproblemen.
Richtliniengruppe – Details
Der Bereich "Richtliniengruppe – Details" wird angezeigt, wenn Sie für eine vorhandene Richtliniengruppe die Option Neue Richtliniengruppe erstellen oder Aktionen und Agenteneinstellungen bearbeiten auswählen.
Name der Richtliniengruppe: Der Name der Richtliniengruppe.
Beschreibung: Die Beschreibung der Richtliniengruppe.
Peersteuerlelemente für Downloads
Dadurch können die Geräte in einem Netzwerk die Installationen für Agent, Modul und Konfiguration gemeinsam nutzen. Ein Gerät kann sich direkt mit einem anderen verbinden, ohne dass ein vermittelnder Server benötigt wird. Ein Peer-to-Peer-Netzwerk ist bei einer Vielzahl von Geräten effizienter als ein Client-Server-Netzwerk, da die Dateiübertragungslast unter den Geräten verteilt wird. Es ist außerdem zuverlässiger als ein Client-Server-Netzwerk, da es auch bei einem Serververbindungsfehler betriebsfähig bleibt.
Peer-to-Peer unterstützt digital signierte und quergeladene Patches. Patches, die automatisch vom Anbieter heruntergeladen und nicht digital signiert wurden, werden in Peer-to-Peer-Szenarien, z. B. 7-Zip und Core FTP, nicht unterstützt. Der Server-Peer teilt nur für das Betriebssystem geeignete Patches mit dem Peer-Client. Beispiel: Ein Server 2019 teilt nur 2019er-Patches (und keine späteren) mit einem Windows 11-Client.
Wählen Sie aus den folgenden Optionen:
- Deaktiviert: Für Peers werden keine Dateien freigegeben bzw. von Peers werden keine Dateien heruntergeladen.
- Nur Client: Dateien werden nicht gemeinsam mit Peers verwendet. Von Peers werden Dateien heruntergeladen.
- Nur Server: Dateien werden gemeinsam mit Peers verwendet. Von Peers werden keine Dateien heruntergeladen.
- Client & Server: Für Peers werden Dateien freigegeben bzw. von Peers werden Dateien heruntergeladen.
Peer-Clients behalten Dateien 2 Tage lang und Peer-Server 2 Wochen lang. Wenn jedoch Client & Server ausgewählt ist, bewirkt dies ebenfalls eine Zwischenspeicherung für 2 Wochen.
Wenn Sie den Peer-Download verwenden, müssen Sie sicherstellen, dass Ihre Firewalls den UDP- und TCP-Traffic auf den Ports 33121 und 33122 unterstützen.
Bandbreitennutzung
Wählen Sie die Bandbreitennutzung in Prozent aus. Mit diesen Limits legen Sie fest, wie viel Netzwerkbandbreite für Ivanti Neurons-Agentendownloads zur Verfügung stehen soll. Mit dieser Option verhindern Sie, dass ein Agent die gesamte Bandbreite im Rahmen einer begrenzten oder gebührenpflichtigen Bandbreitenverbindung nutzt und sicherstellen, dass andere Ressourcen das Netzwerk zur gleichen Zeit nutzen können.
- LAN-Nutzung (%): Legen Sie den maximal zulässigen Prozentsatz zwischen 10 und 100 % fest. Dadurch wird die Netzwerkbandbreite, die für das Herunterladen des Ivanti Neurons-Agenten und der Funktionen zugeteilt wird, auf den für das LAN festgelegten Prozentsatz gedrosselt. Bei Multicast-Peers ist dies nur das lokale Subnetz.
LAN-Bereiche sind wie folgt definiert:- 10.0.0.0 bis 10.255.255.255 (10/8-Präfix)
- 172.16.0.0 bis 172.31.255.255 (172.16/12-Präfix)
- 192.168.0.0 bis 192.168.255.255 (192.168/16-Präfix)
-
Internet/WAN-Nutzung (%): Legen Sie den maximal zulässigen Prozentsatz zwischen 10 und 100 % fest. Dadurch wird die Netzwerkbandbreite, die für das Herunterladen des Ivanti Neurons-Agenten und der Funktionen zugeteilt wird, auf den für das WAN festgelegten Prozentsatz gedrosselt.
Funktionen
Die verfügbaren Funktionen richten sich nach der Lizenz. Bitte prüfen Sie, welche Produktfunktionen in Ihrem Ivanti Neurons-Paket enthalten sind. Weitere Informationen zu den obigen Optionen finden Sie im jeweiligen Hilfethema.
Wählen Sie aus, welche Agentenfunktionen für die Richtliniengruppe aktiviert werden sollen:
- Remotesteuerung: Mit ihr können IT-Analysten Endpunkte auf sichere Weise aus der Ferne steuern und dadurch Probleme beheben.
- Edge Intelligence: Bietet Einblicke in Echtzeit sowie Abhilfe- und Alarmfunktionen für Ihre Umgebung. Die Daten werden bei Anforderung in Echtzeit von den Geräten abgerufen.
Wenn Edge Intelligence deaktiviert ist, werden bei den Geräten keine Fehlerbehebungsdaten angezeigt. Bestimmte Funktionen in Personen sind davon ebenfalls betroffen; letzter Speicherort, Active Directory-Status. Edge Intelligence und Neurons geben keine Daten zu Geräten zurück, die von der Richtlinie betroffen sind. - Automatisierung: Ermöglicht Ivanti Neurons, mit verschiedensten Systemen außerhalb der Neurons-Plattform zu kommunizieren. Es können damit Informationen abgerufen oder Tasks durchgeführt werden. Die Benutzererfahrung konzentriert sich auf die folgenden drei Konzepte: Was, Wer, Wann.
Bei deaktivierter Automatisierung können Sie über Ivanti Neurons-Plattform > Geräte/Edge Intelligence/Neurons keine Aktionen auf Geräten ausführen, die Ziel der Richtlinie sind. Dazu gehört auch das Erstellen und Anzeigen von Supporttickets in ISM und ServiceNow. - Patchmanagement: Bietet Zero-Trust-Sicherheitsfunktionen und eine konsequente Verwaltung von Anfälligkeiten. Dadurch können Unternehmen Anfälligkeiten besser steuern und priorisieren – von der Erkennung bis zur Behebung.
- Patchkonfiguration: Wählen Sie die Patchkonfiguration aus, die Sie auf die Richtliniengruppe anwenden möchten. Eine Patchkonfiguration steuert die Patchbereitstellungen, die enthaltenen Patchtypen, den Bereitstellungszeitplan und das Neustartverhalten der Endpunkte. In der Dropdown-Liste sind alle verfügbaren Patchkonfigurationen enthalten. Konfigurationen werden unter Ivanti Neurons > Patchmanagement > Patcheinstellungen eingerichtet.
Um mit dem Ivanti Neurons-Agenten erfolgreich Patches auf Windows-Geräten bereitzustellen, deaktivieren Sie den Windows Update-Dienst nicht, sondern setzen Sie ihn auf Manuell oder Automatisch. Setzen Sie zusätzlich die Windows Update-Einstellung auf jedem Zielcomputer (über Systemsteuerung > System und Sicherheit > Windows Update > Einstellungen ändern) auf Nie nach Updates suchen. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community.
- App-Verteilung: Stellt externe Unternehmensanwendungen bereit, die über .exe- oder .msi-Dateien installiert werden.
- (SYSTEM) Standard: Diese Option ist automatisch aktiviert und ist nicht konfigurierbar.
- Application Control: Bietet Anwendungskontrolle sowie Berechtigungs- und Richtlinienverwaltung. Weitere Informationen finden Sie in der Hilfe zu Application Control.
- Konfiguration: Wählen Sie die Application Control-Konfiguration aus, die Sie auf die Richtliniengruppe anwenden möchten. Die Konfiguration steuert, welche Application Control-Einstellungen auf dem Endpunkt bereitgestellt werden. Weitere Informationen finden Sie unter Application Control und Integration in Ivanti Neurons.
- Environment Manager: Bietet bedarfsbasierte Personalisierung und kontextbezogene Richtlinienkontrollen. Weitere Informationen finden Sie in der Hilfe zu Environment Manager.
- Konfiguration: Wählen Sie die Environment Manager-Konfiguration aus, die Sie auf die Richtliniengruppe anwenden möchten. Die Konfiguration steuert, welche Environment Manager-Einstellungen auf dem Endpunkt bereitgestellt werden. Weitere Informationen finden Sie unter Environment Manager und Integration in Ivanti Neurons.
- Performance Manager: Unterstützt IT-Teams beim Maximieren der Benutzerdichte und Bereitstellen einer optimalen Benutzererfahrung. Weitere Informationen finden Sie in der Hilfe zu Performance Manager.
- Konfiguration: Wählen Sie die Performance Manager-Konfiguration aus, die Sie auf die Richtliniengruppe anwenden möchten. Die Konfiguration steuert, welche Performance Manager-Einstellungen auf dem Endpunkt bereitgestellt werden. Weitere Informationen finden Sie unter Performance Manager und Integration in Ivanti Neurons.
Neustartaufforderungen
Für Updates an den Komponenten des Ivanti Neurons-Agenten ist mitunter ein Neustart erforderlich. Sie können konfigurieren, ob Neustarts angefordert werden und wann. Sie können zusätzliche Funktionen im Ivanti Neurons-Agenten konfigurieren, um Neustarts anzufordern. Wechseln Sie zum Konfigurieren der Einstellungen zu der jeweiligen Funktion.
Es wird empfohlen, Servergeräte und Endbenutzergeräte in unterschiedlichen Richtliniengruppen zu verwalten. Auf diese Weise können Sie die Neustarteinstellungen entsprechend für diejenigen Geräte festlegen, für die es keine aktiven Endbenutzer gibt.
Aktion nach einer Neustartaufforderung
Die Einstellungen für die Anforderung von Neustarts für Ivanti Neurons-Agenten und -Funktionen gelten für alle angeforderten Neustarts innerhalb der Ivanti Neurons-Plattform für diese Richtliniengruppe.
- Neustart nach Abmeldung des Benutzers: Der Neustart erfolgt, sobald sich der Benutzer das nächste Mal abmeldet.
- Neustart nach Intervall: Der Neustart erfolgt nach Ablauf der konfigurierten Zeit:
- Countdown-Zeitgeber: Geben Sie einen Wert und eine Einheit ein (Minuten, Stunden, Tage). Der Höchstwert ist 31 Tage. Der Wert des Countdown-Zeitgebers darf nicht höher sein als der Wert für die maximale Verschiebung.
- Anzeigedauer der Meldung über das Herunterfahren: Geben Sie einen Wert und eine Einheit ein (Sekunden, Minuten), um festzulegen, wie lange die Meldung über das bevorstehende Herunterfahren angezeigt werden soll. Der Höchstwert beträgt 999 Sekunden bzw. 16 Minuten.
- Benutzer kann Neustart verschieben: Der Benutzer hat die Möglichkeit, Neustarts zu verschieben.
- Um: Geben Sie einen Wert und eine Einheit ein (Minuten, Stunden, Tage) um anzugeben, um wie viel Zeit der Benutzer Neustarts verschieben kann. Der Höchstwert ist 14 Tage.
- Bis maximal: Geben Sie einen Wert und eine Einheit ein (Minuten, Stunden, Tage) um anzugeben, um wie viel Zeit der Benutzer Neustarts maximal verschieben kann. Der Höchstwert ist 31 Tage. Dieser Wert muss größer sein als Wert für den Countdown-Zeitgeber. Achten Sie beim Festelegen der Anzahl der Tage darauf, dass ausstehende Updates erst nach erfolgtem Neustart wirksam werden.
- Benutzer kann Neustart bis zur Abmeldung verschieben: Der Benutzer kann den Neustart verschieben, bis er sich das nächste Mal abmeldet.
- Benutzer kann Neustart abbrechen: Der Benutzer ist berechtigt, den Neustart abzubrechen.
Automatische Agentenaktualisierung
Der Ivanti Neurons-Agent aktualisiert sich automatisch selbst, wenn Bugfixes und Verbesserungen vorhanden sind. Manchmal ist nach einem solchen Update ein Neustart erforderlich.
- Neustarts bei Erfordernis anfordern: Der Neustart wird angefordert, wenn er erforderlich ist.
- Keine Neustarts anfordern: Es wird kein Neustart angefordert. Wenn keine Neustarts angefordert werden, sind einige Agentenkomponenten möglicherweise nicht voll funktionsfähig. In dem Fall ist ein manueller Neustart erforderlich.
Agenteninstallation
Diese Option ist verfügbar, wenn eine neue Richtliniengruppe erstellt wird.
- Ivanti Neurons-Agent auf den Geräten in dieser Richtliniengruppe installieren: Wählen Sie aus, ob der Ivanti Neurons-Agent auf den Geräten innerhalb dieser Richtliniengruppe installiert werden soll.
Wenn Sie Ja, auswählen, wird die Option Anmeldeinformationen für Gerät auswählen aktiviert und Sie müssen die entsprechenden Anmeldedaten auswählen.- Anmeldeinformationen für Gerät auswählen: Wählen Sie die Anmeldeinformationen aus, die für die Geräte in der Richtliniengruppe benötigt werden.
- Anmeldeinformationen im Speicher für Anmeldeinformationen verwalten: Unter Ivanti Neurons > Admin > Anmeldeinformationen können Sie den Speicher für Anmeldeinformationen öffnen. Fügen Sie neue Anmeldeinformationen hinzu. Die Anmeldeinformationen sind jetzt in der Dropdownliste unter Richtliniengruppe > Anmeldeinformationen für Gerät auswählen verfügbar.
- Bereitstellungsrepräsentant: Wählen Sie den Bereitstellungsrepräsentanten aus, den Sie für die Bereitstellung verwenden möchten. Die Einstellung wird überschrieben, wenn Sie Lokalen Bereitstellungsrepräsentanten bevorzugen auswählen, es sei denn, der ausgewählte Repräsentant befindet sich im lokalen Subnetz.
- Lokalen Bereitstellungsrepräsentanten bevorzugen: Wählen Sie diese Option aus, wenn Sie im lokalen Subnetz nach einem Bereitstellungsrepräsentanten suchen möchten, bevor Sie sich für den oben angegebenen Repräsentanten entscheiden. Falls einer im selben Subnetz des Zielgeräts gefunden wird, wird dieser anstelle des angegebenen Repräsentanten verwendet. Anderenfalls wird der angegebene Bereitstellungsrepräsentant verwendet.
- Anmeldeinformationen für Gerät auswählen: Wählen Sie die Anmeldeinformationen aus, die für die Geräte in der Richtliniengruppe benötigt werden.
- Die Bereitstellungsrepräsentanten A und C befinden sich in Subnetz 1.
- Bereitstellungsrepräsentant B befindet sich in Subnetz 2.
- In Subnetz 3 befindet sich kein Bereitstellungsrepräsentant.
- Bereitstellungsrepräsentant A oder C wird versuchen, eine Bereitstellung in Subnetz 1 durchzuführen, je nachdem, welches zuerst gefunden wird.
- Bereitstellungsrepräsentant B wird versuchen, die Bereitstellung in Subnetz 2 durchzuführen.
- Bereitstellungen in Subnetz 3 schlagen fehl, da dort kein Bereitstellungsrepräsentant vorhanden ist.
- Bereitstellungsrepräsentant A wird versuchen, die Bereitstellung in den Subnetzen 1, 2 und 3 durchzuführen.
- Bereitstellungsrepräsentant A wird versuchen, die Bereitstellung in Subnetz 1 und 3 durchzuführen.
- Bereitstellungsrepräsentant B wird versuchen, die Bereitstellung in Subnetz 2 durchzuführen.
Sie besitzen drei Subnetze; 1, 2 und 3 und drei Bereitstellungsrepräsentanten A, B und C.
Szenario 1: Behalten Sie für den Bereitstellungsrepräsentanten die Standardeinstellung Lokalen Bereitstellungsrepräsentanten verwenden bei:
Szenario 2: Wählen Sie Bereitstellungsrepräsentant A aus und lassen Sie das Kontrollkästchen Lokalen Bereitstellungsrepräsentanten bevorzugen deaktiviert:
Szenario 2: Wählen Sie Bereitstellungsrepräsentant A aus und markieren Sie das Kontrollkästchen Lokalen Bereitstellungsrepräsentanten bevorzugen:
Wenn Sie Nein auswählen und somit keine Anmeldeinformationen angeben, wird bei der Erstellung der Gruppe eine Warnung angezeigt, die darauf hinweist, dass in der Gruppe ein Gerät vorhanden ist, auf dem kein Agent installiert ist.
Weiter – Geräte auswählen: Diese Option ist nur verfügbar, wenn eine neue Richtliniengruppe erstellt wird. Zeigt die Geräteliste an. Wählen Sie die Geräte aus, denen diese Gruppenrichtline zugewiesen werden soll, und klicken Sie auf Agent bereitstellen.
Änderungen bereitstellen: Diese Option ist nur verfügbar, wenn eine vorhandene Richtliniengruppe bearbeitet wird. Wählen Sie diese Option aus, um die Änderungen auf allen Geräten der Richtliniengruppe bereitzustellen.