Configurer Affectation automatique de stratégie (APA)

L'affectation automatique de stratégie (APA) gère et affecte automatiquement des stratégies aux périphériques de votre environnement, en fonction de règles configurables. Pour en savoir plus, reportez-vous à la section « Foire aux questions (FAQ) ».

La configuration d'Affectation automatique de stratégie implique les opérations suivantes :

Avant de configurer APA, configurez un groupe de périphériques dans Ivanti Neurons et vérifiez les points suivants :

  • Les périphériques et les groupes de périphériques sont gérés dans la vue Périphériques Neurons. Pour en savoir plus sur le regroupement des périphériques, reportez-vous à « Périphériques ».
  • Un périphérique peut appartenir à plusieurs groupes ou à aucun.
  • Seuls les groupes de périphériques publics peuvent être sélectionnés pour APA. Il peut s'agir d'éléments dynamiques ou statiques.
  • Configurez vos groupes de périphériques afin de catégoriser des types de périphérique similaires pour pouvoir affecter une stratégie au groupe de périphériques. Cela simplifie la maintenance en continu.

Configurer des règles d'affectation

Pour configurer des règles d'affectation, procédez comme suit :

  1. Accédez à Agents > Déploiement d'agent.
    La page Déploiement d'agent s'ouvre et affiche par défaut l'onglet Affectation automatique de stratégie.
  2. Cliquez sur Configurer pour activer cette fonction.
    La page de configuration APA s'affiche. Cette étape apparaît uniquement lors de la première configuration d'APA.
  3. Cliquez sur Modifier pour définir les règles et stratégies à affecter à chaque périphérique ou groupe de périphériques.
  4. Sélectionnez une stratégie dans la liste déroulante Choisir une affectation de stratégie par défaut, dans la section Stratégie par défaut.
    La stratégie sélectionnée est affectée au groupe de périphériques. Pour en savoir plus sur la création d'une stratégie, reportez-vous à « Stratégies d'agent ».

    La stratégie sélectionnée s'applique automatiquement à tous les postes client d'agent connectés à votre locataire par défaut, et utilise Affectation automatique de stratégie. Configurez des exceptions pour des périphériques ou groupes de périphériques spécifiques afin de les exclure de cette stratégie.

    La liste déroulante Stratégie par défaut ne répertorie pas les stratégies dotées de fonctions d'infrastructure, comme Découverte active, Serveur de connecteurs, Déploiement ou Synchro des serveurs préférés. Vous avez besoin de références d'authentification sécurisées pour utiliser ces fonctions, alors déployez-les sur des périphériques spécifiques qui font partie des périphériques d'infrastructure Ivanti Neurons.

  5. Cliquez sur Enregistrer.

    L'application des changements aux postes client peut prendre jusqu'à 24 heures, en raison des processus d'évaluation.

Migrer les affectations de stratégie existantes

Toutes les affectations de stratégie existantes configurées sur les postes client d'agent avant l'activation d'Affectation automatique de stratégie sont automatiquement migrées vers des exceptions de périphériques lorsque vous configurez Affectation automatique de stratégie. Il est recommandé de remplacer les exceptions de périphériques par des exceptions de groupes de périphériques au fil du temps. Cela simplifie la gestion des postes client pour un grand nombre de périphériques.

Il est recommandé de conserver les exceptions de périphériques pour les postes client d'agent dotés de stratégies contenant des capacités d'infrastructure, car la stratégie par défaut ou les exceptions de groupes de périphériques ne peuvent pas les gérer.

Configurer des exceptions de périphériques

Cette section vous permet de configurer des exceptions pour remplacer la stratégie par défaut définie pour des périphériques spécifiques connectés à votre locataire. Pour configurer des exceptions de périphériques, procédez comme suit :

  1. Dans l'onglet Affectation automatique de stratégie, accédez à la section Exceptions de périphériques.
    Vérifiez que vous êtes en mode Édition. Sinon, cliquez sur Modifier.
  2. Cliquez sur Ajouter une exception de périphériques.
    Le volet Ajouter une exception de périphériques s'affiche et répertorie les postes client connectés au locataire.
  3. Sélectionnez une stratégie dans la liste déroulante Stratégie d'agent.
    Cette liste déroulante inclut également des stratégies avec des capacités d'infrastructure.
  4. Sélectionnez les postes client dans la liste Périphériques ou utilisez la zone de recherche pour rechercher les périphériques connectés à votre locataire, puis cliquez sur Ajouter.
    Vous pouvez également sélectionner les périphériques et cliquer sur Supprimer pour exclure des postes client.

    Les périphériques inclus pour les exceptions sont indiqués par une coche verte dans la colonne Inclus.

  5. Cliquez sur Confirmer.
    Les changements s'affichent dans la section Exceptions de périphériques.

    Chaque périphérique ne peut appartenir qu'à une seule exception à la fois. Si vous tentez d'ajouter le périphérique à une autre exception, l'interface affiche les éléments qui vont être ajoutés et supprimés, avant que vous ne cliquiez sur Enregistrer pour confirmer.

    6. Les périphériques répertoriés dans la section Exceptions de périphériques ne suivent aucun ordre de priorité. Les exceptions basées sur le nom du périphérique sont prioritaires à la fois sur la stratégie par défaut et sur les exceptions de groupes de périphériques.

Configurer des exceptions de groupes de périphériques

Cette section vous permet de configurer des exceptions pour remplacer la stratégie par défaut définie pour un groupe de périphériques connecté à votre locataire. Pour configurer des exceptions de groupes de périphériques, procédez comme suit :

  1. Dans l'onglet Affectation automatique de stratégie, accédez à la section Exceptions de groupes de périphériques.
    Vérifiez que vous êtes en mode Édition. Sinon, cliquez sur Modifier.
  2. Cliquez sur Ajouter une exception de groupes de périphériques.
    Le volet Ajouter une exception de groupes de périphériques s'affiche et répertorie les groupes de périphériques connectés au locataire dans la section Groupes de périphériques disponibles.
  3. Sélectionnez une stratégie dans la liste déroulante Stratégie d'agent.
  4. Sélectionnez les groupes de périphériques voulus dans la section Groupes de périphériques disponibles, ou utilisez le champ de recherche pour rechercher les groupes de périphériques connectés à votre locataire, puis cliquez sur Ajouter.
    Les groupes de périphériques inclus sont déplacés vers la section Groupes de périphériques inclus.
    Sinon, dans la section Groupes de périphériques inclus, sélectionnez le groupe et cliquez sur Supprimer pour exclure des postes client. Vous pouvez aussi cliquer sur Tout supprimer pour supprimer tous les groupes de périphériques de la liste des exceptions.
  5. Cliquez sur Confirmer.
    Les changements s'affichent dans la section Exceptions de groupes de périphériques.

    Un groupe de périphériques peut être membre d'une ou plusieurs exceptions de groupes de périphériques. Les exceptions de groupes de périphériques remplacent uniquement la stratégie par défaut, tandis que les exceptions de périphériques individuels sont prioritaires sur les exceptions de groupes de périphériques.

  6. Dans la section Exceptions de groupes de périphériques, vous pouvez réorganiser les groupes de périphériques pour les prioriser. Pour les hiérarchiser, faites glisser un groupe vers le haut ou le bas à l'aide des poignées, à gauche.
  7. Cliquez sur Enregistrer, dans l'angle supérieur droit de l'écran pour mettre à jour les changements.

Une fois la configuration APA enregistrée, les règles sont évaluées comme suit :

  • Les règles et changements Affectation automatique de stratégie mis à jour sont enregistrés dans la configuration système, mais ils ne sont pas implémentés immédiatement.
  • Les règles de stratégie sont évaluées et implémentées sur la base de la planification du système, généralement toutes les 24 heures, en raison d'une période de gel destinée à empêcher les réaffectations de stratégie fréquentes ou inutiles.
  • Les règles nouvelles ou mises à jour sont enregistrées, et prennent effet lors du prochain cycle d'évaluation.
  • Tous les changements susceptibles de provoquer la réaffectation d'une stratégie de périphérique sont soumis à la période de gel. Les actions sont traitées uniquement après l'expiration de la période de gel pour chaque périphérique.

(Facultatif) Déployer la configuration immédiatement

Pour appliquer des changements en dehors du cycle d'évaluation normal ou dans des situations spécifiques, sélectionnez l'option Exécuter maintenant, dans l'angle supérieur droit de l'écran, pour ignorer la période d'évaluation standard de 24 heures. Cette action déclenche le processus Affectation automatique de stratégie (APA); qui contourne le cycle d'évaluation normal. Cependant, même si vous utilisez Exécuter maintenant, les affectations de stratégie pour les périphériques ne prennent effet que lorsque le processus d'évaluation est terminé.

Le système met en file d'attente une demande d'exécution s'il existe une demande en attente ou en cours d'exécution, ou si la dernière évaluation a été effectuée récemment. Si une évaluation est en cours, l'exécution actuelle se termine en premier, puis la nouvelle demande s'exécute après la première.

Déployer sur les agents

Une fois la configuration d'APA terminée, vous pouvez déployer l'agent sur les postes client à l'aide des méthodes Installation Push Neurons et Installation manuelle. Ces méthodes peuvent utiliser Affectation automatique de stratégie pour simplifier la gestion des postes client.

Pour déployer Affectation automatique de stratégie sur les postes client d'agent via Installation Push Neurons ou Installation manuelle, reportez-vous à la rubrique « Déploiement d'agent ».

(Facultatif) Réaffecter la stratégie d'agent

Vous pouvez désormais réaffecter des stratégies à un grand nombre de périphériques avec l'option Affectation automatique de stratégie configurée, dans le cadre de la gestion des agents. Pour en savoir plus sur les autres fonctions de gestion des agents, reportez-vous à « Gestion des agents ».

Lorsque vous réaffectez une stratégie d'agent avec une configuration Affectation automatique de stratégie, les exceptions de périphériques existantes sont supprimées et leur stratégie est automatiquement remplacée par la nouvelle stratégie une fois le processus d'évaluation des stratégies terminé.

Pour réaffecter des postes client avec l'option Affectation automatique de stratégie configurée, procédez comme suit :

  1. Cochez la case en regard du poste client d'agent auquel réaffecter une stratégie.
  2. Sélectionnez Actions > Réaffecter une stratégie.
    Le volet Réaffecter une stratégie s'ouvre.
  3. Sélectionnez Utiliser l'affectation automatique de stratégie dans la liste déroulante.
  4. Cliquez sur Enregistrer.
    Le volet Réaffecter une stratégie se ferme.
  5. Dans la page Agent Management (Gestion des agents), l'état se met à jour vers Réaffectation de stratégie demandée. Pointez sur l'état pour connaître la personne qui a demandé le changement de stratégie, la date de la demande et le nom de la stratégie affectée.

Supprimer des exceptions

Pour supprimer des exceptions de périphériques ou de groupes de périphériques, procédez comme suit :

  1. Dans l'onglet Affectation automatique de stratégie, vérifiez que vous êtes en mode Édition. Sinon, cliquez sur Modifier.

  2. Supprimez les exceptions comme suit :

    • Supprimer des exceptions de périphériques : Dans la section Exceptions de périphériques, sélectionnez un périphérique dans la liste (le volet Modifier les exceptions de périphériques s'affiche). Cliquez ensuite sur Supprimer une exception de périphériques.

    • Supprimer des exceptions de groupes de périphériques : Dans la section Exceptions de groupes de périphériques, sélectionnez un périphérique dans la liste (le volet Modifier les exceptions de groupes de périphériques s'affiche). Cliquez ensuite sur Supprimer une exception de groupes de périphériques.

  3. Cliquez sur Enregistrer.

Foire aux questions (FAQ)

Commencez par créer une stratégie par défaut raisonnable. Elle s'applique à tous les postes client d'agent de votre réseau, sauf si vous spécifiez des exceptions. Passez en revue les types et emplacements de vos périphériques pour voir où des exceptions spécifiques peuvent être nécessaires.

Utilisez la fonction Affectation automatique de stratégie pour ajouter des exceptions pour des groupes de périphériques ou des périphériques individuels. Les exceptions de périphériques individuels sont toujours prioritaires sur les exceptions de groupes. Si un périphérique appartient à plusieurs groupes de périphériques, vous pouvez définir manuellement l'ordre de priorité.

Lorsqu'un nouveau poste client est créé et configuré pour utiliser Affectation automatique de stratégie (APA), il reçoit automatiquement la stratégie par défaut. Cela se produit systématiquement, sauf si cela correspond à une exception que vous avez définie. Vous n'avez donc rien à configurer manuellement.

Oui, la migration est simple. Si vous utilisez déjà des agents Ivanti, vos configurations actuelles continuent à fonctionner comme prévu, car des exceptions de périphériques sont automatiquement créées pour ces éléments sous Affectation automatique de stratégie.

Examinez ses attributs (comme le type ou l'emplacement), et vérifiez s'ils correspondent à des exceptions ou à plusieurs groupes. Passez en revue l'ordre de priorité des exceptions. Vous devrez peut-être ajuster l'exception à appliquer.

Définissez votre stratégie par défaut et examinez la priorité de vos exceptions. En cas de conflit d'exceptions, vérifiez comment les priorités sont définies pour éviter une application de stratégie involontaire.

Oui, Affectation automatique de stratégie (APA) réduit le risque de configurations manquées ou incorrectes, en maintenant vos postes client constamment protégés et conformes avec moins d'efforts manuels.