简化第三方更新的部署

Patch for Configuration Manager 可以快速将已发布的第三方更新部署到端点。 执行相同的操作时,此流程比在 Configuration Manager 中更快更容易。 需要将时效性极强的更新(如零日漏洞更新和关键业务相关更新)快速分发给客户端时,此流程尤为重要。 下文简要比较了两个产品中的部署流程。

  • Microsoft Endpoint Configuration Manager:部署工作流程需要许多步骤,也需要将第三方更新与已经发布的其他更新进行混合。 您需要搜索想要部署的第三方更新,整个过程可能非常耗时。
  • Ivanti Patch for Configuration Manager简化后的部署一经配置,便可成为与 Configuration Manager 完全集成的一键式发布和部署流程。 可以在不离开 Patch for Configuration Manager 工作区的情况下部署第三方更新。 可以指定已部署的更新适用于客户端的时间。 这包括用于尽快部署更新的选项,此操作在 Configuration Manager 中很难实现。

简化部署流程的概述

已发布的第三方更新工作区中选择所需更新,然后使用部署配置文件进行部署。 更新会下载到一个或多个分发点并使用常规 Configuration Manager 基础设施推送到端点。

此流程包含两个步骤:

  • 创建或编辑部署配置文件
  • 使用配置文件部署更新

部署配置文件可定义在部署期间将执行哪些操作。 可以根据需要创建许多不同的配置文件,用以满足特定的部署场景。

  1. 在 Configuration Manager 软件库工作区内,展开软件更新 > Ivanti Patch 文件夹,然后点击已发布的第三方更新
  2. 点击部署配置文件
    随即显示部署配置文件库对话框。

    3. 此对话框将自动使用任何现有的 Configuration Manager 部署模板填充。 反之亦然。 在此处创建的任何配置文件都可以作为 Configuration Manager 部署工作流程中的模板使用。

  3. 创建新的配置文件或编辑现有配置文件。
    • 要创建新的配置文件,请点击添加配置文件
    • 要编辑现有配置文件,请选择配置文件,然后点击编辑配置文件
  4. 使用部署配置文件对话框中可用的选项卡来配置配置文件。
  • 名称:要分配给此配置文件的名称。
  • 说明:描述配置文件用途的注释。
  • 设备集合:指定要部署配置文件的集合。
  • 部署类型:指定是否所有客户端都需要部署。
    • 必需:如果更新适用于客户端,则会严格强制执行更新的部署。 用户可以选择一个早于截止日期的开始时间,但如果没有提供开始时间,则部署的开始时间不会晚于截止日期。
    • 可用:如果更新适用于客户端,则该更新会处于可用状态,但不会强制执行更新的部署。
  • 使用 LAN 唤醒来唤醒需要部署的客户端:如果启用,关闭电源或处于低功耗状态的客户端会被唤醒,以便接收部署。
  • 指定客户端针对此软件更新部署返回的状态消息详细信息级别:选择用于报告目的的详细级别:“全部”、“仅成功和错误”或“仅错误”。
  • 指定此部署配置文件的计划是基于 UTC 还是客户端的本地时间:在以下两个选项中选择:
    • UTC:部署会在同一时间在多台计算机上执行。
    • 客户端本地时间:根据每个客户端的本地时间,部署会在不同的时间执行。
  • 指定更新的显示方式:选择在部署执行时希望接收的通知级别。
  • 达到安装截止日期时,允许在维护时段之外执行以下操作:选择可以在维护时段之外强制执行哪些操作。
  • 在以下设备上禁止系统重新启动:选择禁止重新启动的客户端类型,即使正在部署的更新需要重新启动。 这可以允许管理员选择重新启动设备的时间。
  • 指定生成 Configuration Manager 警报的条件:指定是否生成 Configuration Manager 警报,以及何时生成 Configuration Manager 警报。
  • 指定 System Center Operations Manager 的警报行为:指定在 System Center Operation Manager 中触发警报的条件。
  • 指定客户端使用来自邻近边界组或默认站点边界组的分发点时的行为:选择是否允许从分发点下载和安装更新。
  • 指定软件更新在当前或邻近边界组的任何分布点上都不可用时的行为:选择是否允许从默认的分发点下载和安装更新。
  • 指定下载行为:选择允许的下载操作。

 

除了此处所述的手动流程,您还可以通过创建按筛选器发布任务、按 CVE 发布任务或发布建议任务来自动执行部署流程。

  1. 在 Configuration Manager 软件库工作区内,展开软件更新 > Ivanti Patch 文件夹,然后点击已发布的第三方更新
  2. 选择要部署的更新。
  3. 点击部署
    随即显示部署更新对话框。

    4. 部署名称:默认情况下,名称由更新名称和当前日期及时间组成。 可以自由地将部署名称更改为特定于实施内容的名称。

    部署说明:部署日历中查看部署时会显示的说明。

    部署配置文件:部署所选更新时会使用的部署配置文件。 请参阅创建或编辑部署配置文件

    软件更新组:如果仅部署一个更新,此为可选项。 如果要部署多个更新,则必须指定软件更新组。 如果将更新添加到现有组,则该组中的所有更新都会重新部署。

    部署包:指定部署的暂存位置,以便分发。 Configuration Manager 使用部署包将内容移动到分发点,然后将分发点下推到端点。

    在以下时间后可用:指定已部署的更新何时适用于客户端。

    • 尽快:部署流程会在点击部署按钮后立即开始。
    • 在以下时间后:可用于指定具体的日期和时间,部署过程会在该时间后开始。

    截止日期:指定完成部署的最晚日期和时间。

    • 尽快:部署流程会在点击部署按钮后立即开始,而且未针对用户自行安装更新设置宽限期。
    • 按时:用于指定具体的日期和时间,部署流程必须在该时间开始。
    • 根据用户首选项延迟实施截止日期:如果启用,则系统会遵守用户设置的任何工作时间,部署流程会在设置的工作时间以外的时间段开始。

    在部署需要系统重新启动的更新后,运行更新部署评估循环:如果启用,则在部署需要系统重新启动的更新之后,客户端会在重新启动完成后对缺少的更新另外执行一次评估。

  4. 点击部署
    随即会生成一个部署,可以在计划部署日历和 Configuration Manager 中的监控 > 概述 > 部署工作区中进行查看。 此部署的处理方式与通过常规的 Configuration Manager 部署工作流程启动部署时一样。