Détails du groupe de stratégies

Pour accéder à la page Détails du groupe de stratégies, cliquez sur l'un des groupes dans la liste de la page Groupes de stratégies. Cette page répertorie tous les périphériques appartenant au groupe de stratégies, avec leurs détails.

Actions disponibles :

  • Modifier les actions et les paramètres d'agent : Sélectionnez cette option pour ouvrir le volet Détails du groupe de stratégies, où vous pouvez mettre à jour le nom, la description, les contrôles de téléchargement entre homologues (P2P), l'utilisation de bande passante, les fonctions, les paramètres de redémarrage et les références d'authentification du périphérique. Après la modification, cliquez sur Déployer les changements.
  • Ajouter des périphériques : Sélectionnez cette option pour afficher des cases à cocher dans la liste des périphériques. Sélectionnez les périphériques où installer la stratégie d'agent. Si des références d'authentification de périphérique sont requises, le volet Détails du groupe de stratégies s'affiche pour vous permettre de saisir ces références. Sélectionnez Ajouter des périphériques pour démarrer le déploiement.

    Cette option n'est pas disponible pour le représentant de déploiement ni pour un périphérique de serveur de connecteurs.

    Vous pouvez appliquer au périphérique la sécurité par empreinte SSH. Les empreintes avec hachage SHA256 sont prises en charge. Lorsque vous cochez une case, vous voyez apparaître une icône de cadenas ouvert (Icône Déverrouillé). Cliquez dessus pour afficher la boîte de dialogue des options d'empreinte SSH. Vous disposez des options suivantes :

    • Déployer sans utiliser l'empreinte SSH : Sélectionnez cette option pour continuer les déploiements sans vérifier l'empreinte SSH.
    • Récupérer l'empreinte SSH : Sélectionnez cette option pour envoyer une demande de récupération de l'empreinte SSH auprès du périphérique.
      1. Si cette option est sélectionnée, une fois l'empreinte du périphérique reçue, l'icône Empreinte SSH récupérée (Icône Empreinte SSH récupérée) s'affiche dans la colonne État du déploiement de la page Détails du groupe de stratégies.
      2. Cliquez sur l'icône Icône Empreinte SSH récupérée pour afficher la boîte de dialogue d'options Empreinte SSH. Cette fois, la boîte de dialogue contient l'option Icône Verrouillé-Signé Utiliser l'empreinte récupérée.
      3. Sélectionnez l'option Utiliser l'empreinte récupérée pour afficher l'empreinte dans la zone de texte Empreinte. L'option Déployer après vérification de l'empreinte SSH est également sélectionnée.
      4. Cliquez sur OK pour fermer la boîte de dialogue.
      5. Maintenant que vous avez la bonne empreinte et que vous avez choisi d'effectuer le déploiement après avoir vérifié l'empreinte SSH, vous pouvez tenter le déploiement. Pour ce faire, sur la page Détails du groupe de stratégies, sélectionnez Relancer les déploiements ayant échoué.
      6. Dans la boîte de dialogue Relancer les déploiements ayant échoué, sélectionnez des références d'authentification et un représentant de déploiement si nécessaire.
      7. Cliquez sur OK pour démarrer le déploiement.
    • Déployer après vérification de l'empreinte SSH : Sélectionnez cette option pour continuer les déploiements avec l'empreinte SSH spécifiée. Entrez l'empreinte dans la zone de texte Empreinte. Si vous ne connaissez pas l'empreinte ou si vous souhaitez vérifier que c'est la bonne, vous devez d'abord sélectionner l'option Récupérer l'empreinte SSH. Vous pourrez alors remplir la zone de texte Empreinte avec l'option Utiliser l'empreinte récupérée. Voir ci-dessus pour en savoir plus.
      Astuce : Pour obtenir manuellement les empreintes SSH SHA256 sur un périphérique, ouvrez une fenêtre de terminal et entrez :
      sudo ssh-keyscan localhost | ssh-keygen -l -E sha256 -f -

    Dépannage : Si vous rencontrez une erreur lors du déploiement avec l'empreinte SSH et que le fichier de représentant du déploiement DeploymentEngine.log signale l'erreur suivante :
    sudo: sorry, you must have a tty to run sudo (désolé, il faut un tty pour exécuter sudo)
    Consultez les astuces de Shell pour résoudre le problème. Une fois les modifications apportées, vous devez retenter le déploiement.

    Un périphérique utilisant la sécurité par empreinte SSH affiche l'icône de cadenas fermé Icône de cadenas fermé.

  • Supprimer les périphériques : Sélectionnez cette option pour afficher une colonne de cases à cocher dans la liste des périphériques, puis cochez la case des périphériques où désinstaller la stratégie d'agent. Une fois que vous avez fait votre choix, cliquez sur Supprimer et désinstaller les agents. L'agent est désinstallé de tous les périphériques sélectionnés et l'état de déploiement Actuel devient Désinstallé. Une fois la page actualisée, le périphérique concerné disparaît de la liste.
    L'agent doit prendre contact pour que cette action réussisse. S'il n'y a pas d'agent sur le périphérique et si l'état de déploiement Désinstallation en cours ne change pas, sélectionnez une nouvelle fois Supprimer les périphériques pour supprimer le périphérique de la liste.

    Vous ne pouvez pas supprimer un périphérique représentant de déploiement. Pour en savoir plus, reportez-vous à « Représentants de déploiement ».

  • Relancer les déploiements ayant échoué : Sélectionnez cette option pour tenter à nouveau les installations qui ont échoué pour l'agent Ivanti Neurons déployé via un groupe de stratégies. Causes possibles de l'échec : périphérique éteint, réseau hors ligne sur le périphérique ou références d'authentification de déploiement non valides. Reportez-vous à « Comment résoudre les problèmes de déploiement pour obtenir de l'aide.

Détails du groupe de stratégies

Le volet Détails du groupe de stratégies apparaît lorsque vous choisissez Créer un nouveau groupe de stratégies ou, pour un groupe de stratégies existant, Modifier les actions et les paramètres d'agent.

Nom de groupe de stratégies : Nom du groupe de stratégies.

Description : Description du groupe de stratégies.

Contrôles de téléchargement P2P

Cela permet aux périphériques d'un réseau de se partager les agents, les moteurs et les configurations installés. Un périphérique peut se connecter directement à un autre, sans passer par un serveur intermédiaire. Un réseau P2P est plus efficace qu'un réseau client-serveur lorsque le nombre des périphériques augmente, car la charge de transfert de fichiers est répartie entre ces périphériques. Il est également plus fiable qu'un réseau client-serveur, car il reste fonctionnel en cas de problème de connexion au serveur.
Le P2P (échange entre homologues) prend en charge les correctifs à signature numérique et en chargement transitoire. Les correctifs automatiquement téléchargés depuis le site du fournisseur sans signature numérique ne sont pas pris en charge par le P2P, notamment, 7-Zip et Core FTP. L'homologue serveur partage uniquement les correctifs applicables à l'OS avec l'homologue client. Par exemple, un poste Server 2019 partage uniquement les correctifs 2019 (et pas plus récents) avec un client Windows 11.

Sélectionnez l'une des options suivantes :

  • Désactivé : Les fichiers ne seront ni partagés ni téléchargés depuis les homologues (en P2P).
  • Client uniquement : Les fichiers ne seront pas partagés en P2P. Les fichiers seront téléchargés entre homologues.
  • Serveur uniquement : Les fichiers seront partagés en P2P. Les fichiers ne seront pas téléchargés entre homologues.
  • Client & serveur : Les fichiers seront partagés et téléchargés en P2P.

Les clients P2P conservent les fichiers pendant 2 jours et les serveurs P2P les conservent pendant 2 semaines. Cependant, si l'option Client & serveur est sélectionnée, cela a aussi pour effet de mettre les données en cache pendant 2 semaines.

Quand vous utilisez le téléchargement P2P, vérifiez que votre pare-feu autorise le trafic UDP et TCP sur les ports 33121 et 33122.

Utilisation de la bande passante

Sélectionnez des pourcentages d'utilisation de la bande passante. Ces limites restreignent la portion de bande passante réseau pouvant servir lors du téléchargement d'agents Ivanti Neurons. Vous pouvez les utiliser pour interdire à l'agent de consommer toute la bande passante quand vous l'utilisez sur une connexion bas débit ou payante, ce qui permet aux autres ressources d'utiliser le réseau au même moment.

  • Utilisation du LAN (%) : Fixez le pourcentage maximal autorisé, entre 10 et 100. Cela étrangle la bande passante réseau allouée au téléchargement de l'agent et des fonctions Ivanti Neurons, pour qu'elle se limite au pourcentage défini pour le réseau local (LAN). Pour les homologues Multicast, cela concerne uniquement le sous-réseau local.
    Les plages LAN sont déterminées comme suit :
    • 10.0.0.0 - 10.255.255.255 (préfixe 10/8)
    • 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12)
    • 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)

  • Utilisation d'Internet/du WAN (%) : Fixez le pourcentage maximal autorisé, entre 10 et 100. Cela étrangle la bande passante réseau allouée au téléchargement de l'agent et des fonctions Ivanti Neurons, pour qu'elle se limite au pourcentage défini pour le réseau étendu (WAN).

Fonctionnalités

Les fonctions disponibles dépendent de votre licence. Reportez-vous à votre offre Ivanti Neurons pour connaître les fonctions de produit incluses. Pour en savoir plus sur les options ci-dessus, consultez la rubrique d'aide appropriée.

Sélectionnez les fonctions d'agent à activer pour le groupe de stratégies :

  • Remote Control (Contrôle à distance) : Permet aux analystes du département IT de contrôler les postes client à distance en toute sécurité, afin de résoudre les problèmes.
  • Edge Intelligence : Fournit des informations en temps réel, ainsi que des fonctions de remédiation et l'alerte pour votre environnement. Les données sont récupérées sur les périphériques en temps réel, au moment où vous les demandez.
    Si vous désactivez Edge Intelligence, les données de dépannage ne sont pas affichées sous Périphériques. Certaines fonctions de la section Personnes sont également impactées, comme Dernier emplacement et État Active Directory. Edge Intelligence et Neurons ne renvoient aucune donnée pour les périphériques ciblés par la stratégie.
  • Automation (Automatisation) : Permet à la plateforme Neurons de communiquer avec une large variété de systèmes hors de cette plateforme. Vous pouvez l'utiliser pour récupérer des informations ou exécuter des tâches. L'expérience utilisateur tourne autour de trois concepts : Quoi, Qui et Quand.
    Si vous désactivez Automation, vous ne pourrez plus exécuter d'actions sur les périphériques ciblés par la stratégie (depuis Plateforme Ivanti Neurons > Périphériques/Edge Intelligence/Neurons), y compris la création et l'affichage de tickets de support dans ISM et ServiceNow.
  • Patch Management (Gestion des correctifs) : Offre des fonctions de sécurité Zero Trust et une expérience de gestion des vulnérabilités en continu, qui permettent aux entreprises de gérer et de prioriser les vulnérabilités, de leur détection à leur élimination.
    • Configuration de correctifs : Sélectionnez la configuration de correctifs à appliquer au groupe de stratégies. Une configuration de correctifs contrôle les déploiements de correctifs, les types de correctif inclus, la planification du déploiement, ainsi que le comportement de redémarrage des postes client. La liste déroulante affiche toutes les configurations de correctifs disponibles. Vous définissez les configurations sous Ivanti Neurons > Patch Management (Gestion des correctifs) > Paramètres de correctifs.

    Pour déployer avec succès des correctifs à l'aide de l'agent Ivanti Neurons sur des périphériques Windows, ne désactivez pas le service Mises à jour Windows, mais configurez-le sur Manuel ou sur Automatique. De plus, configurez le paramétrage Windows Update de chaque machine cible (Panneau de configuration > Système et sécurité > Windows Update > Modifier les paramètres) sur Ne jamais rechercher de mises à jour.Pour en savoir plus, reportez-vous à cet article sur le site de la communauté Ivanti.

  • App Distribution (Distribution d'applis) : Déploie des applications d'entreprise tierces, installées via des fichiers .exe ou .msi.
    • (SYSTEM) Par défaut : Option automatiquement sélectionnée, non configurable.
  • Application Control (Contrôle des applications) : Assure le contrôle des applications, ainsi que la gestion des privilèges et des stratégies.Pour en savoir plus, consultez l'aide Application Control.
    • Configuration : Sélectionnez la configuration Application Control (Contrôle des applications) à appliquer au groupe de stratégies. Cette configuration détermine les paramètres Application Control déployés sur le poste client. En savoir plus sur l'intégration entre Ivanti Neurons et Application Control.
  • Environment Manager : Permet la personnalisation à la demande et fournit des contrôles de stratégie avec reconnaissance du contexte.Pour en savoir plus, consultez l'aide Environment Manager.
    • Configuration : Sélectionnez la configuration Environment Manager à appliquer au groupe de stratégies. Cette configuration détermine les paramètres Environment Manager déployés sur le poste client. En savoir plus sur l'intégration entre Ivanti Neurons et Environment Manager.
  • Performance Manager : Aide vos équipes IT à optimiser la densité des utilisateurs et à fournir une expérience utilisateur optimale.Pour en savoir plus, consultez l'aide Performance Manager.
    • Configuration : Sélectionnez la configuration Performance Manager à appliquer au groupe de stratégies. Cette configuration détermine les paramètres Performance Manager déployés sur le poste client. En savoir plus sur l'intégration entre Ivanti Neurons et Performance Manager.

Demandes de redémarrage

Les mises à jour des composants d'agent Ivanti Neurons peuvent nécessiter un redémarrage, et vous pouvez préciser si et quand le redémarrage est demandé. Vous pouvez configurer des fonctions d'agent Ivanti Neurons supplémentaires pour demander un redémarrage. Accédez à la fonction concernée pour configurer les paramètres.

Il est recommandé de placer les périphériques serveur et les périphériques utilisateur final dans des groupes de stratégies différents, afin de pouvoir définir des paramètres de redémarrage différents pour les périphériques qui n'ont pas d'utilisateur final actif.

Action après une demande de redémarrage

Paramètres de demande de redémarrage de l'agent Ivanti Neurons et des fonctions. Ils s'appliquent à tous les redémarrages demandés dans toute la plateforme Ivanti Neurons pour ce groupe de stratégies.

  • Redémarrer lorsque l'utilisateur se déconnecte : Sélectionnez cette option pour redémarrer à la prochaine déconnexion de l'utilisateur.
  • Redémarrer après un délai : Sélectionnez cette option pour redémarrer à l'issue de délai configuré :
    • Compte à rebours : Entrez la durée et une unité (minutes, heures, jours). Valeur maximale : 31 jours. La valeur Compte à rebours ne peut pas dépasser la valeur de retard Jusqu'au maximum.
    • Durée d'affichage du message d'arrêt : Entrez la valeur et l'unité (secondes, minutes) de la durée d'affichage du message d'arrêt. Valeur maximale : 999 secondes ou 16 minutes.
  • L'utilisateur peut retarder le redémarrage : Cette option permet d'autoriser l'utilisateur à retarder le redémarrage.
    • De : Entrez la valeur et l'unité (minutes, heures, jours) du report du redémarrage que l'utilisateur peut choisir d'appliquer. Valeur maximale : 14 jours.
    • Jusqu'au maximum : Entrez la valeur et l'unité (minutes, heures, jours) du report maximal du redémarrage que l'utilisateur peut appliquer. Valeur maximale : 31 jours. Cette valeur doit être supérieure à la valeur Compte à rebours. Sachez que, lorsque vous définissez un nombre de jours, les mises à jour en attente ne prennent effet qu'après un redémarrage.
  • L'utilisateur peut reporter le redémarrage jusqu'à sa déconnexion : Sélectionnez cette option pour autoriser l'utilisateur à reporter le redémarrage jusqu'à sa prochaine déconnexion.
  • L'utilisateur peut annuler le redémarrage : Sélectionnez cette option pour autoriser l'utilisateur à annuler le redémarrage.

Mise à jour automatique de l'agent

L'agent Ivanti Neurons se met automatiquement à jour avec les corrections de bug et les améliorations. Ces mises à jour nécessitent parfois un redémarrage.

  • Demander un redémarrage si nécessaire : Sélectionnez cette option pour demander un redémarrage lorsque c'est nécessaire.
  • Ne pas demander de redémarrage : Sélectionnez cette option pour ne pas demander de redémarrage. Si vous ne demandez pas de redémarrage, certains composants d'agent risquent de ne pas être entièrement opérationnels. Un redémarrage manuel sera nécessaire.

Installation des agents

Disponible pour la création d'un nouveau groupe de stratégies.

  • Installer l'agent Ivanti Neurons sur les périphériques de ce groupe de stratégies : Indiquez si vous souhaitez installer l'agent Ivanti Neurons sur les périphériques du groupe de stratégies.
    Répondez Oui pour activer l'option Sélectionner des références d'authentification de périphérique. Vous devez ensuite choisir des références d'accès pour les périphériques.
    • Sélectionner des références d'authentification de périphérique : Sélectionnez les références d'accès nécessaires pour les périphériques du groupe de stratégies.
      • Gérer les références dans le magasin de références d'authentification : Cliquez sur cette option pour ouvrir le magasin de références d'authentification (Ivanti Neurons > Admin > Références d'authentification). Ajoutez de nouvelles références d'authentification. Les références d'authentification sont désormais disponibles dans la liste déroulante Groupe de stratégies > Sélectionner des références d'authentification de périphérique.
    • Représentant de déploiement : Sélectionnez le représentant de déploiement à utiliser pour le déploiement. Cette valeur est écrasée si vous choisissez Préférer les représentants de déploiement locaux. Sauf si celui que vous avez sélectionné se trouve sur le sous-réseau local.
      • Préférer les représentants de déploiement locaux : Sélectionnez cette option pour rechercher un représentant de déploiement sur le sous-réseau local avant d'utiliser celui qui a été indiqué plus haut. Si le système en trouve un sur le même sous-réseau que le périphérique cible, il l'utilise à la place de celui indiqué. S'il n'en trouve pas, il utilise le représentant de déploiement spécifié.

    Vous avez trois sous-réseaux (1, 2 et 3) et trois représentants de déploiement (A, B et C).

    • Les représentants de déploiement A et C sont sur le sous-réseau 1.
    • Le représentant de déploiement B est sur le sous-réseau 2.
    • Aucun représentant de déploiement n'est sur le sous-réseau 3.

    Scénario 1 : Garder le représentant de déploiement par défaut pour Utiliser un représentant de déploiement local :

    • Le représentant de déploiement A ou C (selon celui qui est trouvé en premier) tente le déploiement sur le sous-réseau 1.
    • Le représentant de déploiement B tente le déploiement sur le sous-réseau 2.
    • Les déploiements échouent sur le sous-réseau 3 car il n'y a aucun représentant de déploiement.

    Scénario 2 : Sélectionner Représentant de déploiement A et laisser la case à cocher Préférer les représentants de déploiement locaux non sélectionnée :

    • Le représentant de déploiement A tente d'effectuer le déploiement sur les sous-réseaux 1, 2 et 3.

    Scénario 3 : Sélectionner Représentant de déploiement A et cocher la case Préférer les représentants de déploiement locaux :

    •  Le représentant de déploiement A tente d'effectuer le déploiement sur les sous-réseaux 1 et 3.
    • Le représentant de déploiement B tente le déploiement sur le sous-réseau 2.

Répondez Non pour ne pas fournir de références d'authentification. Un message d'avertissement s'affiche lors de la création d'un groupe, disant qu'aucun agent n'est installé sur l'un des périphériques du groupe.

Suivant - Choisir des périphériques : Disponible uniquement pour la création d'un nouveau groupe de stratégies. Affiche la liste des périphériques. Sélectionnez les périphériques auxquels affecter ce groupe de stratégies, puis cliquez sur Déployer l'agent.

Déployer les changements : Disponible uniquement pour la modification d'un groupe de stratégies existant. Sélectionnez cette option pour déployer les changements vers tous les périphériques du groupe de stratégies.