はじめに

通常、ConnectorのアップグレードはPolicyで実行時間を指定して、自動的に実施することが一般的ですが、この方法ですと、単一のGroup/Policy毎に近い時間帯にまとめてアップグレードが実行されるため、ネットワークの負荷を懸念されるお客様がいらっしゃいます。
本記事では、端末が大量にある環境で、段階的にConnectorをアップグレードする方法について、何点か紹介させていただきます。

Update Intervalの意味

Product UpdateにUpdate Intervalと呼ばれるパラメータがございますが、こちらは、アップグレードの有無をどの程度頻繁に確認するかを示す値であり、設定した時間後にアップグレードが実行されるという意味ではございません。例えば24時間を設定したとしても、24時間に1回アップグレードの確認をするだけであって、PolicyでUpdateを設定した直後にUpdateが開始される場合もございます。
従いまして、Updateのタイミングを細かく制御することは出来ないという点はご注意ください。

Group/Policyをアップグレード日時毎に分割する方法

アップグレードのDate Range（実行する時間帯）は、一つのPolicyにつき、一つ割り当てる実装となっているため、例えば一つの部署毎に一つのGroupとPolicyを割り当てている環境では、どうしても同じDate Rangeの中でアップグレードが実行されます。

その場合、一つの方法としては、アップグレードを実行する時間毎に別のPolicy / Groupを作成し、端末を作成したGroupに移動することで、時間帯を変更することが可能です。
例えば、TAC Groupという部署全体のGroupがあり、TAC Policyが割り当てられており、いくつかの端末だけをアップグレードしたい場合の例を示します。

1. TAC PolicyをManagement -> Polciesから選択し「Duplicate」をクリックして内容が同一のPolicyを作成します。
2. Copy of TAC Policyが生成されるので、仮にTAC upgrade policyという名前とします。
3. TAC upgrade policyをEditで編集し、Product Updatesを選択し、アップグレード対象のProduct Version /Date Range等を指定します。
4. Saveをクリックし、Policyを保存します。
5. Management GroupsからCreate Groupを実行し、TAC Upgrade groupという名前を設定し、Windows Policy（もちろん他のOSでも可）で、先ほど作成したTAC Upgrade Policyを設定し、Saveで保存します。
6. Management -> Computersから、アップグレードしたい端末を選択し、詳細を開き、Move to Groupで作成したTAC Upgrade Groupに移動します。
7. 一定時間経過後、ConnectorのGroup / Policyが新しく作成したTAC Upgrade Group/TAC Upgrade Policyに更新され、アップデートが開始されます。

サードパーティ製ツールを使用する方法

当方では、具体的な手法についてはサポートは致しかねますが、ConnectorはCommand line switchを使ったCLIのインストールにも対応しているため、それらツールにコマンドラインを指定して、端末にインストールさせることも可能です。Command line switchの使い方については以下ドキュメントをご参照ください。

Cisco Secure Endpoint Command Line Switches