Risoluzione dei problemi relativi all'analisi degli endpoint
Le sezioni seguenti possono essere usate per risolvere i problemi che potrebbero verificarsi.
Problemi noti
Le impostazioni client personalizzate potrebbero indicare erroneamente che la raccolta dati di Analisi degli endpoint è abilitata
Quando si abilita il caricamento dei dati di Analisi endpoint in Configuration Manager, la raccolta dati viene abilitata automaticamente nelle impostazioni client predefinite della gerarchia. In seguito, le impostazioni client personalizzate preesistenti che includono il gruppo di impostazioni Agente computer potrebbero avere la raccolta dati Abilita analisi endpoint impostata su Sì nella console di Configuration Manager, ma questa impostazione potrebbe non essere stata distribuita nei dispositivi di destinazione.
Dispositivi interessati: Questo problema influisce sugli oggetti impostazioni client personalizzati che includono il gruppo di impostazioni dell'agente computer e sono stati creati e distribuiti prima dell'onboarding in Analisi degli endpoint. Se si visualizzano le impostazioni client risultanti per i dispositivi di destinazione di un'impostazione client personalizzata di questo tipo, è possibile che la raccolta di dati di Analisi degli endpoint non sia abilitata.
Mitigazione: Per configurare correttamente i dispositivi regolati dalle impostazioni client personalizzate per Analisi endpoint, impostare manualmente l'impostazione Abilita raccolta dati di Analisi endpoint su No e selezionare OK per chiudere le impostazioni. Riapri quindi le impostazioni client personalizzate e ripristina l'impostazione Abilita raccolta dati di Analisi endpoint su Sì e seleziona OK. Questa modifica forza l'aggiornamento delle impostazioni client personalizzate nei dispositivi di destinazione.
Codice di errore -2016281112 (correzione non riuscita)
I clienti possono visualizzare gli errori di assegnazione del profilo, in cui i dispositivi interessati mostrano un codice di errore se -2016281112 (Remediation failed)
non è possibile assegnare correttamente i criteri di raccolta dati di Intune . Le informazioni dettagliate sulle prestazioni di avvio sono disponibili solo per i dispositivi che eseguono Windows 10 versione 1903 o successiva di Enterprise, Education o Pro. Il canale di manutenzione a lungo termine (LTSC) non è supportato.
- Windows 10 Pro versioni 1903 e 1909 richiedono KB4577062.
- Windows 10 Pro versioni 2004 e 20H2 richiedono KB4577063.
Impossibile elaborare l'inventario hardware
A volte l'inventario hardware per i dispositivi non viene elaborato dopo l'abilitazione dell'analisi degli endpoint. Errori simili a quelli illustrati qui possono essere visualizzati nel file Dataldr.log:
Begin transaction: Machine=<machine>
*** [23000][2627][Microsoft][SQL Server Native Client 11.0][SQL Server]Violation of PRIMARY KEY constraint 'BROWSER_USAGE_HIST_PK'. Cannot insert duplicate key in object 'dbo.BROWSER_USAGE_HIST'. The duplicate key value is (XXXX, Y). : dbo.dBROWSER_USAGE_DATA
ERROR - SQL Error in
ERROR - is NOT retyrable.
Rollback transaction: XXXX
Mitigazione: Per risolvere questo problema, disabilitare la raccolta della classe di inventario hardware Utilizzo browser (SMS_BrowerUsage). Questa classe non è attualmente usata da Endpoint Analytics e non viene trasmessa a Microsoft.
Requisiti di script per le correzioni
Se l'opzione Imponi controllo firma script è abilitata nella pagina Impostazioni per la creazione di un pacchetto di script, assicurarsi che gli script siano codificati nella distinta base UTF-8 non UTF-8.
Risoluzione dei problemi relativi alle prestazioni di registrazione e avvio dei dispositivi
Se nella pagina di panoramica viene visualizzato un punteggio di prestazioni di avvio pari a zero con un banner che mostra che è in attesa di dati o se la scheda prestazioni del dispositivo delle prestazioni di avvio mostra un numero di dispositivi inferiore al previsto, è possibile eseguire alcuni passaggi per risolvere il problema.
Prima di tutto, assicurarsi che i dispositivi soddisfino i prerequisiti:
- Prerequisiti per i dispositivi gestiti di Intune
- Prerequisiti per i dispositivi gestiti di Configuration Manager
- Prerequisiti per le correzioni
Per i dispositivi in Intune o co-gestiti configurati con i criteri di raccolta dati di Intune:
- Assicurarsi che i criteri di raccolta dati di Intune siano destinati a tutti i dispositivi che si desidera visualizzare i dati sulle prestazioni. Esaminare la scheda di assegnazione per assicurarsi che sia assegnata al set di dispositivi previsto.
- Cercare i dispositivi che non sono stati configurati correttamente per la raccolta dati. È anche possibile visualizzare queste informazioni nella pagina di panoramica dei profili.
- Esiste un problema noto per cui i clienti possono visualizzare errori di assegnazione del profilo, in cui i dispositivi interessati mostrano un codice di errore di
-2016281112 (Remediation failed)
. Per altre informazioni, vedere la sezione Codice di errore -2016281112 .
- Esiste un problema noto per cui i clienti possono visualizzare errori di assegnazione del profilo, in cui i dispositivi interessati mostrano un codice di errore di
- I dispositivi configurati correttamente per la raccolta dati devono essere riavviati dopo l'abilitazione della raccolta dati ed è quindi necessario attendere fino a 25 ore dopo la visualizzazione del dispositivo nella scheda prestazioni del dispositivo. Vedere Flusso di dati
- Se il dispositivo è stato configurato correttamente per la raccolta dei dati, è stato riavviato in un secondo momento e dopo 25 ore non viene ancora visualizzato, il dispositivo potrebbe non essere in grado di comunicare con gli endpoint necessari. Vedere Configurazione del proxy.
Per i dispositivi gestiti da Configuration Manager:
- Assicurarsi che tutti i dispositivi che si desidera visualizzare i dati sulle prestazioni siano registrati.
- Controllare se il caricamento dei dati da Configuration Manager al servizio gateway ha avuto esito positivo esaminando i messaggi di errore nel file UXAnalyticsUploadWorker.log nel ruolo del punto di connessione del servizio di hosting del sistema del sito.
- Controllare se un amministratore dispone di sostituzioni personalizzate per le impostazioni client. Nella console di Configuration Manager passare all'area di lavoro Dispositivi , individuare i dispositivi di destinazione e nel gruppo Impostazioni client selezionare le impostazioni client risultanti. Se l'analisi degli endpoint è disabilitata, è presente un'impostazione client di override. Trovare le impostazioni client di override e abilitarne l'analisi degli endpoint.
- Controllare se i dispositivi client mancanti inviano dati al server del sito esaminando il file SensorEndpoint.log disponibile in nei
C:\Windows\CCM\Logs\
dispositivi client. Cercare Messaggi inviati dal messaggio . - Controllare e risolvere eventuali errori che si verificano durante l'elaborazione degli eventi di avvio esaminando il file SensorManagedProvider.log disponibile nei
C:\Windows\CCM\Logs\
dispositivi client. - I dispositivi client richiedono un riavvio per abilitare completamente tutte le analisi.
Configurazione del proxy
Se l'ambiente utilizza un server proxy, configurarlo in modo da consentire gli endpoint seguenti:
Importante
Per la privacy e l'integrità dei dati, Windows verifica la presenza di un certificato SSL Microsoft (associazione del certificato) durante la comunicazione con gli endpoint di condivisione dei dati funzionali richiesti. L'intercettazione e l'ispezione SSL non sono possibili. Per usare Analisi degli endpoint, escludere questi endpoint dall'ispezione SSL.
Endpoint necessari per i dispositivi gestiti da Configuration Manager
I dispositivi gestiti da Configuration Manager inviano i dati a Intune tramite il connettore sul ruolo Configuration Manager e non hanno bisogno di accedere direttamente al cloud pubblico Microsoft.
Endpoint | Funzione |
---|---|
https://graph.windows.net |
Usato per recuperare automaticamente le impostazioni quando si collega la gerarchia a Analisi degli endpoint nel ruolo del server di Configuration Manager. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito. |
https://*.manage.microsoft.com |
Usato per sincronizzare la raccolta di dispositivi e i dispositivi con Analisi degli endpoint solo nel ruolo del server di Configuration Manager. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito. |
Endpoint necessari per i dispositivi gestiti da Intune
Per registrare i dispositivi per Analisi degli endpoint, è necessario inviare i dati funzionali richiesti al cloud pubblico Microsoft. Endpoint Analytics usa il client Windows e il componente Esperienze utente connesse e telemetria di Windows Server (DiagTrack) per raccogliere i dati dai dispositivi gestiti da Intune. Assicurarsi che il servizio Esperienze utente connesse e telemetria nel dispositivo sia in esecuzione.
Endpoint | Funzione |
---|---|
https://*.events.data.microsoft.com |
Usato dai dispositivi gestiti da Intune per inviare i dati funzionali richiesti all'endpoint di raccolta dati di Intune. |
Autenticazione del server proxy
Se l'organizzazione usa l'autenticazione del server proxy per l'accesso a Internet, assicurarsi che non blocchi i dati a causa dell'autenticazione. Se il proxy non consente ai dispositivi di inviare questi dati, non verranno visualizzati in Analisi degli endpoint.
Bypass (scelta consigliata)
Configurare i server proxy in modo che non richiedano l'autenticazione proxy per il traffico verso gli endpoint di condivisione dati. Questa opzione è la soluzione più completa. Funziona per tutte le versioni di Windows 10 o versioni successive.
Autenticazione proxy utente
Configurare i dispositivi per l'uso del contesto dell'utente connesso per l'autenticazione proxy. Questo metodo richiede le configurazioni seguenti:
I dispositivi hanno l'aggiornamento qualitativo corrente per una versione supportata di Windows
Configurare il proxy a livello di utente (proxy WinINET) nelle impostazioni proxy nel gruppo Rete & Internet di Impostazioni di Windows. È anche possibile usare il pannello di controllo Opzioni Internet legacy.
Assicurarsi che gli utenti dispongano dell'autorizzazione proxy per raggiungere gli endpoint di condivisione dati. Questa opzione richiede che i dispositivi dispongano di utenti della console con autorizzazioni proxy, quindi non è possibile usare questo metodo con i dispositivi headless.
Importante
L'approccio di autenticazione del proxy utente non è compatibile con l'uso di Microsoft Defender per endpoint. Questo comportamento è dovuto al fatto che questa autenticazione si basa sulla chiave del Registro di sistema DisableEnterpriseAuthProxy impostata su 0
, mentre Microsoft Defender per endpoint richiede che sia impostata su 1
. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy del computer in Microsoft Defender per endpoint.
Autenticazione del proxy del dispositivo
Questo approccio supporta gli scenari seguenti:
I dispositivi headless, in cui nessun utente accede o gli utenti del dispositivo non hanno accesso a Internet
Proxy autenticati che non usano l'autenticazione Windows-Integrated
Se si usa anche Microsoft Defender per endpoint
Questo approccio è il più complesso perché richiede le configurazioni seguenti:
Assicurarsi che i dispositivi possano raggiungere il server proxy tramite WinHTTP nel contesto di sistema locale. Usare una delle opzioni seguenti per configurare questo comportamento:
Riga di comando
netsh winhttp set proxy
Protocollo WPAD (Web Proxy AutoDiscovery)
Proxy trasparente
Configurare il proxy WinINET a livello di dispositivo usando l'impostazione dei criteri di gruppo seguente: Impostare le impostazioni proxy per computer (anziché per utente) (ProxySettingsPerUser =
1
)Connessione indirizzata o che usa NAT (Network Address Translation)
Configurare i server proxy per consentire agli account computer in Active Directory di accedere agli endpoint dati. Questa configurazione richiede che i server proxy supportano l'autenticazione Windows-Integrated.
Domande frequenti
Se i dispositivi sono co-gestiti, è consigliabile registrarli tramite Intune, Configuration Manager o entrambi?
È consigliabile usare Intune per registrare i dispositivi co-gestiti idonei. I dispositivi che non soddisfano i requisiti del dispositivo per la registrazione di Intune (ad esempio i dispositivi Windows Home o i dispositivi che eseguono versioni precedenti di Windows) possono essere registrati tramite Configuration Manager. La logica di deduplicazione nel back-end impedisce che i dispositivi registrati tramite Intune e Configuration Manager vengano visualizzati più volte nel portale di Analisi degli endpoint.
I dati di Analisi degli endpoint verranno migrati se si sposta il tenant di Intune in una posizione del tenant diversa?
Se si esegue la migrazione del tenant di Intune in una posizione diversa, tutti i dati nella soluzione di analisi degli endpoint al momento della migrazione andranno persi. Poiché gli endpoint segnalano continuamente l'analisi degli endpoint, tutti gli eventi che si verificano dopo la migrazione vengono caricati automaticamente nel nuovo percorso del tenant e i report iniziano a ripopolare, presupponendo che i dispositivi rimangano registrati correttamente.
Perché gli script vengono chiusi con un codice 1?
Gli script terminano con un codice 1 per segnalare a Intune che deve essere eseguita la correzione. In questo caso, uscire da uno script di rilevamento con 1 significa che è vero che è necessaria la correzione. Molti pacchetti di script eseguiti esclusivamente in CM possono mostrare la conformità, ma uscire con un codice 1. Per questi script, uscire con un codice 1 non è qualcosa di allarmante, ma è possibile verificare che il dispositivo venga corretto.
Perché lo script Aggiorna criteri di gruppo non aggiornati è stato restituito con errore 0x87D00321?
0x87D00321 è un errore di timeout di esecuzione dello script. Questo errore si verifica in genere con i computer connessi in remoto. Una potenziale mitigazione potrebbe essere la distribuzione solo in una raccolta dinamica di computer con connettività di rete interna.
Qual è il limite di dimensioni di output per gli script di correzione?
Il limite massimo consentito per le dimensioni di output per gli script di correzione è di 2048 caratteri.
Passaggi successivi
Usare Le correzioni per risolvere i problemi di supporto comuni prima che gli utenti finali notano i problemi.