瞭解使用捆綁的Umbrella配置檔案(Windows)進行自動部署

簡介

本文檔介紹在Cisco Secure Client(Windows)中使用捆綁的Umbrella配置檔案的自動部署教程。

概觀

使用Umbrella模塊部署思科安全客戶端(CSC)（前身為AnyConnect）涉及以下元件：

• 安裝CSC核心VPN模組 
• 安裝Umbrella漫游安全模組
• 安裝Umbrella配置檔案(OrgInfo.json)
• 安裝診斷和報告工具(DART)模組（可選）

本文提供了有關如何以程式設計方式（在Windows上）安裝這些元件的教程。  Umbrella Profile嵌入到適用於從共用資料夾安裝的安裝包中。

建立預部署包

這些步驟用於部署Umbrella模組。請注意，Cisco VPN功能已完全禁用。但是，由於核心VPN模組用於對DNS流量進行底層攔截，因此仍必須安裝該模組。

生成部署包

1. 1. 從您的Umbrella控制面板下載Umbrella漫遊安全模組配置檔案。Deployments > Roaming Computers > Roaming Clients。
      • 模組配置檔案的下載檔名是Orginfo.json
   2. 從以下位置之一下載適用於Windows的Umbrella漫遊安全模組「預部署」軟體包：
      • :software.cisco.com
      • 《 Umbrella發佈說明》
   3. 提取下載的AnyConnect客戶端並查詢版本號。  記下提取的軟體包中的檔名和版本號
      
      27073502800788
      
      
   4. 將您的OrgInfo.json檔案新增到與安裝程式位於同一目錄中的「Profiles\Umbrella」*資料夾中。  此步驟對於Cisco Umbrella模組在安裝後自動註冊至關重要。資料夾結構必須如下所示：

      cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json         

如果您的MSI檔案尚不存在，則在MSI檔案旁建立\Profiles\Umbrella子資料夾。

託管包

必須將包分發給具有「Profiles\Umbrella」子資料夾的終端使用者。  這可以通過以下方式實現：

• 共用網路資料夾
• 支援多檔案安裝程式包組合的端點管理軟體

部署包

MSI檔案現在只需使用終端管理軟體或「msiexec」即可部署。

MSI命令

msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log 
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log

重要:  使用與MSI檔名匹配的正確版本號替換X.X.XXXXX。

確保將PRE_DEPLOY_DISABLE_VPN=1選項新增到安裝引數中以禁用VPN功能。或者，省略此引數以啟用VPN功能。

安裝期間的其他MSI屬性

思科安裝程式包支援多個MSI屬性，這些屬性可以在安裝過程中更改。  Cisco Umbrella的常用屬性包括：

• LOCKDOWN =如上所述，防止手動禁用服務
• ARPSYSTEMCOMPONENT =隱藏Windows「程式和功能」清單中的程式
  

要在安裝過程中設定這些屬性，請使用相同的安裝步驟，但將其他屬性傳遞到msiexec命令：

啟用鎖定

msiexec /package <MSI> /passive LOCKDOWN=1 /lvx* 

對程式和功能隱藏

msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx* 

或者，可以通過提供自定義安裝程式轉換檔案（.mst檔案）來配置這些MSI設定。 有關詳細資訊，請參閱配置AnyConnect鎖定。

部署Umbrella配置檔案（安裝後）

常見錯誤「Profile is missing」表示已安裝Cisco Umbrella模組，但配置檔案(OrgInfo.json)未安裝。這意味著Cisco Umbrella模組無法向Cisco Umbrella註冊或啟用保護。

請注意，如果配置檔案正確嵌入到安裝軟體包中，則不會發生此問題。

4435402655892

如果無法在安裝包中嵌入配置檔案，則可以使用安裝任務或指令碼將其單獨複製到終結點。  必須將配置檔案部署到以下位置：

%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json

PowerShell指令碼顯示如何以程式設計方式建立OrgInfo.json作為安裝後任務的示例。  使用配置檔案中的相關值替換ORG_ID、FINGERPRINT和USER_ID佔位符。

$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json" 
$data=@" 
{ 
    "organizationId" : "ORG_ID", 
    "fingerprint" : "FINGERPRINT", 
    "userId" : "USER_ID" 
} 
"@ 

if(-not(Test-Path -Path $org_file)) 
{ 

$data > $org_file 
} 

禁用VPN功能（安裝後）

如果在部署期間未禁用VPN功能，則可以在以後通過將特殊VPN配置檔案部署到裝置來禁用該功能。  請參閱https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows

部署思科根CA

對於無錯誤阻止頁面和HTTPS瀏覽，要求將Cisco Umbrella根CA信任到每個終端。  有關如何集中部署證書頒發機構的詳細資訊，請參閱您的終端管理軟體。