Recopilación de diagnósticos desde un dispositivo Windows

  • Artículo

La acción remota Recopilar diagnósticos le permite recopilar y descargar registros de dispositivos Windows sin interrumpir al usuario. Solo se accede a ubicaciones y tipos de archivo que no son de usuario.

La acción remota Recopilar diagnósticos también se puede configurar para recopilar y cargar automáticamente los registros de dispositivos Windows tras un error de Autopilot en un dispositivo. Cuando se produce un error de Autopilot, los registros se procesarán en el dispositivo con errores y, a continuación, se capturarán y cargarán automáticamente en Intune. Un dispositivo puede capturar automáticamente un conjunto de registros al día.

La recopilación de diagnósticos se almacena durante 28 días y luego se elimina. Cada dispositivo puede tener un máximo de 10 colecciones almacenadas al mismo tiempo.

Recopilar diagnósticos también está disponible como acción de dispositivo masivo que recopila registros de diagnóstico de hasta 25 dispositivos Windows a la vez.

Nota:

El personal de Microsoft puede acceder a diagnósticos de dispositivos para ayudar a solucionar y resolver incidentes.

Requisitos

La acción remota Recopilar diagnósticos es compatible con:

  • Intune o dispositivos administrados conjuntamente
  • Windows 10 versión 1909 y posteriores
  • Windows 11
  • Microsoft HoloLens 2 de 2004 y versiones posteriores
  • Administradores globales, administradores de Intune o un rol con los permisos Recopilar diagnósticos (en Tareas remotas) y Leer (en Directivas de cumplimiento de dispositivos)
  • Dispositivos de propiedad corporativa
  • Dispositivos que están en línea y que pueden comunicarse con el servicio durante el diagnóstico

Nota:

Para que los diagnósticos puedan cargarse correctamente desde el cliente, asegúrese de que las siguientes direcciones URL no estén bloqueadas en la red: lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

Recopilar diagnósticos

Para usar la acción Recopilar diagnósticos:

  1. Iniciar sesión en el centro de administración de Microsoft Intune
  2. Vaya a Dispositivos>Windows> seleccione un dispositivo compatible.
  3. En la página Información general del dispositivo, seleccione ...>Recopilación de diagnósticos>Sí, sí. En la página Información general del dispositivo aparece una notificación pendiente.
  4. Seleccione Device diagnostics monitor (Supervisor del diagnóstico del dispositivo) para ver el estado de la acción.
  5. Una vez completada la acción, seleccione Descargar en la fila para la acción >.
  6. El archivo zip de datos se agregará a la bandeja de descarga y podrá guardarlo en el equipo.

Recopilación de diagnósticos en un error de Autopilot

Para la recopilación de diagnósticos de Autopilot, no se requiere ninguna acción adicional. Los diagnósticos de Autopilot se capturarán automáticamente cuando los dispositivos experimenten un error siempre y cuando la característica de diagnóstico de captura automática de Autopilot esté habilitada.

Para ver los diagnósticos recopilados después de un error de Autopilot:

  1. Iniciar sesión en el centro de administración de Microsoft Intune
  2. Vaya a Dispositivos>Windows.
  3. Seleccione un dispositivo.
  4. Seleccione Descarga de diagnósticos>.
  5. El archivo zip de datos se agregará a la bandeja de descarga y podrá guardarlo en el equipo.

Datos recopilados

Aunque no hay ninguna intención de recopilar datos personales, los diagnósticos pueden incluir información de identificación del usuario, como el nombre de usuario o dispositivo.

Si ha instalado KB5011543 en Windows 10 o KB5011563 en Windows 11, el formato del archivo ZIP será más sencillo, incluidos los siguientes:

  • Estructura plana donde los registros recopilados se denominan para que coincidan con los datos recopilados
  • Cuando se recopilan varios archivos, se crea una carpeta.

La siguiente lista está en el mismo orden que el archivo zip de diagnóstico. Cada colección contiene los datos siguientes:

Claves del registro:

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

Comandos:

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Visores de eventos:

  • Aplicación
  • Microsoft-Windows-AppLocker/EXE y DLL
  • Microsoft-Windows-AppLocker/MSI y script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Administración de Microsoft-Windows-Bitlocker/BitLocker
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Firewall de Microsoft-Windows-Windows con seguridad/firewall avanzado
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activity/Operational
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • Instalación
  • Sistema

Archivos:

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

Deshabilitación de diagnósticos de dispositivos

La acción remota Recopilar diagnósticos está habilitada de forma predeterminada. Puede deshabilitar la acción remota Recopilar diagnósticos para todos los dispositivos siguiendo estos pasos:

  1. Iniciar sesión en el centro de administración de Microsoft Intune

  2. Vaya a Administración de inquilinos>Diagnóstico de dispositivos.

  3. Cambie el control en Diagnósticos de dispositivos disponibles para dispositivos administrados por la empresa que ejecutan Windows 10, versión 1909 y posteriores o Windows 11. a Deshabilitado.

    Captura de pantalla que muestra el panel Diagnóstico de dispositivos con el control resaltado para diagnósticos de dispositivos establecido en Deshabilitado.

Deshabilitación de la recopilación automática de diagnósticos de Autopilot

La captura de diagnóstico automática de Autopilot está habilitada de forma predeterminada. Puede deshabilitar la captura de diagnóstico automática de Autopilot siguiendo estos pasos:

  1. Iniciar sesión en el centro de administración de Microsoft Intune

  2. Vaya a Administración de inquilinos>Diagnóstico de dispositivos.

  3. Cambie el control en Captura automática de diagnósticos cuando los dispositivos experimenten un error durante el proceso de Autopilot en Windows 10 versión 1909 o posterior y Windows 11. Los diagnósticos pueden incluir información de identificación del usuario, como el nombre de usuario o dispositivo (versión preliminar).a Deshabilitado.

    Captura de pantalla que muestra el panel Diagnósticos de dispositivos con el control resaltado para la recopilación de diagnósticos automáticos de Autopilot establecido en Deshabilitado.

Problemas conocidos con el diagnóstico de dispositivos

Actualmente hay dos problemas principales que pueden provocar errores en Diagnóstico del dispositivo:

  1. Se puede producir un tiempo de espera en los dispositivos sin revisiones KB4601315 o KB4601319. Estas revisiones contienen una corrección para el CSP de DiagnosticLog que impide el tiempo de espera durante la carga. Después de instalar la actualización, asegúrate de reiniciar el dispositivo.
  2. El dispositivo no pudo recibir la acción del dispositivo en un período de 24 horas. Si el dispositivo está sin conexión o desactivado, puede provocar un error.