基于引擎的代理(2022 及更高版本)

Ivanti Endpoint Manager 2022 SU3 及更高版本包含适用于 Windows 设备的非 beta 版本且完全受支持的基于引擎的代理安装架构。在版本 2024 中,基于引擎的代理是新代理安装的唯一选择。旧版代理架构仍受支持,且基于引擎的代理向后兼容旧架构。

每个引擎负责控制特定的代理功能,例如修补、软件分发、远程控制等。各个引擎都有自己的安装 MSI,并安装到托管设备上的单独子文件夹中。

这种新的代理架构具有以下优点:

安全性
  • 所有代理 MSI 和代理安装程序均由 Ivanti 在 Ivanti 签名。这有助于安全工具和病毒扫描器信任代理安装程序。
  • 在下载代理组件之前,代理安装程序使用核心服务器的公钥来验证核心的真实性和已签名的清单数据。
  • 代理安装程序将验证引擎哈希,确保下载真实的组件。
可管理性
  • 模块化架构,其中每个代理组件都有自己的引擎。引擎尽可能自包含,因此如果引擎出现问题,代理的其他部分有更好的机会继续运行。
  • 快速完成安装和配置更新。
  • 工具 > 配置 > 代理配置中针对基于引擎的代理配置更改提供拖放支持。无需计划作业或重新部署代理即可使配置更改生效。这有助于提高代理稳定性,因为未受影响的组件仍保持安装状态并保留其设置。
  • 代理可以根据要求将自身升级到较新版本。
运行状况
  • 代理运行状况内置于每个引擎中。其不再依赖于漏洞扫描。当引擎检测到问题时,它可以自动卸载/重新安装以修复问题。
  • 新的代理运行状况仪表板报告基于引擎的代理安装、升级和修复故障。

基于引擎的代理安装

基于引擎的代理安装类似于旧的“高级代理”。执行时,基于引擎的代理安装程序会下载单独的 MSI 文件,并为代理配置所需的每个代理组件安装这些文件。基于引擎的代理安装程序会在安装过程中自动删除旧版 Endpoint Manager 代理。

基于引擎的代理安装到此路径:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

安装基于引擎的代理时,至少需要以下两个文件:

  • EPMAgentInstaller.exe
  • 核心的公共证书(.0 文件)

包含代理配置的清单文件是可选项。当创建基于引擎的安装程序时,会自动生成此文件。在“代理配置”窗格中进行的分配将覆盖包含的清单。如果未提供清单,设备将使用该操作系统的默认代理配置。

工具 > 配置 > 代理配置中,可以使用三种方法创建基于引擎的代理安装程序。右键点击 Windows 代理配置时,可以使用这些选项。每个选项都会将文件复制到指定的文件夹中。

  • 创建基于引擎的代理安装文件。复制 EPMAgentInstaller.exe、核心的公共证书(.0 文件)、包含所选代理配置的配置详细信息的清单文件,以及包含代理配置名称的 .txt 文件。
  • 创建基于引擎的代理安装 MSI(未签名)。创建一个 MSI 文件,其中包括代理安装程序、核心的公共证书(.0 文件)和清单文件。在 Windows GPO 中,部署多个文件可能很困难。执行时,这个 MSI 会提取三个文件并运行安装程序。其未签名,因此您可能会在使用安全工具时遇到相关问题。不过,GPO 安装通常更受信任。
  • 创建基于代理安装 MSI 的自包含代理。创建包含所有引擎 MSI 完整版本的单个 MSI。该 MSI 更大,因为其还包含所有引擎 MSI 文件。它会提取文件并将其放入 Endpoint Manager 下载缓存中,因此当每个代理安装程序想要下载文件时,它会在本地缓存中查找这些文件。

XDD 和 UDD 发现的设备还支持对基于引擎的代理进行基于调度程序的推送安装。基于引擎的代理可以通过 CSA 安装。

管理基于引擎的代理配置

基于引擎的代理配置在代理配置工具(工具 > 配置 > 代理配置)中进行管理,并使用与旧版代理相同的配置界面。

版本 2024 已增加代理设置强制执行选项。编辑代理配置时,开始页面有两个新选项:

  • 强制执行分配的代理设置:此配置中分配的代理设置只能通过修改此代理配置才能更改。
  • 不强制执行分配的代理设置:设备上的代理设置可以通过更改设置任务来修改。有关详细信息,请参阅创建更改设置任务

在 2024 之前的版本中,计划任务代理推送仍会部署旧版代理。如果希望计划程序部署版本比 2024 更低的基于引擎的代理,请在核心服务器上添加此注册表项:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

从 2022 SU3 版本开始,您可以将网络视图中的项目拖放至 Windows 代理配置以重新配置它们。

  • 对运行基于引擎的代理的设备执行此操作,将更新该设备的配置以匹配其所在的代理配置文件。设备下次签入时会发生这种情况,默认情况下每 24 小时签入一次。
  • 对运行旧版代理的设备执行此操作,需要计划任务来应用更新。将旧版代理设备拖放至代理配置后,将出现计划任务对话框,以便您可以配置该任务。

基于引擎的代理配置更改和优先顺序

基于引擎的代理清单文件是可选项。可以覆盖该清单,具体取决于其他代理配置选项及其发生位置。

这是代理配置的优先顺序,由高到低排序:

  1. 代理配置工具中对核心服务器进行的代理配置更改。
  2. 安装程序命令行(如果使用)。可以指定核心上存在的配置名称。
  3. 旧版代理的先前配置(如果该配置名称仍然存在于核心上)。假设不包含清单,并且未在命令行上指定配置。如果设备具有自定义代理配置,则安装程序可以保留这些配置设置。
  4. 提供的清单包含代理配置。
  5. 设备操作系统类型的默认配置。

基于引擎的代理升级

出于代理兼容性原因,Endpoint Manager 服务和版本更新会导致旧版代理暂停应用配置更改。不会自动在托管设备上进行代理更新。

具有基于引擎的代理且未运行最新代理的设备具有新的网络视图右键点击菜单项代理升级标记。标记的代理将在下次签入时自行升级。

对于具有基于引擎的代理且可以直接与核心通信的设备,您可以点击强制代理签入以立即进行升级。此选项还会应用已进行的任何代理设置更改。

网络视图中快速识别具有旧版代理的设备。点击设备 > 具有旧版代理的设备。此列表包括不具有最近旧版代理或基于引擎的代理的设备。

代理运行状况

控制台中有一个新的代理运行状况工具(工具 > 管理 > 代理运行状况)。它将跟踪以下类别的代理安装问题:

  • 代理更新程序
  • 代理安装程序
  • 个别引擎故障

点击类别可查看受影响的设备。具有基于引擎的代理的设备每小时检查一次代理运行状况。如果引擎检测到问题,引擎将自行卸载/重新安装。如果代理在第三次每小时检查时仍然存在问题,则会通知核心,并且详细信息将显示在代理运行状况中。

“代理运行状况”窗格,显示图表和运行状况类别