Intune-beheerextensie voor Windows

De Intune Management Extension (IME) is een installatieagent. De beheerextensie verbetert Het beheer van Windows-apparaten (MDM). De Intune-beheerextensie vormt een aanvulling op de standaardfunctie voor Windows MDM door geavanceerde mogelijkheden voor apparaatbeheer in te schakelen.

Opmerking

Zie PowerShell-scripts gebruiken op Windows 10/11-apparaten in Intune voor meer informatie over PowerShell-scripts.

Belangrijk

Als u uitgebreide functionaliteit en oplossingen voor fouten wilt ondersteunen, gebruikt u .NET Framework 4.7.2 of hoger met de Intune Management Extension op Windows-clients. Als een Windows-client een eerdere versie van de .NET Framework blijft gebruiken, blijft de Intune-beheerextensie werken. De .NET Framework 4.7.2 is beschikbaar vanaf Windows Update vanaf 10 juli 2018, die is opgenomen in Win10 1809 (RS5) en hoger. Houd er rekening mee dat meerdere versies van de .NET Framework versies naast elkaar kunnen bestaan op een apparaat.

Deze functie is van toepassing op:

• Windows 10 en hoger (met uitzondering van Windows 10 Home- en Windows-apparaten die in de S-modus worden uitgevoerd).

Opmerking

Zodra aan de vereisten voor Intune beheeruitbreiding is voldaan, wordt de Intune-beheerextensie automatisch geïnstalleerd wanneer een PowerShell-script of Win32-app, Microsoft Store-apps, instellingen voor aangepast nalevingsbeleid of proactieve herstelbewerkingen worden toegewezen aan de gebruiker of het apparaat. Zie vereisten voor Intune Beheerextensies voor meer informatie.

Vereisten

De Intune-beheerextensie heeft de volgende vereisten. Zodra hieraan is voldaan, wordt de Intune-beheerextensie automatisch geïnstalleerd wanneer een PowerShell-script of Win32-app wordt toegewezen aan de gebruiker of het apparaat.

• Apparaten met Windows 10 versie 1607 of hoger. Als het apparaat is ingeschreven met behulp van bulksgewijs automatische inschrijving, moeten apparaten Windows 10 versie 1709 of hoger worden uitgevoerd. De Intune-beheerextensie wordt niet ondersteund op Windows 10 in de S-modus, omdat de S-modus het uitvoeren van niet-store-apps niet toestaat.

• Apparaten die zijn gekoppeld aan Microsoft Entra ID, waaronder:

  • Microsoft Entra hybride gekoppeld: apparaten die zijn gekoppeld aan Microsoft Entra ID en ook gekoppeld aan on-premises Active Directory (AD). Zie Uw Microsoft Entra hybride join-implementatie plannen voor hulp.

  • Microsoft Entra geregistreerd/aan de werkplek toegevoegd (WPJ): apparaten die zijn geregistreerd in Microsoft Entra ID, raadpleegt u Workplace Join als een naadloze verificatie van de tweede factor voor meer informatie. Dit zijn doorgaans BYOD-apparaten (Bring Your Own Device) waarvoor een werk- of schoolaccount is toegevoegd via Instellingen>Accounts>Toegang tot werk of school.

• Apparaten die zijn ingeschreven bij Intune, waaronder:

  • Apparaten die zijn ingeschreven in een groepsbeleidsbeleid (GPO). Zie Een Windows-apparaat automatisch inschrijven met behulp van groepsbeleid voor hulp.

  • Apparaten die handmatig zijn ingeschreven bij Intune. Dit is wanneer:

    • Automatische inschrijving voor Intune is ingeschakeld in Microsoft Entra ID. Gebruikers melden zich aan bij apparaten met een lokaal gebruikersaccount en voegen het apparaat handmatig toe aan Microsoft Entra ID. Vervolgens melden ze zich aan bij het apparaat met hun Microsoft Entra-account.

    OF

    • De gebruiker meldt zich aan bij het apparaat met zijn Microsoft Entra-account en schrijft zich vervolgens in bij Intune.

  • Co-beheerde apparaten die gebruikmaken van Configuration Manager en Intune. Wanneer u Win32-apps installeert, controleert u of de workload Apps is ingesteld op Pilot Intune of Intune. PowerShell-scripts worden uitgevoerd, zelfs als de workload Apps is ingesteld op Configuration Manager. De Intune-beheerextensie wordt geïmplementeerd op een apparaat wanneer u een PowerShell-script op het apparaat richt. Het apparaat moet een Microsoft Entra ID of Microsoft Entra hybride gekoppeld apparaat zijn. En er moet Windows 10 versie 1607 of hoger worden uitgevoerd. Zie de volgende artikelen voor hulp:

    • Wat is co-beheer?
    • Workload client-apps
    • Configuration Manager-workloads overschakelen naar Intune

Opmerking

Zie Virtuele machines van Windows 10/11 gebruiken met Intune voor meer informatie over het gebruik van windows 10/11-VM's.

Informatie over de installatie van Intune-extensieagent

Voor apparaten die voldoen aan de vereisten, wordt de Intune-beheerextensie automatisch geïnstalleerd wanneer bepaalde functies worden toegewezen aan een gebruiker of apparaat. Installatie vindt meestal plaats wanneer de volgende functies zijn toegewezen:

• PowerShell-scripts
• Herstelbewerkingen
• Detectiescripts voor aangepaste naleving
• Win32-apps
• Eindpuntanalyse
• Externe hulp
• Beheerde installatieprogramma's in Intune
• Windows BIOS bijwerken met mdm-configuratiebeleid

Opmerking

Zie Service-informatie voor Microsoft Intune release-updates voor meer informatie over hoe de IME wordt geïmplementeerd en bijgewerkt.

De agent wordt geïnstalleerd op C:\ProgramData\Microsoft\IntuneManagementExtension\Logs indien van toepassing en wordt niet weergegeven in het startmenu op Windows-apparaten. De agent wordt weergegeven als IntuneManagementExtension onder Services in Taakbeheer wanneer deze wordt uitgevoerd op Windows-apparaten.

Intune-beheeruitbreiding

• De IME verifieert op de achtergrond met Intune-services voordat ze inchecken om toegewezen installaties voor het Windows-apparaat te ontvangen.
• De IME controleert meestal elke 8 uur op nieuwe of bijgewerkte installaties met Intune-services. Dit incheckproces is onafhankelijk van de MDM-check-in.

Handmatig een IME-check-in Intune-beheer starten vanaf een Windows-apparaat

Op een Windows-apparaat waarop de IME is geïnstalleerd, opent u Bedrijfsportal selecteert u Instellingen>synchroniseren. Hiermee initieert u een MDM-check-in en een IME-check-in.

U kunt ook Taakbeheer openen, de service IntuneManagementExtension zoeken, met de rechtermuisknop klikken en Opnieuw opstarten selecteren. De IntuneManagementExtension-service wordt onmiddellijk opnieuw gestart, waardoor een check-in wordt gestart met Intune.

Opmerking

De synchronisatieacties vanuit de app Instellingen (Windows 10 of hoger) of Apparaten in Microsoft Intune beheercentrum initiëren een MDM-check-in en forceren geen IME-check-in.

Intune-beheerextensie verwijderen

Er zijn verschillende voorwaarden die ertoe kunnen leiden dat de IME van het apparaat wordt verwijderd, bijvoorbeeld:

• Shell-scripts worden niet meer toegewezen aan het apparaat.
• Het Windows-apparaat wordt niet meer beheerd.
• De IME bevindt zich gedurende meer dan 24 uur in een onherstelbare status (apparaat-ontwaaktijd).

Veelvoorkomende problemen en oplossingen

Probleem: Intune beheerextensie wordt niet gedownload.

Mogelijke oplossingen:

• Het apparaat is niet gekoppeld aan Microsoft Entra ID. Zorg ervoor dat de apparaten voldoen aan de vereisten (in dit artikel).
• Er zijn geen PowerShell-scripts of Win32-apps toegewezen aan de groepen waartoe de gebruiker of het apparaat behoort.
• Het apparaat kan niet inchecken bij de Intune-service. Er is bijvoorbeeld geen toegang tot internet, geen toegang tot Windows Push Notification Services (WNS), enzovoort.
• Het apparaat bevindt zich in de S-modus. De Intune-beheerextensie wordt niet ondersteund op apparaten die in de S-modus worden uitgevoerd.

Als u wilt zien of het apparaat automatisch is ingeschreven, kunt u het volgende doen:

1. Ga naar Instellingen>Accounts>Toegang tot werk of school.
2. Selecteer de gekoppelde accountgegevens>.
3. Selecteer onder Geavanceerd diagnostisch rapport de optie Rapport maken.
4. Open de MDMDiagReport in een webbrowser.
5. Zoek naar de eigenschap MDMDeviceWithAAD . Als de eigenschap bestaat, wordt het apparaat automatisch ingeschreven. Als deze eigenschap niet bestaat, wordt het apparaat niet automatisch geregistreerd.

Automatische inschrijving van Windows inschakelen omvat de stappen voor het configureren van automatische inschrijving in Intune.

logboeken van Intune-beheerextensie

IME-logboeken op de clientcomputer bevinden zich doorgaans in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. U kunt CMTrace.exe gebruiken om deze logboekbestanden weer te geven.

Daarnaast kunt u het logboekbestand AppWorkload.log gebruiken om problemen met Win32-app-beheergebeurtenissen op de client op te lossen en te analyseren. Dit logboekbestand bevat alle logboekgegevens met betrekking tot app-implementatieactiviteiten die door de IME worden uitgevoerd.

IME-logboekbestanden

Logboekbestand	Beschrijving
IntuneManagementExtension.log	Dit is het hoofdlogboekbestand. Het bevat alle IME-check-ins, beleidsaanvragen, beleidsverwerking en rapportageactiviteiten.
AgentExecutor.log	Met dit bestand worden powerShell-scriptuitvoeringen bijgehouden (geïmplementeerd door Intune).
AppActionProcessor.log	Met dit bestand worden detectie- en toepasbaarheidscontroles voor toegewezen apps bijgehouden.
AppWorkload.log	Dit bestand helpt bij het oplossen en analyseren van win32-app-implementatieactiviteiten.
ClientCertCheck.log	Met dit bestand worden certificaatcontroles van de apparaatclient bijgehouden.
ClientHealth.log	Met dit bestand wordt de status van de Intune-beheerextensie bijgehouden.
DeviceHealthMonitoring.log	Dit bestand houdt de status bij van hardwaregereedheid, apparaatinventaris en andere gegevensverzamelaars.
HealthScripts.log	Dit bestand houdt de status bij van herstelbewerkingen die volgens een regelmatig schema worden uitgevoerd.
Sensor.log	Met dit bestand wordt de status van de gegevensverzamelaar voor eindpuntanalyse bijgehouden, waaronder opstartprestaties, app-betrouwbaarheid en meer.
Win32AppInventory.log	Met dit bestand wordt de status van de app-inventarisverzamelaar bijgehouden.

Volgende stappen

• De app die u hebt gemaakt, wordt weergegeven in de lijst met apps. U kunt deze nu toewijzen aan de groepen die u kiest. Zie Apps toewijzen aan groepen met Microsoft Intune voor meer informatie.
• Meer informatie over de manieren waarop u de eigenschappen en toewijzing van uw app kunt bewaken. Zie App-gegevens en -toewijzingen bewaken met Microsoft Intune voor meer informatie.
• Meer informatie over de context van uw app vindt u in Intune. Zie Overzicht van de levenscyclus van Microsoft Intune mobile device management (MDM) voor meer informatie.