PowerShell-szkriptek használata Windows-eszközökön a Intune

A Microsoft Intune felügyeleti bővítmény használatával töltse fel a PowerShell-szkripteket a Intune. Ezután futtassa ezeket a szkripteket Windows-eszközökön. A felügyeleti bővítmény javítja az MDM-et, és megkönnyíti a modern felügyeletre való áttérést.

Megjegyzés:

További információ a Windows Intune felügyeleti bővítményéről: Intune Felügyeleti bővítmény a Windowshoz.

Az első lépések

• A rendszergazdai jogosultságokkal rendelkező felhasználói környezetre beállított szkriptek alapértelmezés szerint rendszergazdai jogosultsággal futtatják a PowerShellt.

• A PowerShell-szkriptek végrehajtásához a végfelhasználóknak nem kell bejelentkezniük az eszközre.

• A Intune felügyeleti bővítmény minden újraindítás után ellenőrzi az új szkripteket és módosításokat. Miután hozzárendelte a szabályzatot a Microsoft Entra csoportokhoz, a PowerShell-szkript lefut, és a futtatási eredmények lesznek jelentve. Miután a szkript végre van hajtva, csak akkor hajtja végre újra, ha a szkript vagy a szabályzat módosul. Ha a szkript sikertelen, a Intune felügyeleti bővítmény háromszor újrapróbálkozásokat tesz a szkripttel a következő három egymást követő Intune felügyeleti bővítmények beadásakor.

• Az eszközhöz rendelt PowerShell-szkriptek minden bejelentkező új felhasználó esetében futnak, kivéve azokat a több munkamenetes termékváltozatokat, ahol a felhasználói bejelentkezés le van tiltva.

• A PowerShell-szkriptek végrehajtása a Win32-alkalmazások futtatása előtt történik. Más szóval a PowerShell-szkriptek futnak először. Ezután futnak a Win32-alkalmazások.

• A PowerShell-szkriptek 30 perc után időtúllépést hajtanak végre.

Fontos

A PowerShell-szkriptek és a szervizelési szkriptek használatakor az adatvédelmi tudatosságra vonatkozó ajánlott eljárások a következők:

• Ne adjon meg semmilyen bizalmas adatot a szkriptekben (például jelszavakban)
• Ne adjon meg személyes adatokat a szkriptekben
• Ne használjon szkripteket személyes adatok gyűjtésére az eszközökről
• Mindig kövesse az adatvédelmi ajánlott eljárásokat

A kapcsolódó információkért lásd: Szervizelések.

Előfeltételek

• Intune felügyeleti bővítmény telepítése automatikusan megtörténik, ha egy PowerShell-szkriptalkalmazás hozzá van rendelve a felhasználóhoz vagy az eszközhöz. További információ: Intune felügyeleti bővítmény a Windowshoz.

Fontos

A Intune felügyeleti bővítményt futtató ügyfeleken üzembe helyezett szkriptek nem futnak, ha az eszköz rendszerórája hónapok vagy évek szerint rendkívül elavult. A rendszeróra frissítését követően a szkript a várt módon fut.

Szkriptszabályzat létrehozása és hozzárendelése

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Eszközök>Szkriptek és szervizelésekPlatformszkriptek>>Hozzáadása>Windows 10 és újabb lehetőséget.

   

3. Az Alapvető beállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

   • Név: Adja meg a PowerShell-szkript nevét.
   • Leírás: Adja meg a PowerShell-szkript leírását. A beállítás használata nem kötelező, de ajánlott.

4. A Szkriptbeállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

   • Szkript helye: Keresse meg a PowerShell-szkriptet. A szkriptnek 200 KB-nál (ASCII) kisebbnek kell lennie.

   • Futtassa ezt a szkriptet a bejelentkezett hitelesítő adatokkal: Válassza az Igen (alapértelmezett) lehetőséget a szkript futtatásához a felhasználó hitelesítő adataival az eszközön. A nem lehetőséget választva futtassa a szkriptet a rendszerkörnyezetben. Sok rendszergazda az Igen lehetőséget választja. Ha a szkriptet a rendszerkörnyezetben kell futtatni, válassza a Nem lehetőséget.

   • Szkriptaláírás ellenőrzésének kényszerítése: Válassza az Igen (alapértelmezett) lehetőséget, ha a szkriptet megbízható közzétevőnek kell aláírnia. Válassza a Nem lehetőséget, ha nincs szükség a szkript aláírására.

   • Szkript futtatása 64 bites PowerShell-gazdagépen: Válassza az Igen lehetőséget, ha a szkriptet egy 64 bites PowerShell-gazdagépen szeretné futtatni egy 64 bites ügyfélarchitektúrán. Válassza a Nem (alapértelmezett) lehetőséget, amely egy 32 bites PowerShell-gazdagépen futtatja a szkriptet.

     Ha az Igen vagy a Nem értékre van állítva, használja az alábbi táblázatot az új és a meglévő szabályzatok viselkedéséhez:

     Szkript futtatása 64 bites gazdagépen	Ügyfélarchitektúra	Új szkript	Meglévő szabályzatszkript
     Nem	32 bites	32 bites PowerShell-gazdagép támogatott	Csak 32 bites PowerShell-gazdagépen fut, amely 32 bites és 64 bites architektúrákon működik.
     Igen	64 bites	Szkriptet futtat 64 bites PowerShell-gazdagépen a 64 bites architektúrákhoz. 32 bites futtatáskor a szkript egy 32 bites PowerShell-gazdagépen fut.	Szkriptet futtat 32 bites PowerShell-gazdagépen. Ha ez a beállítás 64 bitesre változik, a szkript megnyílik (nem fut) egy 64 bites PowerShell-gazdagépen, és jelenti az eredményeket. 32 bites futtatáskor a szkript 32 bites PowerShell-gazdagépen fut.

5. Válassza a Hatókörcímkék lehetőséget. A hatókörcímkék használata nem kötelező. Használjon szerepköralapú hozzáférés-vezérlési és hatókörcímkéket az elosztott informatikai rendszerekhez , amely további információkat tartalmaz.

   Hatókörcímke hozzáadása:

   • Válassza a Hatókörcímkék> kiválasztása lehetőséget, válasszon ki egy meglévő hatókörcímkét a Kiválasztás listából>.

   • Ha végzett, válassza a Tovább gombot.

6. Válassza a Hozzárendelések>: Adja meg a belefoglalandó csoportokat lehetőséget. Megjelenik a Microsoft Entra csoportok meglévő listája.

   • Jelöljön ki egy vagy több olyan csoportot, amely tartalmazza azokat a felhasználókat, akiknek az eszközei megkapják a szkriptet. Válassza a Kijelölés elemet. A kiválasztott csoportok megjelennek a listában, és megkapják a szabályzatot.

     Megjegyzés:

     Az Intune PowerShell-szkriptjei Microsoft Entra eszközbiztonsági csoportokra vagy Microsoft Entra felhasználói biztonsági csoportokra célozhatók. A munkahelyhez csatlakoztatott (WPJ) eszközök megcélzásakor azonban csak Microsoft Entra eszközbiztonsági csoportok használhatók (a rendszer figyelmen kívül hagyja a felhasználók célzását).

   • Válassza a Tovább gombot.

     

7. A Felülvizsgálat + hozzáadás területen megjelenik a konfigurált beállítások összegzése. A szkript mentéséhez válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a szabályzat a kiválasztott csoportokra lesz üzembe helyezve.

Forgatókönyv – Nem sikerült futtatni a szkriptet

8:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul

9:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 1)

10:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 2)

11:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 3)

12:00

• Bejelentkezés
• Nincs más kísérlet a ConfigScript01szkript futtatására.
• Ha nincs más módosítás a szkripten, akkor a rendszer nem kísérli meg a szkript futtatását.

Futtatás állapotának monitorozása

A portálon figyelheti a felhasználók és eszközök PowerShell-szkriptjeinek futtatási állapotát.

A PowerShell-szkriptekben válassza ki a monitorozni kívánt szkriptet, válassza a Monitorozás lehetőséget, majd válasszon az alábbi jelentések közül:

• Eszköz állapota
• Felhasználó állapota

Megjegyzés:

A platformszkriptek Intune Felügyeleti központból származó eszközállapot-exportálások mostantól az Intune Export API-t használják, és a CSV-oszlopnevek igazodnak az API-sémához.

Szkript törlése

A PowerShell-szkriptekben kattintson a jobb gombbal a szkriptre, és válassza a Törlés parancsot.

Gyakori problémák és megoldásuk

Probléma: A PowerShell-szkriptek nem futnak

Lehetséges megoldások:

• A PowerShell-szkriptek nem minden bejelentkezéskor futnak. A következőt futtatják:

  • Amikor a szkript hozzá van rendelve egy eszközhöz

  • Ha módosítja a szkriptet, töltse fel, és rendelje hozzá a szkriptet egy felhasználóhoz vagy eszközhöz

    Tipp

    A Microsoft Intune felügyeleti bővítmény egy olyan szolgáltatás, amely az eszközön fut, ugyanúgy, mint a Szolgáltatások alkalmazásban (services.msc) felsorolt egyéb szolgáltatások. Az eszköz újraindítása után a szolgáltatás újraindulhat, és ellenőrizheti, hogy vannak-e hozzárendelt PowerShell-szkriptek a Intune szolgáltatással. Ha a Microsoft Intune Felügyeleti bővítmény szolgáltatás Manuális értékre van állítva, akkor előfordulhat, hogy a szolgáltatás nem indul újra az eszköz újraindítása után.

• Győződjön meg arról, hogy az eszközök csatlakoztatva vannak a Microsoft Entra ID. Azok az eszközök, amelyek csak a munkahelyén vagy szervezetében vannak regisztrálva a Microsoft Entra ID nem kapják meg a szkripteket.

• Ellenőrizze, hogy a Intune felügyeleti bővítmény le van-e töltve a következőre: %ProgramFiles(x86)%\Microsoft Intune Management Extension.

• A szkriptek nem futnak Surface Hubson vagy Windowson S módban.

• Tekintse át a naplókat az esetleges hibákért. Lásd: Intune felügyeleti bővítmény naplói (ebben a cikkben).

• Az esetleges engedélyekkel kapcsolatos problémák esetén győződjön meg arról, hogy a PowerShell-szkript tulajdonságai értékre Run this script using the logged on credentialsvannak állítva. Azt is ellenőrizze, hogy a bejelentkezett felhasználó rendelkezik-e a szkript futtatásához szükséges engedélyekkel.

• A szkriptelési problémák elkülönítéséhez a következőket teheti:

  • Tekintse át a PowerShell végrehajtási konfigurációját az eszközein. Útmutatásért tekintse meg a PowerShell végrehajtási szabályzatát .

  • Futtasson egy példaszkriptet a Intune felügyeleti bővítménnyel. Hozza létre például a C:\Scripts könyvtárat, és adjon mindenkinek teljes hozzáférést. Futtassa a következő szkriptet:

    write-output "Script worked" | out-file c:\Scripts\output.txt
    

    Ha sikerrel jár, létre kell hoznia output.txt, és tartalmaznia kell a "Szkript működik" szöveget.

  • Ha Intune nélkül szeretné tesztelni a szkriptek végrehajtását, futtassa a szkripteket a rendszerfiókban a psexec eszközzel helyileg:

    psexec -i -s

  • Ha a szkript azt jelenti, hogy sikerült, de valójában nem sikerült, akkor lehetséges, hogy a víruskereső szolgáltatás az AgentExecutor tesztkörnyezetet használja. A következő szkript mindig hibát jelez a Intune. Tesztként használhatja ezt a szkriptet:

    Write-Error -Message "Forced Fail" -Category OperationStopped
    mkdir "c:\temp"
    echo "Forced Fail" | out-file c:\temp\Fail.txt
    

    Ha a szkript sikert jelez, tekintse meg a AgentExecutor.log parancsot a hiba kimenetének megerősítéséhez. A szkript végrehajtásakor a hossznak 2-nek kell lennie >.

  • A és .output a .error fájl rögzítéséhez a következő kódrészlet végrehajtja a szkriptet az AgentExecutoron keresztül a PowerShell x86-ba (C:\Windows\SysWOW64\WindowsPowerShell\v1.0). Megőrzi a naplókat az áttekintéshez. Ne feledje, hogy a Intune Felügyeleti bővítmény törli a naplókat a szkript végrehajtása után:

    $scriptPath = read-host "Enter the path to the script file to execute"
    $logFolder = read-host "Enter the path to a folder to output the logs to"
    $outputPath = $logFolder+"\output.output"
    $errorPath =  $logFolder+"\error.error"
    $timeoutPath =  $logFolder+"\timeout.timeout"
    $timeoutVal = 60000
    $PSFolder = "C:\Windows\SysWOW64\WindowsPowerShell\v1.0"
    $AgentExec = "C:\Program Files (x86)\Microsoft Intune Management Extension\agentexecutor.exe"
    &$AgentExec -powershell  $scriptPath $outputPath $errorPath $timeoutPath $timeoutVal $PSFolder 0 0
    

Probléma: Miért futnak a szkriptek annak ellenére, hogy a Windows már nincs felügyelve?

Ha egy hozzárendelt szkriptekkel rendelkező Windows-eszköz már nincs felügyelve, a rendszer nem távolítja el azonnal az IME-t. Az IME azt észleli, hogy a Windows nincs felügyelve a következő IME-bejelentkezéskor (általában 8 óránként), és megszakítja a szkriptfuttatásokat. Addig is minden helyileg tárolt szkript futtatható. Ha az IME nem tud bejelentkezni, akár 24 órán keresztül újrapróbálkozásokat (az eszköz ébrenléti ideje), majd eltávolítja magát a Windows-eszközről.

Következő lépések

A profilok monitorozása és hibaelhárítása.