Agente basado en motor (2022 y posteriores)

Ivanti Endpoint Manager 2022 SU3 incluye una arquitectura de instalación de agentes basada en motor no beta y totalmente compatible para dispositivos Windows. Cada motor controla una parte específica de la funcionalidad del agente, como parches, distribución de software, control remoto, etc. Los motores individuales tienen su propio MSI de instalación y se instalan en subcarpetas separadas en los dispositivos gestionados.

Esta nueva arquitectura de agentes acabará sustituyendo al agente heredado, y tiene estas ventajas:

Seguridad
  • Todos los MSI del agente y el instalador del agente están firmados en Ivanti por Ivanti. Esto ayuda a que las herramientas de seguridad y los escáneres de virus confíen en el instalador del agente.
  • El instalador del agente utiliza la clave pública del servidor del núcleo para verificar la autenticidad del núcleo y los datos del manifiesto firmado antes de descargar los componentes del agente.
  • El instalador del agente verifica los hashes del motor, asegurándose de que los componentes descargados son auténticos.
Manejabilidad
  • Arquitectura modular en la que cada componente del agente tiene su propio motor. Los motores son autónomos en la medida de lo posible, por lo que si un motor tiene problemas, las demás partes del agente tienen más posibilidades de seguir funcionando.
  • Actualizaciones de Instalación y configuración más rápida.
  • Compatibilidad arrastrar y soltar para configuración de agente basada en motor (Herramientas > Configuración > Configuración del agente).No es necesario programar un trabajo o volver a desplegar el agente para que un cambio de configuración surta efecto. Esto ayuda a la estabilidad del agente, ya que los componentes no afectados permanecen instalados y mantienen su configuración.
  • El agente puede actualizarse a sí mismo a una versión más reciente cuando se le solicite.
Condición
  • El estado de los agentes está integrado en cada motor. Ya no se basa en análisis de vulnerabilidades. Cuando un motor detecta un problema, puede desinstalarse/reinstalarse automáticamente para solucionarlo.
  • El nuevo panel de estado del agente informa sobre los fallos de instalación, actualización y reparación del agente basados en el motor.

Instalación del agente basado en el motor

La instalación del agente basada en motor es similar a la del antiguo "agente avanzado". Cuando se ejecuta, el instalador del agente basado en motor descarga archivos MSI individuales y los instala para cada componente del agente que requiera la configuración del agente. El instalador del agente basado en motor elimina automáticamente el agente heredado de Endpoint Manager durante la instalación.

El agente basado en el motor se instala en esta ruta:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

Como mínimo, estos dos archivos son necesarios para instalar el agente basado en motor:

  • EPMAgentInstaller.exe
  • Certificado público del servidor central (archivo .0)

Un archivo manifiesto que contiene una configuración de agente es opcional.Este archivo se genera automáticamente al crear un instalador basado en motor. Las asignaciones realizadas en el panel de configuración del Agente anulan un manifiesto incluido. Si no se proporciona ningún manifiesto, los dispositivos utilizarán la configuración de agente predeterminada para ese sistema operativo.

En Herramientas > Configuración > Configuración del agente hay tres formas de crear un instalador de agente basado en el motor. Estas opciones están disponibles al hacer clic con el botón derecho del ratón en una configuración de agente de Windows. Cada opción copia los archivos en la carpeta que especifique.

  • Crear archivos de instalación del agente basada en el motor. Copia EPMAgentInstaller.exe, el certificado público del servidor central(archivo .0), un archivo de manifiesto que contiene detalles de la configuración del agente seleccionado y un archivo .txt con el nombre de la configuración del agente.
  • Crear instalación basada del agente basada en el motor MSI (sin firmar). Crea un único archivo MSI que incluye el instalador del agente, el certificado público del servidor central (archivo .0) y el archivo de manifiesto. En Windows GPO puede ser difícil desplegar múltiples archivos. Cuando se ejecuta, este único MSI extrae los tres archivos y ejecuta el instalador. No está firmado, por lo que pueden surgir problemas con las herramientas de seguridad. No obtante, las instalaciones de GPO suelen ser más fiables.
  • Crear agente autónomo basado en agente de instalación MSI. Crea un único MSI que contiene las versiones completas de todos los MSI del motor. Este MSI es mucho más grande porque incluye también todos los archivos MSI del motor. Extrae y coloca los archivos en la caché de descargas de Endpoint Manager, de modo que cuando cada instalador de agente quiera descargar los archivos, los encontrará en la caché local.

Los dispositivos descubiertos por XDD y UDD también admiten la instalación push basada en programador del agente basado en motor. El agente basado en el motor puede instalarse a través del CSA.

Gestión de las configuraciones de los agentes basadas en el motor

Las configuraciones de los agentes basados en motores se gestionan en la herramienta de configuración del agente (Herramientas > Configuración > Configuración del agente) y utilizan la misma interfaz de configuración que el agente heredado.

Dado que el agente basado en motor es nuevo y puede que no todas las empresas quieran utilizarlo todavía, un push de agente de tarea programada sigue desplegando el agente heredado. Si desea que el planificador despliegue agentes basados en el motor, añada esta clave de registro en el servidor central:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

A partir de la versión 2022 SU3, puede arrastrar y soltar elementos en la vista de red sobre una configuración de agente Windows para reconfigurarlos.

  • Al hacer esto con un dispositivo que ejecuta un agente basado en motor, se actualizará la configuración de ese dispositivo para que coincida con el perfil de configuración del agente en el que se encuentra. Esto ocurre la próxima vez que el dispositivo se registra, que es cada 24 horas por defecto.
  • Hacer esto con un dispositivo que ejecuta el agente heredado requiere una tarea programada para aplicar la actualización. Después de colocar dispositivos de agente heredados en una configuración de agente, aparece el cuadro de diálogo Tarea programada para que pueda configurar la tarea.

Cambios de configuración de los agentes basados en el motor y orden de precedencia

Un archivo de manifiesto del agente basado en el motor es opcional. El manifiesto puede anularse en función de otras opciones de configuración del agente y de dónde se produzcan.

Este es el orden de precedencia de la configuración del agente, de mayor a menor:

  1. Cambios de configuración del agente realizados en el servidor central en la herramienta de configuración del agente .
  2. Línea de comandos del instalador, si se utiliza. Puede especificar un nombre de configuración que exista en el núcleo.
  3. Configuración anterior de un agente antiguo, si ese nombre de configuración aún existe en el núcleo. Esto supone que no se incluye ningún manifiesto y que no se especifica ninguna configuración en la línea de comandos. Si un dispositivo tiene una configuración de agente personalizada, esto permite al instalador mantener esos ajustes de configuración.
  4. Un manifiesto proporcionado que contiene una configuración de agente.
  5. Configuración predeterminada para el tipo de SO del dispositivo.

Agente basado en el motor.

Por motivos de compatibilidad de agentes, las actualizaciones de servicio y versión de Endpoint Manager hacen que los agentes más antiguos dejen de aplicar los cambios de configuración. Las actualizaciones de agentes en los dispositivos gestionados no se producen automáticamente.

Los dispositivos con agentes basados en motor que no estén ejecutando el agente más reciente disponen de una nueva opción de menú del botón derecho de Vista de red, Marcar para actualización de agente. Los agentes marcados subirán de categoría la próxima vez que se registren.

Para los dispositivos que tienen un agente basado en un motor y con el que el núcleo puede comunicarse directamente, puede hacer clic en Forzar el registro del agente para que la actualización se realice de inmediato. Esta opción también aplica cualquier cambio de configuración del agente que se haya realizado.

Identifique rápidamente los dispositivos con agentes más antiguos en la vista de red. Haga clic en Dispositivos > Dispositivos con agentes antiguos.Esta lista incluye dispositivos sin el agente heredado o basado en motor más reciente.

Estado del agente

Hay una nueva herramienta Estado del Agente en la consola (Herramientas > Administración > Estado del Agente). Realiza un seguimiento de estas categorías de problemas de instalación de agentes:

  • Actualizador de agentes
  • Instalador del agente
  • Fallos individuales del motor

Haga clic en una categoría para ver los dispositivos afectados. Los dispositivos con agentes basados en motores comprueban el estado de sus agentes una vez por hora. Si un motor detecta que tiene problemas, se desinstalará/reinstalará a sí mismo. Si el agente sigue teniendo problemas en la tercera comprobación horaria, se notifica al núcleo y los detalles aparecerán en Estado del agente.

Panel de condición del agente, con gráficos y categorías de salud