Installation d’agent NinjaOne : Déploiement via Intune

Contenu

Cet article explique comment installer l'agent NinjaOne via Microsoft Intune.

Environnement

• Intégrations NinjaOne
• Microsoft Intune

Description

Vous pouvez utiliser Microsoft Intune pour déployer l'agent NinjaOne sur vos appareils Microsoft Windows ou Apple macOS. Nous avons amélioré ce processus grâce à l'intégration de Microsoft Intune. Vous pouvez utiliser la procédure ci-dessous ou vous référer à la section Démarrer avec l'intégration de Microsoft Intune dans NinjaOne pour une expérience simplifiée.

Sélectionnez une catégorie pour en savoir plus :

• Instructions de déploiement de Microsoft Intune pour Windows
• Instructions de déploiement de Microsoft Intune pour macOS
• Questions fréquemment posées

Instructions de déploiement de Microsoft Intune pour Windows

Préparation du fichier MSI

1. Téléchargez le fichier MSI de l'agent NinjaOne.
2. Assurez-vous que le fichier .msi de l'agent NinjaOne est prêt pour le déploiement.

Ajouter l'agent NinjaOne en tant qu'application métier dans Microsoft Intune

1. Ouvrez le centre d'administration de Microsoft Endpoint Manager pour les appareils sur macOS Catalina (lien externe).
2. Naviguez vers Apps → Toutes les apps et cliquez sur + Ajouter.

3. Dans le volet Ajouter une application, dans la section Type d'application, sélectionnez Application commerciale.

Télécharger le fichier MSI

1. Cliquez sur Sélectionner un fichier de paquet d'application.
2. Dans le volet du fichier de l'application, cliquez sur Parcourir pour localiser et sélectionner le fichier MSI de l'agent NinjaOne, puis cliquez sur OK pour le télécharger.

Configurer les informations sur l'application

Configurez l'application comme suit :

• Nom : Saisissez un nom pour l'application, par exemple NinjaOne Agent.
• Description : Saisissez une description de l'application.
• Éditeur : C'est là qu'intervient NinjaOne.
• Contexte d'installation de l'application : Sélectionnez Appareil.
• Ignorer la version de l'application : Oui.

Attribuer la demande

Dans la section Affectations, indiquez les groupes de périphériques ou d'utilisateurs vers lesquels vous souhaitez déployer l'agent NinjaOne.

1. Dans la section Examiner + créer, examinez les paramètres.
2. Cliquez sur Créer, puis surveillez le déploiement.

Vous pouvez consulter l'état de l'installation dans le portail Microsoft Intune sous Apps → Monitor → App install status.

Instructions de déploiement de Microsoft Intune pour macOS

Pour les appareils équipés de macOS Catalina (10.15) ou d'une version ultérieure, macOS demande l'approbation manuelle de divers paramètres de sécurité et de confidentialité avant d'ouvrir pour la première fois un logiciel téléchargé. Pour savoir comment installer l'agent avec les paramètres de sécurité et de confidentialité améliorés de macOS, consultez Installation de l'agent NinjaOne : Ajouter un périphérique (macOS).

Critères de détection

Certains MDM peuvent ne pas détecter correctement si l'agent est installé, même s'il a été déployé avec succès. Par défaut, la plupart des MDMs vérifieront le dossier /Applications/ pour le fichier spécifié ou vérifieront les reçus PKG ; cependant, ce ne sont pas des indicateurs appropriés pour l'agent NinjaOne.

En fonction de ce que permet le MDM, il y a plusieurs façons de confirmer que l'agent NinjaOne a été correctement installé :

Dossiers de candidature

1. Consultez le dossier /Applications/ pour les applications installées :
   • /Applications/NinjaRMMAgent/uninstall.app
   • /Applications/NinjaRMMAgent/programfiles/njbar.app
   • /Applications/NinjaRMMAgent/programfiles/njdialog.app
     Si le MDM vérifie les applications installées, vous pouvez utiliser l'une (ou les trois) des applications installées ci-dessus pour vérifier que l'application a été installée avec succès.
2. Après l'installation de l'agent NinjaOne, affichez l'ID et la version du bundle à l'aide des commandes suivantes, en veillant à remplacer {appPath} par l'un des chemins d'accès ci-dessus :
   • defaults read {appPath}/Contents/Info.plist CFBundleIdentifier

   • defaults read {appPath}/Contents/Info.plist CFBundleShortVersionString
     Par exemple, vous pouvez voir l'entrée/sortie suivante pour njbar.app :

     /Applications/NinjaRMMAgent/programfiles/njbar.app/Contents/Info.plist CFBundleIdentifier org.njbar.daemon
     /Applications/NinjaRMMAgent/programfiles/njbar.app/Contents/Info.plist CFBundleShortVersionString 5.8.9154

Fichiers de programme

Certains MDM permettent de vérifier simplement si un certain fichier existe après l'installation. Nous recommandons d'utiliser le fichier suivant :

/Applications/NinjaRMMAgent/programfiles/ninjarmm-macagent

Script de vérification de l'installation

Certains MDM permettent d'utiliser un script personnalisé pour vérifier si une application est installée. Il peut être nécessaire de n'utiliser qu'un script qui vérifie si le fichier ci-dessus existe et renvoie la valeur appropriée si c'est le cas. Les spécificités peuvent dépendre de la plateforme elle-même. Ci-dessous, et en annexe à la fin de l'article, NinjaOne propose un script qui peut aider au déploiement.

Vous devez modifier l'URL pour qu'elle corresponde à l'URL de votre programme d'installation généré ou à l'URL du programme d'installation générique.
Remarque : Si vous utilisez l'URL générique du programme d'installation, vous devez également remplacer Token='' par Token='YourActualTokenID'.

#!/bin/bash

# SYNOPSIS
# This script is used to install the NinjaOne agent. Supports generic installer or generated URL.

# DESCRIPTION
# This script is used to install the NinjaOne agent. Supports generic installer or generated URL.

------------------------------------------------------------

Write-LogEntry() {
    if [[ -z "$1" ]]; then
        Write-LogEntry "Usage: Write-LogEntry "You must supply a message when calling this function.""
        return 1
    fi

    local message="$1"

    local log_path="/tmp/NinjaOneInstall.log"
    local timestamp
    timestamp=$(date +"%Y-%m-%d %H:%M:%S")

    # Append the log entry to the file and print it to the console
    echo "$timestamp - $message" >>"$log_path"
    echo "$timestamp - $message"
}

# Adjust URL to your generated URL or to the generic URL
URL=''
# If using generic installer URL, a token must be provided
Token=''
Folder='/tmp'
Filename=$(basename "$URL")

if [[ $EUID -ne 0 ]]; then
    Write-LogEntry "This script must be run as root. Try running it with sudo or as the system/root user."
    exit 1
fi

if [[ -z "$URL" ]]; then
    Write-LogEntry 'Please provide a URL. Exiting.'
    exit 1
fi

Write-LogEntry 'Performing checks...'

CheckApp='/Applications/NinjaRMMAgent'
if [[ -d "$CheckApp" ]]; then
    Write-LogEntry 'NinjaOne agent already installed. Please remove before installing.'
    rm "$Folder/$Filename"
    exit 1
fi

if [[ "$Filename" != *.pkg ]]; then
    Write-LogEntry 'Only PKG files are supported in this script. Cannot continue.'
    exit 1
fi

if [[ "$Filename" == 'NinjaOneAgent.pkg' ]]; then
    if [[ -z "$Token" ]]; then
        Write-LogEntry 'A generic install URL was provided with no token. Please provide a token to use the generic installer. Exiting.'
        exit 1
    fi

    if [[ ! $Token =~ ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ ]]; then
        Write-LogEntry 'An invalid token was provided. Please ensure it was entered correctly.'
        exit 1
    fi

    Write-LogEntry 'Token provided and generic installer being used. Continuing...'
    echo "$Token" >"$Folder/.~"
else
    if [[ -n "$Token" ]]; then
        Write-LogEntry 'A token was provided, but the URL appears to be for a generated installer and not the generic installer.'
        Write-LogEntry 'Script will not continue. Please use either a generic installer URL, or remove the token. You cannot use both.'
        exit 1
    fi
fi

Write-LogEntry 'Downloading installer...'

if ! curl -fSL "$URL" -o "$Folder/$Filename"; then
    Write-LogEntry 'Download failed. Exiting Script.'
    exit 1
fi

if [[ ! -s "$Folder/$Filename" ]]; then
    Write-LogEntry 'Downloaded an empty file. Exiting.'
    exit 1
fi

if ! pkgutil --check-signature "$Folder/$Filename" | grep -q "NinjaRMM LLC"; then
    Write-LogEntry 'PKG file is not signed by NinjaOne. Cannot continue.'
    exit 1
fi

Write-LogEntry 'Download successful. Beginning installation...'

installer -pkg "$Folder/$Filename" -target /

CheckApp='/Applications/NinjaRMMAgent'
if [[ ! -d "$CheckApp" ]]; then
    Write-LogEntry 'Failed to install the NinjaOne Agent. Exiting.'
    rm "$Folder/$Filename"
    exit 1
fi

Write-LogEntry 'Successfully installed NinjaOne!'
rm "$Folder/$Filename"
exit 0

Profils MDM pertinents

Quelle que soit la manière dont l'agent NinjaOne est déployé, plusieurs profils MDM pertinents peuvent aider à rationaliser le processus et à garantir le bon fonctionnement de l'agent. Les noms des charges utiles et les noms exacts des paramètres peuvent varier légèrement d'un MDM à l'autre.

Notez que ces configurations peuvent être combinées en une seule stratégie ou séparées en plusieurs, selon les préférences individuelles ou les exigences du MDM.

1. Donnez à l'agent NinjaOne l'accès à tous les fichiers.
   • Type de charge utile : Contrôle de la stratégie des préférences de confidentialité
   • Autorisations : SystemPolicyAllFiles
   • Valeurs :
     • Autorisé: True
       Assurez-vous que la clé d'autorisation est supprimée de la charge utile.
   • Code statique : Faux
   • Code Requirement: identifier "ninjarmm-macagent" et anchor apple generic et certificate 1[field.1.2.840.113635.100.6.2.6] /* existe */ et certificate leaf[field.1.2.840.113635.100.6.1.13] /* existe */ et certificate leaf[subject.OU] = EBNT3ZX97E
   • Type d'identificateur: chemin
   • Identifiant : /Applications/NinjaRMMAgent/programmes/ninjarmm-macagent
2. Empêchez les utilisateurs finaux de désactiver le traitement en arrière-plan de l'agent NinjaOne.
   • Type de charge utile : Gestion des services Éléments de connexion gérés
   • Valeurs :
     • Commentaire : Agent NinjaOne
     • Type de règle : TeamIdentifier
     • Valeur de la règle : EBNT3ZX97E
3. Donnez à NinjaOne un accès à distance à tous les fichiers et aux paramètres d'accessibilité.
   • Type de charge utile : Contrôle de la stratégie des préférences de confidentialité
   • Autorisations :
     • SystemPolicyAllFiles
     • Accessibilité
   • Valeurs :
     • Autorisé : True
       S'assurer que la clé d'autorisation est supprimée de la charge utile
     • Code statique : Faux
     • Code Requirement : identifier "com.ninjarmm.ncstreamer" et anchor apple generic et certificate 1[field.1.2.840.113635.100.6.2.6] /* existe */ et certificate leaf[field.1.2.840.113635.100.6.1.13] /* existe */ et certificate leaf[subject.OU] = EBNT3ZX97E
     • Type d'identifiant : ID du groupe
     • Identifiant : com.ninjarmm.ncstreamer
4. Facultatif : Permettre à un utilisateur standard d'autoriser la capture d'écran avec NinjaOne Remote. (Cette charge utile peut être combinée avec la charge utile précédente)
   • Type de charge utile : Contrôle de la stratégie des préférences de confidentialité
   • Autorisations : ScreenCapture
   • Valeurs : Assurez-vous que la clé autorisée est supprimée de la charge utile
     • Autorisation : AllowStandardUserToSetSystemService (Autoriser l'utilisateur standard à définir le service système)
     • Code statique : Faux
     • Code Requirement : identifier "com.ninjarmm.ncstreamer" et anchor apple generic et certificate 1[field.1.2.840.113635.100.6.2.6] /* existe */ et certificate leaf[field.1.2.840.113635.100.6.1.13] /* existe */ et certificate leaf[subject.OU] = EBNT3ZX97E
     • Type d'identifiant : ID du groupe
     • Identifiant : com.ninjarmm.ncstreamer

Questions fréquemment posées

Sélectionnez une question pour voir la réponse :

• Comment NinjaOne empêche-t-il la déduplication lorsqu'il est déployé via Intune ?
• Comment cette installation fonctionnera-t-elle en cas de changement de version ?
• Pourquoi LOB (line-of-business) est-il préférable à Win32 ?
• Pourquoi mon déploiement de l'installation de l'agent NinjaRMM échoue-t-il avec une erreur pendant le processus d'installation du PKG ?

Comment NinjaOne empêche-t-il la déduplication lorsqu'il est déployé via Intune ?

Nous évitons les doublons de deux manières :

1. Microsoft Intune vérifie la présence du service NinjaOne avant l'installation ; s'il est déjà présent, Intune ne tente pas d'installer l'agent NinjaOne et marque l'appareil comme étant conforme.
2. Nous lions le point d'extrémité sur la base des numéros de série normalisés récupérés d'Intune, ce qui nous permet de faire correspondre l'enregistrement Intune avec l'appareil NinjaOne existant.

Des doublons peuvent encore se produire dans des cas exceptionnels si le numéro de série n'est pas unique. Lorsque ce problème se produit, le numéro de série non unique doit être corrigé.

Comment cette installation fonctionnera-t-elle en cas de changement de version ?

Microsoft Intune ne mettra pas à jour l'installation ; cependant, NinjaOne enverra des mises à jour de l'agent si nécessaire. Si, à l'avenir, vous constatez que la version installée diffère sensiblement de la version téléchargeable disponible, vous pouvez revenir en arrière et mettre à jour le paquet Microsoft Intune.

Pourquoi LOB (line-of-business) est-il préférable à Win32 ?

La LOB est généralement plus sûre, car elle permet de contourner certains obstacles imposés par certains fabricants. Par exemple, certains fabricants fournissent leurs appareils avec l'agent SCCM ; si Microsoft Intune détecte l'agent SCCM, les déploiements d'App32 sont bloqués. Seules les LOB peuvent y pénétrer.

Pourquoi mon déploiement de l'installation de l'agent NinjaRMM échoue-t-il avec une erreur pendant le processus d'installation du PKG ?

Cette erreur peut être causée par une erreur de détection de l'installation. Microsoft Intune définit automatiquement la valeur CFBundleIdentifier comme étant "com.bitrock.appinstaller". Vous devez vérifier le fichier uninstall . app info.plist dans le dossier de l'agent installé dans "Applications" et définir les informations sur les applications incluses comme indiqué dans la figure 2.