Geautomatiseerde implementatie met gebundelde paraplu-profiel (Windows) begrijpen
Inhoud
Inleiding
In dit document wordt de zelfstudie voor automatische implementatie beschreven met het gebundelde overkoepelende profiel in de Cisco Secure Client (Windows).
Overzicht
De implementatie van de Cisco Secure Client (CSC) (voorheen AnyConnect) met Umbrella-module omvat de volgende onderdelen:
- Installatie van de CSC Core VPN Module
- Installatie van de Umbrella Roaming Security Module
- Installatie van het parapluprofiel (OrgInfo.json)
- Installatie van de DART-module (Diagnostic and Reporting Tool) (optioneel)
Dit artikel biedt een zelfstudie over hoe u deze componenten programmatisch kunt installeren (op Windows). Het parapluprofiel is ingesloten in het installatiepakket dat geschikt is voor installatie vanuit gedeelde mappen.
Het pre-implementatiepakket maken
Met deze stappen wordt de Umbrella-module geïmplementeerd. Houd er rekening mee dat de VPN-functionaliteit van Cisco volledig is uitgeschakeld. De VPN-kernmodule moet echter nog steeds worden geïnstalleerd omdat deze wordt gebruikt voor het onderscheppen van DNS-verkeer.
Het implementatiepakket samenstellen
-
- Download het profiel van de Umbrella roaming-beveiligingsmodule van uw Umbrella Dashboard. Implementaties > Zwervende computers > Zwervende clients.
- De gedownloade bestandsnaam van het module profiel is Orginfo.json
- Download het pakket "Pre-deployment" van de Umbrella Roaming Security Module voor Windows vanaf een van deze locaties:
- :software.cisco.com
- Opmerkingen bij de paraplu-release
- Pak de gedownloade AnyConnect-client uit en zoek het versienummer. Noteer de bestandsnamen en versienummers in het geëxtraheerde pakket
27073502800788 - Voeg het bestand OrgInfo.json toe in de map "Profiles\Umbrella"* in dezelfde map als het installatieprogramma. Deze stap is cruciaal voor de Cisco Umbrella-module om zich automatisch te registreren na installatie. De mappenstructuur moet er als volgt uitzien:
cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json
- Download het profiel van de Umbrella roaming-beveiligingsmodule van uw Umbrella Dashboard. Implementaties > Zwervende computers > Zwervende clients.
Maak de submap \Profiles\Umbrella naast uw MSI-bestanden als deze nog niet bestaat.
Hosting van het pakket
Het pakket moet aan eindgebruikers worden gedistribueerd met de submap 'Profiles\Umbrella'. Dit kan op deze manier worden bereikt:
- Een gedeelde netwerkmap
- Endpoint-beheersoftware die de samenstelling van installatiepakketten voor meerdere bestanden ondersteunt
Implementeer het pakket
De MSI-bestanden kunnen nu eenvoudig worden geïmplementeerd met behulp van endpoint-beheersoftware of met 'msiexec'.
MSI-opdrachten
msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log
BELANGRIJK: Vervang X.X.XXXXX door de juiste versienummers die overeenkomen met uw MSI-bestandsnamen.
Zorg ervoor dat de optie PRE_DEPLOY_DISABLE_VPN=1 is toegevoegd aan de installatieargumenten om de VPN-functionaliteit uit te schakelen. U kunt dit argument ook weglaten om de VPN-functionaliteit in te schakelen.
Extra MSI-eigenschappen tijdens installatie
msiexec /package <MSI> /passive LOCKDOWN=1 /lvx*
msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx*
Als alternatief kunnen deze MSI-instellingen worden geconfigureerd door aangepaste installer-transformatiebestanden (.mst-bestanden) te leveren. Zie AnyConnect-vergrendeling configureren voor meer informatie.
Het paraplu-profiel implementeren (na installatie)
De veelvoorkomende fout "Profiel ontbreekt" geeft aan dat de Cisco Umbrella module is geïnstalleerd maar het profiel (OrgInfo.json) niet. Dit betekent dat de Cisco Umbrella-module zich niet kan registreren bij Cisco Umbrella of bescherming kan inschakelen.
Dit probleem treedt niet op als het profiel correct in het installatiepakket is ingesloten.
4435402655892
Als het niet mogelijk is om het profiel in het installatiepakket in te sluiten, kan het afzonderlijk naar het eindpunt worden gekopieerd met behulp van een installatietaak of -script. Het profiel moet op deze locatie worden geïmplementeerd:
%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json
Het PowerShell-script toont een voorbeeld van hoe u de OrgInfo.json programmatisch kunt maken als een post-installatietaak. Vervang de tijdelijke aanduidingen ORG_ID, FINGERPRINT en USER_ID door de relevante waarden uit uw profiel.
$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json"
$data=@"
{
"organizationId" : "ORG_ID",
"fingerprint" : "FINGERPRINT",
"userId" : "USER_ID"
}
"@
if(-not(Test-Path -Path $org_file))
{
$data > $org_file
}
VPN-functionaliteit uitschakelen (na installatie)
Als de VPN-functionaliteit niet is uitgeschakeld tijdens de implementatie, is het mogelijk om deze later uit te schakelen door een speciaal VPN-profiel op het apparaat te implementeren. Zie https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
De Cisco Root CA implementeren
Voor foutloze blokpagina's en HTTPS-browsen is het een vereiste om de Cisco Umbrella Root CA aan elk eindpunt te vertrouwen. Raadpleeg uw endpoint management software voor meer informatie over hoe u een Certificate Authority centraal kunt implementeren.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
02-Sep-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)