Delen via


Intune-beheerextensie voor Windows

De Intune Management Extension (IME) is een installatieagent die Windows Device Management (MDM) verbetert. Het vormt een aanvulling op de standaard windows MDM-functie door geavanceerde mogelijkheden voor apparaatbeheer in te schakelen.

Belangrijk

Als u uitgebreide functionaliteit en oplossingen voor fouten wilt ondersteunen, gebruikt u .NET Framework 4.7.2 of hoger met de Intune Management Extension op Windows-clients. Als een Windows-client een eerdere versie van de .NET Framework gebruikt, werkt de Intune Management Extension nog steeds. De .NET Framework 4.7.2 is vanaf 10 juli 2018 beschikbaar vanaf Windows Update en is opgenomen in Windows 10 versie 1809 (RS5) en hoger. Meerdere versies van de .NET Framework naast elkaar kunnen bestaan op een apparaat.

Deze functie is van toepassing op:

  • Windows 10 en hoger (met uitzondering van Windows 10 Home- en Windows-apparaten die in de S-modus worden uitgevoerd).

Opmerking

Nadat aan de vereisten voor Intune beheeruitbreiding is voldaan, wordt de extensie automatisch geïnstalleerd wanneer u een van de volgende functies toewijst aan de gebruiker of het apparaat:

  • Een PowerShell-script
  • Een Win32-app
  • Een Microsoft Store-app
  • Een aangepaste instelling voor nalevingsbeleid
  • Een proactief herstel

Zie vereisten voor Intune Beheerextensie voor meer informatie.

Vereisten

De Intune-beheerextensie heeft de volgende vereisten. Wanneer aan de vereisten wordt voldaan, wordt de Intune-beheerextensie automatisch geïnstalleerd wanneer een PowerShell-script of Win32-app wordt toegewezen aan de gebruiker of het apparaat.

  • Apparaten met Windows 10 versie 1607 of hoger. Als het apparaat is ingeschreven via automatische inschrijving, moet het Windows 10 versie 1709 of hoger worden uitgevoerd. De Intune-beheerextensie biedt geen ondersteuning voor Windows 10 in de S-modus, omdat de S-modus het uitvoeren van niet-store-apps niet toestaat.

  • Apparaten die zijn gekoppeld aan Microsoft Entra ID, waaronder:

  • Apparaten die zijn ingeschreven bij Intune, waaronder:

    • Apparaten die zijn ingeschreven met groepsbeleid (GPO). Zie Een Windows-apparaat automatisch inschrijven met behulp van groepsbeleid voor meer informatie.

    • Apparaten die handmatig zijn ingeschreven in Intune. Dit gebeurt wanneer:

      • Automatische inschrijving voor Intune is ingeschakeld in Microsoft Entra ID. Gebruikers melden zich aan bij apparaten met een lokaal gebruikersaccount en voegen het apparaat handmatig toe aan Microsoft Entra ID. Vervolgens melden ze zich aan bij het apparaat met hun Microsoft Entra-account.

      OF

      • Gebruikers melden zich bij het apparaat aan met hun Microsoft Entra-account en registreren zich vervolgens bij Intune.
    • Co-beheerde apparaten met behulp van Configuration Manager en Intune. Wanneer u Win32-apps installeert, stelt u de workload Apps in op Pilot Intune of Intune. PowerShell-scripts worden zelfs uitgevoerd als de workload Apps is ingesteld op Configuration Manager. De Intune-beheerextensie wordt geïmplementeerd op een apparaat wanneer u een PowerShell-script op het apparaat richt. Het apparaat moet Microsoft Entra ID of Microsoft Entra hybride gekoppeld zijn en Windows 10 versie 1607 of hoger worden uitgevoerd. Zie de volgende artikelen voor hulp:

  • Schakel voor apparaten achter firewalls en proxyservers communicatie in voor Intune. Zie Netwerkvereisten voor PowerShell-scripts en Win32-apps voor meer informatie.

Opmerking

Zie Windows 10 virtuele machines gebruiken met Microsoft Intune voor meer informatie over het gebruik van Windows 10 of Windows 11 virtuele machines.

Informatie over de installatie van Intune-extensieagent

Voor apparaten die aan de vereisten voldoen, wordt de Intune-beheerextensie automatisch geïnstalleerd wanneer bepaalde functies worden toegewezen aan een gebruiker of apparaat. Installatie vindt meestal plaats wanneer de volgende functies zijn toegewezen:

Opmerking

Zie Service-informatie voor Microsoft Intune release-updates voor meer informatie over hoe de IME wordt geïmplementeerd en bijgewerkt.

De agent wordt geïnstalleerd op C:\ProgramData\Microsoft\IntuneManagementExtension\Logs indien van toepassing en wordt niet weergegeven in het startmenu op Windows-apparaten. De agent wordt weergegeven als IntuneManagementExtension onder Services in Taakbeheer wanneer deze wordt uitgevoerd op Windows-apparaten.

Intune-beheeruitbreiding

  • De IME verifieert op de achtergrond met Intune-services voordat ze inchecken om toegewezen installaties voor het Windows-apparaat te ontvangen.
  • De IME controleert ongeveer elke 8 uur op nieuwe of bijgewerkte installaties met Intune services. Dit incheckproces is onafhankelijk van de MDM-check-in.

Handmatig een IME-check-in Intune-beheer starten vanaf een Windows-apparaat

Op een Windows-apparaat waarop de IME is geïnstalleerd, opent u Bedrijfsportal selecteert u Instellingen>synchroniseren. Hiermee initieert u een MDM-check-in en een IME-check-in.

U kunt ook Taakbeheer openen, de service IntuneManagementExtension zoeken, met de rechtermuisknop klikken en Opnieuw opstarten selecteren. De IntuneManagementExtension service wordt onmiddellijk opnieuw gestart en er wordt een check-in gestart met Intune.

Opmerking

De synchronisatieacties vanuit de app Instellingen (Windows 10 of hoger) of Apparaten in Microsoft Intune beheercentrum initiëren een MDM-check-in, maar forceren geen IME-check-in.

Intune-beheerextensie verwijderen

De IME wordt onder de volgende voorwaarden van het apparaat verwijderd:

  • Shell-scripts worden niet meer toegewezen aan het apparaat.
  • Het Windows-apparaat wordt niet meer beheerd.
  • De IME bevindt zich gedurende meer dan 24 uur in een onherstelbare status (apparaat-ontwaaktijd).

Veelvoorkomende problemen en oplossingen

Probleem: Intune-beheerextensie wordt niet gedownload

Mogelijke oplossingen:

  • Het apparaat is niet gekoppeld aan Microsoft Entra ID. Zorg ervoor dat de apparaten voldoen aan de vereisten in dit artikel.
  • Er zijn geen PowerShell-scripts of Win32-apps toegewezen aan de groepen waartoe de gebruiker of het apparaat behoort.
  • Het apparaat kan niet inchecken bij de Intune-service. Er is bijvoorbeeld geen internettoegang of geen toegang tot Windows Push Notification Services (WNS).
  • Het apparaat bevindt zich in de S-modus. De Intune-beheerextensie biedt geen ondersteuning voor apparaten die in de S-modus worden uitgevoerd.
  • Als de proxy op Windows 10 apparaten alleen is geconfigureerd op gebruikersniveau (en niet machinebreed), moet u ervoor zorgen dat een gebruiker is aangemeld bij het apparaat. U kunt ook gebruiken bitsadmin /util /setieproxy om de proxy handmatig te configureren voor de BITS (Background Intelligent Transfer Service). Zie bitsadmin util en setieproxy voor meer informatie.

Controleren of het apparaat automatisch wordt ingeschreven:

  1. Ga naar Instellingen>Accounts>Toegang tot werk of school.
  2. Selecteer de gekoppelde accountgegevens>.
  3. Selecteer onder Geavanceerd diagnostisch rapport de optie Rapport maken.
  4. Open de MDMDiagReport in een webbrowser.
  5. Zoek naar de eigenschap MDMDeviceWithAAD . Als de eigenschap bestaat, wordt het apparaat automatisch ingeschreven. Als deze eigenschap niet bestaat, wordt het apparaat niet automatisch geregistreerd.

Automatische inschrijving van Windows inschakelen omvat de stappen voor het configureren van automatische inschrijving in Intune.

logboeken van Intune-beheerextensie

IME-logboeken op de clientcomputer bevinden zich doorgaans in C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Gebruik CMTrace.exe om deze logboekbestanden weer te geven.

Schermopname of voorbeeld van cmtrace-agentlogboeken in Microsoft Intune

Gebruik daarnaast het logboekbestand AppWorkload.log om win32-app-beheergebeurtenissen op de client op te lossen en te analyseren. Dit logboekbestand bevat alle logboekgegevens met betrekking tot app-implementatieactiviteiten die door de IME worden uitgevoerd.

IME-logboekbestanden

Logboekbestand Beschrijving
IntuneManagementExtension.log Het hoofdlogboekbestand. Het bevat alle IME-check-ins, beleidsaanvragen, beleidsverwerking en rapportageactiviteiten.
AgentExecutor.log Houdt uitvoeringen van PowerShell-scripts bij (geïmplementeerd door Intune).
AppActionProcessor.log Hiermee worden detectie- en toepasbaarheidscontroleacties bijgehouden voor toegewezen apps.
AppWorkload.log Helpt bij het oplossen en analyseren van win32-app-implementatieactiviteiten.
ClientCertCheck.log Houdt certificaatcontroles van apparaatclients bij.
ClientHealth.log Houdt de status van de Intune-beheerextensie bij.
DeviceHealthMonitoring.log Houdt de status bij van hardwaregereedheid, apparaatinventaris en andere gegevensverzamelaars.
HealthScripts.log Houdt de status bij van herstelbewerkingen die volgens een regelmatig schema worden uitgevoerd.
Sensor.log Houdt de status van de gegevensverzamelaar voor eindpuntanalyse bij, inclusief opstartprestaties, app-betrouwbaarheid en meer.
Win32AppInventory.log Houdt de status van de app-inventarisverzamelaar bij.

Volgende stappen