Agent basé sur un moteur (2022 et supérieur)

Ivanti Endpoint Manager 2022 SU3 inclut (en version non bêta, entièrement prise en charge) une architecture d'installation d'agent basée sur un moteur pour les périphériques Windows. Chaque moteur contrôle un élément spécifique du fonctionnement de l'agent, comme l'application de correctifs, la distribution de logiciels, le contrôle à distance, etc. Chaque moteur possède son propre MSI d'installation et est installé dans un sous-dossier distinct sur les périphériques gérés.

Cette nouvelle architecture d'agent va à l'avenir remplacer l'agent existant et offre les avantages suivants :

Sécurité

• Tous les MSI d'agent, ainsi que le programme d'installation de l'agent, sont signés par Ivanti chez Ivanti. Cela permet aux outils de sécurité et à l'analyse antivirus de faire confiance au programme d'installation de l'agent.
• Le programme d'installation de l'agent utilise la clé publique du serveur principal pour vérifier l'authenticité de ce dernier et les données de manifeste signées, avant de télécharger les composants d'agent.
• Le programme d'installation de l'agent vérifie les hachages du moteur pour garantir que les composants téléchargés sont authentiques.

Facilité de gestion

• Il s'agit d'une architecture modulaire où chaque composant d'agent possède son propre moteur. Les moteurs sont aussi indépendants que possible. Ainsi, si l'un d'eux connaît un problème, les autres éléments de l'agent ont plus de chances de continuer à fonctionner.
  
• Mise à jour plus rapide de l'installation et de la configuration.
• Prise en charge du glisser-déplacer pour les changements de configuration de l'agent basé sur un moteur, sous Outils > Configuration > Configuration des agents. Inutile de planifier une tâche ou de redéployer l'agent pour qu'un changement de configuration prenne effet. Cela rend l'agent plus stable, car les composants non concernés restent installés et conservent leurs paramètres.
• L'agent peut se mettre à niveau vers une nouvelle version, à la demande.

État de santé

• L'état de santé de l'agent est intégré à chaque moteur. Il ne dépend plus des analyses de vulnérabilités. Quand un moteur détecte un problème, il peut automatiquement se désinstaller et se réinstaller pour le corriger.
• Le nouveau tableau de bord État de santé de l'agent signale les échecs d'installation, de mise à niveau et de réparation de l'agent basé sur un moteur.

Installation de l'agent basé sur un moteur

L'installation de l'agent basé sur un moteur ressemble à celle de l'ancien « agent avancé ». Lors de son exécution, le programme d'installation de l'agent basé sur un moteur télécharge des fichiers MSI distincts et les installe pour chaque composant d'agent nécessaire à la configuration de l'agent. Le programme d'installation de l'agent basé sur un moteur supprime automatiquement l'ancien agent Endpoint Manager pendant cette installation.

L'agent basé sur un moteur s'installe sur le chemin suivant :

• <%ProgramFiles (x86)%>\Ivanti\EPM Agent

Il vous faut au moins les deux fichiers suivants pour installer l'agent basé sur un moteur :

• EPMAgentInstaller.exe
• Certificat public du serveur principal (fichier .0)

Facultatif. Vous pouvez aussi utiliser un fichier de manifeste contenant une configuration d'agent. Ce fichier est généré automatiquement quand vous créez un programme d'installation basé sur un moteur. Les affectations réalisées dans le volet Configuration des agents remplacent le manifeste éventuellement inclus. Si aucun manifeste n'est fourni, les périphériques utilisent la configuration d'agent par défaut pour le système d'exploitation concerné.

Sous Outils > Configuration > Configuration des agents, vous disposez de trois méthodes pour créer un programme d'installation d'agent basé sur un moteur. Ces options sont disponibles lorsque vous cliquez avec le bouton droit sur une configuration d'agent Windows. Chaque option copie des fichiers vers le dossier que vous indiquez.

• Créer des fichiers d'installation d'agent basé sur un moteur.Copie le fichier EPMAgentInstaller.exe, le certificat public du serveur principal (fichier .0), un fichier de manifeste contenant les détails de la configuration d'agent sélectionnée et un fichier .txt où figure le nom de la configuration d'agent.
• Créer un MSI d'installation d'agent basé sur un moteur (non signé).Crée un unique fichier MSI contenant le programme d'installation de l'agent, le certificat public du serveur principal (fichier .0) et le fichier de manifeste. Dans un GPO Windows, il peut être difficile de déployer plusieurs fichiers. Lors de l'exécution, ce MSI unique extrait les trois fichiers et exécute le programme d'installation. Il n'est pas signé, si bien que cela peut poser des problèmes avec vos outils de sécurité. Mais les installations GPO inspirent généralement plus de confiance.
• Créer un MSI d'installation d'agent basé sur un moteur autonome.Crée un seul MSI contenant la version complète de tous les MSI de moteur. Ce MSI est beaucoup plus volumineux car il inclut également tous les fichiers MSI de moteur. Il extrait ces fichiers et les place dans le cache de téléchargement Endpoint Manager. Ainsi, lorsque chaque programme d'installation d'agent veut télécharger les fichiers et les installer, il les trouve à la place dans le cache local.

Les périphériques découverts par XDD et UDD prennent également en charge l'installation Push basée sur une planification pour l'agent basé sur un moteur. Vous pouvez installer l'agent basé sur un moteur via le CSA.

Gestion des configurations d'agent basé sur un moteur

Vous gérez les configurations d'agent basé sur un moteur dans l'outil Configuration des agents (Outils > Configuration > Configuration des agents). Elles utilisent la même interface de configuration que l'ancien agent.

Comme l'agent basé sur un moteur est nouveau et que certaines entreprises ne veulent peut-être pas l'utiliser pour le moment, une tâche Push planifiée déploie toujours l'ancien agent. Pour que la planification déploie des agents basés sur un moteur, ajoutez la clé de registre suivante au serveur principal :

• HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

À partir de la version 2022 SU3, vous pouvez faire glisser des éléments dans l'écran Vue réseau vers une configuration d'agent Windows pour la reconfigurer.

• Si vous le faites pour un périphérique qui exécute un agent basé sur un moteur, l'opération met à jour la configuration de ce périphérique pour correspondre au profil de configuration d'agent qui lui est appliqué. Les options prennent effet à la prochaine prise de contact du périphérique, soit, par défaut, sous 24 heures.
• Sur un périphérique exécutant l'ancien agent, cette opération nécessite une tâche planifiée pour appliquer la mise à jour. Lorsque vous faites glisser des périphériques dotés de l'ancien agent sur une configuration d'agent, la boîte de dialogue Planifier une tâche s'ouvre et vous permet de configurer la tâche.

Changements de configuration de l'agent basé sur un moteur et ordre de priorité

Le fichier de manifeste de l'agent basé sur un moteur est facultatif. Le manifeste peut être remplacé, selon les autres options de configuration de l'agent et l'endroit où elles se trouvent.

Voici l'ordre de priorité des options de configuration de l'agent, de la priorité la plus élevée à la plus faible :

1. Changements de configuration d'agent effectués sur le serveur principal dans l'outil Configuration des agents.
2. Ligne de commande du programme d'installation, si vous l'utilisez. Vous pouvez spécifier un nom de configuration qui existe sur le serveur principal.
   
3. Configuration précédente d'un ancien agent, si le nom de cette configuration existe toujours sur le serveur principal. En supposant qu'aucun manifeste n'est inclus et qu'aucune configuration n'est spécifiée sur la ligne de commande. Si un périphérique possède une configuration d'agent personnalisée, cela permet au programme d'installation de conserver ces paramètres de configuration.
4. Fichier de manifeste fourni, contenant une configuration d'agent.
5. Configuration par défaut pour le type d'OS du périphérique.

Mises à niveau de l'agent basé sur un moteur

Pour des raisons de compatibilité des agents, les mises à jour des services et versions d'Endpoint Manager forcent les anciens agents à faire une pause dans l'application des changements de configuration. La mise à jour des agents n'est pas automatique sur les périphériques gérés.

Les périphériques dotés d'agents basés sur un moteur qui n'exécutent pas la toute dernière version de l'agent comportent une nouvelle option de menu contextuel sous Vue réseau, intitulée Marquer pour mise à niveau de l'agent. Les agents marqués se mettent eux-mêmes à niveau à la prochaine prise de contact.

Pour les périphériques avec agent basé sur un moteur avec lesquels le serveur principal peut communiquer directement, vous pouvez cliquer sur Forcer la prise de contact de l'agent pour que la mise à niveau soit immédiate. Cette option applique également tous les changements de paramètres d'agent éventuellement apportés.

Identifiez rapidement les périphériques avec un ancien agent sous Vue réseau. Cliquez sur Périphériques > Périphériques avec des agents plus anciens. Cette liste inclut les périphériques qui n'ont pas l'agent (traditionnel ou basé sur un moteur) le plus récent.

État de santé de l'agent

Vous trouverez dans la console le nouvel outil État de santé de l'agent (Outils > Administration > État de santé de l'agent). Il suit les catégories suivantes de problèmes d'installation des agents :

• Outil de mise à jour (Updater) de l'agent
• Programme d'installation de l'agent
• Échecs de chaque moteur

Cliquez sur une catégorie pour afficher les périphériques concernés. Les périphériques avec un agent basé sur un moteur vérifient l'état de santé de leur agent toutes les heures. Si un moteur détecte un problème, il se désinstalle et se réinstalle. Si les problèmes d'agent persistent au-delà de la troisième vérification horaire, le serveur principal est averti et les détails s'affichent sous État de santé de l'agent.