Partager via

Collecter des diagnostics à partir d’un appareil géré par Intune

  • Article

L’action à distance Collecter les diagnostics vous permet de collecter et de télécharger les journaux d’activité des appareils gérés sans interrompre l’utilisateur. Seuls les emplacements et types de fichiers non-utilisateur sont accessibles.

Remarque

Les journaux Intune App Protection peuvent être téléchargés à partir de l’onglet Diagnostics dans le volet Résolution des problèmes . Toutefois, les journaux des applications distantes M365 ne sont disponibles que pour leurs ingénieurs du support technique spécifiques.

Les données sont stockées dans les systèmes de support Microsoft et ne sont pas soumises aux stratégies ou protections de gestion des données Intune. Certaines applications peuvent collecter et stocker des données à l’aide de systèmes autres qu’Intune.

Collecter les diagnostics pour les applications distantes Microsoft 365

Les diagnostics des applications distantes Microsoft 365 permettent aux administrateurs Intune de demander des journaux de protection des applications Intune et des journaux d’application Microsoft 365 (le cas échéant) directement à partir de la console Intune. Les administrateurs peuvent trouver ce rapport dans le Centre d’administration Microsoft Intune en sélectionnant Résolution des problèmes + support>sélectionner> uneprotection d’application>résumée> utilisateur*. Cette fonctionnalité est exclusive aux applications qui sont sous gestion de la protection des applications Intune. S’ils sont pris en charge, les journaux spécifiques à l’application sont collectés et stockés dans des solutions de stockage dédiées pour chaque application.

Collecter des diagnostics à partir d’une application M365

Pour utiliser l’action Collecter les diagnostics :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Accédez à Résolution des problèmes + support>pour>sélectionner un utilisateur.
  3. Dans la page Résumé, sélectionnez Protection> des applicationsactivée.
  4. Recherchez l’application sur laquelle collecter les diagnostics et utilisez l’option « ... » pour sélectionner Collecter les diagnostics.
  5. Lorsque vous y êtes invité, sélectionnez Oui.

Pour vérifier l’état de l’action Collecter les diagnostics :

  1. Dans le résumé « Protection des applications », sélectionnez Actualiser.
  2. Recherchez l’application pour laquelle vous souhaitez obtenir l’état et sélectionnez le lien hypertexte dans la colonne État de diagnostic.

Pour télécharger les diagnostics :

  1. Accédez à Résolution des problèmes + support>pour>sélectionner un utilisateur.
  2. Dans la page Résumé , sélectionnez la page Diagnostics et téléchargez les diagnostics.

Importante

Pour les appareils Android, si le portail d’entreprise n’est pas connecté par l’utilisateur, les journaux ne sont pas disponibles en téléchargement dans le portail Intune.

La remise des diagnostics à partir de l’appareil d’un utilisateur final prend environ 30 minutes. L’utilisateur peut être amené à fermer et à rouvrir l’application s’il est invité à entrer un code confidentiel lors de l’ouverture de l’application pour que la demande de diagnostic soit demandée.

Collecter les diagnostics à partir d’un appareil Windows

L’action à distance Collecter les diagnostics peut également être configurée pour collecter et charger automatiquement les journaux des appareils Windows en cas de défaillance d’Autopilot sur un appareil. En cas de défaillance d’Autopilot, les journaux sont traités sur l’appareil défaillant, puis automatiquement capturés et chargés sur Intune. Un appareil peut capturer automatiquement un ensemble de journaux par jour.

La collecte des diagnostics est stockée pendant 28 jours, puis supprimée. Chaque appareil peut avoir jusqu’à 10 collections stockées à la fois.

Collecter les diagnostics est également disponible en tant que Action d’appareil en bloc qui collecte les journaux de diagnostic de 25 appareils Windows au maximum à la fois.

Remarque

Le personnel Microsoft peut accéder aux diagnostics d’appareil pour vous aider à résoudre les problèmes et résoudre les incidents.

Configuration requise pour les appareils Windows

L’action à distance Collecter les diagnostics est prise en charge pour :

  • Appareils Intune ou cogérés
  • Windows 10 version 1909 et ultérieures
  • Windows 11
  • Microsoft HoloLens 2 2004 et versions ultérieures
  • Administrateurs généraux, administrateurs Intune ou un rôle avec les autorisations Collecter les diagnostics (sous Tâches distantes) et Lire (sous Stratégies de conformité des appareils)
  • Appareils d’entreprise
  • Appareils en ligne et capables de communiquer avec le service pendant les diagnostics

Remarque

Pour que les diagnostics puissent être chargés correctement à partir du client, assurez-vous que les URL suivantes ne sont pas bloquées sur le réseau : lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

Collecter les diagnostics

Pour utiliser l’action Collecter les diagnostics :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Accédez à Appareils>Par plateforme>Windows> sélectionnez un appareil pris en charge.
  3. Dans la page Vue d’ensemble de l’appareil, sélectionnez ...>Collecter les diagnostics>Oui. Une notification en attente s’affiche dans la page Vue d’ensemble de l’appareil.
  4. Pour voir l’état de l’action, sélectionnez Supervision des diagnostics des appareils.
  5. Une fois l’action terminée, sélectionnez Télécharger dans la ligne pour l’action >Oui.
  6. Le fichier zip de données est ajouté à la zone de réception des téléchargements et vous pouvez l’enregistrer sur votre ordinateur.

Collecte de diagnostics en cas d’échec d’Autopilot

Pour la collecte des diagnostics Autopilot, aucune action supplémentaire n’est requise. Les diagnostics Autopilot sont automatiquement capturés en cas de défaillance des appareils tant que la fonctionnalité de diagnostic de capture automatique Autopilot est activée.

Pour afficher les diagnostics collectés après une défaillance Autopilot :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Accédez à Appareils>Par plateforme>Windows.
  3. Sélectionnez un appareil.
  4. Sélectionnez Téléchargement des diagnostics>.
  5. Le fichier zip de données est ajouté à la zone de réception des téléchargements et vous pouvez l’enregistrer sur votre ordinateur.

Données collectées

Bien qu’il n’y ait aucune intention de collecter des données personnelles, les diagnostics peuvent inclure des informations d’identification de l’utilisateur, telles que le nom de l’utilisateur ou de l’appareil.

Si vous avez installé KB5011543 sur Windows 10 ou KB5011563 sur Windows 11, le format du fichier zip sera plus simple, notamment :

  • Structure aplatit où les journaux collectés sont nommés pour correspondre aux données collectées
  • Lorsque plusieurs fichiers sont collectés, un dossier est créé.

La liste ci-dessous est classée dans le même ordre que le fichier zip de diagnostic. Chaque collection contient les données suivantes :

Clés de Registre :

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

Commandes :

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Observateurs d’événements :

  • Application
  • Microsoft-Windows-AppLocker/EXE et DLL
  • Microsoft-Windows-AppLocker/MSI et Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Pare-feu microsoft-Windows-Windows avec fonctions avancées de sécurité/pare-feu
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activité/Opérationnel
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • Configuration
  • Système

Fichiers :

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

Désactiver les diagnostics des appareils

L’action à distance Collecter les diagnostics est activée par défaut. Vous pouvez désactiver l’action à distance Collecter les diagnostics pour tous les appareils en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration >du locataireDiagnostics de l’appareil.

  3. Modifiez le contrôle sous Diagnostics d’appareil disponibles pour les appareils gérés par l’entreprise exécutant Windows 10, version 1909 et ultérieures, ou Windows 11. Sur Désactivé.

    Capture d’écran montrant le volet Diagnostics de l’appareil avec le contrôle mis en surbrillance pour les diagnostics de l’appareil défini sur Désactivé.

Désactiver la collecte automatique des diagnostics Autopilot

La capture automatique des diagnostics Autopilot est activée par défaut. Vous pouvez désactiver la capture de diagnostic automatique Autopilot en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration >du locataireDiagnostics de l’appareil.

  3. Modifiez le contrôle sous Capture automatique des diagnostics lorsque les appareils rencontrent une défaillance pendant le processus Autopilot sur Windows 10 version 1909 ou ultérieure et Windows 11. Les diagnostics peuvent inclure des informations d’identification utilisateur telles que le nom de l’utilisateur ou de l’appareil (préversion). à Désactivé.

    Capture d’écran montrant le volet Diagnostics de l’appareil avec le contrôle mis en surbrillance pour la collecte automatique des diagnostics Autopilot défini sur Désactivé.

Problèmes connus avec les diagnostics des appareils

Actuellement, deux principaux problèmes peuvent entraîner l’échec des diagnostics des appareils :

  1. Une expiration de délai peut survenir sur les appareils sans les correctifs KB4601315 ou KB4601319. Ces correctifs résolvent un problème au niveau du CSP DiagnosticLog qui empêche l’expiration du délai lors du chargement. Une fois la mise à jour installée, veillez à redémarrer votre appareil.
  2. L’appareil n’a pas pu recevoir l’action de l’appareil dans une période de 24 heures. Si l’appareil est hors connexion ou désactivé, cela peut entraîner un échec.