适用于 Windows 的 Intune 管理扩展

Intune管理扩展 (IME) 是一种安装程序代理,可增强 WINDOWS 设备管理 (MDM) 。 它通过启用高级设备管理功能来补充标准 Windows MDM 功能。

注意

有关 PowerShell 脚本的详细信息,请参阅在 Intune 中的 Windows 10/11 设备上使用 PowerShell 脚本

重要

若要支持扩展功能和 bug 修复,请将 .NET Framework 4.7.2 或更高版本与 Windows 客户端上的 Intune 管理扩展配合使用。 如果 Windows 客户端使用早期版本的 .NET Framework,则 Intune 管理扩展仍然有效。 .NET Framework 4.7.2 自 2018 年 7 月 10 日Windows 更新起提供,并包含在Windows 10版本 1809 (RS5) 及更高版本中。 .NET Framework的多个版本可以在设备上共存。

此功能适用于:

  • Windows 10 及更高版本 (排除以 S 模式) 运行的Windows 10 家庭版和 Windows 设备。

注意

满足Intune管理扩展先决条件后,将下列任一项分配给用户或设备时,会自动安装扩展:

  • PowerShell 脚本
  • Win32 应用
  • Microsoft应用商店应用
  • 自定义合规性策略设置
  • 主动修正

有关详细信息,请参阅 Intune 管理扩展先决条件

先决条件

Intune 管理扩展具有以下先决条件。 满足先决条件后,Intune管理扩展会在将 PowerShell 脚本或 Win32 应用分配给用户或设备时自动安装。

  • 运行 Windows 10 版本 1607 或更高版本的设备。 如果设备是使用自动注册注册的,则必须运行Windows 10版本 1709 或更高版本。 Intune管理扩展不支持在 S 模式下Windows 10,因为 S 模式不允许运行非存储应用。

  • 已加入Microsoft Entra ID的设备,包括:

  • 在 Intune 中注册的设备,其中包括:

    • 使用组策略 (GPO) 注册的设备。 有关详细信息,请参阅使用组策略自动注册 Windows 设备

    • 在 Intune 中手动注册的设备,在出现这种情况时发生:

      • Microsoft Entra ID中启用了自动注册到Intune。 用户使用本地用户帐户登录到设备,并手动加入设备以Microsoft Entra ID。 然后,他们使用其Microsoft Entra帐户登录到设备。

      OR

      • 用户使用其Microsoft Entra帐户登录到设备,然后注册Intune。
    • 使用 Configuration Manager 和 Intune 共同管理的设备。 安装 Win32 应用时,将“应用”工作负载设置为“试点Intune”或“Intune”。 即使应用工作负载设置为 Configuration Manager,PowerShell 脚本也会运行。 将 PowerShell 脚本定向到设备时,Intune管理扩展将部署到设备。 设备必须Microsoft Entra ID或Microsoft Entra混合联接并运行Windows 10版本 1607 或更高版本。 若要获取指南,请参阅下列文章:

  • 对于防火墙和代理服务器后面的设备,启用Intune通信。 若要了解详细信息,请参阅 PowerShell 脚本和 Win32 应用的网络要求

注意

有关使用Windows 10或Windows 11虚拟机的详细信息,请参阅将Windows 10虚拟机与Microsoft Intune配合使用。

了解Intune管理扩展代理安装

对于满足先决条件的设备,当将某些功能分配给用户或设备时,将自动安装 Intune 管理扩展。 分配了以下功能时,通常会进行安装:

注意

有关如何推出和更新 IME 的详细信息,请参阅Microsoft Intune版本更新的服务信息

代理在适用时安装 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs ,并且不会显示在 Windows 设备上的“开始”菜单中。 在 Windows 设备上运行时,代理在任务管理器中的“服务”下显示为 IntuneManagementExtension

Intune管理扩展功能

  • 在签入以接收 Windows 设备的分配安装之前,IME 会以静默方式通过Intune服务进行身份验证。
  • IME 大约每 8 小时检查一次Intune服务的新安装或更新安装。 此检查过程独立于 MDM 检查。

从 Windows 设备手动启动Intune管理 IME 检查

在安装了 IME 的 Windows 设备上,打开公司门户,选择“设置>同步”。这会启动 MDM 检查和 IME 检查。

或者,打开 “任务管理器”,找到“ IntuneManagementExtension”服务,右键单击并选择“ 重启”。 服务IntuneManagementExtension会立即重启,使用Intune启动检查。

注意

来自“设置”应用 (Windows 10 或更高版本的同步) 或Microsoft Intune管理中心的设备启动 MDM 检查,但不强制输入 IME 检查。

删除Intune管理扩展

在以下情况下,将从设备中删除 IME:

  • Shell 脚本不再分配给设备。
  • 不再管理 Windows 设备。
  • IME 在设备唤醒时间) 超过 24 小时 (处于不可恢复状态。

常见问题和解决方法

问题:未下载 Intune 管理扩展

可能的解决方法

  • 设备未加入到Microsoft Entra ID。 确保设备满足本文中的 先决条件
  • 不会将 PowerShell 脚本或 Win32 应用分配给用户或设备所属的组。
  • 设备无法使用 Intune 服务签入。 例如,) WNS (,无法访问 Internet 或无法访问 Windows 推送通知服务。
  • 设备处于 S 模式下。 Intune管理扩展不支持在 S 模式下运行的设备。
  • 在Windows 10设备上,如果代理仅在用户级别配置 (而不是计算机范围的) ,请确保用户已登录到设备。 或者,使用 bitsadmin /util /setieproxy 手动配置 BITS (后台智能传输服务) 代理。 有关详细信息,请参阅 bitsadmin util 和 setieproxy

若要检查设备是否自动注册:

  1. 转至“设置”>“帐户”>“访问工作或学校”。
  2. 选择已加入的帐户 >信息
  3. 在“高级诊断报告”下,选择“创建报表”。
  4. 在 Web 浏览器中,打开 MDMDiagReport
  5. 搜索 MDMDeviceWithAAD 属性。 如果该属性存在,则会自动注册设备。 如果此属性不存在,则设备不会自动注册。

启用 Windows 自动注册包括在 Intune 中配置自动注册的步骤。

Intune 管理扩展日志

客户端计算机上的 IME 日志通常位于 中 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs。 使用 CMTrace.exe 查看这些日志文件。

Microsoft Intune 中的屏幕截图或 cmtrace 代理日志示例

此外,使用日志文件 AppWorkload.log 对客户端上的 Win32 应用管理事件进行故障排除和分析。 此日志文件包含与 IME 执行的应用部署活动相关的所有日志记录信息。

IME 日志文件

日志文件 说明
IntuneManagementExtension.log main日志文件。 它包含所有 IME 检查、策略请求、策略处理和报告活动。
AgentExecutor.log 跟踪Intune) 部署 (PowerShell 脚本执行。
AppActionProcessor.log 跟踪已分配应用的检测和适用性检查作。
AppWorkload.log 帮助排查和分析 Win32 应用部署活动。
ClientCertCheck.log 跟踪设备客户端证书检查。
ClientHealth.log 跟踪Intune管理扩展的运行状况。
DeviceHealthMonitoring.log 跟踪硬件就绪情况、设备清单和其他数据收集器的运行状况。
HealthScripts.log 跟踪定期运行的修正的运行状况。
Sensor.log 跟踪终结点分析数据收集器的运行状况,包括启动性能、应用可靠性等。
Win32AppInventory.log 跟踪应用清单收集器的运行状况。

后续步骤