PowerShell-szkriptek használata Windows 10/11-eszközökön az Intune-ban

A Microsoft Intune felügyeleti bővítmény használatával töltse fel a PowerShell-szkripteket az Intune-ban. Ezután futtassa ezeket a szkripteket Windows 10 eszközökön. A felügyeleti bővítmény javítja a Windows-eszközök felügyeletét (MDM), és megkönnyíti a modern felügyeletre való áttérést.

Fontos

A bővített funkciók és hibajavítások támogatásához használja a .NET-keretrendszer 4.7.2-s vagy újabb verzióját az Intune felügyeleti bővítményével Windows-ügyfeleken. Ha egy Windows-ügyfél továbbra is a .NET-keretrendszer egy korábbi verzióját használja, az Intune felügyeleti bővítmény továbbra is működni fog. A .NET-keretrendszer 4.7.2 2 2018. július 10-től érhető el Windows Update- és újabb Win10 1809 (RS5) verzióban. Vegye figyelembe, hogy a .NET-keretrendszer-verziók több verziója is létezhet az eszközön.

Ez a funkció az alábbiakra vonatkozik:

• Windows 10 és újabb verziók (a Windows 10 Home kivételével)

Megjegyzés:

Az Intune felügyeleti bővítmény előfeltételeinek teljesülése után a rendszer automatikusan telepíti az Intune felügyeleti bővítményt, ha a felhasználóhoz vagy eszközhöz PowerShell-szkript vagy Win32-alkalmazás, Microsoft Store-alkalmazások, egyéni megfelelőségi szabályzatbeállítások vagy proaktív szervizelések vannak hozzárendelve. További információ: Az Intune felügyeleti bővítményeinek előfeltételei.

A Munkahelyi csatlakoztatású (WPJ) eszközökön hivatalosan nem támogatott PowerShell-szkriptek WPJ-eszközökön helyezhetők üzembe. Pontosabban az eszközkörnyezet PowerShell-szkriptjei működnek WPJ-eszközökön, de a felhasználói környezet PowerShell-szkriptjei a tervezés során figyelmen kívül lesznek hagyva. A felhasználói környezet szkriptjei figyelmen kívül lesznek hagyva a WPJ-eszközökön, és nem lesznek jelentve a Microsoft Intune Felügyeleti központban.

Áttérés a modern felügyeletre

A felhasználói számítástechnika digitális átalakításon megy keresztül. A hagyományos informatikai részleg egyetlen eszközplatformra, az üzleti tulajdonú eszközökre, az irodából dolgozó felhasználókra és a különböző manuális, reaktív informatikai folyamatokra összpontosít. A modern munkahely számos platformot használ, amelyek felhasználói és üzleti tulajdonban vannak. Lehetővé teszi, hogy a felhasználók bárhonnan dolgozhessenek, és automatizált és proaktív informatikai folyamatokat biztosítanak.

Az MDM-szolgáltatások, például a Microsoft Intune, felügyelhetik a Windows 10 futó mobil- és asztali eszközöket. A beépített Windows 10 felügyeleti ügyfél kommunikál az Intune-nal a vállalati felügyeleti feladatok futtatásához. Szükség lehet néhány feladatra, például a speciális eszközkonfigurációra és a hibaelhárításra. A Win32-alkalmazáskezeléshez használhatja a Win32 alkalmazásfelügyeleti funkciót Windows 10 eszközein.

Az Intune felügyeleti bővítmény kiegészíti az MDM beépített Windows 10 funkcióit. PowerShell-szkripteket hozhat létre Windows 10 eszközökön való futtatáshoz. Létrehozhat például egy PowerShell-szkriptet, amely speciális eszközkonfigurációkat végez. Ezután töltse fel a szkriptet az Intune-ba, rendelje hozzá a szkriptet egy Microsoft Entra csoporthoz, és futtassa a szkriptet. Ezután az elejétől a végéig figyelheti a szkript futtatási állapotát.

Az első lépések

• Ha a parancsfájlok felhasználói környezetre vannak állítva, és a végfelhasználó rendszergazdai jogosultságokkal rendelkezik, a PowerShell-szkript alapértelmezés szerint rendszergazdai jogosultsággal fut.

• A PowerShell-szkriptek végrehajtásához a végfelhasználóknak nem kell bejelentkezniük az eszközre.

• Az Intune felügyeleti bővítményügynöke minden újraindítás után ellenőrzi az új szkripteket és módosításokat. Miután hozzárendelte a szabályzatot a Microsoft Entra csoportokhoz, a PowerShell-szkript lefut, és a futtatási eredmények lesznek jelentve. Miután a szkript végre van hajtva, csak akkor hajtja végre újra, ha a szkript vagy a szabályzat módosul. Ha a szkript sikertelen, az Intune felügyeleti bővítményügynök háromszor újrapróbálkozásokat tesz a szkripttel a következő három egymást követő Intune felügyeleti bővítményügynök-bejelentkezéshez.

• Megosztott eszközök esetén a PowerShell-szkript minden bejelentkező új felhasználó esetében futni fog.

• A PowerShell-szkriptek végrehajtása a Win32-alkalmazások futtatása előtt történik. Más szóval a PowerShell-szkriptek futnak először. Ezután futnak a Win32-alkalmazások.

• A PowerShell-szkriptek 30 perc után időtúllépést hajtanak végre.

Fontos

A PowerShell-szkriptek és a szervizelési szkriptek használatakor az adatvédelmi tudatosságra vonatkozó ajánlott eljárások a következők:

• Ne adjon meg semmilyen bizalmas adatot a szkriptekben (például jelszavakban)
• A parancsfájlokban ne szerepeltesse a személyazonosításra alkalmas adatokat (PII)
• Ne használjon szkripteket a PII eszközökről történő gyűjtéséhez
• Mindig kövesse az adatvédelmi ajánlott eljárásokat

A kapcsolódó információkért lásd: Szervizelések.

Előfeltételek

Az Intune felügyeleti bővítményének előfeltételei a következők. Miután teljesültek, az Intune felügyeleti bővítmény automatikusan települt, amikor egy PowerShell-szkript vagy Egy Win32-alkalmazás hozzá van rendelve a felhasználóhoz vagy az eszközhöz.

• A Windows 10 1607-es vagy újabb verzióját futtató eszközök. Ha az eszköz tömeges automatikus regisztrációval van regisztrálva, az eszközöknek Windows 10 1709-es vagy újabb verzióját kell futtatniuk. Az Intune felügyeleti bővítmény nem támogatott Windows 10 S módban, mivel az S mód nem engedélyezi a nem áruházbeli alkalmazások futtatását.

• A Microsoft Entra ID csatlakoztatott eszközök, beleértve a következőket:

  • hibrid csatlakoztatott Microsoft Entra: A Microsoft Entra ID csatlakoztatott, valamint a helyi Active Directory (AD) szolgáltatáshoz csatlakoztatott eszközök. Útmutatásért lásd: A Microsoft Entra hibrid csatlakozás implementációjának tervezése.

• Microsoft Entra regisztrált/munkahelyhez csatlakoztatott (WPJ): Az Microsoft Entra ID-ben regisztrált eszközökről további információt a Munkahelyi csatlakoztatás zökkenőmentes másodikfaktor-hitelesítésként című témakörben talál. Ezek általában a Saját eszközök használata (BYOD) eszközök, amelyekhez munkahelyi vagy iskolai fiók lett hozzáadva a Beállítások>Fiókok Hozzáférés munkahelyi vagy iskolai rendszerhez>szolgáltatáson keresztül.

• Az Intune-ban regisztrált eszközök, beleértve a következőket:

  • Csoportházirendben (GPO) regisztrált eszközök. Útmutatásért lásd: Windows 10-eszközök automatikus regisztrálása a Csoportházirend használatával.

  • Az Intune-ban manuálisan regisztrált eszközök, amelyek az alábbiak:

    • Az Intune-ba való automatikus regisztráció engedélyezve van Microsoft Entra ID. A felhasználók helyi felhasználói fiókkal jelentkeznek be az eszközökre, és manuálisan csatlakoztatják az eszközt a Microsoft Entra ID. Ezután a Microsoft Entra-fiókjával jelentkeznek be az eszközre.

    VAGY

    • A felhasználó a Microsoft Entra-fiókjával jelentkezik be az eszközre, majd regisztrál az Intune-ban.

  • A Configuration Manager és az Intune-t használó, közösen felügyelt eszközök. Win32-alkalmazások telepítésekor győződjön meg arról, hogy az Alkalmazások számítási feladat az Intune próbaüzemre vagy az Intune-ra van állítva. A PowerShell-szkriptek akkor is futni fognak, ha az Alkalmazások számítási feladat Configuration Manager van beállítva. Az Intune felügyeleti bővítmény akkor lesz üzembe helyezve egy eszközön, ha egy PowerShell-szkriptet céloz meg az eszközre. Ne feledje, hogy az eszköznek Microsoft Entra ID vagy Microsoft Entra hibrid csatlakoztatott eszköznek kell lennie. Emellett Windows 10 1607-es vagy újabb verziót kell futtatnia. Útmutatásért tekintse meg az alábbi cikkeket:

    • Mi az a megosztott kezelés?
    • Ügyfélalkalmazások számítási feladatai
    • Configuration Manager számítási feladatok váltása az Intune-ra

• Az Intune felügyeleti bővítményt futtató ügyfeleken üzembe helyezett szkriptek nem fognak futni, ha az eszköz rendszerórája hónapok vagy évek szerint rendkívül elavult. A rendszeróra frissítését követően a szkript a várt módon fog futni.

Megjegyzés:

További információ a Windows 10 rendszerű virtuális gépek használatáról: Windows 10 virtuális gépek használata az Intune-nal.

Szkriptszabályzat létrehozása és hozzárendelése

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>parancsfájlok>hozzáadása>Windows 10 és újabb lehetőséget.

   

3. Az Alapvető beállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

   • Név: Adja meg a PowerShell-szkript nevét.
   • Leírás: Adja meg a PowerShell-szkript leírását. A beállítás használata nem kötelező, de ajánlott.

4. A Szkriptbeállítások területen adja meg a következő tulajdonságokat, majd válassza a Tovább gombot:

   • Szkript helye: Keresse meg a PowerShell-szkriptet. A szkriptnek 200 KB-nál (ASCII) kisebbnek kell lennie.

   • Futtassa ezt a szkriptet a bejelentkezett hitelesítő adatokkal: Válassza az Igen (alapértelmezett) lehetőséget a szkript futtatásához a felhasználó hitelesítő adataival az eszközön. A nem lehetőséget választva futtassa a szkriptet a rendszerkörnyezetben. Sok rendszergazda az Igen lehetőséget választja. Ha a szkriptet a rendszerkörnyezetben kell futtatni, válassza a Nem lehetőséget.

   • Szkriptaláírás ellenőrzésének kényszerítése: Válassza az Igen (alapértelmezett) lehetőséget, ha a szkriptet megbízható közzétevőnek kell aláírnia. Válassza a Nem lehetőséget, ha nincs szükség a szkript aláírására.

   • Szkript futtatása 64 bites PowerShell-gazdagépen: Válassza az Igen lehetőséget, ha a szkriptet egy 64 bites PowerShell-gazdagépen szeretné futtatni egy 64 bites ügyfélarchitektúrán. Válassza a Nem (alapértelmezett) lehetőséget, amely egy 32 bites PowerShell-gazdagépen futtatja a szkriptet.

     Ha az Igen vagy a Nem értékre van állítva, használja az alábbi táblázatot az új és a meglévő szabályzatok viselkedéséhez:

     Szkript futtatása 64 bites gazdagépen	Ügyfélarchitektúra	Új szkript	Meglévő szabályzatszkript
     Nem	32 bites	32 bites PowerShell-gazdagép támogatott	Csak 32 bites PowerShell-gazdagépen fut, amely 32 bites és 64 bites architektúrákon működik.
     Igen	64 bites	Szkriptet futtat 64 bites PowerShell-gazdagépen a 64 bites architektúrákhoz. 32 bites futtatáskor a szkript egy 32 bites PowerShell-gazdagépen fut.	Szkriptet futtat 32 bites PowerShell-gazdagépen. Ha ez a beállítás 64 bitesre változik, a szkript megnyílik (nem fut) egy 64 bites PowerShell-gazdagépen, és jelenti az eredményeket. 32 bites futtatáskor a szkript 32 bites PowerShell-gazdagépen fut.

5. Válassza a Hatókörcímkék lehetőséget. A hatókörcímkék használata nem kötelező. Használjon szerepköralapú hozzáférés-vezérlést (RBAC) és hatókörcímkéket az elosztott informatikusok számára .

   Hatókörcímke hozzáadása:

   1. Válassza a Hatókörcímkék> kiválasztása lehetőséget, válasszon ki egy meglévő hatókörcímkét a Kiválasztás listából>.

   2. Ha végzett, válassza a Tovább gombot.

6. Válassza a Hozzárendelések>: Adja meg a belefoglalandó csoportokat lehetőséget. Megjelenik a Microsoft Entra csoportok meglévő listája.

   1. Jelöljön ki egy vagy több olyan csoportot, amely tartalmazza azokat a felhasználókat, akiknek az eszközei megkapják a szkriptet. Válassza a Kijelölés elemet. A kiválasztott csoportok megjelennek a listában, és megkapják a szabályzatot.

      Megjegyzés:

      Az Intune PowerShell-szkriptjei Microsoft Entra eszközbiztonsági csoportokra vagy Microsoft Entra felhasználói biztonsági csoportokra célozhatók. A munkahelyhez csatlakoztatott (WPJ) eszközök megcélzásakor azonban csak Microsoft Entra eszközbiztonsági csoportok használhatók (a felhasználók célzása figyelmen kívül lesz hagyva). További információ: Win32-alkalmazások támogatása munkahelyi csatlakoztatási (WPJ) eszközökhöz.

   2. Válassza a Tovább gombot.

      

7. A Felülvizsgálat + hozzáadás területen megjelenik a konfigurált beállítások összegzése. A szkript mentéséhez válassza a Hozzáadás lehetőséget. Amikor a Hozzáadás lehetőséget választja, a szabályzat a kiválasztott csoportokra lesz üzembe helyezve.

Példa szkript futtatásának sikertelenségére

8:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul

9:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 1)

10:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 2)

11:00

• Bejelentkezés
• Szkript futtatása ConfigScript01
• A szkript meghiúsul (újrapróbálkozás száma = 3)

12:00

• Bejelentkezés
• Nem történik további kísérlet a ConfigScript01szkript futtatására.
• Ha nem történik további módosítás a szkripten, akkor nem történik további kísérlet a szkript futtatására.

Futtatás állapotának monitorozása

A portálon figyelheti a felhasználók és eszközök PowerShell-szkriptjeinek futtatási állapotát.

A PowerShell-szkriptekben válassza ki a monitorozni kívánt szkriptet, válassza a Monitorozás lehetőséget, majd válasszon az alábbi jelentések közül:

• Eszköz állapota
• Felhasználó állapota

Intune felügyeleti bővítmény naplói

Az ügyfélszámítógép ügynöknaplói általában a következő helyen C:\ProgramData\Microsoft\IntuneManagementExtension\Logstalálhatók: . Ezeket a naplófájlokat aCMTrace.exe használatával tekintheti meg.

Szkript törlése

A PowerShell-szkriptekben kattintson a jobb gombbal a szkriptre, és válassza a Törlés parancsot.

Gyakori problémák és megoldásuk

Probléma: Az Intune felügyeleti bővítmény nem tölthető le

Lehetséges megoldások:

• Az eszköz nincs csatlakoztatva a Microsoft Entra ID. Győződjön meg arról, hogy az eszközök megfelelnek az előfeltételeknek (ebben a cikkben).
• Nincsenek PowerShell-szkriptek vagy Win32-alkalmazások hozzárendelve azokhoz a csoportokhoz, amelyekhez a felhasználó vagy az eszköz tartozik.
• Az eszköz nem tud bejelentkezni az Intune szolgáltatásba. Például nincs internet-hozzáférés, nincs hozzáférés a Windows leküldéses értesítési szolgáltatásokhoz (WNS) stb.
• Az eszköz S módban van. Az Intune felügyeleti bővítmény nem támogatott az S módban futó eszközökön.

Ha meg szeretné nézni, hogy az eszköz automatikusan regisztrálva van-e, a következőt teheti:

1. Lépjen a Beállítások> FiókokHozzáférés munkahelyi vagy iskolai rendszerhezmenüpontra>.
2. Válassza ki a csatlakoztatott fiók >adatait.
3. A Speciális diagnosztikai jelentés területen válassza a Jelentés létrehozása lehetőséget.
4. Nyissa meg a fájlt MDMDiagReport egy webböngészőben.
5. Keresse meg az MDMDeviceWithAAD tulajdonságot . Ha a tulajdonság létezik, az eszköz automatikusan regisztrálva lesz. Ha ez a tulajdonság nem létezik, akkor az eszköz nincs automatikusan regisztrálva.

Az automatikus regisztráció engedélyezése Windows 10 tartalmazza az intune-beli automatikus regisztráció konfigurálásának lépéseit.

Probléma: A PowerShell-szkriptek nem futnak

Lehetséges megoldások:

• A PowerShell-szkriptek nem minden bejelentkezéskor futnak. A következőt futtatják:

  • Amikor a szkript hozzá van rendelve egy eszközhöz

  • Ha módosítja a szkriptet, töltse fel, és rendelje hozzá a szkriptet egy felhasználóhoz vagy eszközhöz

    Tipp

    A Microsoft Intune felügyeleti bővítmény egy olyan szolgáltatás, amely az eszközön fut, ugyanúgy, mint a Szolgáltatások alkalmazásban (services.msc) felsorolt egyéb szolgáltatások. Az eszköz újraindítása után ez a szolgáltatás is újraindulhat, és ellenőrizheti, hogy vannak-e hozzárendelt PowerShell-szkriptek az Intune szolgáltatással. Ha a Microsoft Intune Felügyeleti bővítmény szolgáltatás Manuális értékre van állítva, akkor előfordulhat, hogy a szolgáltatás nem indul újra az eszköz újraindítása után.

• Győződjön meg arról, hogy az eszközök csatlakoztatva vannak a Microsoft Entra ID. Azok az eszközök, amelyek csak a munkahelyhez vagy a szervezethez csatlakoznak (Microsoft Entra ID regisztrálva) nem kapják meg a szkripteket.

• Győződjön meg arról, hogy az Intune felügyeleti bővítmény le van töltve a következőre %ProgramFiles(x86)%\Microsoft Intune Management Extension: .

• A szkriptek nem futnak a Surface Hubson vagy Windows 10 S módban.

• Tekintse át a naplókat az esetleges hibákért. Lásd: Intune felügyeleti bővítménynaplók (ebben a cikkben).

• Az esetleges engedélyekkel kapcsolatos problémák esetén győződjön meg arról, hogy a PowerShell-szkript tulajdonságai értékre Run this script using the logged on credentialsvannak állítva. Azt is ellenőrizze, hogy a bejelentkezett felhasználó rendelkezik-e a szkript futtatásához szükséges engedélyekkel.

• A szkriptelési problémák elkülönítéséhez a következőket teheti:

  • Tekintse át a PowerShell végrehajtási konfigurációját az eszközein. Útmutatásért tekintse meg a PowerShell végrehajtási szabályzatát .

  • Futtasson egy példaszkriptet az Intune felügyeleti bővítményével. Hozza létre például a C:\Scripts könyvtárat, és adjon mindenkinek teljes hozzáférést. Futtassa a következő szkriptet:

    write-output "Script worked" | out-file c:\Scripts\output.txt
    

    Ha sikerrel jár, létre kell hoznia output.txt, és tartalmaznia kell a "Szkript működik" szöveget.

  • Ha az Intune nélkül szeretné tesztelni a szkriptek végrehajtását, futtassa a szkripteket a rendszerfiókban a psexec eszközzel helyileg:

    psexec -i -s

  • Ha a szkript azt jelenti, hogy sikerült, de valójában nem sikerült, akkor lehetséges, hogy a víruskereső szolgáltatás az AgentExecutor tesztkörnyezetet használja. A következő szkript mindig hibát jelez az Intune-ban. Tesztként használhatja ezt a szkriptet:

    Write-Error -Message "Forced Fail" -Category OperationStopped
    mkdir "c:\temp" 
    echo "Forced Fail" | out-file c:\temp\Fail.txt
    

    Ha a szkript sikert jelez, tekintse meg a AgentExecutor.log parancsot a hiba kimenetének megerősítéséhez. A szkript végrehajtásakor a hossznak 2-nek kell lennie >.

  • A és .output a .error fájl rögzítéséhez a következő kódrészlet végrehajtja a szkriptet az AgentExecutoron keresztül a PowerShell x86-ba (C:\Windows\SysWOW64\WindowsPowerShell\v1.0). Megőrzi a naplókat az áttekintéshez. Ne feledje, hogy az Intune felügyeleti bővítmény törli a naplókat a szkript végrehajtása után:

    $scriptPath = read-host "Enter the path to the script file to execute"
    $logFolder = read-host "Enter the path to a folder to output the logs to"
    $outputPath = $logFolder+"\output.output"
    $errorPath =  $logFolder+"\error.error"
    $timeoutPath =  $logFolder+"\timeout.timeout"
    $timeoutVal = 60000 
    $PSFolder = "C:\Windows\SysWOW64\WindowsPowerShell\v1.0"
    $AgentExec = "C:\Program Files (x86)\Microsoft Intune Management Extension\agentexecutor.exe"
    &$AgentExec -powershell  $scriptPath $outputPath $errorPath $timeoutPath $timeoutVal $PSFolder 0 0
    

Következő lépések

A profilok monitorozása és hibaelhárítása.