端點分析中的異常偵測

注意事項

這項功能可作為 Intune 附加元件使用。 如需詳細資訊，請參閱 Intune 附加元件。

本文說明端點分析中的異常偵測如何作為早期警告系統運作。

異常偵測會監視組織中裝置的健康情況，以在組態變更之後的用戶體驗和生產力回歸。 發生失敗時，異常會使相關的部署物件相互關聯，以啟用快速疑難解答、建議根本原因和補救。

系統管理員可以依賴異常偵測來瞭解用戶體驗會影響問題，然後再透過其他通道觸達問題。 異常偵測的初始焦點在於應用程式停止回應/當機和停止錯誤重新啟動。

概觀

透過異常偵測，您可以在系統成為嚴重問題之前，先偵測到系統中的潛在問題。 傳統上，支援小組對於潛在問題的可見度有限。

• 通常，它們只會取得透過支援通道回報/呈報問題的子集，而這並不真正代表貴組織中發生的一切。

• 他們必須花費數小時來檢閱自定義儀錶板，嘗試找出根本原因、疑難解答、建立自定義警示、變更閾值，以及調整參數。

異常偵測的目標是透過啟用具有重要資訊的IT系統管理員來解決這些問題。

除了偵測異常之外，您還可以檢視裝置相互關聯群組，以探索中度和高嚴重性異常的潛在根本原因。 這些裝置世代可讓您檢視在裝置之間識別的模式。 我們已採取主動式的裝置管理方法，同時識別這些世代中「有風險」的裝置。 這些裝置屬於具有高度信賴度但尚未看到這些異常的已識別模式。

注意事項

裝置世代僅針對中度和高嚴重性異常進行識別。

先決條件

• 授權/訂用帳戶：端點分析中的進階功能會包含為 Intune 套件 Microsoft的 Intune 附加元件，而且需要額外成本給包含 Microsoft Intune 的授權選項。

• 許可權：異常偵測使用內建 角色許可權

異常索引標籤

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [報表>端點分析>概觀]。

3. 選 取 [異常] 索引標籤 。[ 異常] 索引標籤 提供組織中偵測到異常的快速概觀。

4. 在此範例中，[異常] 索引卷標會顯示具有中度嚴重性影響的異常。 您可以新增篩選來精簡清單。

   

5. 若要查看特定項目的詳細資訊，請從清單中選擇它。 您可以看到詳細數據，例如應用程式名稱、受影響的裝置、第一次偵測到問題的時間和上次發生的時間，以及可能造成問題的任何裝置群組。

   

6. 從清單中選取裝置相互關聯群組，以取得裝置常見因素的詳細檢視。 裝置會根據一或多個共享屬性相互關聯，例如應用程式版本、驅動程式更新、OS 版本和裝置型號。 您可以看到目前受異常影響的裝置數目，以及有發生異常風險的裝置數目。 普遍性率也會顯示屬於相互關聯群組成員之異常的受影響裝置百分比。

   

7. 選 取 [檢視受影響的裝置 ] 以顯示具有與每個裝置相關之密鑰屬性的裝置清單。 您可以篩選以檢視特定相互關聯群組中的裝置，或顯示組織中受該異常影響的所有裝置。 此外，裝置時間軸會顯示更多異常事件。

   

用於判斷異常的統計模型

建置的分析模型會偵測到裝置世代遇到異常的停止錯誤重新啟動和應用程式停止回應/當機，需要系統管理員注意以減輕和解決。 從感測器遙測和診斷記錄中識別的模式會決定這些裝置世代

• 以臨界值為基礎的啟發學習模型：啟發學習法模型牽涉到為應用程式停止回應/當機或停止錯誤重新啟動設定一或多個臨界值。 如果上述設定閾值中有缺口，則會將裝置標示為異常。 模型簡單但有效;它適合用來顯示裝置或其應用程式的顯著或靜態問題。 目前，臨界值已預先決定，沒有自定義選項。 

• 配對的 T 測試模型：配對的 t 測試是一種數學方法，可比較數據集中的觀察配對，以尋找其方法之間的統計顯著距離。 測試會在數據集上使用，這些數據集由某種方式彼此相關的觀察所組成。 例如，在原則變更之前和之後從相同裝置停止錯誤重新啟動的計數，或在操作系統 (操作系統) 更新之後，應用程式在裝置上損毀的計數。

• 母體 Z 分數模型：以母體 Z 分數為基礎的統計模型牽涉到計算數據集的標準偏差和平均值，然後使用這些值來判斷哪些數據點是異常的。 標準偏差和平均值是用來計算每個數據點的 Z 分數，這代表與平均值相差的標準偏差數目。 落在特定範圍之外的數據點是異常的。 此模型非常適合用來醒目提示來自更廣泛基準的極端值裝置或應用程式，但需要足夠大的數據集才能正確無誤。

• 時間序列 Z 分數模型：時間序列 Z 分數模型是標準 Z 分數模型的變化，專為偵測時間序列數據中的異常而設計。 時間序列數據是一連串在一段時間內定期收集的數據點，例如「停止錯誤重新啟動」的匯總。 標準偏差和平均值是使用匯總計量來計算滑動時間範圍。 這個方法可讓模型敏感於數據中的時態模式，並隨著時間調整其分佈中的變更。

後續步驟

如需詳細資訊，請移至:

• 增強的裝置時間軸
• 裝置範圍
• 什麼是進階端點分析