- 10 Jul 2024
- 5 Minutes to read
- Contributors
- Print
- DarkLight
ManageEngine
- Updated on 10 Jul 2024
- 5 Minutes to read
- Contributors
- Print
- DarkLight
MDM
Das Mobile Device Management des NSI läuft auf dem Server HaWEB10 (10.50.10.248) und kann mit folgendem Link erreicht werden. https://localhost:9383/
Die Mobilen Geräte werden in zwei Gruppen aufgeteilt private (für BYOD Geräte) und corporate (für dienstliche Geräte).
Enrollment
In diesem Abschnitt wird beschrieben, wie Geräte in das MDM aufgenommen werden können.
Android EMM Token
Android 9.0 or later
Sprache auswählen
Im "Einrichtungsbildschrim" sechs mal auf den Bildschirm tippen und anschließend den QR-Code im MDM scannen.
Mit einem WLAN verbinden.
Über den HotSPot ist es nicht möglich, da die Einrichtungsseite nicht geöffnet werden kann. Ein mobiler HotSpot mit dem Handy wäre möglich.
Google Dienste aus stellen.
Nach erfolgreicher Registrierung wird im MDM ein neues Fenster geöffnet.
In dem Fenster kann nun unter "Assign User" ein User sowie eine Gruppe dem Gerät hinzufügt werden.
Die Konfiguration läuft nun im Hintergrund.
Windows 10 Laptop
Auf einem Konfigurierten Windows 10 Gerät muss die AdminEnroll.ppkg (C:\Users\Administrator\Desktop\ManageEngine_WinAdminEnroll\ManageEngine_WinAdminEnroll\output) ausgeführt werden um es in das MDM aufzunehmen.
Private Geräte einbinden
Private Geräte werden über die Dienstliche E-Mail-Adresse eingeladen. Um dem MDM beizutreten muss die ME MDM App auf dem Gerät installiert sein. Das erfolgt entweder über den Einladungslink oder per Download aus dem App Store. Nach erfolgreicher installation der App kann der QR-Code gescannt werden.
App installieren
Device Management -> Groups & Devices -> Devices -> Haken bei Gerät setzen -> Action -> Distribute Apps -> App auswählen -> Silent installation
Profile bearbeiten
Im Device Management\Profiles können über die drei Punkte, änderungen an den Gruppen unternommen werden. Änderungen sollten nur in absprache mit IT-Leiter und ISB unternommen werden. Wichtig nach einem Publish des Profils ist über Group & Device auf der Gruppe unter „Profiles“ den Button „Update Profile“ bzw. rechts das Zahnrad-Symbol unter „Action“ anklicken.
Softwareverteilung
Die Softwareverteilung läuft auf dem HaAPP03 (10.10.10.72) und kann mit folgendem Link erreicht werden. https://10.10.10.72:8384/
AD-Scan kann über Agent>Computers>Add Computer durchgeführt werden.
neue Mitarbeiter müssen über Admin>Global Settings> Custom Group in die Gruppen "Verwaltung" bzw. "Dozenten" hinzugefügt werden in dem Baum bgibt es unterscheide zwischen Groß- und Kleinschreibung (Anmeldename).
Agent
Der Agent ist das "Programm", welches vom Server auf den Geräten installiert wird. Der Agent liefert der SWV alle Infos zur Hard und Software, ebenso werden über ihn Updates und Programme ausgerollt.
Agent installieren
Um ein Client zu verwalten, muss dieser erst dem SOM "Scope of Management" hinzugefügt werden. Dazu folgende Schritte ausführen: SOM -> Computers -> Add Computer -> Domain auswählen -> Client auswählen -> Next -> Install Agent. Bei neuen Clients in der Domäne, erst auf "Sync Now" klicken sonst wird der Client nicht angezeigt.
Der Ausgewählte Client ist nun im SOM und der Agent wird installiert.
Agent deinstallieren
Im Normalfall, sollte der Agent in dem Reiter "Agent" von einem Client deinstalliert werden können. Sollte es dort zu Problemen kommen, muss der Agent durch die AgentCleanuptoolClient.exe Datei deinstalliert werden.
Die Datei wird erstellt, wenn die AgentCleanupTool.exe als Admin auf dem Endpoint Central Server ausgeführt wird. Die AgentCleanuptoolClient.exe kann nun auf dem Client als Admin ausgeführt werden, um den Agent zu deinstallieren. Weiter Infos unter: https://www.manageengine.com/products/desktop-central/desktop_agent_uninstallation.html?sdppl-ql&did=45-1224
Inventory
Unter dem Reiter Inventory findet man alle von ManageEngine konfigurierten und überwachten Systeme.
Computer
Der Computer-Bereich in Desktop Central bietet eine Liste aller Computer im Netzwerk. Man kann sich auch Informationen zu jedem Computer anzeigen lassen, z. B. den Hardware-Status, die Software-Installationen und die Benutzer.
Software
Der Software-Bereich in Desktop Central bietet eine Liste aller Software, die auf den Computern im Netzwerk installiert ist.
Reports
Der Reports-Bereich in Desktop Central bietet eine Reihe von vorgefertigten Berichten, die Benutzer zur Analyse ihrer IT-Assets verwenden können.
Verbotene Software
Unter Prohibit-Software sieht man eine Liste von Software, welche nicht auf Computern im Netzwerk installiert werden darf.
Software Deployment
In dem Menü Packages können Software Pakete erstellt und verwaltet werden.
Installation Comands --installPath <dir> Mit dem Befehl kann ein alternativer Installationspfad angegeben werden. Die <> Zeichen sind nur Platzhalter.
Im Reiter Templates können vorgefertigte Templates zu Packages erstellt werden. Wenn ein Programm als Template zur Verfügung steht, sollte immer das Template genutzt werden.
OS Deployment
Im Abschnitt OS Deployment können Images erstellt bearbeitet und verteilt werden.
Deploy Image
Um ein vorher erstelltes Template nun zur Installation bereitzustellen, muss ein Deployment Task erstellt werden. Mit einem Klick auf Add Deployment Task wird der Wizard geöffnet.
Anschlißend muss der Name geändert und das Template ausgewählt werden.
In dem Fenster Deployment Mode wird der Code angezeigt, welcher zur Installation benötigt wird. Ebenfalls kann hier via MAC-Adresse bestimmt werden, welcher Client das Template installieren kann.
Im letzten Fenster kann die Deployment Methode (Multicast für Installationen mit mehr als fünf Rechner, Unicast für bis zu fünf Rechner) und die Wartezeit (Wie lange der Task nach dem Start aktiv ist)
Ein abschließender klick auf Add Deployment Task speichert den Task, ein klick Deploy now aktiviert den Task.
Image installieren
Um nun ein Rechner mit einem Image zu installieren muss dieser über IPv4 PXE-Boot gebootet werden. Dazu müssen evtl. Einstellungen im BIOS unternommen werden um PXE zu aktivieren. Ebenfalls ist zu beachten, dass UEFI-Boot eingestellt sein muss. Sobald der Ziel-Rechner gebootet wurde, erscheint folgendes Fenster. (Wenn sich das Fenster sofort wieder schließt = Workaround OS Deployment)
Im OS Deployer kann man nun auf der Linken Seite ein Code eingeben. Dieser Code wird bei erstellen des Depolyment Task generiert und kann wie abgebildet, angezeigt werden.
Um den Task "aktiv" zu schalten, muss auf die drei Punkte im Reiter Action und anschließend auf "Deploy now" geklickt werden werden.
Mit einem Klick auf Authenticate wird die Installation gestartet. Zuletzt muss noch der Computername geändert und mit "Assign" bestätigt werden.
Patch Management
Das Patch Management ist sehr komplex und es gibt viele Wege zum Ziel. Deswegen gehe ich hier nur auf die Kerpunkte ein.
Updates werden automatisiert aus dem Internet heruntergeladen und mit bestimmten Richtlinien auf die Clients verteilt. Generell gilt, wenn ein Client Software installiert hat, werden dafür auch die Updates installiert. Abweichungen gibt es für Software aus dem Self-Service-Portal, dort werden die Updates optional angeboten.
Automate Patch Deployment
Unter Deployment findet man die Automatisierten Update Richtlinien. Die Richtlinien sind anhand des Namens eindeutig, und es wird unterschieden zwischen Server und Endpoints (Clients). Current Status zeigt wie viele Clients oder Server ein oder mehrere Updates installiert oder auch nicht installiert haben. Details der Richtline kann man sehen, wenn man auf die Richtlinie klickt.
Manual Patch Deployment
Alle Updates können auch Manuel verwaltet und installieret werden, ist aber nicht empfohlen. Um fehlgeschlagene Update auf einem Client zu installieren müssen folgende Schritte gegangen werden: Systems -> By Patches -> Client auswählen -> Patches -> Missing -> Patch auswählen und auf Install Patch klicken. Anschlißend noch die Policy auswählen und unten auf Deploy klicken. Die Jobs werden dann wieder unter Deployment/Manual Deployment angezeigt. Auch hier kann wieder der Status überwacht werden.