本記事では 新規にデバイスをプロビジョニングしてもインベントリにデバイスが現れない場合に考慮すべき点(検疫、承認手順、エージェントトークンの構成)について説明します。
エージェントがトークン無しでプロビジョニングされたか、あるいは、SMAと通信する承認がまだなされていない可能性があります。
これには11.0以上のエージェントセキュリティ機能が関係します。
重要: SMA v11.0 (Server/Agent共に) 以上の通信では デバイスのエージェントがkonea(443)ポートへアクセスするだけではインベントリに追加されず、通信を開始したエージェントはサーバー上で検疫対象とみなされます。この状態ではインベントリやスクリプトなど基本的なタスクも動作しません。開始するには承認の手続きを経る必要があります。承認は手動で行うか "トークン" と呼ぶ文字列データをセットすることで実現されます。
有効なトークン無しで展開されたすべてのKACEエージェントのデバイスはSMAの検疫セクションに入ります。さらにSMAとの通信が可能になるには手動での承認が必要です。
メモ: 承認されてないエージェントは(承認されるかトークン付きで構成されるまでは)インベントリ/パッチ管理/スクリプト等を行いません。
メモ: SMA 11.0へのアップグレードの後、SMAとすでに通信している旧バージョンのすべてのエージェント(10.2以前)は自動的に承認されます。デバイスの検疫の詳細では 承認者:"アップグレード時に自動承認済み"(Auto Approved at Upgrade)を示します。
メモ: すべてのレガシーエージェント(11.0より古いエージェント10.x, 9.x ...)については古いエージェントの承認が有効です。しかしトークンを使用するプロビジョニングは出来ません。トークンを使用してインストールできるのは11.0(以上)のエージェントのみです。
検疫内でデバイスを承認/ブロックする:
トークンを使用してエージェントを自動承認する
いったんトークンが生成されると、トークンを使用するエージェントのインストールができるようになります。このトークンは接続におけるエージェントの自動承認を行い、手動での承認を行う必要がありません。
メモ: 複数組織機能が有効なSMAにおいて、すべての組織はそれぞれの組織用のトークンを持つことが出来ます。そのトークンを承認に使用すれば、必要なデバイスを必要な組織に自動で割り振ることが出来ます。 ある組織 (ORG# )で作成されたトークンで承認された全てのデバイスはその組織 (ORG# )に割り振られます。セットアップ時に適切なトークンが与えられなかったデバイスはシステムポータルの承認待ちのリストに送られることになります。( [システム] 設定 | 組織 | 検疫 )。
トークンは次のような場面で使われます:
