エンジン ベース エージェント (2022以降)

Ivanti Endpoint Manager 2022 SU3には、ベータ版ではなく完全にサポートされている、エンジン ベースの Windows デバイス向けエージェント インストール アーキテクチャが組み込まれています。各エンジンがエージェント機能の特定の部分 (パッチ、ソフトウェア配布、リモート コントロールなど) を制御します。個々のエンジン にはそれぞれ独自のインストール MSI が含まれており、管理デバイス上では、別々のサブフォルダにインストールされます。

この新しいエージェント アーキテクチャは、いずれはレガシ エージェントに取って代わるものであり、以下の利点があります。

セキュリティ
  • すべてのエージェント MSI およびエージェント インストーラは、Ivanti で Ivanti によって署名されています。このことは、セキュリティ ツールやウイルス スキャナがエージェント インストーラを信頼する助けとなります。
  • エージェント インストーラは、コア サーバの公開鍵を使用して、コアの真正性と、署名されたマニフェスト データを検証してから、エージェント コンポーネントをダウンロードします。
  • エージェント インストーラは、エンジンのハッシュを検証することで、ダウンロードされたコンポーネントが真正であることを確認します。
管理の容易性
  • 各エージェント コンポーネントが独自のエンジンを有するモジュラ アーキテクチャ。エンジンは可能な限り自己完結型であるため、1つのエンジンに問題が発生した場合、エージェントの他の部分によって機能が続行される可能性が高まります。
  • より高速なインストールおよび構成の更新。
  • [ツール] > [構成] > [エージェント構成] でのエンジン ベース エージェントの構成変更におけるドラッグアンドドロップのサポート。構成に対する変更を有効にするためにジョブをスケジュールしたりエージェントを再配布したりする必要はありません。これにより、影響を受けないコンポーネントはインストールされたままになり、設定も維持されるため、エージェントの安定性につながります。
  • 必要とされた場合は、エージェントは自身を新しいバージョンにアップグレード可能。
正常性
  • エージェントの正常性は、各エンジンに組み込まれています。もう脆弱性スキャンに頼ることはありません。エンジンは問題を検出すると、自らを自動的にアンインストール/再インストールして問題を修正できます。
  • 新しいエージェント正常性ダッシュボードには、エンジン ベース エージェントのインストールや、アップグレードや、修復の失敗が報告されます。

エンジン ベース エージェントのインストール

エンジン ベース エージェントのインストールは、古い「導入エージェント」の場合と類似しています。実行時、エンジン ベース エージェントのインストーラは個々の MSI ファイルをダウンロードし、それらを、そのエージェント構成で必要とされるエージェント コンポーネントごとにインストールします。エンジン ベース エージェントのインストーラは、インストール中に、レガシの Endpoint Manager エージェントを自動的に削除します。

エンジン ベース エージェントは次のパスにインストールされます。

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

エンジン ベース エージェントをインストールするには、最低限、次の2つのファイルが必要です。

  • EPMAgentInstaller.exe
  • コアの公開証明書 (.0ファイル)

エージェント構成が含まれているマニフェスト ファイルは任意です。このファイルは、エンジン ベースのインストーラを作成すると自動的に生成されます。エージェント構成ペインで行われた割り当ては、組み込まれているマニフェストよりも優先されます。マニフェストが提供されていない場合、デバイスは、そのオペレーティング システム用の既定のエージェント構成を使用します。

[ツール] > [構成] > [エージェント構成] には、エンジン ベース エージェントのインストーラを作成するための方法が3つあります。これらのオプションは、任意の Windows エージェント構成を右クリックすると表示されます。各オプションとも、指定したフォルダにファイルがコピーされます。

  • エンジンベースのエージェント インストール ファイルの作成。EPMAgentInstaller.exe、コアの公開証明書 (.0ファイル)、選択したエージェント構成に適した構成の詳細が含まれているマニフェスト ファイル、およびエージェント構成名の付いた .txt ファイルがコピーされます。
  • エンジンベースのエージェント インストール MSI の作成(署名なし)。エージェント インストーラを含む単一の MSI ファイル、コアの公開証明書 (.0ファイル)、およびマニフェスト ファイルが作成されます。Windows GPO では、複数のファイルを配布するのは難しいことがあります。実行時、この単一の MSI は3つのファイルを展開し、インストーラを実行します。署名されていないため、セキュリティ ツール回りの問題が発生することがあります。とはえ、GPO インストールは一般に信頼性があります。
  • 自己完結エージェント ベースのエージェント インストール MSI の作成すべてのエンジンのフルバージョンの MSI が含まれている単一の MSI が作成されます。この MSI は、すべてのエンジンの MSI ファイルも含まれているため、はるかに大きいファイルになります。この MSI は、ファイルを展開し、Endpoint Manager のダウンロード キャッシュに配置します。したがって、各エージェント インストーラがそれらのファイルをダウンロードする場合、ローカル キャッシュ内でそれらのファイルが見つかることになります。

XDD および UDD によって検出されたデバイスは、エンジン ベース エージェントのスケジューラ ベースのプッシュ インストールもサポートします。エンジン ベース エージェントは CSA を通じてインストールできます。

エンジン ベース エージェントの構成の管理

エンジン ベース エージェントの構成は、エージェント構成ツール ([ツール] > [構成] > [エージェント構成]) で管理し、レガシ エージェントと同じ構成インターフェイスを使用します。

エンジン ベース エージェントは新しく、まだすべての組織がその使用を望んでいるわけではない可能性があるため、スケジュール タスクによるエージェント プッシュでは、まだレガシ エージェントが配布されます。スケジューラがエンジン ベース エージェントを配布するようにしたい場合は、コア サーバで次のレジストリ キーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

バージョン2022 SU3現在では、ネットワーク ビュー内の項目を Windows エージェント構成にドラッグ アンド ドロップして、再構成できます。

  • エンジン ベース エージェントを実行しているデバイスでこれを行うと、そのデバイスの構成が、そのデバイスで使用されているエージェント構成プロファイルと一致するように更新されます。これは、次回デバイスがチェックインしたとき (既定では24時間おき) に行われます。
  • レガシ エージェントを実行しているデバイスでこれを行う場合は、スケジュール タスクで更新を適用する必要があります。レガシ エージェント デバイスをエージェント構成にドロップすると、[タスクのスケジュール] ダイアログ ボックスが表示されますので、タスクを構成できます。

エンジン ベース エージェントの構成変更と優先順位

エンジン ベース エージェントのマニフェスト ファイルはオプションです。マニフェストは、他のエージェント構成オプションや、それらの発生場所に応じて、上書きできます。

エージェント構成の優先順位は次のとおりです。優先度の高いものから順に並んでいます。

  1. コア サーバ上で、エージェント構成ツールで行われたエージェントの構成変更。
  2. インストーラのコマンド ライン (使用されている場合)。コア上に存在する構成名を指定できます。
  3. 古いエージェントからの前の構成 (その構成名がまだコア上に存在している場合)。これは、マニフェストが含まれておらず、コマンド ラインで構成が指定されていないことを前提としています。デバイスにカスタム エージェント構成が含まれている場合は、インストーラはそれらの構成設定を保持できます。
  4. 提供された、エージェント構成が含まれているマニフェスト。
  5. デバイスの OS タイプに応じた既定の構成。

エンジン ベース エージェントのアップグレード

エージェントの互換性の理由から、Endpoint Manager のサービスとバージョンの更新を行うと、古いエージェントは構成変更の適用を一時停止します。管理されたデバイス上でのエージェント更新は自動的には行われません。

エンジン ベース エージェントが含まれている、最新のエージェントを実行していないデバイスには、新しい [ネットワーク表示] 右クリック メニュー オプションである [エージェント アップグレード] が表示されます。マーク付けされたエージェントは、次回チェックインしたときに自らをアップグレードします。

エンジン ベース エージェントが含まれている、コアが直接通信できるデバイスの場合は、[エージェント チェックインの強制] をクリックすることで、アップグレードをすぐに実行できます。このオプションは、エージェント設定に対して行われたすべての変更にも適用されます。

古いエージェントが含まれているデバイスは、[ネットワーク表示] ですばやく特定できます。[デバイス] > [古いエージェントのデバイス] の順にクリックします。このリストには、最新のレガシ エージェントまたはエンジン ベース エージェントが含まれていないデバイスが表示されます。

エージェントの正常性

コンソールには新しい [エージェントの正常性] ツールがあります ([ツール] > [管理] > [エージェントの正常性])。これは、エージェントのインストールに関する問題を、次のカテゴリ別に追跡します。

  • エージェント更新ツール
  • エージェント インストーラ
  • 個々のエンジン障害

任意のカテゴリをクリックすると、影響を受けたデバイスが表示されます。エンジン ベース エージェントが含まれているデバイスは、それぞれのエージェントの正常性を、1時間に1回調べます。エンジンは、自身に問題があることを検出すると、自身をアンインストール/再インストールします。3回目の毎時チェックでもまだエージェントに問題があると、コアに通知され、[エージェントの正常性] に詳細が表示されます。

◎グラフと正常性カテゴリを示している [エージェントの正常性] ペイン