配置自动化策略分配

自动策略分配 (APA) 根据可配置的规则自动管理策略并分配策略到环境中的设备。 有关更多信息,请参阅常见问题 (FAQ) 部分。

配置自动策略分配涉及以下内容:

在配置 APA 之前,在 Ivanti Neurons 中设置一个设备组,并确保:

  • 设备和设备组在 Neurons 设备视图中进行管理。 有关设备分组的更多信息,请参阅设备
  • 设备可能属于零组或更多组。
  • 只能为 APA 选择公共设备组。 这些可以是动态的或静态的。
  • 配置您的设备组以对类似的设备类型进行分类,以便将策略应用于设备组,从而简化持续维护。

设置分配规则

要设置分配规则,请按照以下步骤操作:

  1. 导航到代理 > 代理部署
    此时将显示“代理部署”页面,并默认显示自动化策略分配选项卡。
  2. 点击配置以启用此功能。
    将显示 APA 配置页面。 此步骤仅在首次设置 APA 时显示。
  3. 点击编辑以定义要分配给每个设备或设备组的规则和策略。
  4. 默认策略 部分的选择默认策略分配 下拉列表中选择策略。
    所选策略将被分配到设备组。 要了解有关创建策略的更多信息,请参阅代理策略

    默认情况下,所选策略将自动应用于连接到您的租户的所有座席端点,并使用自动策略分配。 为特定设备或设备组设置例外 ,以将其从本策略中排除。

    默认策略下拉列表不会列出具有主动发现、连接器服务器、部署或首选服务器同步等基础设施功能的策略。 您需要安全凭据才能使用这些功能,因此将其部署到属于 Ivanti Neurons 基础设施设备的特定设备。

  5. 点击保存

    由于评估过程,变更可能需要长达 24 小时才能应用于终点。

迁移现有策略分配

在启用自动策略分配之前,在代理端点上配置的任何现有策略分配都将在配置自动策略分配时自动迁移到设备例外。 建议随时间推移将设备例外替换为设备组例外。 这简化了大量设备的端点管理。

对于具有含基础设施功能的策略的代理端点,建议保留设备例外,因为默认策略或设备组例外无法管理它们。

配置设备例外

此部分允许您配置例外,以覆盖为连接到租户的单个设备设置的默认策略。 要配置设备例外,请按照以下步骤操作:

  1. 自动策略分配选项卡上,导航到设备例外部分。
    确保您处于编辑模式。 如果没有,请点击编辑
  2. 点击添加设备例外
    随即显示添加设备例外窗格,并列出连接到租户的端点。
  3. 代理策略下拉列表中选择策略。
    此下拉列表还将包括具有基础设施功能的策略。
  4. 从设备列表中选择端点,或使用搜索框搜索连接到您的租户的设备,然后点击添加
    或者,选择设备并点击删除以排除端点。

    所包含的例外设备使用“包含”列下的绿色勾号表示。

  5. 点击确认
    更改显示在设备例外部分下。

    每个设备一次只能属于一个例外。 如果您尝试将设备添加到其他例外,UI 将显示添加和删除的内容,然后再选择保存以确认。

    6. 设备例外部分中列出的备不遵循优先级顺序。 基于设备名称的例外优先于默认策略和设备组的例外。

配置设备组例外

此部分允许您配置例外,以覆盖为连接到租户的一组设备设置的默认策略。 要配置组设备例外,请按照以下步骤操作:

  1. 自动策略分配选项卡上,导航到设备组例外部分。
    确保您处于编辑模式。 如果没有,请点击编辑
  2. 点击添加设备组例外
    随即显示添加设备组例外窗格,并在可用设备组部分下列出连接到租户的设备组。
  3. 代理策略下拉列表中选择策略。
  4. 可用设备组部分选择设备组,或使用搜索框搜索连接到您的租户的设备组,然后点击添加
    包含的设备组将移至包含的设备组部分。
    或者,在包含的设备组部分,选择该组并点击删除以排除端点。 或者,点击全部删除,从例外列表中删除所有设备组。
  5. 点击确认
    更改显示在设备组例外部分下。

    设备组可以是一个或多个设备组例外的成员。 设备组例外仅覆盖默认策略,而单个设备例外优先于设备组例外。

  6. 设备组例外部分,您可以重新排列设备组以对其进行优先级排序。 要对它们进行优先级排序,请使用左侧的手柄向上或向下拖动和移动组。
  7. 点击屏幕右上角的保存以更新更改。

保存 APA 配置后,将按如下方式评估规则:

  • 更新的自动策略分配规则和更改将保存在系统配置中,但不会立即实施。
  • 策略规则根据系统的时间表进行评估和实施,通常每 24 小时一次,因为冷却期旨在防止频繁或不必要的策略重新分配。
  • 新的或更新的规则将被保存,并将在下一个评估周期中生效。
  • 任何可能导致设备策略重新分配的更改都将受到冷却期的约束。 只有在每个设备的冷却期结束后,才会处理这些操作。

(可选)立即部署配置

要在常规评估周期之外或在特定情况下应用更改,请选择屏幕右上角的立即运行选项以覆盖标准的 24 小时评估期。 此操作将触发自动策略分配流程,绕过常规评估周期。 但是,即使您使用立即运行,设备的策略分配在评估过程完成之前也不会生效。

如果存在待处理或正在运行的请求,或者最近完成了最后一次评估,系统会将运行请求排入队列。 如果评估目前正在进行中,则当前运行将首先完成,然后在第一个请求之后运行新请求。

部署至代理

APA 配置完成后,您可以使用 Neurons 推送安装和手动安装方法将代理部署到端点。 这些方法可以利用自动策略分配来简化端点管理。

要使用 Neurons 推送安装或手动安装方法将自动策略分配部署至代理端点,请参阅代理部署主题。

(可选)重新分配代理策略

您现在可以将策略重新分配给大量设备,并将配置的自动策略分配作为代理管理的一部分。 有关其他代理管理功能的更多信息,请参阅代理管理

当您使用自动策略分配配置重新分配座席策略时,现有设备例外将被删除,并且当策略评估过程完成时,他们的策略将自动与新策略一起分配。

要使用配置的自动策略分配重新分配端点,请按照以下步骤操作:

  1. 选中要为其重新分配策略的代理端点旁的复选框。
  2. 选择操作 > 重新分配策略
    重新分配策略面板随即显示。
  3. 从下拉列表中选择使用自动化策略分配
  4. 单击保存
    重新分配策略面板关闭。
  5. Agent Management 页面上,状态更新为已请求重新分配策略。 将鼠标悬停在状态上,即可查看请求策略变更的人员、请求日期以及分配的策略名称。

删除例外

要删除单个设备或设备组例外,请按照以下步骤操作:

  1. 自动策略分配选项卡上,确保您处于编辑模式。 如果没有,请点击编辑

  2. 按如下方式删除例外:

    • 删除设备例外:在 设备例外 部分,从列表中选择设备(将显示编辑设备例外窗格)。 然后,点击删除设备例外

    • 删除设备组例外:在设备组例外部分,从列表中选择设备(将显示编辑设备组例外窗格)。 然后点击删除设备组例外

  3. 单击保存

常见问题 (FAQ)

首先创建一个合理的默认策略。 这将适用于网络上的所有代理端点,除非您指定例外。 查看您的设备类型和位置,了解可能需要特定例外的地方。

使用自动策略分配功能为设备组或单个设备添加例外。 单个设备的例外始终优先于组例外。 如果设备属于多个设备组,您可以手动设置优先级顺序。

创建新端点并设置为使用自动策略分配时,它会自动获得默认策略。 除非符合您定义的例外情况,否则会发生这种情况。 这意味着您不需要手动配置任何内容。

是的,迁移很简单。 如果您已经在使用 Ivanti 代理,您的当前配置将继续按预期工作,因为设备例外将在自动策略分配下自动创建。

查看其属性(例如类型或位置),并检查其是否与任何例外或多个组匹配。 查看例外优先级顺序。 您可能需要调整例外应适用的情况。

定义默认策略并查看例外的优先级。 如果例外冲突,请仔细检查如何设置优先级,以避免意外的策略应用。

是的,自动策略分配降低了配置丢失或不正确的风险,使您的端点始终受到保护,并且只需更少的手动操作即可符合要求。