Coletar diagnóstico de um dispositivo gerenciado Intune

  • Artigo

A ação remota Coletar diagnóstico permite coletar e baixar logs de dispositivo gerenciados sem interromper o usuário. Somente locais nonuser e tipos de arquivo são acessados.

Observação

Intune logs da Proteção de Aplicativos estão disponíveis para download na guia diagnóstico no painel Solução de problemas. No entanto, os logs de aplicativos remotos M365 só estão disponíveis para seus engenheiros de suporte específicos.

Os dados são armazenados em sistemas de suporte da Microsoft e não estão sujeitos a Intune políticas ou proteções de gerenciamento de dados. Alguns aplicativos podem coletar e armazenar dados usando sistemas diferentes de Intune.

Coletar diagnóstico para aplicativos remotos do Microsoft 365

O diagnóstico de aplicativo remoto do Microsoft 365 permite que Intune administradores solicitem Intune logs de proteção de aplicativo e logs de aplicativos do Microsoft 365 (quando aplicável) diretamente do console Intune. Os administradores podem encontrar esse relatório no centro de administração Microsoft Intune selecionando solução de problemas + suporte>Para solucionar problemas, selecione> umresumo>do usuário > Proteção de aplicativos*. Esse recurso é exclusivo para aplicativos que estão em Intune gerenciamento de proteção de aplicativo. Se houver suporte, os logs específicos do aplicativo serão coletados e armazenados em soluções de armazenamento dedicadas para cada aplicativo.

Importante

Para dispositivos Android, se o Portal da Empresa não for conectado pelo usuário, os logs não estarão disponíveis para download no portal Intune.

O diagnóstico leva aproximadamente 30 minutos para ser entregue do dispositivo de um usuário final. O usuário pode ser necessário para fechar e reabrir o aplicativo se solicitado para um pin ao abrir o aplicativo para a solicitação diagnóstico solicitar.

Observação

Atualmente, os logs de proteção do aplicativo Intune para iOS não estarão disponíveis para download. No entanto, Intune equipes de suporte terão acesso a esses logs.

Coletar diagnósticos de um dispositivo Windows

A ação remota Coletar diagnóstico também pode ser configurada para coletar e carregar automaticamente logs de dispositivos Windows após uma falha do Autopilot em um dispositivo. Quando ocorre uma falha no Autopilot, os logs são processados no dispositivo com falha e, em seguida, são capturados e carregados automaticamente para Intune. Um dispositivo pode capturar automaticamente um conjunto de logs por dia.

A coleção de diagnóstico é armazenada por 28 dias e, depois disso, é excluída. Cada dispositivo pode conter até 10 coleções armazenadas ao mesmo tempo.

O recurso Coletar diagnósticos também está disponível como uma Ação do dispositivo em massa que coleta logs de diagnóstico de até 25 dispositivos Windows por vez.

Observação

O pessoal da Microsoft pode acessar o dispositivo diagnóstico para ajudar na solução de problemas e na resolução de incidentes.

Requisitos para dispositivos Windows

A ação remota Coletar diagnósticos tem suporte para:

  • Intune ou dispositivos cogerenciados
  • Windows 10 versão 1909 e posterior
  • Windows 11
  • Microsoft HoloLens 2 2004 e posterior
  • Administradores globais, Intune administradores ou uma função com permissões Coletar diagnóstico (em tarefas remotas) e ler (em políticas de conformidade do dispositivo)
  • Dispositivos de propriedade corporativa
  • Dispositivos online e capazes de se comunicar com o serviço durante diagnóstico

Observação

Para diagnóstico poder carregar com êxito do cliente, verifique se as seguintes URLs não estão bloqueadas na rede:lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

Coletar diagnósticos

Para usar a ação Coletar diagnósticos:

  1. Entre no centro de administração do Microsoft Intune
  2. Navegue até dispositivos>Windows> selecione um dispositivo com suporte.
  3. Na página Visão geral do dispositivo, selecione ...>Colete diagnóstico>Yes. Uma notificação pendente é exibida na página Visão geral do dispositivo.
  4. Para ver o status da ação, selecione Monitor de diagnóstico do dispositivo.
  5. Após a conclusão da ação, selecione Baixar na linha para a ação >Sim.
  6. O arquivo zip de dados é adicionado à sua bandeja de download e você pode salvá-lo no computador.

Coleta de diagnóstico na falha do Autopilot

Para a coleção autopilot diagnóstico, nenhuma ação adicional é necessária. Os diagnóstico do Autopilot são capturados automaticamente quando os dispositivos experimentam uma falha desde que o recurso de diagnóstico de captura automática do Autopilot esteja habilitado.

Para exibir o diagnóstico coletado após uma falha do Autopilot:

  1. Entre no centro de administração do Microsoft Intune
  2. Navegue até Dispositivos>Windows.
  3. Selecione um dispositivo.
  4. Selecione Download de> Diagnóstico.
  5. O arquivo zip de dados é adicionado à sua bandeja de download e você pode salvá-lo no computador.

Dados coletados

Embora não haja nenhuma intenção de coletar dados pessoais, diagnóstico pode incluir informações identificáveis do usuário, como nome de usuário ou dispositivo.

Se você instalou KB5011543 em Windows 10 ou KB5011563 no Windows 11, o formato do arquivo zip será mais simples, incluindo:

  • Uma estrutura achatada em que os logs coletados são nomeados para corresponder aos dados coletados
  • Quando vários arquivos são coletados, uma pasta é criada.

A lista a seguir está na mesma ordem que o zip de diagnóstico. Cada coleção contém os seguintes dados:

Chaves do Registro:

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

Comandos:

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Visualizadores de Eventos:

  • Application
  • Microsoft-Windows-AppLocker/EXE and DLL
  • Microsoft-Windows-AppLocker/MSI and Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Firewall do Microsoft-Windows-Windows com Segurança/Firewall Avançado
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activity/Operational
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • Configurar
  • Sistema

Arquivos:

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

Desabilitar diagnóstico do dispositivo

A ação remota Coletar diagnóstico está habilitada por padrão. Você pode desabilitar a ação remota Coletar diagnóstico para todos os dispositivos seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Intune

  2. Navegue até a administração> do locatáriodiagnóstico de dispositivo.

  3. Altere o controle em Dispositivo diagnóstico estão disponíveis para dispositivos gerenciados por empresas que executam Windows 10, versão 1909 e posterior ou Windows 11. paraDesabilitado.

    Captura de tela que mostra o painel Dispositivo diagnóstico com o controle realçado para dispositivo diagnóstico definido como Desabilitado.

Desabilitar a coleção automática do Autopilot de diagnóstico

A captura automática de diagnóstico do Autopilot está habilitada por padrão. Você pode desabilitar a captura automática de diagnóstico do Autopilot seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Intune

  2. Navegue até a administração> do locatáriodiagnóstico de dispositivo.

  3. Altere o controle em Capturar automaticamente diagnóstico quando os dispositivos tiverem uma falha durante o processo do Autopilot Windows 10 na versão 1909 ou posterior e Windows 11. O diagnóstico pode incluir informações identificáveis pelo usuário, como nome de usuário ou dispositivo (versão prévia). para Desabilitado.

    Captura de tela que mostra o painel Dispositivo diagnóstico com o controle realçado para a coleção de diagnóstico automática do Autopilot definida como Desabilitada.

Problemas conhecidos com o diagnóstico de dispositivo

Atualmente, há dois problemas principais que podem causar falha no diagnóstico do dispositivo:

  1. Um tempo limite pode ocorrer em dispositivos sem patches KB4601315 ou KB4601319. Esses patches contêm uma correção para o CSP DiagnosticLog, que impede o tempo limite durante o carregamento. Após a instalação da atualização, reinicie o dispositivo.
  2. O dispositivo não pôde receber a ação do dispositivo em uma janela de 24 horas. Se o dispositivo estiver offline ou desativado, ele poderá causar uma falha.