PowerShell-szkriptek használata Windows 10/11 rendszerű eszközökön az Intune-ban
A Microsoft Intune felügyeleti bővítményével PowerShell-szkripteket tölthet fel az Intune-ban. Ezután futtassa ezeket a szkripteket Windows 10-eszközökön. A felügyeleti bővítmény javítja a Windows-eszközök felügyeletét (MDM), és megkönnyíti a modern felügyeletre való áttérést.
Fontos
A bővített funkciók és hibajavítások támogatásához használja a .NET-keretrendszer 4.7.2-s vagy újabb verzióját az Intune felügyeleti bővítményével Windows-ügyfeleken. Ha egy Windows-ügyfél továbbra is a .NET-keretrendszer egy korábbi verzióját használja, az Intune felügyeleti bővítmény továbbra is működni fog. A .NET-keretrendszer 4.7.2-es verziója 2018. július 10-től érhető el a Windows Update-ből, amely a Win10 1809 (RS5) és újabb verzióiban érhető el. Vegye figyelembe, hogy a .NET-keretrendszer több verziója is létezhet egy eszközön.
Ez a funkció az alábbiakra vonatkozik:
- Windows 10 és újabb verziók (a Windows 10 Home kivételével)
Megjegyzés:
Az Intune felügyeleti bővítmény előfeltételeinek teljesülése után a rendszer automatikusan telepíti az Intune felügyeleti bővítményt, ha a felhasználóhoz vagy eszközhöz PowerShell-szkript vagy Win32-alkalmazás, Microsoft Store-alkalmazások, egyéni megfelelőségi szabályzatbeállítások vagy proaktív szervizelések vannak hozzárendelve. További információ: Az Intune felügyeleti bővítményeinek előfeltételei.
A Munkahelyi csatlakoztatású (WPJ) eszközökön hivatalosan nem támogatott PowerShell-szkriptek WPJ-eszközökön helyezhetők üzembe. Pontosabban az eszközkörnyezet PowerShell-szkriptjei működnek WPJ-eszközökön, de a felhasználói környezet PowerShell-szkriptjei a tervezés során figyelmen kívül lesznek hagyva. A felhasználói környezet szkriptjei figyelmen kívül lesznek hagyva a WPJ-eszközökön, és nem lesznek jelentve a Microsoft Intune felügyeleti központjában.
Áttérés a modern felügyeletre
A felhasználói számítástechnika digitális átalakításon megy keresztül. A hagyományos informatikai részleg egyetlen eszközplatformra, az üzleti tulajdonú eszközökre, az irodából dolgozó felhasználókra és a különböző manuális, reaktív informatikai folyamatokra összpontosít. A modern munkahely számos platformot használ, amelyek felhasználói és üzleti tulajdonban vannak. Lehetővé teszi, hogy a felhasználók bárhonnan dolgozhessenek, és automatizált és proaktív informatikai folyamatokat biztosítanak.
Az MDM-szolgáltatások, például a Microsoft Intune, felügyelhetik a Windows 10-et futtató mobil- és asztali eszközöket. A Windows 10 beépített felügyeleti ügyfele kommunikál az Intune-nal a vállalati felügyeleti feladatok futtatásához. Szükség lehet néhány feladatra, például a speciális eszközkonfigurációra és a hibaelhárításra. A Win32-alkalmazáskezeléshez a Windows 10-es eszközökön használhatja a Win32 alkalmazásfelügyeleti funkciót.
Az Intune felügyeleti bővítménye kiegészíti a Windows 10 beépített MDM-funkcióit. Létrehozhat PowerShell-szkripteket, hogy Windows 10-eszközökön fussanak. Létrehozhat például egy PowerShell-szkriptet, amely speciális eszközkonfigurációkat végez. Ezután töltse fel a szkriptet az Intune-ba, rendelje hozzá a szkriptet egy Microsoft Entra-csoporthoz, és futtassa a szkriptet. Ezután az elejétől a végéig figyelheti a szkript futtatási állapotát.
Az első lépések
Ha a parancsfájlok felhasználói környezetre vannak állítva, és a végfelhasználó rendszergazdai jogosultságokkal rendelkezik, a PowerShell-szkript alapértelmezés szerint rendszergazdai jogosultsággal fut.
A PowerShell-szkriptek végrehajtásához a végfelhasználóknak nem kell bejelentkezniük az eszközre.
Az Intune felügyeleti bővítményügynöke minden újraindítás után ellenőrzi az új szkripteket és módosításokat. Miután hozzárendelte a szabályzatot a Microsoft Entra-csoportokhoz, a Rendszer a PowerShell-szkriptet futtatja, és a futtatási eredményeket jelenti. Miután a szkript végre van hajtva, csak akkor hajtja végre újra, ha a szkript vagy a szabályzat módosul. Ha a szkript sikertelen, az Intune felügyeleti bővítményügynök háromszor újrapróbálkozásokat tesz a szkripttel a következő három egymást követő Intune felügyeleti bővítményügynök-bejelentkezéshez.
Megosztott eszközök esetén a PowerShell-szkript minden bejelentkező új felhasználó esetében futni fog.
A PowerShell-szkriptek végrehajtása a Win32-alkalmazások futtatása előtt történik. Más szóval a PowerShell-szkriptek futnak először. Ezután futnak a Win32-alkalmazások.
A PowerShell-szkriptek 30 perc után időtúllépést hajtanak végre.
Fontos
A PowerShell-szkriptek és a szervizelési szkriptek használatakor az adatvédelmi tudatosságra vonatkozó ajánlott eljárások a következők:
- Ne adjon meg semmilyen bizalmas adatot a szkriptekben (például jelszavakban)
- A parancsfájlokban ne szerepeltesse a személyazonosításra alkalmas adatokat (PII)
- Ne használjon szkripteket a PII eszközökről történő gyűjtéséhez
- Mindig kövesse az adatvédelmi ajánlott eljárásokat
A kapcsolódó információkért lásd: Szervizelések.
Előfeltételek
Az Intune felügyeleti bővítményének előfeltételei a következők. Miután teljesültek, az Intune felügyeleti bővítmény automatikusan települt, amikor egy PowerShell-szkript vagy Egy Win32-alkalmazás hozzá van rendelve a felhasználóhoz vagy az eszközhöz.
A Windows 10 1607-es vagy újabb verzióját futtató eszközök. Ha az eszköz tömeges automatikus regisztrációval van regisztrálva, az eszközöknek a Windows 10 1709-es vagy újabb verzióját kell futtatniuk. Az Intune felügyeleti bővítmény nem támogatott S módban a Windows 10-ben, mivel az S mód nem engedélyezi a nem áruházbeli alkalmazások futtatását.
A Microsoft Entra-azonosítóhoz csatlakoztatott eszközök, beleértve a következőket:
Microsoft Entra hibrid csatlakoztatott: A Microsoft Entra ID azonosítóhoz csatlakoztatott és a helyszíni Active Directoryhoz (AD) csatlakoztatott eszközök. Útmutatásért tekintse meg a Microsoft Entra hibrid csatlakozás megvalósításának megtervezését ismertető cikket.
Microsoft Entra regisztrált/Munkahelyhez csatlakoztatott (WPJ): A Microsoft Entra ID-ban regisztrált eszközökről további információt a Munkahelyi csatlakoztatás zökkenőmentes másodiktényezős hitelesítésként című témakörben talál. Ezek általában a Saját eszközök használata (BYOD) eszközök, amelyekhez munkahelyi vagy iskolai fiók lett hozzáadva a Beállítások>Fiókok Hozzáférés munkahelyi vagy iskolai rendszerhez>szolgáltatáson keresztül.
Az Intune-ban regisztrált eszközök, beleértve a következőket:
Csoportházirendben (GPO) regisztrált eszközök. Útmutatásért lásd: Windows 10-eszköz automatikus regisztrálása csoportházirend használatával .
Az Intune-ban manuálisan regisztrált eszközök, amelyek az alábbiak:
- Az Intune-ba való automatikus regisztráció engedélyezve van a Microsoft Entra-azonosítóban. A felhasználók helyi felhasználói fiókkal jelentkeznek be az eszközökre, és manuálisan csatlakoztatják az eszközt a Microsoft Entra-azonosítóhoz. Ezután a Microsoft Entra-fiókjával jelentkeznek be az eszközre.
VAGY
- A felhasználó a Microsoft Entra-fiókjával jelentkezik be az eszközre, majd regisztrál az Intune-ban.
A Configuration Managert és az Intune-t használó, közösen felügyelt eszközök. Win32-alkalmazások telepítésekor győződjön meg arról, hogy az Alkalmazások számítási feladat az Intune próbaüzemre vagy az Intune-ra van állítva. A PowerShell-szkriptek akkor is futni fognak, ha az Alkalmazások számítási feladat a Configuration Managerre van állítva. Az Intune felügyeleti bővítmény akkor lesz üzembe helyezve egy eszközön, ha egy PowerShell-szkriptet céloz meg az eszközre. Ne feledje, hogy az eszköznek Microsoft Entra-azonosítónak vagy Microsoft Entra hibrid csatlakoztatott eszköznek kell lennie. Emellett a Windows 10 1607-es vagy újabb verzióját kell futtatnia. Útmutatásért tekintse meg az alábbi cikkeket:
Az Intune felügyeleti bővítményt futtató ügyfeleken üzembe helyezett szkriptek nem fognak futni, ha az eszköz rendszerórája hónapok vagy évek szerint rendkívül elavult. A rendszeróra frissítését követően a szkript a várt módon fog futni.
Megjegyzés:
További információ a Windows 10 rendszerű virtuális gépek használatáról: Windows 10 rendszerű virtuális gépek használata az Intune-nal.
Szkriptszabályzat létrehozása és hozzárendelése
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>Szkriptek és szervizelésekPlatformszkriptek>> Windows10 és újabbrendszerek hozzáadása> lehetőséget.
Az Alapvető beállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:
- Név: Adja meg a PowerShell-szkript nevét.
- Leírás: Adja meg a PowerShell-szkript leírását. A beállítás használata nem kötelező, de ajánlott.
A Szkriptbeállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:
Szkript helye: Keresse meg a PowerShell-szkriptet. A szkriptnek 200 KB-nál (ASCII) kisebbnek kell lennie.
Futtassa ezt a szkriptet a bejelentkezett hitelesítő adatokkal: Válassza az Igen (alapértelmezett) lehetőséget a szkript futtatásához a felhasználó hitelesítő adataival az eszközön. A nem lehetőséget választva futtassa a szkriptet a rendszerkörnyezetben. Sok rendszergazda az Igen lehetőséget választja. Ha a szkriptet a rendszerkörnyezetben kell futtatni, válassza a Nem lehetőséget.
Szkriptaláírás ellenőrzésének kényszerítése: Válassza az Igen (alapértelmezett) lehetőséget, ha a szkriptet megbízható közzétevőnek kell aláírnia. Válassza a Nem lehetőséget, ha nincs szükség a szkript aláírására.
Szkript futtatása 64 bites PowerShell-gazdagépen: Válassza az Igen lehetőséget, ha a szkriptet egy 64 bites PowerShell-gazdagépen szeretné futtatni egy 64 bites ügyfélarchitektúrán. Válassza a Nem (alapértelmezett) lehetőséget, amely egy 32 bites PowerShell-gazdagépen futtatja a szkriptet.
Ha az Igen vagy a Nem értékre van állítva, használja az alábbi táblázatot az új és a meglévő szabályzatok viselkedéséhez:
Szkript futtatása 64 bites gazdagépen Ügyfélarchitektúra Új szkript Meglévő szabályzatszkript Nem 32 bites 32 bites PowerShell-gazdagép támogatott Csak 32 bites PowerShell-gazdagépen fut, amely 32 bites és 64 bites architektúrákon működik. Igen 64 bites Szkriptet futtat 64 bites PowerShell-gazdagépen a 64 bites architektúrákhoz. 32 bites futtatáskor a szkript egy 32 bites PowerShell-gazdagépen fut. Szkriptet futtat 32 bites PowerShell-gazdagépen. Ha ez a beállítás 64 bitesre változik, a szkript megnyílik (nem fut) egy 64 bites PowerShell-gazdagépen, és jelenti az eredményeket. 32 bites futtatáskor a szkript 32 bites PowerShell-gazdagépen fut.
Válassza a Hatókörcímkék lehetőséget. A hatókörcímkék használata nem kötelező. Használjon szerepköralapú hozzáférés-vezérlést (RBAC) és hatókörcímkéket az elosztott informatikusok számára .
Hatókörcímke hozzáadása:
Válassza a Hatókörcímkék> kiválasztása lehetőséget, válasszon ki egy meglévő hatókörcímkét a Kiválasztás listából>.
Ha végzett, válassza a Tovább gombot.
Válassza a Hozzárendelések>: Adja meg a belefoglalandó csoportokat lehetőséget. Megjelenik a Microsoft Entra-csoportok meglévő listája.
Jelöljön ki egy vagy több olyan csoportot, amely tartalmazza azokat a felhasználókat, akiknek az eszközei megkapják a szkriptet. Válassza a Kijelölés elemet. A kiválasztott csoportok megjelennek a listában, és megkapják a szabályzatot.
Megjegyzés:
Az Intune-ban a PowerShell-szkriptek a Microsoft Entra eszközbiztonsági csoportjaira vagy a Microsoft Entra felhasználói biztonsági csoportjaira célozhatók. A munkahelyhez csatlakoztatott (WPJ) eszközök megcélzásakor azonban csak a Microsoft Entra eszközbiztonsági csoportok használhatók (a felhasználók célzása figyelmen kívül lesz hagyva).
Válassza a Tovább gombot.
A Felülvizsgálat + hozzáadás területen megjelenik a konfigurált beállítások összegzése. A szkript mentéséhez válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a szabályzat a kiválasztott csoportokra lesz üzembe helyezve.
Példa szkript futtatásának sikertelenségére
8:00
- Bejelentkezés
- Szkript futtatása ConfigScript01
- A szkript meghiúsul
9:00
- Bejelentkezés
- Szkript futtatása ConfigScript01
- A szkript meghiúsul (újrapróbálkozás száma = 1)
10:00
- Bejelentkezés
- Szkript futtatása ConfigScript01
- A szkript meghiúsul (újrapróbálkozás száma = 2)
11:00
- Bejelentkezés
- Szkript futtatása ConfigScript01
- A szkript meghiúsul (újrapróbálkozás száma = 3)
12:00
- Bejelentkezés
- Nem történik további kísérlet a ConfigScript01szkript futtatására.
- Ha nem történik további módosítás a szkripten, akkor nem történik további kísérlet a szkript futtatására.
Futtatás állapotának monitorozása
A portálon figyelheti a felhasználók és eszközök PowerShell-szkriptjeinek futtatási állapotát.
A PowerShell-szkriptekben válassza ki a monitorozni kívánt szkriptet, válassza a Monitorozás lehetőséget, majd válasszon az alábbi jelentések közül:
- Eszköz állapota
- Felhasználó állapota
Intune felügyeleti bővítmény naplói
Az ügyfélszámítógép ügynöknaplói általában a következő helyen C:\ProgramData\Microsoft\IntuneManagementExtension\Logs
találhatók: . Ezeket a naplófájlokat aCMTrace.exe használatával tekintheti meg.
Szkript törlése
A PowerShell-szkriptekben kattintson a jobb gombbal a szkriptre, és válassza a Törlés parancsot.
Gyakori problémák és megoldásuk
Probléma: Az Intune felügyeleti bővítmény nem tölthető le
Lehetséges megoldások:
- Az eszköz nincs csatlakoztatva a Microsoft Entra-azonosítóhoz. Győződjön meg arról, hogy az eszközök megfelelnek az előfeltételeknek (ebben a cikkben).
- Nincsenek PowerShell-szkriptek vagy Win32-alkalmazások hozzárendelve azokhoz a csoportokhoz, amelyekhez a felhasználó vagy az eszköz tartozik.
- Az eszköz nem tud bejelentkezni az Intune szolgáltatásba. Például nincs internet-hozzáférés, nincs hozzáférés a Windows leküldéses értesítési szolgáltatásokhoz (WNS) stb.
- Az eszköz S módban van. Az Intune felügyeleti bővítmény nem támogatott az S módban futó eszközökön.
Ha meg szeretné nézni, hogy az eszköz automatikusan regisztrálva van-e, a következőt teheti:
- Lépjen a Beállítások> FiókokHozzáférés munkahelyi vagy iskolai rendszerhezmenüpontra>.
- Válassza ki a csatlakoztatott fiók >adatait.
- A Speciális diagnosztikai jelentés területen válassza a Jelentés létrehozása lehetőséget.
- Nyissa meg a fájlt
MDMDiagReport
egy webböngészőben. - Keresse meg az MDMDeviceWithAAD tulajdonságot . Ha a tulajdonság létezik, az eszköz automatikusan regisztrálva lesz. Ha ez a tulajdonság nem létezik, akkor az eszköz nincs automatikusan regisztrálva.
A Windows 10 automatikus regisztrációjának engedélyezése magában foglalja az intune-beli automatikus regisztráció konfigurálásának lépéseit.
Probléma: A PowerShell-szkriptek nem futnak
Lehetséges megoldások:
A PowerShell-szkriptek nem minden bejelentkezéskor futnak. A következőt futtatják:
Amikor a szkript hozzá van rendelve egy eszközhöz
Ha módosítja a szkriptet, töltse fel, és rendelje hozzá a szkriptet egy felhasználóhoz vagy eszközhöz
Tipp
A Microsoft Intune felügyeleti bővítmény egy olyan szolgáltatás, amely az eszközön fut, akárcsak a Szolgáltatások alkalmazásban (services.msc) felsorolt szolgáltatások. Az eszköz újraindítása után ez a szolgáltatás is újraindulhat, és ellenőrizheti, hogy vannak-e hozzárendelt PowerShell-szkriptek az Intune szolgáltatással. Ha a Microsoft Intune Felügyeleti bővítmény szolgáltatás Manuális értékre van állítva, akkor előfordulhat, hogy a szolgáltatás nem indul újra az eszköz újraindítása után.
Győződjön meg arról, hogy az eszközök csatlakoztatva vannak a Microsoft Entra-azonosítóhoz. Azok az eszközök, amelyek csak a munkahelyéhez vagy szervezetéhez csatlakoznak (a Microsoft Entra-azonosítóban regisztrálva vannak) nem kapják meg a szkripteket.
Győződjön meg arról, hogy az Intune felügyeleti bővítmény le van töltve a következőre
%ProgramFiles(x86)%\Microsoft Intune Management Extension
: .A szkriptek nem futnak Surface Hubson vagy Windows 10-en S módban.
Tekintse át a naplókat az esetleges hibákért. Lásd: Intune felügyeleti bővítménynaplók (ebben a cikkben).
Az esetleges engedélyekkel kapcsolatos problémák esetén győződjön meg arról, hogy a PowerShell-szkript tulajdonságai értékre
Run this script using the logged on credentials
vannak állítva. Azt is ellenőrizze, hogy a bejelentkezett felhasználó rendelkezik-e a szkript futtatásához szükséges engedélyekkel.A szkriptelési problémák elkülönítéséhez a következőket teheti:
Tekintse át a PowerShell végrehajtási konfigurációját az eszközein. Útmutatásért tekintse meg a PowerShell végrehajtási szabályzatát .
Futtasson egy példaszkriptet az Intune felügyeleti bővítményével. Hozza létre például a
C:\Scripts
könyvtárat, és adjon mindenkinek teljes hozzáférést. Futtassa a következő szkriptet:write-output "Script worked" | out-file c:\Scripts\output.txt
Ha sikerrel jár, létre kell hoznia output.txt, és tartalmaznia kell a "Szkript működik" szöveget.
Ha az Intune nélkül szeretné tesztelni a szkriptek végrehajtását, futtassa a szkripteket a rendszerfiókban a psexec eszközzel helyileg:
psexec -i -s
Ha a szkript azt jelenti, hogy sikerült, de valójában nem sikerült, akkor lehetséges, hogy a víruskereső szolgáltatás az AgentExecutor tesztkörnyezetet használja. A következő szkript mindig hibát jelez az Intune-ban. Tesztként használhatja ezt a szkriptet:
Write-Error -Message "Forced Fail" -Category OperationStopped mkdir "c:\temp" echo "Forced Fail" | out-file c:\temp\Fail.txt
Ha a szkript sikert jelez, tekintse meg a
AgentExecutor.log
parancsot a hiba kimenetének megerősítéséhez. A szkript végrehajtásakor a hossznak 2-nek kell lennie >.A és
.output
a.error
fájl rögzítéséhez a következő kódrészlet végrehajtja a szkriptet az AgentExecutoron keresztül a PowerShell x86-ba (C:\Windows\SysWOW64\WindowsPowerShell\v1.0
). Megőrzi a naplókat az áttekintéshez. Ne feledje, hogy az Intune felügyeleti bővítmény törli a naplókat a szkript végrehajtása után:$scriptPath = read-host "Enter the path to the script file to execute" $logFolder = read-host "Enter the path to a folder to output the logs to" $outputPath = $logFolder+"\output.output" $errorPath = $logFolder+"\error.error" $timeoutPath = $logFolder+"\timeout.timeout" $timeoutVal = 60000 $PSFolder = "C:\Windows\SysWOW64\WindowsPowerShell\v1.0" $AgentExec = "C:\Program Files (x86)\Microsoft Intune Management Extension\agentexecutor.exe" &$AgentExec -powershell $scriptPath $outputPath $errorPath $timeoutPath $timeoutVal $PSFolder 0 0
Következő lépések
A profilok monitorozása és hibaelhárítása.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: