Программа агента (2022 и новее)

ПО Ivanti Endpoint Manager 2022 SU3 и более новой версии содержит программу агента (не бета), полностью поддерживающую архитектуру установки агента на устройствах Windows. В версии 2024 программа агента - это единственный вариант установки новых агентов. Устаревшая архитектура агента по-прежнему поддерживается, а программа агента совместима с ней.

Каждое программа управляет определенной частью функций агента, например, исправлением, распространением ПО, удаленным управлением и т.д. Отдельные программы имеют собственный установочный файл MSI и устанавливаются на управляемых устройствах в отдельные папки.

Эта новая архитектура агентов имеет следующие преимущества:

Безопасность
  • Все модули MSI агентов и установщик имеют цифровые подписи Ivanti. Это помогает средствам безопасности и сканерам вирусов доверять установщику агента.
  • Установщик агента использует открытый ключ главного сервера для проверки его подлинности и подписанных данных манифеста перед загрузкой компонентов агента.
  • Установщик агента проверяет хэши приложения, гарантируя подлинность загруженных компонентов.
Управляемость
  • Модульная архитектура, в которой каждый компонент агента имеет собственную программу. Эти программы максимально автономны - если возникают проблемы, у других частей агента больше шансов продолжить работу.
  • Более быстрая установка и обновление конфигурации.
  • Поддержка переноса для выполнения изменений конфигурации программы агента в области Сервис > Конфигурация > Конфигурация агента (Tools > Configuration > Agent configuration). Нет необходимости планировать задания или повторно устанавливать агент для вступления в силу изменений конфигурации. Это обеспечивает стабильность работы агента, так как незатронутые компоненты остаются установленными и сохраняют свои настройки.
  • Агент имеет возможность выполнения самостоятельного обновления до более новой версии по запросу.
Состояние
  • Функция проверки состояния агента встроена в каждую программу. Она более не полагается на сканирование уязвимостей. После обнаружения проблемы программа автоматически удаляет/переустанавливает себя для исправления.
  • Новая информационная панель проверки состояния агента сообщает об ошибках установки, обновлении и восстановлении программы агента.

Установка программы агента

Установка программы агента аналогична старой версии "расширенного" агента. Во время установки программа агента загружает отдельные файлы MSI и устанавливает их для каждого компонента, необходимого для конфигурации агента. Во время развертывания программа установки агента автоматически удаляет устаревший агент Endpoint Manager.

Путь установки программы агента:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

Для установки программы агента, как минимум, необходимы два следующих файла:

  • EPMAgentInstaller.exe
  • Общий сертификат главного сервера (файл .0)

Файл манифеста, содержащий конфигурацию агента, является необязательным. Этот файл формируется автоматически во время создания программы установщика. Назначения, выполненные на панели конфигурации агента, переопределяют добавленный манифест. Если манифест отсутствует, устройства будут использовать конфигурацию агента по умолчанию для данной операционной системы.

В диалоге Сервис > Конфигурация > Конфигурация агента (Tools > Configuration > Agent configuration) представлены три способа создания программы установщика агента. Эти параметры доступны после нажатия правой кнопкой мыши конфигурации агента Windows. Каждый вариант копирует файлы в указанную папку.

  • Создание файлов установки программы агента. Копирует файл EPMAgentInstaller.exe, общий сертификат программы (файл .0), файл манифеста, информацию выбранной конфигурации агента, и файл .txt с именем конфигурации агента.
  • Создание файла MSI для установки программы агента (без подписи). Создает один файл MSI, содержащий установщик агента, общий сертификат программы (файл .0) и файл манифеста. В Windows GPO может быть сложно выполнить установку нескольких файлов. Во время выполнения этот единственный файл MSI извлекает три файла и запускает программу установки. У него нет подписи, и у вас могут возникнуть проблемы подтверждения средствами безопасности. Однако установки GPO имеют большее доверие.
  • Создание автономной программы MSI для установки агента. Создает один файл MSI, содержащий полные версии всех файлов MSI. Данный модуль MSI намного больше, так как он включает в себя все файлы MSI. Он извлекает и помещает файлы в кэш загрузки ПО Endpoint Manager, и, когда каждый установщик агента будет загружать файлы, он обнаружит их в локальном кэше.

Устройства, обнаруженные с помощью XDD и UDD, также поддерживают принудительную установку программы агента на основе планировщика. Программу агента можно установить с помощью CSA.

Управление конфигурациями программы агента

Конфигурации программы агента управляются из средства конфигурации агента (Сервис > Конфигурация > Конфигурация агента) и используют интерфейс конфигурации, что и устаревший агент.

В версии 2024 добавлены параметры принудительного применения настроек агента. Во время редактирования конфигурации агента на начальной странице представлены два новых параметра:

  • Применить назначенные настройки агента (Enforce the assigned agent settings): Настройки, назначенные в этой конфигурации агента, можно изменить только изменив данную конфигурацию агента.
  • Не применять назначенные настройки агента (Don't enforce the assigned agent settings): Настройки агента на устройстве можно изменить с помощью задачи изменения настроек. Для получения дополнительной информации см. раздел Создание задач настроек изменения.

В версиях до 2024 года во время принудительной отправки агента запланированными задачами все еще устанавливается устаревшая версия агента. Если вам нужно, чтобы планировщик устанавливал программы агентов в версиях до 2024, добавьте следующий раздел реестра на главном сервере:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

Начиная с версии 2022 SU3, вы можете перемещать элементы в виде Сеть (Network view) в конфигурацию агента Windows для ее изменения.

  • Выполнение этого на устройстве, на котором работает программа агента, обновит конфигурацию этого устройства для ее соответствия профилю конфигурации агента. Это происходит во время следующей регистрации устройства, а именно, каждые 24 часа.
  • Для выполнения этого на устройстве с устаревшим агентом и установки обновления потребуется запланированная задача. После исключения устройств с устаревшими конфигурациями агентов отобразится диалог Запланировать задачу (Schedule task), в котором можно выполнить конфигурацию задачи.

Изменения конфигурации и приоритета программы агента

Файл манифеста программы агента является необязательным. Манифест можно переустановить в зависимости от других параметров конфигурации агента и от мест их использования.

Порядок приоритета конфигурации агента - от высшего к низшему:

  1. Изменения конфигурации агента на главном сервере в средстве Конфигурации агента.
  2. Командная строка установщика, если используется. Можно указать имя конфигурации, которое используется на главном сервере.
  3. Предыдущая конфигурация из старого агента, если это имя конфигурации все еще есть на главном сервере. Это предполагает, что манифест недоступен, и конфигурация не указана в командной строке. Если на устройстве используется особая конфигурация агента, она позволяет установщику сохранить настройки конфигурации.
  4. Предоставленный манифест, содержащий конфигурацию агента.
  5. Конфигурация по умолчанию для типа ОС устройства.

Обновления программы агента

Для обеспечения совместимости агентов обновления службы и версии ПО Endpoint Manager заставляют старые агенты приостанавливать применение изменений конфигурации. Обновления агента на управляемых устройствах не выполняются автоматически.

Устройства с программами агентов, на которых нет последней версии агента, имеют новый элемент контекстного меню в виде Сеть - Пометить для обновления агента (Mark for agent upgrade). Помеченные агенты выполнят самостоятельное обновление во время следующей регистрации.

Для устройств с программами агента, с которыми главный сервер может взаимодействовать непосредственно, вы можете нажать Принудительная регистрация агента (Force agent check-in) для выполнения немедленного обновления. Этот параметр также применяет любые выполненные изменения настроек агента.

Быстро идентифицируйте устройства со старыми агентами в виде Сеть. Нажмите Устройства > Устройства с устаревшими агентами (Devices > Devices with older agents). В данный список включены устройства без самой последней версии устаревшего агента или новой программы агента.

Состояние агента

На консоли добавлено новое средство проверки состояния агента (Сервис > Администрирование > Состояние агента (Tools > Administration > Agent Health)). Оно отслеживает следующие категории проблем установки агента:

  • Средство обновления агента
  • Установщик агента
  • Отдельные ошибки программы

Выберите категорию для отображения присутствующих устройств. Устройства с программами агента проверяют состояние своих агентов один раз в час. Если программа обнаружит проблемы, она удалит/переустановит себя. Если у агента по-прежнему будут появляться проблемы во время проверки на третий час, программа оповестит об этом с указанием данных на панели состояния агента (Agent Health).

Панель состояния агента с диаграммами и категориями