Introduzione
In questo documento viene descritto come eseguire la migrazione a Cisco Secure Client unified endpoint agent con il modulo Umbrella.
Scopo
Con l'evoluzione di Umbrella, abbiamo migliorato i nostri metodi per la protezione dei computer in roaming. Nel costante impegno verso l'innovazione, abbiamo introdotto Cisco Secure Client, basato su AnyConnect, che è il nostro agente endpoint unificato di nuova generazione. Questo nuovo client racchiude tutti i vantaggi del client Umbrella Roaming offrendo al contempo una soluzione di sicurezza più avanzata, che include una suite di moduli di servizi di sicurezza, prestazioni superiori e compatibilità estesa. Integra l'ultima versione del modulo Umbrella e molti altri moduli.
Cisco ha annunciato la fine del ciclo di vita di Cisco AnyConnect nel 2023 e il client di roaming Umbrella nel 2024. Molti clienti Umbrella stanno già beneficiando della migrazione a Cisco Secure Client e si è incoraggiati a iniziare la migrazione il prima possibile per ottenere un'esperienza di roaming migliore.
Tutti i clienti con licenze valide e contratti di assistenza Umbrella attivi possono migrare a Cisco Secure Client per avere diritto al Modulo Umbrella, che include le stesse funzionalità del client Umbrella Roaming, senza costi aggiuntivi.
In questo articolo viene descritto il processo di migrazione e vengono fornite eventuali domande su Cisco Secure Client.
Aggiornamento a Cisco Secure Client
In questa sezione viene descritto come eseguire la migrazione a Cisco Secure Client.
Migrazione da AnyConnect
Cisco Secure Client ha un meccanismo per rilevare automaticamente un'installazione AnyConnect esistente, raccogliere la configurazione da esso, migrare le impostazioni in Cisco Secure Client e quindi disinstallare il vecchio client AnyConnect. Tuttavia, potrebbero verificarsi dei casi limite di errore durante il processo. Per questo motivo, alcuni clienti potrebbero preferire disinstallare il client AnyConnect prima di installare Cisco Secure Client.
Nota: Disabilitare le attività di installazione di AnyConnect nel software di gestione degli endpoint per impedire la reinstallazione delle versioni precedenti di AnyConnect.
Migrazione da Umbrella Roaming Client
Nota: I clienti con licenze valide e contratti di supporto Umbrella attivi in fase di migrazione dal client di roaming Umbrella possono eseguire la migrazione a Cisco Secure Client solo per poter accedere al modulo Umbrella.
Cisco Secure Client dispone di un meccanismo per rilevare automaticamente un'installazione esistente di Umbrella Roaming Client, raccogliere la configurazione da esso, migrare tali impostazioni in Cisco Secure Client e quindi disinstallare il vecchio Umbrella Roaming Client. Tuttavia, potrebbero esserci casi limite in cui questo processo non riesce, quindi alcuni clienti potrebbero preferire disinstallare il client Umbrella Roaming prima di installare Cisco Secure Client.
Nota: Disabilitare le attività di installazione di Umbrella Roaming Client nel software di gestione degli endpoint per impedire la reinstallazione del client di roaming.
Installazione di Cisco Secure Client
1. Scaricare Cisco Secure Client
Metodo 1: Umbrella Dashboard
Accedere a Umbrella Dashboard e selezionare Distribuzioni > Computer mobili. Fare clic sull'icona di download Roaming Client in alto a destra e scaricare il pacchetto pre-distribuzione appropriato per il sistema operativo in uso.
Metodo 2: Software.cisco.com
Accedere a software.cisco.com e selezionare la sezione Secure Client 5. Scaricare il pacchetto pre-distribuzione appropriato per il sistema operativo in uso.
2. Fare doppio clic sull'applicazione del file di installazione
Viene visualizzata la seguente finestra:
17890872895892
3. Selezionare solo le opzioni Umbrella e Diagnostic and Reporting Tool.
L'opzione Blocca servizi computer è facoltativa e impedisce a utenti e amministratori di modificare lo stato dei servizi di Cisco Secure Client su un dispositivo.
Nota: Il modulo "Core e AnyConnect VPN" viene installato come modulo di base obbligatorio. Deselezionando l'opzione "Core e AnyConnect VPN", la VPN viene nascosta dalla GUI. Il servizio VPN (csc_vpnagent) è ancora in esecuzione in background, ma la VPN non viene visualizzata nella GUI.
4. Fare clic su Installa selezionati per installare i moduli.
Quando si avvia Cisco Secure Client vengono visualizzate le seguenti finestre:
27072090674324
5. In questo momento, Cisco Secure Client rileva e disinstalla Umbrella Roaming Client. Attendere.
Installazione di Umbrella Profile
Il profilo Umbrella (OrgInfo.json) viene rilevato automaticamente dalla precedente installazione di Roaming Client o AnyConnect e importato in Secure Client.
Tuttavia, per le nuove installazioni è fondamentale distribuire il profilo Umbrella (OrgInfo.json) all'endpoint. Questo file identifica in modo univoco la tua organizzazione Umbrella e consente al client di registrarsi con il cloud Umbrella. Questo passaggio è obbligatorio se stai installando su un dispositivo senza Cisco AnyConnect o stai migrando dal client di roaming Umbrella:
- Scaricare il profilo del modulo OrgInfo.json dal dashboard in Distribuzioni > Identità principali > Computer in roaming > Client in roaming quindi fare clic su Download nell'angolo in alto a destra.
- Scegliere Download Module Profile.
- Una volta scaricato, copiare il file Orginfo.json nel percorso specificato di seguito:
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
Distribuzione di massa
La cache Secure Client (inclusi il modulo Umbrella e il profilo) può essere distribuita in massa utilizzando gli strumenti di gestione degli endpoint (ad esempio UEM, MDM, RMM). Vedere gli articoli seguenti:
- Installazione della riga di comando e riferimento RMM (Windows)
Personalizzazione
Struttura directory
I percorsi delle directory sono stati modificati con Cisco Secure Client.
Directory Cisco Secure Client
Windows
Eseguibile
C:\Program Files (x86)\Cisco\Cisco Secure Client
Directory dati Umbrella
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
macOS
Eseguibile
/Applications/Cisco/Cisco Secure Client.app
Directory dati Umbrella
/opt/cisco/secureclient/umbrella/
Domande frequenti
Q: Possiamo continuare con il client Umbrella Roaming?
A: La data di fine del ciclo di vita del client Umbrella Roaming è il 2 aprile 2024. È possibile continuare a utilizzarlo anche dopo questa data e Cisco continua a supportare e fornire correzioni per problemi critici e vulnerabilità per un anno fino al 2 aprile 2025. Tuttavia, tutti i nuovi miglioramenti e le innovazioni sono disponibili solo in Cisco Secure Client. Dopo il 2 aprile 2025, qualsiasi nuova registrazione di dispositivi per il client Umbrella Roaming è soggetta a restrizioni. I clienti che utilizzano ancora il client Umbrella Roaming in quel momento non ricevono più supporto o aggiornamenti.
Q: Il modulo Umbrella è uguale al modulo di sicurezza roaming?
A: Sì, Umbrella Module è solo il nuovo nome semplificato per il modulo di sicurezza mobile.
Q: Abbiamo già un agente VPN di terze parti. Non installare il modulo VPN. Questa è un'opzione?
A: Il modulo VPN viene installato come modulo principale. Tuttavia, non è necessario configurare o utilizzare il modulo VPN. Tuttavia, è possibile nascondere il modulo VPN dalla GUI. Per nascondere la VPN dalla GUI, è sufficiente deselezionare l'opzione "Core & AnyConnect VPN" durante l'installazione. Il servizio VPN (csc_vpnagent) viene ancora eseguito in background, ma la VPN non viene visualizzata nella GUI. Fare riferimento all'articolo della Knowledge Base per ulteriori informazioni su come nascondere il modulo VPN: https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
Q: Ho solo bisogno della sicurezza a livello DNS. È ancora necessario eseguire l'aggiornamento?
A: Sì, e puoi ancora utilizzare la tua sottoscrizione solo DNS con il nuovo Cisco Secure Client e il modulo Umbrella. Tutti i clienti hanno diritto al modulo Umbrella di Cisco Secure Client. Il modulo VPN è un modulo di base e viene installato, tuttavia non è necessario utilizzarlo e si ha la possibilità di nasconderlo nell'interfaccia utente.
Q: Dove posso ottenere una copia di Cisco Security Client?
A:
Metodo 1: Umbrella Dashboard
Accedere a Umbrella Dashboard e selezionare Distribuzioni > Computer mobili. Fare clic sull'icona di download del client mobile in alto a destra e scaricare il pacchetto pre-distribuzione appropriato per il sistema operativo.
Metodo 2: Software.cisco.com
Accedere a software.cisco.com e selezionare la sezione Secure Client 5. Scaricare il pacchetto pre-distribuzione appropriato per il sistema operativo in uso.
Nota: Per completare il download, devi accedere con un account Cisco valido.
Q: Ho un abbonamento Umbrella, ma non ho licenze Cisco Secure Client. Posso ancora effettuare l'aggiornamento a Cisco Secure Client?
A: Tutti i clienti con licenze valide e contratti di assistenza Umbrella attivi hanno diritto a migrare a Cisco Secure Client per ottenere il modulo Umbrella, che include tutte le funzionalità Umbrella Roaming Client, senza costi aggiuntivi.
Q: Quali sono le differenze architettoniche tra i client?
A:
Approccio Umbrella Roaming Client
Il client Umbrella Roaming utilizza una scheda loopback per ispezionare tutte le richieste inviate ai server DNS specificati nelle impostazioni DNS delle schede di rete di un computer. È quindi necessario che il client mobile reimposti il server DNS su tutte le schede in modo che utilizzi 127.0.0.1, l'indirizzo di loopback localhost.
Lo svantaggio di questo approccio è che alcuni client VPN sono in conflitto con questa configurazione, sia imponendo che la configurazione corrisponda a quanto impostato dall'amministratore, sia impedendo l'esecuzione di un resolver DNS su 127.0.0.1.
In alternativa, alcuni client VPN sovrascrivono anche le impostazioni DNS di una scheda con valori VPN, sovrascrivendo l'indirizzo del server DNS del client mobile di 127.0.0.1 invece dei valori originali. Ciò può causare il malfunzionamento del client Umbrella Roaming e del pacchetto software in conflitto o uno scenario di errore DNS completo in cui le impostazioni DNS configurate vengono perse al momento della connessione o della disconnessione.
Cisco Secure Client approach
Con Cisco Secure Client, Umbrella è un modulo che può essere installato. Questo modulo è in grado di controllare la scheda senza modificare le impostazioni DNS sull'interfaccia, evitando conflitti di modifica DNS. Cisco Secure Client utilizza un driver del kernel, che intercetta le richieste DNS a un livello molto inferiore nel sistema operativo. Questo meccanismo più sofisticato ha il vantaggio di non richiedere che il traffico di tutte le schede passi attraverso l'indirizzo di loopback, in modo che le impostazioni DNS originali vengano mantenute. Questa differenza di architettura significa che il modulo Umbrella può mantenere una compatibilità molto più elevata con altri software rispetto al client di roaming Umbrella.
Q: Il modulo Umbrella per Cisco Secure Client presenta problemi di compatibilità noti?
R: Cisco Secure Client si basa sull'architettura AnyConnect, molto più compatibile con il client Umbrella Roaming precedente. In alcuni rari casi, è necessario eseguire un'azione aggiuntiva per consentire al modulo Umbrella di funzionare con software di terze parti. Ulteriori informazioni sono disponibili in questo articolo:
Compatibilità software - Umbrella Module per Cisco Secure Client (e AnyConnect precedente)
Q: Abbiamo già installato i client AnyConnect e Umbrella Roaming. Devo disinstallare manualmente entrambi i moduli e installare Cisco Secure Client con i moduli AnyConnect e Umbrella?
A: No, il processo di installazione di Secure Client è stato progettato con un processo di aggiornamento continuo. Il programma di installazione sposta automaticamente Orginfo.json nelle cartelle Secure Client e allo stesso tempo disinstalla AnyConnect e il client Umbrella Roaming. Se si stava utilizzando la funzionalità VPN di AnyConnect, viene trasferita automaticamente al modulo VPN di AnyConnect.
Q: Dopo l'installazione non viene visualizzata l'interfaccia utente di Cisco Secure Client. Come so che funziona?
È possibile verificare il funzionamento di Cisco Secure Client con il modulo Umbrella visitando il sito https://policy-debug.checkumbrella.com nel browser o eseguendo questo comando:
nslookup -q=txt debug.opendns.com1
L'output contiene informazioni univoche e rilevanti per l'organizzazione Umbrella, ad esempio il proprio OrgID.
Q: Come è possibile reperire la documentazione di supporto per la distribuzione utilizzando lo strumento MDM o RMM specifico?
A: I moduli RMM e MDM di terze parti non sono ufficialmente supportati da Cisco Umbrella. A titolo di cortesia, nella nostra pagina KB all'indirizzo https://support.umbrella.com/hc/en-us/articles/18584514390932 forniamo alcuni esempi, che tuttavia non sono supportati e vengono forniti "così come sono". In caso di domande o dubbi sulla validità o sull'idoneità per la distribuzione, rivolgersi al fornitore RMM o MDM.
Q: Dopo aver installato Cisco Secure Client con Umbrella Module, come è possibile mantenerlo aggiornato? Si aggiorna automaticamente?
A: Per ulteriori informazioni su come mantenere aggiornati Cisco Secure Client e Umbrella Module, vedere questo articolo della Knowledge Base:
Aggiornamento di Cisco Secure Client
Feedback