在组织中配置 Windows 诊断数据

适用范围

  • Windows 11 企业版
  • Windows 11 教育版
  • Windows 11 专业版
  • Windows 10 企业版
  • Windows 10 教育版
  • Windows 10 专业版
  • Windows Server 2016 和更高版本
  • Surface Hub
  • 全息透镜

本文章介绍发送回 Microsoft 的Windows 诊断数据类型,以及你可以在组织内管理它的方式。 Microsoft 使用该数据来快速识别并解决对其客户造成影响的问题。

概述

Microsoft 收集 Windows 诊断数据的目的是解决问题以及使 Windows 保持最新、安全可靠和正常运行。 它还可以帮助我们改善 Windows 以及相关的 Microsoft 产品和服务,对于已启用“定制体验”设置的客户,它可以提供更多相关的提示和建议来增强 Microsoft 及第三方产品和服务的质量,从而满足每个客户的需求。

有关如何使用Windows 诊断数据的详细信息,请参阅 Windows 中的诊断、反馈和隐私

诊断数据使用户具有话语权

诊断数据使每一位用户在操作系统的开发和持续改进方面具有话语权。 它帮助我们了解 Windows 在现实世界中的行为方式,专注于用户优先级,并做出有利于消费者和企业客户的明智决策。 以下部分提供这些好处的真实示例。

提高应用和驱动程序质量

我们可以收集驱动对 Windows 和 Windows Server 进行改进的诊断数据,这将有助于进一步提升应用和设备驱动程序的质量。 诊断数据可帮助我们快速识别并修复 Windows 上使用的应用和设备驱动程序所导致的关键可靠性和安全性问题。 例如,我们可以识别在使用特定版本的视频驱动程序的设备上挂起的应用,从而允许我们与应用和设备驱动程序供应商合作以快速修复问题。 解决这些问题后会使停机时间较少、成本降低且工作效率提高。

例如,在早期版本的 Windows 中,有一个视频驱动程序版本在某些设备上崩溃,导致设备重新启动。 我们在我们的诊断数据中检测到该问题,并立即联系生成该视频驱动程序的第三方开发人员。 通过与该开发人员合作,我们在 24 小时内向 Windows 预览体验成员提供已更新的驱动程序。 基于来自 Windows 预览体验成员的设备的诊断数据,我们能够验证新版本的视频驱动程序,然后在第二天将它以更新形式发布给广大用户。 诊断数据帮助我们在 48 小时内就可以找到、修复和解决此问题,从而提供更好的用户体验并降低支持呼叫成本。

提高最终用户工作效率

Windows 诊断数据还可以帮助 Microsoft 进一步了解客户如何使用(或不使用)操作系统的功能和相关服务。 我们从此数据中获取的见解将帮助我们优先考虑直接影响客户体验的工程工作。 这些示例显示了如何使用诊断数据支持 Microsoft 生成或增强功能,这可以帮助组织提高员工工作效率,同时减少呼叫支持人员的次数。

  • “开始”菜单。 用户如何更改“开始”菜单布局? 他们是否会向该菜单固定其他应用? 是否有他们经常取消固定的任何应用? 我们使用此数据集来调整“开始”菜单的默认布局,以更好地反映用户首次打开其设备时的期望。

  • Cortana。 我们使用诊断数据来监视我们的云服务的可扩展性,从而提升搜索性能。

  • 应用程序切换。 通过研究和观察早期版本的 Windows,发现用户很少使用 Alt+Tab 来切换应用。 在与一些用户交流后,我们了解到:他们非常喜欢该功能,并称它非常高效,但他们之前并不知道该功能的存在。 基于此,我们在 Windows 中创建了"任务视图"按钮,以使此功能更易于发现。 后来的诊断数据表明:该功能的使用量明显有所增加。

Microsoft 如何处理诊断数据

使用以下部分来了解有关 Microsoft 如何处理诊断数据的更多信息。

数据收集

根据设备上的诊断数据设置,可以通过以下方法收集诊断数据:

  • 结构化信息的少量有效负载(称为诊断数据事件)由“已连接的用户体验和遥测”组件管理。

  • 用于其他故障排除的诊断日志,也由连接的用户体验和遥测组件管理。

  • 故障报告和故障转储,由 Windows 错误报告管理。

我们在本文档后面部分提供了有关如何控制收集的数据以及这些不同类型的诊断数据中可以包含哪些数据的更多详细信息。

数据传输

所有诊断数据在从设备传输到 Microsoft 数据管理服务过程中都将使用传输层安全性 (TLS) 进行加密,同时使用证书固定。

终结点

下表列出了与如何管理诊断数据的收集和控制有关的终结点。 有关用于将数据发送回 Microsoft 的终结点的详细信息,请参阅左侧导航菜单的 "管理连接终结点 "部分。

Windows 服务 终结点
已连接的用户体验和遥测 v10.events.data.microsoft.com

v10c.events.data.microsoft.com

v10.vortex-win.data.microsoft.com
Windows 错误报告 watson.telemetry.microsoft.com

umwatsonc.events.data.microsoft.com

*-umwatsonc.events.data.microsoft.com

ceuswatcab01.blob.core.windows.net

ceuswatcab02.blob.core.windows.net

eaus2watcab01.blob.core.windows.net

eaus2watcab02.blob.core.windows.net

weus2watcab01.blob.core.windows.net

weus2watcab02.blob.core.windows.net
Authentication login.live.com



重要提示:此终结点用于设备身份验证。 我们不建议禁用此终结点。
联机崩溃分析 oca.telemetry.microsoft.com

oca.microsoft.com

kmwatsonc.events.data.microsoft.com

*-kmwatsonc.events.data.microsoft.com
“设置” settings-win.data.microsoft.com



重要提示:此终结点要求远程配置诊断相关的设置和数据收集。 例如,我们使用设置终结点远程阻止将事件发送回 Microsoft,或在 Windows 诊断数据处理器配置中注册设备。 请勿阻止对此终结点的访问。 此终结点不会上传Windows 诊断数据。

代理服务器身份验证

如果你的组织使用代理服务器身份验证进行 Internet 访问,请确保它不会因为身份验证而阻止诊断数据。

将代理服务器配置为不要求对诊断数据终结点的流量进行代理身份验证。 此选项是最全面的解决方案。 适用于所有 Windows 10 或 Windows 11。

用户代理身份验证

将设备配置为使用登录用户的上下文进行代理身份验证。 此方法需要以下配置:

  • 设备具有受支持的 Windows 版本的最新质量更新

  • 在 Windows 设置的“网络和 Internet”组中的“代理设置”中配置用户级代理(WinINET 代理)。 还可以使用旧版”Internet 选项”控制面板。

  • 确保用户拥有访问诊断数据终结点的代理权限。 此选项要求设备具有拥有代理权限的控制台用户,因此无法将此方法用于无外设设备。

重要提示

用户代理身份验证方法与使用 Microsoft Defender for Endpoint 不兼容。 出现此行为是因为,此身份验证依赖于设置为 0 的“DisableEnterpriseAuthProxy”注册表项,而 Microsoft Defender for Endpoint 要求将其设置为 1。 有关详细信息,请参阅在 Microsoft Defender for Endpoint 中配置计算机代理和 Internet 连接设置

设备代理身份验证

此方法支持以下方案:

  • 无外设的设备,其中无用户进行登录或该设备的用户无法访问 Internet

  • 不使用 Windows 集成身份验证的经验证的代理

  • 如果还使用 Microsoft Defender for Endpoint

此方法是最复杂的方法,因为它需要以下配置:

  • 确保设备可以通过 WinHTTP 在本地系统上下文中访问代理服务器。 使用下列选项之一来配置此行为:

    • 命令行 netsh winhttp set proxy

    • Web 代理自动发现 (WPAD) 协议

    • 透明代理

    • 使用以下组策略设置配置设备范围的 WinINET 代理: 使代理设置按每台计算机 (而不是每个用户) 进行 (ProxySettingsPerUser = 1)

    • 路由的连接,或使用网络地址转换 (NAT) 的连接

  • 配置代理服务器以允许 Active Directory 中的计算机帐户访问诊断数据终结点。 此配置要求代理服务器支持 Windows 集成身份验证。

数据访问

最低访问权限原则指导对 Windows 诊断数据的访问。 Microsoft 不会与第三方共享我们的客户的个人数据,除非客户指示或出于隐私声明中所述的有限目的。 Microsoft 可能会与包含聚合和匿名诊断数据信息的硬件制造商和第三方合作伙伴共享业务报告。 由包含隐私、法律和数据管理的内部团队作出数据共享决定。

保留

Microsoft 认可并践行数据最小化。 我们力争只收集所需信息,并仅在提供服务需要该信息时或出于分析目的才存储信息。 有关数据保留时长的更多信息,请参阅 Microsoft 隐私声明中名为我们的个人数据保留的部分。

诊断数据设置

有 4 个诊断数据收集设置。 下面各节将更详细地介绍每个设置。

  • 诊断数据(安全性)
  • 必需诊断数据(基本)
  • 增强(此设置仅适用于运行 Windows 10、Windows Server 2016 和 Windows Server 2019 的设备。)
  • 可选诊断数据(完全)

以下是每个设置包含的数据类型的摘要:

诊断数据(安全性) 必需(基本) 增强 可选(完全)
诊断数据事件 未发送 Windows 诊断数据。 保持设备安全、最新并按预期运行所需的最少数据。 关于你浏览的网站、Windows 和应用的使用和执行方式以及设备活动的附加数据。 附加数据可帮助 Microsoft 为所有用户修复和改进产品和服务。 关于你浏览的网站以及 Windows 和应用的使用和执行方式的附加数据。 此数据还包括有关设备活动的数据,以及增强的错误报告,这些错误报告可帮助 Microsoft 为所有用户修复和改进产品和服务。
故障元数据 不适用
故障转储 不适用 仅会审转储

有关故障转储的详细信息,请参阅 Windows 错误报告
完整和会审内存转储

有关故障转储的详细信息,请参阅 Windows 错误报告
诊断日志 不适用
数据收集 不适用 100% 采样适用 采样适用

诊断数据关

此设置先前标记为安全性。 配置此设置时,不会从你的设备发送任何 Windows 诊断数据。 这仅适用于 Windows Server、Windows Enterprise 和 Windows Education 版本。 如果选择此设置,则组织中的设备仍将是安全的。

这是 2022 年 12 月 13 日之前 Windows Server 2022 Datacenter:Azure Edition 的默认设置。

注意

如果你的组织依赖于 Windows 更新,建议的最低设置为必需诊断数据。 因为诊断数据处于关闭状态时不会收集任何 Windows 更新信息,所以并不会发送有关更新失败的重要信息。 Microsoft 使用此信息来修复这些失败的根源并改进我们的更新质量。

必需诊断数据

必需诊断数据(以前标记为基本)收集一组对于了解设备及其配置至关重要的有限数据。 此数据可帮助识别在特定硬件或软件配置上发生的问题。 例如,它可以帮助确定具有特定内存量或运行特定驱动程序版本的设备上的崩溃是否更加频繁。

这是当前版本的 Windows 版本的默认设置,Windows 10版本 1903。 从 2022 年 12 月 13 日开始,它也是 Windows Server 2022 Datacenter:Azure Edition 的默认设置。

必需诊断数据包括:

  • 帮助了解 Windows 设备的类型以及系统中的本机和虚拟化 Windows Server 的配置和类型的基本设备数据。 示例包括:

    • 设备属性,例如相机分辨率和显示器类型
    • 电池属性,例如容量和类型
    • 网络属性,如网络适配器的数量、网络适配器的速度、移动运营商网络和 IMEI 号码
    • 处理器和内存属性,如内核数量、体系结构、速度、内存大小和固件
    • 虚拟化属性,如二级地址转换 (SLAT) 支持和来宾操作系统
    • 操作系统属性,如 Windows 版本和虚拟化状态
    • 存储属性,如驱动器号、类型和大小
  • 帮助了解连接用户体验和诊断数据测组件的运行方式,其中包括已上载的事件的百分比、放弃的事件的百分比、阻止的事件百分比和上次上载时间的质量指标。

  • 帮助 Microsoft 形成对于设备及其操作系统执行方式的基本理解的质量相关信息。 一些示例为连接待机设备的设备特性、崩溃和暂停的数量以及应用状态更改详细信息(例如处理器时间和内存的使用量,以及应用的总运行时间)。

  • 帮助了解设备或虚拟机上安装了哪些应用,并帮助识别潜在的兼容性问题的兼容性数据。

  • 帮助了解设备是否满足升级到下一操作系统版本的最低要求的系统数据。 系统信息包含内存量,以及有关处理器和 BIOS 的信息。

  • 连接到 Windows 设备的附加设备(例如打印机或外部存储设备)的数据列表,以及这些设备是否将在升级到新的操作系统版本之后正常运行。

  • 包括特定驱动程序活动的驱动程序数据,用于帮助确定应用和设备是否将在升级到新的操作系统版本之后正常运行。 此信息有助于确定阻止问题,然后帮助 Microsoft 和我们的合作伙伴应用修补程序和改进。

  • 有关 Microsoft Store 执行方式的信息,包括应用下载、安装和更新。 它还包括有关 Microsoft Store 启动、页面视图、暂停和恢复以及获取许可证的信息。

增强的诊断数据

在 Windows 10 和 Windows Server 2019 中,增强的诊断数据包括有关你浏览的网站、Windows 和应用的使用方式及其执行方式以及设备活动的数据。 附加数据可帮助 Microsoft 为所有用户修复和改进产品和服务。

重要提示

此诊断数据设置在 Windows 11 和 Windows Server 2022 上不可用,已替换为可控制所发送的可选诊断数据量的策略。 有关这些设置的详细信息,请参阅本主题的使用 组策略 和 MDM 管理诊断数据部分。

当你选择发送增强的诊断数据时,将始终包含所需的诊断数据,并且我们会收集以下附加信息:

  • 帮助深入了解操作系统的不同方面,包括网络、Hyper-V、Cortana、存储、文件系统和其他组件的操作系统事件。

  • 从通过 Microsoft Store 下载或通过 Windows 或 Windows Server 预安装的 Microsoft 应用和管理工具(包括服务器管理器、照片、邮件和 Microsoft Edge)生成的操作系统应用事件。

  • 特定于某些设备(例如 Surface Hub 和 Microsoft HoloLens)的特定于设备的事件。 例如,Microsoft HoloLens 发送与全息处理单元 (HPU) 相关的事件。

  • 所有故障转储类型,除了堆转储和完全转储。 有关故障转储的详细信息,请参阅 Windows 错误报告

可选诊断数据

可选诊断数据(以前标记为完全)包含有关你的设备及其设置、功能和设备运行状况的更多详细信息。 可选诊断数据还包括有关你浏览的网站、设备活动的数据,以及增强的错误报告,这些错误报告可帮助 Microsoft 为所有用户修复和改进产品和服务。 选择发送可选诊断数据时,将始终包含必需诊断数据,并收集以下额外信息:

  • 有关设备、连接性和配置的其他数据,不包括在必需诊断数据下收集的数据。

  • 在必需诊断数据下收集的信息以外,关于操作系统和其他系统组件的运行状况的状态和日志记录信息。

  • 应用活动,如在设备上启动的程序、运行时间以及响应输入的速度。

  • Microsoft 浏览器(Microsoft Edge 或 Internet Explorer)中的浏览器活动,包括浏览历史记录和搜索词。

  • 增强错误报告,包括在系统或应用发生崩溃时收集设备的内存状态(其中可能会无意中包括某些用户内容,如在发生问题时正在使用的文件部分)。 故障数据从不用于定制体验。

注意

在可选诊断数据中收集的故障转储可能会无意中包含个人数据,例如文档和网页的内存部分。 有关故障转储的详细信息,请参阅 Windows 错误报告

使用 组策略 和 MDM 管理诊断数据

使用本部分的步骤配置组织中 Windows 和 Windows Server 的诊断数据设置。

重要提示

这些诊断数据设置仅适用于被视为 Windows 操作系统一部分的组件、功能和应用。 客户安装的第三方应用和其他 Microsoft 应用(如 Microsoft Office)也可能使用各自的控件收集和发送诊断数据。 你应该与你的应用供应商协作以了解其诊断数据策略,以及你可以选择加入或选择退出的方式。有关 Microsoft Office 如何使用诊断数据的详细信息,请参阅 Microsoft 365 企业应用版的隐私控制概述。 如果你想要控制非 Windows 诊断数据的 Windows 数据收集,请参阅管理从 Windows 操作系统组件到 Microsoft 服务的连接

你可以使用已在使用的管理工具(例如组策略或 MDM)配置设备的诊断数据设置。

当配置管理策略时,请使用下表中的相应值。

类别
诊断数据(安全性) 0
必需(基本) 1
增强 2
可选(完全) 3

注意

如果同时设置了“计算机配置”策略和“用户配置”策略,则会使用限制性更强的策略。

使用组策略管理诊断数据收集

可使用组策略来设置你的组织的诊断数据设置:

  1. 从组策略管理控制台中,转到“计算机配置”>“管理模板”>“Windows 组件”>“数据收集和预览版”。

  2. 双击允许遥测(或 Windows 11 和 Windows Server 2022 上的诊断数据)。

    注意

    如果组织中的设备运行的是 Windows 10 版本 1803 和更高版本,用户仍然可以使用“设置”将诊断数据设置设置为更严格的值,除非已设置“配置诊断数据选择加入设置用户界面”策略。

  3. 在“选项”框中,选择要配置的设置,然后单击“确定”。

使用组策略管理可选诊断数据收集

以下策略允许限制可发送回 Microsoft 的crash 转储的类型。 如果启用这项政策,Windows 错误报告 将仅会发送内核迷你转储和用户模式分类转储。

  1. 从组策略管理控制台中,转到“计算机配置”>“管理模板”>“Windows 组件”>“数据收集和预览版”。

  2. 双击Limit 转储收集

  3. 在“选项”框中,选择要配置的设置,然后单击“确定”。

还可以限制发送回 Microsoft 的诊断日志数。 如果启用这项政策,诊断日志不会发送回 Microsoft。

  1. 从组策略管理控制台中,转到“计算机配置”>“管理模板”>“Windows 组件”>“数据收集和预览版”。

  2. 双击 "限制诊断日志收集"。

  3. 在“选项”框中,选择要配置的设置,然后单击“确定”。

使用 MDM 管理诊断数据收集

使用 策略配置服务提供程序 (CSP) 应用以下 MDM 策略:

  • System/AllowTelemetry
  • System/LimitDumpCollection
  • System/LimitDiagnosticLogCollection

注意

最后两个策略仅在 Windows 11 和 Windows Server 2022 上可用。

启用 Windows 诊断数据处理者配置

根据欧盟一般数据保护条例 (GDPR) 的规定,Windows 诊断数据处理者配置可让你成为从满足配置要求的 Windows 设备收集的 Windows 诊断数据的控制者。

必备条件

  • 使用受支持的 Windows 10 或 Windows 11 版本
  • 支持以下版本:
    • 企业
    • 专业版
    • 教育
  • 设备必须加入 Azure Active Directory(可以是混合 Azure AD 加入)。

注意

在所有情况下,Windows 诊断数据处理者配置中的注册都需要设备加入 Azure AD 租户。 如果设备未正确注册,Microsoft 将根据 Microsoft 隐私声明充当 Windows 诊断数据的控制者,且数据保护附录条款将不适用。

为了获得最佳体验,请使用上面指定的任何操作系统的最新版本。 配置功能和可用性在较旧的系统上可能有所不同。 有关发布信息,请参阅 Microsoft 生命周期策略网站上的 Windows 10 企业版和教育Windows 11 企业版和教育版

设备上的诊断数据设置应设为必需诊断数据或更高级别,并且可访问以下终结点:

  • us-v10c.events.data.microsoft.com (欧盟数据边界 中具有计费地址的租户 eu-v10c.events.data.microsoft.com)
  • watsonc.events.data.microsoft.com(欧盟数据边界 中具有计费地址的租户 eu-watsonc.events.data.microsoft.com)
  • settings-win.data.microsoft.com
  • *.blob.core.windows.net

帐单地址在中东和非洲国家或地区,以及欧盟以外的欧洲国家或地区的租户,也使用 eu-v10c.events.data.microsoft.com 和 eu-watsonc.events.data.microsoft.com 终结点。 他们的诊断数据最初在欧洲处理,但这些租户不属于 EU 数据边界

注意

  • 启用 Windows 诊断数据处理者配置时,将删除在启用该配置之前从设备收集的 Windows 诊断数据。
  • 在设备上启用 Windows 诊断数据处理者配置后,用户可能会继续通过各种渠道(例如 Windows 反馈中心或 Edge 反馈)提交反馈。 但是,反馈数据不受 Windows 诊断数据处理者配置条款的约束。 如果不需要这样做,建议你使用可用策略或应用程序管理解决方案禁用反馈。

启用 Windows 诊断数据处理者配置

注意

本部分中的信息适用于以下版本的 Windows:

  • Windows 10 版本 20H2、21H2、22H2 和更高版本
  • Windows 11 版本 21H2、22H2、23H2 和更高版本

从 2023 年 1 月预览累积更新开始,如何启用处理器配置选项取决于设备加入到的 Azure AD 租户的计费地址。

Azure AD 租户中具有欧盟 (EU) 或欧洲贸易协会 (EFTA) 计费地址的设备

对于启用了诊断数据且已加入具有 EU 或 EFTA 计费地址的 Azure AD 租户的 Windows 设备,Windows 诊断数据将自动配置处理者选项。 这些设备的 Windows 诊断数据将在欧洲进行处理。

从合规性的角度来看,此更改意味着 Microsoft 将成为处理者,组织将成为 Windows 诊断数据的控制者。 这些组织的 IT 管理员将负责响应用户的数据主体请求

Azure AD 租户中具有 EU 和 EFTA 外部计费地址的设备

对于启用了诊断数据且已加入具有 EU 和 EFTA 外部计费地址的 Azure AD 租户的 Windows 设备,若要启用处理者配置选项,组织必须注册以下任何依赖于诊断数据的企业服务:

(使用这些服务可能需要其他许可要求。)

如果你未注册这些企业服务中的任何一项,Microsoft 将充当诊断数据的控制者。

在较旧版本的 Windows 上启用 Windows 诊断数据处理器配置

注意

本部分中的信息适用于以下版本的 Windows:

  • Windows 10 版本 1809、1903、1909 和 2004。
  • 尚未更新到至少 2023 年 1 月预览累积更新的较新版本的 Windows 10 和 Windows 11。

若要启用 Windows 诊断数据处理器配置,可以在 MDM 解决方案(如 Microsoft Intune)中使用组策略或自定义设置。

  • 对于组策略,可以使用“允许商业数据管道”策略,该策略也适用于 Intune 设置目录
  • 对于 MDM 解决方案,可以在系统策略配置服务提供程序 (CSP) 中使用 AllowCommercialDataPipeline 设置。

有关 AllowCommercialDataPipeline 和“允许商业数据管道”策略的详细信息,请 查看此信息

更改单台服务器上的隐私设置

还可以在运行 Azure Stack HCI 操作系统或 Windows Server 的服务器上更改隐私设置。 有关详细信息,请参阅“更改单台服务器上的隐私设置”。