引擎型代理程式 (2022 及更新版本)

Ivanti Endpoint Manager 2022 SU3 和更新版本包括適用於 Windows 裝置的非 beta 版,並完全支援引擎型代理程式的安裝架構。2024 版將引擎型代理程式設為新代理程式安裝的唯一選項。不過仍支援舊版代理程式架構,且引擎型代理程式可與其回溯相容。

每個引擎控制特定的代理程式功能,例如修補程式、軟體分發、遠端控制等。個別引擎有自己的安裝 MSI,並安裝到受管理裝置上的個別子資料夾中。

此新代理程式架構具有以下優點:

安全性
  • 所有代理程式 MSI 和代理程式安裝程式均由 Ivanti 在 Ivanti 上簽署。這有助於安全工具和病毒掃描程式信任代理程式安裝程式。
  • 在下載代理程式組件之前,代理程式安裝程式使用核心伺服器的公開金鑰來驗證核心的真實性和簽署的清單資料。
  • 代理程式安裝程式會驗證引擎雜湊,確保下載的組件真實可信。
可管理性
  • 模組化架構,其中每個代理程式組件都有自己的引擎。引擎盡可能獨立,因此如果引擎出現問題,代理程式的其他部分更可能繼續執行。
  • 更快的安裝和組態更新。
  • 工具 > 組態 > 代理程式組態中,對於引擎型代理程式組態變更,支援拖放。無需排定工作或重新部署代理程式,就能讓組態變更生效。這有助於代理程式穩定性,因為未受影響的組件會保持安裝狀態並保留其設定。
  • 代理程式可以在請求時自行升級到較新版本。
狀況
  • 代理程式狀況內建於每個引擎中。其不再依賴於弱點掃描。當引擎偵測到問題時,其可以自動解除安裝/重新安裝以修復問題。
  • 新的代理程式狀況儀表板會報告引擎型代理程式的安裝、升級和修復的故障。

引擎型代理程式安裝

引擎型代理程式安裝類似於舊的「進階代理程式」。執行時,引擎型代理安裝程式會下載個別的 MSI 檔案,然後為代理程式組態需要的每個代理程式組件安裝這些檔案。引擎型代理程式安裝程式會在安裝過程中,自動刪除舊版的 Endpoint Manager 代理程式。

引擎型代理程式會安裝到以下路徑:

  • <%ProgramFiles (x86)%>\Ivanti\EPM Agent

安裝引擎型代理程式至少需要以下兩個檔案:

  • EPMAgentInstaller.exe
  • 核心的公開憑證 (.0 檔案)

包含代理程式組態的清單檔案為選用。此檔案是在建立引擎型安裝程式時自動產生的。在「代理程式組態」窗格中進行的指派,會覆寫隨附的清單。如果未提供清單,裝置會使用該作業系統的預設代理程式組態。

工具 > 組態 > 代理程式組態中,有三種方法可以建立引擎型代理程式安裝程式。以滑鼠右鍵按一下 Windows 代理程式組態時,可以使用這些選項。每個選項都會將檔案複製到您指定的資料夾中。

  • 建立引擎型代理程式安裝檔案。複製 EPMAgentInstaller.exe、核心公開憑證 (.0 檔案)、包含所選取代理程式組態之組態詳細資訊的清單檔案、以及具有代理程式組態名稱的 .txt 檔案。
  • 建立引擎型代理程式安裝 MSI (未簽署)。建立單一 MSI 檔案,其中包含代理程式安裝程式、核心的公開憑證 (.0 檔案)、以及清單檔案。在 Windows GPO 中,可能難以部署多個檔案。執行時,此單一 MSI 會擷取三個檔案然後執行安裝程式。它未被簽署,因此您可能會遭遇到有關安全工具的問題。不過,GPO 安裝通常更受信任。
  • 建立獨立代理程式型代理程式安裝 MSI。建立包含所有引擎 MSI 之完整版本的單一 MSI。此 MSI 要大得多,因為其也包括所有引擎 MSI 檔案。其會擷取檔案並將其放入 Endpoint Manager 下載快取中,因此在每個代理程式安裝程式想要下載檔案時,就會在本機快取中找到這些檔案。

XDD 和 UDD 發現的裝置也支援引擎型代理程式的排程器式推送安裝。引擎型代理程式可以透過 CSA 安裝。

管理引擎型代理程式組態

引擎型代理程式組態在代理程式組態工具 (工具 > 組態 > 代理程式組態) 中進行管理,並使用與舊版代理程式相同的組態介面。

2024 版新增代理程式設定強制執行選項。編輯代理程式組態時,開始頁面有兩個新選項:

  • 強制執行指派的代理程式設定: 只能透過修改此代理程式組態來變更此組態中指派的代理程式設定。
  • 不強制執行指派的代理程式設定: 裝置上的代理程式設定可透過變更設定工作進行修改。如需詳細資訊,請參閱建立變更設定工作

在 2024 版以前的版本中,排程工作代理程式推送仍會部署舊版代理程式。如果希望排程器在 2024 版以前的版本中部署引擎型代理程式,請在核心伺服器上加入以下登錄機碼:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Ivanti\ManagementSuite\EnableNewAgentPush="dword:00000001"

從 2022 SU3 版本開始,您可以將網路檢視中的項目拖放到 Windows 代理程式組態上,以對其進行重新設定。

  • 對執行引擎型代理程式的裝置執行此動作,會更新裝置備的組態,以符合其所在的代理程式組態檔案。這會在裝置下次簽入時發生,預設情況下為每 24 小時一次。
  • 對執行舊版代理程式的裝置執行此動作時,需要排程工作來套用更新。在代理程式組態上刪除舊版代理程式裝置後,會顯示排程工作對話方塊,讓您可以設定工作。

引擎型代理程式組態變更和優先順序

引擎型代理程式清單檔案為選用。可以根據其他代理程式組態選項及其發生位置,覆寫此清單。

以下是代理程式組態的優先順序,從最高到最低:

  1. 代理程式組態工具中對核心伺服器進行的代理程式組態變更。
  2. 安裝程式指令列 (如果使用)。您可以指定核心上現有的組態名稱。
  3. 舊代理程式的之前組態 (如果該組態名稱仍在核心上)。對於此項,假設不包含清單,且未在指令列上指定任何組態。如果裝置具有自訂代理程式組態,則這可以讓安裝程式保留這些組態設定。
  4. 提供的包含代理程式組態的清單。
  5. 裝置作業系統類型的預設組態。

引擎型代理程式升級

由於代理程式相容性的原因,Endpoint Manager 服務和版本更新會導致較舊的代理程式暫停套用組態變更。受管理裝置上的代理程式更新不會自動進行。

具有未執行最新代理程式之引擎型代理程式的裝置具有新的網路檢視右鍵功能表選項已標示為代理程式升級。標記的代理程式會在下次簽入時自行升級。

對於具有引擎型代理程式且核心可以直接與之通訊的裝置,可以按一下強制代理程式簽入以立即進行升級。此選項也會套用已進行的任何代理程式設定變更。

網路檢視中,快速識別具有較舊代理程式的裝置。按一下裝置 > 具有較舊代理程式的裝置。此清單包含沒有最近舊版或引擎型代理程式的裝置。

代理程式健康情況

控制台中有新的代理程式健康情況工具 (工具 > 管理 > 代理程式健康情況)。它會追蹤以下類別的代理程式安裝問題:

  • 代理程式更新程式
  • 代理程式安裝程式
  • 個別引擎故障

按一下類別可查看受影響的裝置。具有引擎型代理程式的裝置,會每小時檢查一次其代理程式健康情況。如果引擎偵測到其有問題,將自行解除安裝/重新安裝。如果代理程式在第三個小時檢查時仍有問題,則會通知核心,並在代理程式健康情況顯示詳細資訊。

「代理程式健康情況」窗格,顯示圖表和健康情況類別