Agente baseado em mecanismo (2022 e posteriores)

O Ivanti Endpoint Manager 2022 SU3 e versões posteriores incluem uma arquitetura não beta e com suporte completo para instalação de agente baseado em mecanismo em dispositivos Windows. A versão 2024 torna o agente baseado em mecanismo a única opção para instalar novos agentes. A antiga arquitetura do agente ainda é suportada, e o agente baseado no mecanismo é compatível com versões anteriores.

Cada mecanismo controla uma parte específica do funcionamento do agente, como patch, distribuição de software, controle remoto e assim por diante. Os mecanismos individuais têm seu próprio MSI de instalação e são instalados em subpastas separadas nos dispositivos gerenciados.

Esta nova arquitetura de agente tem estes benefícios:

Segurança
  • Todos os MSIs do agente e o instalador do agente são assinados na Ivanti pela Ivanti. Isso ajuda as ferramentas de segurança e os verificadores de vírus a confiar no instalador do agente.
  • O instalador do agente usa a chave pública do servidor núcleo para verificar a autenticidade do núcleo e os dados do manifesto assinado antes de baixar os componentes do agente.
  • O instalador do agente verifica os hashes do mecanismo, garantindo que os componentes baixados sejam autênticos.
Gerenciabilidade
  • Arquitetura modular na qual cada componente do agente possui seu próprio mecanismo. Os mecanismos são autônomos tanto quanto possível, portanto, se um mecanismo estiver com problemas, outras partes do agente terão maior chance de continuar funcionando.
  • Maior rapidez na instalação e nas atualizações de configuração.
  • Suporte a arrastar e soltar para alterar a configuração do agente baseado em mecanismo, em Ferramentas > Configuração > Configuração do agente. Não há necessidade de agendar um trabalho ou reimplantar o agente para que uma alteração de configuração entre em vigor. Isso ajuda na estabilidade do agente, pois os componentes não afetados permanecem instalados e mantêm suas configurações.
  • O agente pode se atualizar para uma versão mais recente quando solicitado.
Integridade
  • A integridade do agente está incorporada em cada mecanismo. Ela não mais depende de verificações de vulnerabilidade. Quando um mecanismo detecta algum problema, pode se desinstalar/reinstalar automaticamente para corrigi-lo.
  • Novos relatórios do painel de integridade sobre falhas de instalação, atualização e reparo do agente baseado em mecanismo.

Instalação do agente baseado em mecanismo

A instalação do agente baseado em mecanismo é semelhante à do antigo "agente avançado". Quando executado, o instalador do agente baseado em mecanismo baixa os arquivos MSI individuais e os instala para cada componente exigido pela configuração do agente. O instalador do agente baseado em mecanismo remove automaticamente o agente legado do Endpoint Manager durante a instalação.

O agente baseado em mecanismo é instalado neste caminho:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

No mínimo, são necessários estes dois arquivos para instalar o agente baseado em mecanismo:

  • EPMAgentInstaller.exe
  • Certificado público do núcleo (arquivo .0)

O arquivo de manifesto contendo a configuração do agente é opcional. Esse arquivo é gerado automaticamente quando você cria um instalador baseado em mecanismo. As atribuições feitas no painel de configuração do agente substituem o manifesto incluído. Se nenhum manifesto for fornecido, os dispositivos usarão a configuração de agente padrão para o sistema operacional em questão.

Em Ferramentas > Configuração > Configuração do agente, há três maneiras de criar um instalador de agente baseado em mecanismo. Essas opções ficam disponíveis quando você clica com o botão direito do mouse em uma configuração de agente do Windows. Cada opção copia os arquivos para a pasta especificada por você.

  • Criar arquivos de instalação de agente baseado em mecanismo. Copia EPMAgentInstaller.exe, o certificado público do núcleo (arquivo .0), um arquivo de manifesto contendo detalhes da configuração do agente selecionado e um arquivo .txt com o nome da configuração do agente.
  • Criar MSI de instalação de agente baseado em mecanismo. Cria um único arquivo MSI que inclui o instalador do agente, o certificado público do núcleo (arquivo .0) e o arquivo de manifesto. Na GPO do Windows, pode ser difícil implantar vários arquivos. Quando executado, esse MSI individual extrai os três arquivos e roda o instalador. Ele não é assinado, portanto, você talvez enfrente problemas com as ferramentas de segurança. As instalações por GPO geralmente são mais confiáveis.
  • Criar MSI autocontido para instalação de agente baseado em mecanismo. Cria um único MSI contendo versões completas de todos os MSIs de mecanismos. Esse MSI é muito maior, pois inclui também todos os arquivos MSI dos mecanismos. Ele extrai e coloca os arquivos no cache de download do Endpoint Manager, portanto, quando cada instalador do agente quiser baixar os arquivos, ele já os encontrará no cache local.

Dispositivos descobertos por XDD e UDD também oferecem suporte à instalação push do agente baseado em mecanismo via agendador. O agente baseado em mecanismo pode ser instalado por meio de CSA.

Gerenciar configurações do agente baseado em mecanismo

As configurações do agente baseado em mecanismo são gerenciadas na ferramenta de configuração do agente (Ferramentas > Configuração > Configuração do agente) e usam a mesma interface de configuração do agente legado.

A versão 2024 adiciona opções de aplicação da configuração do agente. Ao editar uma configuração de agente, a página Iniciar tem duas novas opções:

  • Impor as configurações atribuídas ao agente: os parâmetros atribuídos na configuração só podem ser alterados se a configuração for alterada.
  • Não impor as configurações atribuídas ao agente: as configurações do agente no dispositivo podem ser modificadas por uma tarefa de alteração de configuração. Para mais informações, consulte Criar tarefas de alteração de configurações.

Em versões anteriores à 2024, um push de agente por tarefa agendada ainda implanta o agente antigo. Se quiser que o agendador implante agentes baseados em mecanismo em versões anteriores à 2024, adicione esta chave de registro no servidor núcleo:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

A partir da versão 2022 SU3, você pode arrastar e soltar itens na exibição de rede em uma configuração de agente do Windows para reconfigurá-los.

  • Fazer isso com um dispositivo que rode um agente baseado em mecanismo atualizará a configuração do dispositivo para corresponder ao perfil de configuração do agente que o rege. Isso acontecerá na próxima vez que o dispositivo fizer check-in, que é a cada 24 horas por padrão.
  • Fazer isso com um dispositivo que rode o agente legado requer uma tarefa agendada para aplicar a atualização. Depois de soltar os dispositivos com agente legado em uma configuração de agente, a caixa de diálogo Agendar tarefa aparece para que você possa configurá-la.

Alterações e ordem de precedência na configuração do agente baseado em mecanismo

O arquivo de manifesto do agente baseado em mecanismo é opcional. O manifesto pode ser substituído dependendo das outras opções de configuração do agente e de onde elas ocorrem.

Esta é a ordem de precedência na configuração do agente, da mais alta para a mais baixa:

  1. Alterações na configuração do agente feitas no servidor núcleo na ferramenta Configuração do agente.
  2. Linha de comando do instalador, se usada. Você pode especificar um nome de configuração existente no núcleo.
  3. Configuração anterior de um agente antigo, se esse nome de configuração ainda existir no núcleo. Isso pressupõe que nenhum manifesto esteja incluído e nenhuma configuração seja especificada na linha de comando. Se um dispositivo tiver uma configuração de agente personalizada, isso permitirá que o instalador mantenha essas definições de configuração.
  4. Um manifesto fornecido contendo uma configuração de agente.
  5. Configuração padrão para o tipo de sistema operacional do dispositivo.

Atualizações do agente baseado em mecanismo

Por motivos de compatibilidade do agente, o serviço Endpoint Manager e as atualizações de versão fazem com que os agentes mais antigos interrompam a aplicação das alterações de configuração. As atualizações do agente em dispositivos gerenciados não acontecem automaticamente.

Dispositivos com agentes baseados em mecanismo que não estejam executando o agente mais recente têm uma nova opção de menu no botão direito em Exibição de rede, Marcar para atualização do agente. Os agentes marcados serão atualizados na próxima vez que fizerem o check-in.

Para dispositivos que possuam o agente baseado em mecanismo e com os quais o núcleo possa se comunicar diretamente, você pode clicar em Forçar check-in do agente para que a atualização ocorra de imediato. Essa opção também aplica quaisquer alterações feitas nas configurações do agente.

Identifique rapidamente dispositivos com agentes mais antigos na Exibição de rede. Clique em Dispositivos > Dispositivos com agentes antigos. Esta lista inclui os dispositivos que não tenham as versões mais recentes do agente legado ou do agente baseado em mecanismo.

Integridade do Agente

Há uma nova ferramenta Integridade do Agente no console (Ferramentas > Administração > Integridade do Agente). Ela monitora estas categorias de problemas na instalação do agente:

  • Atualizador do agente
  • Instalador do agente
  • Falhas individuais no mecanismo

Clique em uma categoria para ver os dispositivos afetados. Os dispositivos com agentes baseados em mecanismo verificam a integridade do agente uma vez por hora. Se um mecanismo detectar que tem problemas, ele mesmo vai se desinstalar/reinstalar. Se o agente ainda tiver problemas na terceira verificação horária, o núcleo será notificado e os detalhes aparecerão em Integridade do Agente.

Painel Integridade do Agente, mostrando gráficos e categorias de integridade