Configuration Manager 中的管理见解
适用于: Configuration Manager(current branch)
配置管理器中的管理见解提供与你的环境有关的当前状态的信息。 该信息基于对站点数据库中数据的分析。 洞见可帮助你更好地了解你的环境,并根据洞见采取行动。
查看管理见解
若要查看见解,你的帐户需要对网站对象具有“读取”权限。
在 Configuration Manager 控制台中,转到 “管理 ”工作区,展开“ 管理见解”,然后选择“ 所有见解”。
注意
选择“ 管理见解 ”节点时,会显示 “管理见解”仪表板。
打开要查看的管理见解组名称。
在功能区中,选择“ 显示见解”。
以下四个选项卡可供查看:
所有规则:提供所选组的完整见解列表。
完成:列出无需执行任何操作的见解。
正在进行:显示部分(但不是全部)先决条件已完成的见解。
所需操作:此选项卡列出了需要你采取行动的见解。 选择“ 更多详细信息 ”以显示需要操作的特定项。
“ 先决条件 ”窗格列出了运行所选见解所需的任何必需项。
例如,以下屏幕截图显示了云服务组的“所有规则”选项卡的示例:
若要查看详细信息,请选择一个见解,然后选择“ 更多详细信息”。
运营
站点每周重新评估管理见解的适用性。 若要手动重新评估见解,请右键单击该见解,然后选择“ 重新评估”。
管理见解的日志文件在站点服务器上 SMS_DataEngine.log 。
一些见解让你可以采取行动。 选择见解,选择 “更多详细信息”,然后选择“ 执行操作”(如果可用)。 根据见解,此操作具有以下行为之一:
在控制台中自动导航到可在其中执行进一步操作的节点。 例如,如果管理见解建议更改客户端设置,则执行操作将导航到 “客户端设置” 节点。 然后,通过修改默认或自定义客户端设置对象执行进一步操作。
导航到基于查询的筛选视图。 例如,对空集合见解执行操作只会在集合列表中显示这些集合。 然后采取进一步操作,例如删除集合或修改其成员身份规则。
管理见解仪表板
选择 “Management Insights ”节点以显示图形仪表板。 此仪表板显示见解状态的概述,以便更轻松地显示进度。
使用仪表板顶部的以下筛选器来优化视图:
- 显示已完成
- 可选
- 建议
- 严重
仪表板包含以下磁贴:
管理见解索引:跟踪管理见解的总体进度。 索引是加权平均值。 关键见解最有价值。 此索引为可选见解提供最小权重。
管理见解组:显示每个组中见解的百分比,并遵循筛选器。 选择一个组以向下钻取到此组中的特定见解。
管理见解优先级:按优先级显示见解的百分比,并遵循筛选器。
前 10 个适用的见解规则:包含优先级和状态的见解表。 使用表顶部的 “筛选器” 字段来匹配任何可用列中的字符串。 仪表板按以下顺序对表进行排序:
- 状态:需要操作、已完成、未知
- 优先级:关键、建议、可选
- 上次更改:顶部较旧的日期
组和见解
见解组织到以下管理见解组中:
注意
您的网站可能不会显示以下所有组和见解。 当你已为建议配置站点时,某些见解不会显示。
应用程序
应用程序管理的见解。
- 没有部署或引用的应用程序:列出环境中没有活动部署或引用的应用程序。 引用包括依赖项、任务序列和虚拟环境。 此见解可帮助你查找和删除未使用的应用程序,以简化控制台中显示的应用程序列表。 有关详细信息,请参阅 部署应用程序。
云服务
帮助你与许多云服务集成,从而支持对设备进行新式管理。
评估共同管理就绪情况:帮助你了解启用共同管理所需的步骤。 此见解具有先决条件。 有关详细信息,请参阅 共同管理概述。
设备未上传到Microsoft Entra ID:此见解列出了站点尚未上传到 Microsoft Entra ID 的设备,因为你尚未为 HTTPS 配置它。 配置 增强型 HTTP,或为 HTTPS 启用至少一个管理点。 如果已为站点配置了 HTTPS 通信,则不会显示此见解。
启用云管理网关:云管理网关 (CMG) 提供了一种通过 Internet 管理 Configuration Manager 客户端的简单方法。 通过将 CMG 部署为 Microsoft Azure 中的云服务,可以继续管理和向漫游到 Internet 的客户端提供内容。 使用 CMG 时,无需向 Internet 公开任何其他本地基础结构。 有关详细信息,请参阅 CMG 概述。
使设备Microsoft Entra 混合联接:Microsoft Entra 联接设备允许用户使用其域凭据登录,并确保设备符合组织的安全性和合规性标准。 有关详细信息,请参阅 Microsoft Entra 混合标识设计注意事项。
没有正确 HTTPS 配置的网站:此见解列出了层次结构中未正确配置 HTTPS 的网站。 此配置可防止站点将 集合成员身份结果同步到 entra 组Microsoft。 这可能会导致Microsoft Entra ID Sync 无法上传所有设备。 这些客户端的管理可能无法正常工作。 配置 增强型 HTTP,或为 HTTPS 启用至少一个管理点。 如果已为站点配置了 HTTPS 通信,则不会显示此见解。
将客户端更新到最新的 Windows 10 版本:Windows 10 版本 1709 或更高版本可改进和现代化用户的计算体验。 有关详细信息,请参阅 使用 Windows 即服务保持最新状态。
集合
通过清理和重新配置集合来帮助简化管理的见解。
- 空集合:列出环境中没有成员的集合。 有关详细信息,请参阅 如何管理集合。
没有查询规则且没有直接成员的集合:若要简化层次结构中的集合列表,请删除这些集合。
重新评估开始时间相同的集合:这些集合的重新评估时间与其他集合相同。 修改重新评估时间,使其不冲突。
查询时间超过 5 分钟的集合:查看此集合的查询规则。 请考虑修改或删除集合。
以下见解包括可能导致站点上不必要的负载的配置。 查看这些集合,然后删除它们,或禁用集合规则评估:
未启用查询规则和增量更新的集合
没有查询规则且为任何计划启用的集合
未选择查询规则和计划完整评估的集合
Configuration Manager 评估
此组由 Microsoft 顶级现场工程部门提供。 这些见解是 Microsoft Premier 在 Services Hub 中提供的更多检查的示例。
Active Directory 安全组发现配置为过于频繁地运行:通常不需要将 Active Directory 安全组发现配置为比每三小时更频繁地发生一次。 更频繁的配置可能会对 Active Directory、网络和配置管理器产生负面性能影响。 启用增量同步,而不是使用完全同步计划。 有关详细信息,请参阅 Active Directory 组发现。
Active Directory 系统发现配置为运行过于频繁:通常不需要将 Active Directory 系统发现配置为比每三小时更频繁地发生一次。 更频繁的配置可能会对 Active Directory、网络和配置管理器产生负面性能影响。 启用增量同步,而不是使用完全同步计划。 有关详细信息,请参阅 Active Directory 系统发现。
Active Directory 用户发现配置为运行过于频繁:通常不需要将 Active Directory 用户发现配置为比每三小时更频繁地发生一次。 更频繁的配置可能会对 Active Directory、网络和配置管理器产生负面性能影响。 启用增量同步,而不是使用完全同步计划。 有关详细信息,请参阅 Active Directory 用户发现。
仅限“所有系统”或“所有用户”的集合:查看使用 “所有系统” 或 “所有用户” 集合作为限制集合的任何集合。 Configuration Manager 使用 Active Directory 发现方法中的数据更新这些默认集合的成员身份。 对于 Configuration Manager 客户端,此数据可能不是有效的信息。
检测信号发现已禁用:检测信号发现要求在设备上安装 Configuration Manager 客户端。 这是客户端启动的唯一发现方法。 所有其他方法都发生在站点服务器上。 检测信号发现是保持客户端活动状态为“最新”的关键。 它确保站点不会意外过期站点数据库中的资源记录。 有关详细信息,请参阅 检测信号发现。
为增量更新启用长时间运行的集合查询:上次增量刷新时间超过 30 秒的集合使用站点服务器和数据库资源,这可能会影响总体 Configuration Manager 性能。 有关详细信息,请参阅 集合的最佳做法。
减少分发点上的应用程序和包数:Microsoft正式支持分发点上的总共最多 10,000 个包和应用程序。 超过此总数可能会导致操作问题。 有关详细信息,请参阅 大小和缩放数字 - 分发点。
辅助站点安装问题:某些辅助站点的安装状态为 “挂起” 或 “失败”。 这些状态意味着你已启动安装,但未成功完成。 在辅助站点安装完成之前,客户端可能无法与主站点正确通信。 检查 “监视 ”工作区,然后重试安装。 有关详细信息,请参阅 重试安装失败的更新。
将所有站点更新到同一版本:在层次结构中使用相同版本的 Configuration Manager。 此配置可确保所有站点都提供相同的功能。 同一层次结构中不同版本的站点引入了互操作性方案。 更高版本的 Configuration Manager 包括新功能并解决已知问题。 有关详细信息,请参阅 不同版本之间的互操作性。
有关这些见解的详细信息,请参阅 Configuration Manager 管理见解的修正步骤。
提示
如果你已经是 Microsoft Unified 或 Microsoft Premier 的客户,请登录到 Services Hub 进行其他按需评估。
有关Microsoft服务的详细信息,请参阅 支持解决方案。
已弃用和不支持的功能
(版本 2203) 中引入
以下管理见解介绍你可能正在使用的功能,这些功能已被弃用或不再受支持。 这些功能可能会在将来的版本中从产品中删除。
- 与已弃用或已删除的功能关联的站点系统角色:此见解检查已安装的站点系统角色中是否有将在将来的版本中删除的已弃用功能。
- 检查站点是否使用资产智能同步点角色:此见解检查资产智能同步点角色的安装。
- macOS 的 Configuration Manager 客户端终止支持:此见解列出了运行 macOS 的客户端。 对适用于 macOS 和 Mac 客户端管理的 Configuration Manager 客户端的支持将于 2022 年 12 月 31 日结束。
- 不再支持证书注册点:此见解检查证书注册点站点系统角色的安装。 自 2022 年 3 月起,此功能不再受支持。 2022 年 3 月之前发布的 Configuration Manager 版本仍可安装和使用证书注册点。
- 不再支持公司资源访问策略:此见解检查公司资源访问策略。 自 2022 年 3 月起,这些功能不再受支持。 公司资源访问权限包括电子邮件、证书、VPN、Wi-Fi 和 Windows Hello 企业版配置文件。 2022 年 3 月之前发布的 Configuration Manager 版本仍可使用公司资源访问策略。
- Microsoft适用于企业的应用商店已弃用:此见解检查是否存在适用于企业的 Microsoft Store 连接器。 此功能已于 2021 年 11 月弃用。
操作系统部署
以下管理见解可帮助你管理任务序列的策略大小。 当任务序列策略的大小超过 32 MB 时,客户端无法处理大型策略。 然后,客户端无法运行任务序列部署。
大型任务序列可能会导致超过最大策略大小:如果部署这些任务序列,客户端可能无法处理大型策略对象。 减小任务序列策略的大小,以防止潜在的策略处理问题。
任务序列的总策略大小超出了策略限制:客户端无法处理这些任务序列的策略,因为它太大。 减小任务序列策略的大小,以允许部署在客户端上运行。
有关详细信息,请参阅 减小任务序列策略的大小。
此组还包括以下见解:
- 未使用的启动映像:未引用用于 PXE 启动或任务序列的启动映像。 有关详细信息,请参阅 管理启动映像。
针对远程工作者进行优化
从版本 2006 开始,以下见解可帮助你为远程工作者创建更好的体验并减少基础结构上的负载:
将 VPN 连接的客户端配置为首选基于云的内容源:若要减少 VPN 上的流量,请启用边界组选项“ 首选基于云的源而不是本地源”。 此选项允许客户端从 Internet 而不是跨 VPN 的分发点下载内容。 有关详细信息,请参阅 边界组选项。
定义 VPN 边界组:创建 VPN 边界并将其关联到边界组。 将特定于 VPN 的站点系统关联到组,并配置环境的设置。 此见解检查至少一个边界组,其中包含至少一个 VPN 边界。 从此见解的属性中,选择“ 查看操作” 以转到“ 边界组” 节点。 有关详细信息,请参阅 VPN 边界类型。
为 VPN 连接的客户端禁用对等内容共享:若要防止可能对远程客户端没有好处的不必要的对等流量,请禁用边界组选项 “允许此边界组中的对等下载”。 有关详细信息,请参阅 边界组选项。
主动维护
此组中的见解突出显示了通过维护 Configuration Manager 对象来避免的潜在配置问题。
没有分配站点系统的边界组:如果没有分配的站点系统,边界组只能用于站点分配。 有关详细信息,请参阅 配置边界组。
没有成员的边界组:如果边界组没有任何成员,则不适用于网站分配或内容查找。 有关详细信息,请参阅 配置边界组。
不向客户端提供内容的分发点:过去 30 天内未向客户端提供内容的分发点。 此数据基于客户端的下载历史记录报告。 有关详细信息,请参阅 安装和配置分发点。
启用 WSUS 清理:验证是否已启用选项以对软件更新点组件的属性运行 WSUS 清理。 此选项有助于提高 WSUS 性能。 有关详细信息,请参阅 软件更新维护。
未使用的配置项目:不属于配置基线且早于 30 天的配置项目。 有关详细信息,请参阅 创建配置基线。
更新站点系统上的 .NET Framework Microsoft: 从版本 2107 开始,Configuration Manager 需要为站点服务器、特定站点系统、客户端和控制台Microsoft .NET Framework 版本 4.6.2。 在运行安装程序以安装或更新站点之前,请先更新 .NET 并重启系统。 如果环境中可能,请安装最新版本的 .NET 版本 4.8。 有关详细信息, 请参阅站点和站点系统先决条件。
更新运行 Windows Server 2012 和 2012 R2 的服务器: 检测运行 Windows Server 2012 或 2012 R2 操作系统的服务器。 这些操作系统的支持生命周期已于 2023 年 10 月 9 日结束。 有关详细信息,请参阅 产品生命周期。
将对等缓存源升级到 Configuration Manager 客户端的最新版本: 标识充当对等缓存源但尚未从 1806 之前的客户端版本升级的客户端。 对于运行版本 1806 或更高版本的客户端,1806 之前的客户端不能用作对等缓存源。 选择“ 执行操作” ,打开显示客户端列表的设备视图。
提示
在版本 2006 中, 未使用启动映像 的见解已移至新的 OS 部署 组。
安全性
用于提高基础结构和设备安全性的见解。
已启用 NTLM 回退: 此见解检测是否为站点启用了安全性较低的 NTLM 身份验证回退方法。 使用安装 Configuration Manager 客户端的客户端推送方法时,站点可能需要 Kerberos 相互身份验证。 此增强功能有助于保护服务器和客户端之间的通信。 有关详细信息,请参阅 如何使用客户端请求安装客户端。
不支持的反恶意软件客户端版本:超过 10% 的客户端正在运行不支持的 System Center Endpoint Protection 版本。 有关详细信息,请参阅 Endpoint Protection。
更新运行 Windows 7 和 Windows Server 2008 的客户端: 规则显示运行 Windows 7、Windows Server 2008 (非 Azure) 和 Windows Server 2008 R2 (不再接收安全更新的非 Azure) 的客户端。 有关这些操作系统的更新的详细信息,请参阅 扩展安全更新 (ESU) 。
简化管理
有助于简化环境日常管理的见解。
将站点连接到 Microsoft 云以获取 Configuration Manager 更新:此见解可确保 Configuration Manager 服务连接点在过去 7 天内已连接到 Microsoft 云。 此连接用于下载定期更新的内容。 查看DMPDownloader.log和hman.log。 有关详细信息,请参阅 Internet 访问要求。
非 CB 客户端版本:列出其版本不是当前分支的所有客户端, (CB) 内部版本。 有关详细信息,请参阅 升级客户端。
将客户端更新到受支持的 Windows 10 版本: 此见解报告运行不再受支持的 Windows 10 版本的客户端。
软件中心
用于管理软件中心的见解。
将用户定向到软件中心而不是应用程序目录:检查用户在过去 14 天内是否已从应用程序目录中安装或请求应用程序。 应用程序目录的主要功能现在包含在软件中心。 对应用程序目录角色的支持以版本 1910 结束。 有关详细信息,请参阅 已弃用的功能。
使用软件中心的新版本:不再支持以前版本的软件中心。 通过启用“计算机代理”组中的客户端设置“使用新软件中心”,将客户端设置为使用新的软件中心。 有关详细信息,请参阅 关于客户端设置。
软件更新
客户端设置未配置为允许客户端下载增量内容:环境中同步的一些软件更新包括增量内容。 启用客户端设置“ 允许客户端下载增量内容(如果可用)。 如果未启用此设置,则部署这些更新时,客户端会不必要地下载超出所需内容。 有关详细信息,请参阅 客户端设置 - 软件更新。
启用软件更新产品类别“Windows 10,版本 1903 及更高版本”:Windows 10 版本 1903 及更高版本有一个新的软件更新产品类别。 如果同步 Windows 10 更新,并且具有 Windows 10 版本 1903 或更高版本的客户端,请在软件更新点组件属性中选择 Windows 10 版本 1903 及更高版本的 产品类别。 有关详细信息,请参阅配置要同步的分类和产品。
配置软件更新点以使用 TLS/SSL: 检测软件更新点是否 配置为使用 TLS/SSL。 将 Windows Server Update Services (WSUS) 服务器及其相应的软件更新点 (SUP) 配置为使用 TLS/SSL 可能会降低潜在攻击者远程入侵客户端和提升特权的能力。 此规则已添加到 Configuration Manager 版本 2107 中。
Windows 10
与 Windows 10 的部署和维护相关的见解。 仅当超过一半的客户端运行 Windows 7、Windows 8 或 Windows 8.1 时,Windows 10 管理见解组才可用。
- 配置 Windows 诊断数据和商业 ID 密钥:若要使用桌面分析中的数据,请使用商业 ID 密钥配置设备,并启用诊断数据收集。 将 Windows 10 设备设置为 增强 (有限) 级别或更高。