Modulbasierter Agent (ab 2022)

Ivanti Endpoint Manager 2022 SU3 und neuere Versionen beinhalten eine vollständig unterstützte modulbasierte Agenteninstallationsarchitektur für Windows-Geräte. In Version 2024 ist der modulbasierte Agent die einzige Option für neue Agenteninstallationen. Die Legacy-Agentenarchitektur wird weiterhin unterstützt und der modulbasierte Agent ist damit rückwärtskompatibel.

Jedes Modul steuert ein bestimmtes Element der Agentenfunktionalität, z. B. Patch, Softwareverteilung, Remotesteuerung usw. Die einzelnen Module verfügen über eine eigene MSI-Installationsdatei und werden in getrennten Unterordnern auf den verwalteten Geräten installiert.

Die neue Agentenarchitektur bietet folgende Vorteile:

Sicherheit
  • Alle Agenten-MSIs und das Agenteninstallationsprogramm werden bei Ivanti von Ivanti signiert. Dadurch wird die Vertrauensstellung des Agenteninstallationsprogramms gegenüber Sicherheitstools und Virenscannern verbessert.
  • Das Agenteninstallationsprogramm verifiziert anhand des öffentlichen Schlüssels des Coreservers zunächst die Authentizität des Cores und der signierten Manifestdaten und lädt erst danach Agentenkomponenten herunter.
  • Das Agenteninstallationsprogramm prüft die Modulhashes und stellt dadurch die Authentizität der heruntergeladenen Komponenten sicher.
Verwaltbarkeit
  • Modulare Architektur, in der jede Agentenkomponente ein eigenes Modul besitzt. Die Module sind weitestgehend eigenständig. Treten in einem Modul Probleme auf, ist die Chance größer, dass die anderen Teile des Agenten weiterhin funktionieren.
  • Schnellere Installation und Konfigurationsupdates
  • Unterstützung von Drag&Drop bei Konfigurationsänderungen an modulbasiertem Agenten (Extras > Konfiguration > Agentenkonfiguration). Damit eine Konfigurationsänderung wirksam wird, muss kein Auftrag geplant werden und der Agent muss nicht erneut bereitgestellt werden. Dadurch ist der Agent stabiler, da nicht betroffene Komponenten weiterhin installiert bleiben und ihre Einstellungen beibehalten.
  • Bei Bedarf kann sich der Agent selbst auf eine neuere Version aktualisieren.
Systemzustand
  • Der Agentenzustand ist in jedem Modul integriert. Er basiert nicht mehr auf Anfälligkeitsscans. Wenn ein Modul ein Problem erkennt, kann es sich selbst deinstallieren und neu installieren, um das Problem zu beheben.
  • Das neue Dashboard für den Agentenzustand zeigt Fehler in Verbindung mit der modulbasierten Agenteninstallation, Upgrades und Reparatur an.

Modulbasierte Agenteninstallation

Die modulbasierte Agenteninstallation ähnelt dem früheren "Advance Agent". Bei Ausführung lädt das Installationsprogramm für den modulbasierten Agenten einzelne MSI-Dateien herunter und installiert diese für jede für die Agentenkonfiguration erforderliche Agentenkomponente. Beim Installieren entfernt das Installationsprogramm automatisch den Legacy-Agenten Endpoint Manager.

Der modulbasierte Agent wird an folgendem Pfad installiert:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

Die folgenden zwei Dateien müssen für die Installation des modulbasierten Agenten mindestens vorhanden sein:

  • EPMAgentInstaller.exe
  • Öffentliches Zertifikat des Coreservers (.0-Datei)

Eine Manifestdatei mit der Agentenkonfiguration ist optional. Diese Datei wird automatisch beim Erstellen eines modulbasierten Installationsprogramms generiert. Zuweisungen, die im Agentenkonfigurationsbereich vorgenommen werden, übersteuern das etwaig enthaltene Manifest. Wenn kein Manifest vorhanden ist, verwenden die Geräte die standardmäßige Agentenkonfiguration für das betreffende Betriebssystem.

Unter Extras > Konfiguration > Agentenkonfiguration gibt es drei Möglichkeiten, ein Installationsprogramm für modulbasierte Agenten zu erstellen. Die nachfolgenden Optionen sind verfügbar, wenn Sie mit der rechten Maustaste auf eine Windows-Agentenkonfiguration klicken. Jede Option kopiert Dateien in einen von Ihnen angegebenen Ordner.

  • Modulbasierte Agententinstallationsdateien erstellen. Kopiert die Datei EPMAgentInstaller.exe, das öffentliche Zertifikat des Coreservers (.0-Datei), eine Manifestdatei mit den Konfigurationsdetails der ausgewählten Agentenkonfiguration und eine .txt-Datei mit dem Namen der Agentenkonfiguration.
  • MSI-Installationsdateien für modulbasierte Agenten erstellen (unsigniert). Erstellt eine einzelne MSI-Datei, in der das Agenteninstallationsprogramm, das öffentliche Zertifikat des Coreservers (.0-Datei) und die Manifestdatei enthalten sind. In Windows GPO kann sich das Bereitstellen mehrerer Dateien als schwierig erweisen. Bei Ausführung extrahiert dieses einzelne MSI-Paket die drei Dateien und führt das Installationsprogramm aus. Da es nicht signiert ist, können sich Probleme in Verbindung mit Sicherheitstools ergeben. GPO-Installationen wird in der Regel mehr vertraut.
  • Eigenständige MSI für die modulbasierte Agenteninstallation erstellen. Erstellt ein einzelnes MSI-Paket mit vollständigen Versionen aller Modul-MSIs. Dieses MSI-Paket ist deutlich größer, da es zusätzlich alle Modul-MSI-Dateien enthält. Es extrahiert die Dateien und legt sie im Downloadcache von Endpoint Manager ab. Die Agenteninstallationsprogramme müssen daher die Dateien nicht herunterladen, sondern können im lokalen Cache darauf zugreifen.

Geräte, die über XDD und UDD ermittelt werden, unterstützen außerdem die zeitplanbasierte Push-Installation des modulbasierten Agenten. Der modulbasierte Agent kann über die CSA installiert werden.

Verwalten der Konfigurationen modulbasierter Agenten

Modulbasierte Agentenkonfigurationen werden im Extra "Agentenkonfiguration" (Extras > Konfiguration > Agentenkonfiguration) verwaltet und verwenden die gleiche Konfigurationsoberfläche wie der Legacy-Agent.

Version 2024 verfügt über Optionen zum Erzwingen von Agenteneinstellungen. Beim Bearbeiten einer Agentenkonfiguration verfügt die Seite Start über zwei neue Optionen:

  • Zugewiesene Agenteneinstellungen erzwingen: Agenteneinstellungen, die in dieser Konfiguration zugewiesen sind, können nur geändert werden, indem diese Agentenkonfiguration modifiziert wird.
  • Zugewiesene Agenteneinstellungen nicht erzwingen: Die Agenteneinstellungen auf einem Gerät können durch eine Aufgabe vom Typ "Einstellungen ändern" modifiziert werden. Weitere Informationen finden Sie unter Erstellen von Einstellungsänderungstasks.

In Versionen vor 2024 lässt sich der Legacy-Agent weiterhin über eine geplante Push-Aufgabe bereitstellen. Wenn Sie möchten, dass der Scheduler in Versionen vor 2024 modulbasierte Agenten bereitstellt, fügen Sie den folgenden Registrierungsschlüssel auf dem Coreserver hinzu:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

Ab Version 2022 SU3 können Sie in der Netzwerkansicht Elemente via Drag&Drop in einer Windows-Agentenkonfiguration ablegen und sie neu konfigurieren.

  • Wenn Sie dies auf einem Gerät durchführen, auf dem ein modulbasierter Agent ausgeführt wird, wird die Konfiguration des Geräts entsprechend dem Agentenkonfigurationsprofil, dem es unterliegt, aktualisiert. Die Aktualisierung erfolgt beim nächsten Einchecken des Geräts. Check-ins werden standardmäßig alle 24 Stunden durchgeführt.
  • Bei Durchführung auf einem Gerät, auf dem der Legacy-Agent ausgeführt wird, ist für die Anwendung des Updates ein geplanter Task erforderlich. Nachdem Sie Geräte mit dem Legacy-Agenten in einer Agentenkonfiguration abgelegt haben, wird das Dialogfeld Task planen angezeigt, in dem Sie den Task konfigurieren können.

Konfigurationsänderungen an einem modulbasierten Agenten und berücksichtigte Reihenfolge

Die Manifetsdatei für einen modulbasierten Agenten ist optional. Das Manifest lässt sich in Abhängigkeit von den anderen Optionen für die Agentenkonfiguration und dem Ort der Ausführung übersteuern.

Die Konfigurationen werden nach folgender Rangfolge berücksichtigt:

  1. Änderungen an der Agentenkonfiguration, die auf dem Coreserver im Extra Agentenkonfiguration vorgenommen wurden
  2. Befehlszeile des Installationsprogramms, sofern verwendet. Sie können einen auf dem Coreserver vorhandenen Konfigurationsnamen angeben.
  3. Frühere Konfiguration eines alten Agenten, sofern der Name der Konfiguration weiterhin auf dem Coreserver vorhanden ist. Dies setzt voraus, dass kein Manifest enthalten ist und keine Konfiguration in der Befehlszeile angegeben wurde. Falls ein Gerät über eine benutzerdefinierte Agentenkonfiguration verfügt, kann das Installationsprogramm diese Konfigurationseinstellungen beibehalten.
  4. Ein angegebenes Manifest mit der Agentenkonfiguration
  5. Standardkonfiguration für den Betriebssystemtyp des Geräts

Upgrade modulbasierter Agenten

Aus Gründen der Agentenkompatibilität führen Updates am Endpoint Manager Service und an der Version dazu, dass ältere Agenten das Anwenden von Konfigurationsänderungen pausieren. Agentenupdates auf verwalteten Geräten werden nicht automatisch durchgeführt.

Geräte mit modulbasierten Agenten, auf denen nicht der neueste Agent ausgeführt wird, verfügen jetzt über eine neue Rechtsklickoption in der Netzwerkansicht mit der Bezeichnung Für Agentenupgrade markieren. Markierte Agenten führen beim nächsten Einchecken selbsttätig ein Upgrade durch.

Bei Geräten mit einem modulbasierten Agenten, mit dem der Coreserver direkt kommunizieren kann, findet das Upgrade sofort statt, nachdem Sie auf Einchecken des Agenten erzwingen geklickt haben. Durch diese Option werden außerdem sämtliche an den Agenteneinstellungen vorgenommenen Änderungen angewendet.

In der Netzwerkansicht können Sie Geräte mit älteren Agenten schnell und einfach identifizieren. Klicken Sie dazu auf Geräte > Geräte mit älteren Agenten. Die Liste enthält Geräte ohne den neuesten Legacy-Agenten oder modulbasierten Agenten.

Agentenzustand

Die Konsole enthält das neue Extra Agentenzustand (Extras > Administration > Agentenzustand). Dieses verfolgt die folgenden Kategorien von Problemen bei der Agenteninstallation:

  • Agentenupdateprogramm
  • Agenteninstallationsprogramm
  • Einzelne Modulfehler

Klicken Sie auf eine Kategorie, um die betroffenen Geräte anzuzeigen. Geräte mit modulbasierten Agenten prüfen den Agentenzustand einmal pro Stunde. Wenn ein Modul Probleme erkennt, deinstalliert es sich selbst und installiert sich anschließend neu. Weist der Agent nach der dritten stündlichen Prüfung weiterhin Probleme auf, wird der Coreserver benachrichtigt und es werden Details unter Agentenzustand angezeigt.

Bereich "Agentenzustand" mit Diagrammen und Zustandskategorien