Datensammlung für die Endpunktanalyse

In diesem Artikel werden der Datenfluss, die Datensammlung und das Beenden der Datensammlung für die Endpunktanalyse erläutert. Weitere Informationen zu unseren Richtlinien für die Datenverarbeitung finden Sie unter Datenspeicher und Verarbeitung in Intune und im Microsoft Trust Center.

Datenfluss

Die Endpunktanalyse ist an allen Intune-Speicherorten in Azure global verfügbar. Die Endpunktanalyse berücksichtigt die Auswahl des Speicherorts, die vom Administrator für Kundendaten festgelegt wurde. In der folgenden Abbildung wird der Fluss der erforderlichen Funktionsdaten von einzelnen Geräten über den Datendienst, den vorübergehenden Speicher und zu Ihrem Mandanten veranschaulicht.

1. Eine Intune-Dienstadministratorrollebeginnt mit dem Sammeln von Daten.

   • Bei mit Intune verwalteten Geräten wird in diesem Schritt die Intune-Datensammlungsrichtlinie konfiguriert. Standardmäßig ist diese Richtlinie allen Geräten zugewiesen. Sie können die Zuweisung jederzeit ändern und einer Teilmenge von Geräten oder gar keinem Gerät zuweisen.

   • Aktivieren Sie für Configuration Manager verwaltete Geräte Endpunktanalysedatensammlung und Geräte registrieren.

2. Geräte senden erforderliche Funktionsdaten.

   • Für Intune- und gemeinsam verwaltete Geräte mit der zugewiesenen Richtlinie senden Geräte erforderliche Funktionsdaten nahezu in Echtzeit direkt an den Microsoft Endpoint Management Service in der öffentlichen Microsoft-Cloud, wo alle 24 Stunden verarbeitet werden. Weitere Informationen finden Sie unter Endpunkte für von Intune verwaltete Geräte erforderlich.

   • Für von Configuration Manager verwaltete Geräte fließen die Daten über den ConfigMgr Mandantenanfügung-Connector an den Microsoft Endpoint Management Service. Geräte benötigen keinen direkten Zugriff auf die öffentliche Microsoft-Cloud, aber der ConfigMgr-Connector ist mit der Cloud verbunden und erfordert eine Verbindung mit einem Intune-Mandanten. Geräte senden alle 24 Stunden Daten an die Configuration Manager-Serverrolle, und der Connector sendet stündlich Daten an den Gatewaydienst. Weitere Informationen finden Sie unter Datensammlung für Mandantenanfügungen.

3. Der Microsoft Endpoint Management-Dienst verarbeitet Daten für jedes Gerät und veröffentlicht die Ergebnisse für einzelne Geräte und Organisationsaggregate im Intune Admin Center mithilfe von MS Graph-APIs. Die maximale End-to-End-Latenz beträgt 96 Stunden.

Hinweis

Wenn Sie die Endpunktanalyse zum ersten Mal einrichten, neue Clients zur Intune-Datensammlungsrichtlinie hinzufügen oder den Geräteupload für eine neue Sammlung aktivieren, zeigen die Berichte im Endpunktanalyseportal möglicherweise nicht sofort vollständige Daten an. Die Daten, die zum Berechnen der Startbewertung für ein Gerät erforderlich sind, werden während des Startvorgangs generiert. Je nach Energieeinstellungen und Benutzerverhalten kann es nach der Registrierung eines Geräts Wochen dauern, bis die Startbewertung im Intune Admin Center angezeigt wird.

Datensammlung

Die Endpunktanalysedatensammlung fällt in die optionale Kategorie. Dieser Abschnitt enthält einige Beispiele für die optionalen Daten, die für Geräte gesammelt werden, die bei der Endpunktanalyse registriert sind:

• Diagnose-, Leistungs- und Nutzungsdaten, die an einen Benutzer oder an ein Gerät gebunden sind
  • logOnId
  • bootId: Die Systemstart-ID
  • coreBootTimeInMilliseconds: Zeit für den Hauptstart
  • totalBootTimeInMilliseconds: Gesamtstartzeit
  • updateTimeInMilliseconds: Zeit für die Durchführung von Betriebssystemupdates
  • gpLogonDurationInMilliseconds: Zeit für die Verarbeitung von Gruppenrichtlinien
  • desktopShownDurationInMilliseconds: Zeit für das Laden des Desktops (explorer.exe)
  • desktopUsableDurationInMilliseconds: Zeit für die Verwendung des Desktops (explorer.exe)
  • topProcesses: Die Liste der während des Starts geladenen Prozesse mit Namen, CPU-Nutzungsstatistiken und App-Details (Name, Herausgeber, Version). Beispiel : {"ProcessName":"svchost","CpuUsage":43,"ProcessFullPath":"C:\\Windows\\System32\\svchost.exe","ProductName":"Microsoft® Windows® Operating System","Publisher":"Microsoft Corporation","ProductVersion":"10.0.18362.1"}
• Gerätedaten, die nicht an ein Gerät oder einen Benutzer gebunden sind (wenn die Daten an ein Gerät oder an einen Benutzer gebunden sind, behandelt Intune diese als identifizierte Daten)
  • ID: Die eindeutige, von Windows Update verwendete Geräte-ID
  • localId: Hierbei handelt es sich um eine lokal definierte, eindeutige ID für das Gerät. Diese ID ist nicht der lesbare Gerätename. Sie gleicht höchstwahrscheinlich dem Wert, der unter „HKLM\Software\Microsoft\SQMClient\MachineId“ gespeichert ist.
  • aaddeviceid: Microsoft Entra Geräte-ID
  • orgId: Dies ist die eindeutige GUID, die den Microsoft 365-Mandanten darstellt
• Anwendungsbestand, z. B.:
  • name: Windows
  • ver: Dies beschreibt die aktuelle Betriebssystemversion.

Wichtig

Unsere Richtlinien zur Datenverarbeitung werden im Microsoft Trust Center beschrieben. Wir verwenden Ihre Kundendaten nur, um Ihnen die Dienste zur Verfügung zu stellen, für die Sie sich registriert haben. Wie während des Onboardingprozesses beschrieben wurde, werden die Ergebnisse aller registrierten Organisationen anonymisiert und aggregiert, um die Alle Organisationen (Median) Baseline auf dem neuesten Stand zu halten.

Sammeln von Daten beenden

• Wenn Sie nur verwaltete Intune-Geräte registrieren, heben Sie die Auswahl des Endpunktanalysebereichs aus der Während der Registrierung erstellten Intune-Datensammlungsrichtlinie auf. Optional können Sie die Zustimmung widerrufen, um anonymisierte und zusammengefasste Metriken freizugeben, um aktualisierte Endpunktanalyseergebnisse und Einblicke zu erhalten.

• Wenn Sie Geräte registrieren, die von Configuration Manager verwaltet werden, müssen Sie die folgenden Schritte ausführen, um den Datenupload in Configuration Manager zu deaktivieren:

  1. Navigieren Sie in der Configuration Manager-Konsole zu Verwaltung>Clouddienste>Co-Verwaltung.
  2. Wählen Sie CoMgmtSettingsProd und dann Eigenschaften aus.
  3. Deaktivieren Sie auf der Registerkarte Upload konfigurieren die Option Endpunktanalyse für Geräte aktivieren, die in Microsoft Endpoint Manager hochgeladen werden.
  4. Optional können Sie die Zustimmung widerrufen, um anonymisierte und zusammengefasste Metriken freizugeben, um aktualisierte Endpunktanalyseergebnisse und Einblicke zu erhalten.

• Deaktivieren der Datensammlung für Endpunktanalyse in Configuration Manager (optional):

  1. Navigieren Sie in der Configuration Manager-Konsole zu Verwaltung>Clienteinstellungen>Clientstandardeinstellungen.
  2. Klicken Sie auf die rechte Maustaste, und wählen Sie Eigenschaften und dann Computer-Agent aus.
  3. Legen Sie Datensammlung für Endpunktanalyse aktivieren auf Nein fest.

  Wichtig

  Wenn Sie über eine bereits auf Ihren Geräten bereitgestellte benutzerdefinierte Client-Agent-Einstellung verfügen, müssen Sie die Option Datensammlung für Endpunktanalyse aktivieren in dieser benutzerdefinierten Einstellung aktualisieren und dann erneut auf Ihren Computern bereitstellen, damit sie wirksam wird.

Ressourcen

Weitere Informationen zu datenschutzrelevanten Aspekten finden Sie in den folgenden Artikeln:

• Microsoft-Datenschutzbestimmungen
• Windows 10 and privacy compliance (Windows 10 und Datenschutzcompliance)
• Licensing terms and documentation (Lizenzbedingungen und Dokumentation)
• Security and privacy at Microsoft Azure data centers (Sicherheit und Datenschutz in Microsoft Azure-Rechenzentren)
• Vertrauen Sie Ihrer Cloud
• Trust Center
• Intune Data storage and processing (Intune-Datenspeicherung und -verarbeitung)