分享方式:

補救

  • 文章

重要事項

主動式補救已 重新命名為 補救 ,現在可從 裝置>管理裝置>腳本和補救中取得。 本檔中對主動式補救的所有參考都會取代為 補救。 不過,「主動式補救」一詞可能仍會出現在某些部落格和其他文章中。

補救可協助您在使用者注意到問題之前修正常見的支持問題。

在本文中,您將瞭解如何:

  • 檢閱補救的必要條件
  • 部署內建腳本套件
  • 部署自定義腳本套件
  • 執行隨選修復文本 (預覽)
  • 客戶端原則擷取和客戶端報告
  • 監視腳本套件
  • 匯出腳本輸出
  • 監視裝置的補救狀態

關於補救

補救是腳本套件,可以在用戶發現問題之前,先偵測並修正使用者裝置上的常見支持問題。 補救有助於減少支援呼叫。 您可以建立自己的腳本套件,或部署我們已在環境中撰寫並用於減少支援票證的其中一個腳本套件。

每個腳本套件都包含偵測腳本、補救腳本和元數據。 透過 Intune,您可以部署這些腳本套件,並查看其有效性的報告。

先決條件

無論是透過 Intune 或 Configuration Manager 註冊裝置,補救腳本都有下列需求:

  • 裝置必須Microsoft加入或Microsoft加入 Entra 混合式,並符合下列其中一個條件:

    • 由 Intune 管理,並執行 Windows 10 或更新版本的企業版、專業版或教育版。
    • 執行 Windows 10 1903 版或更新版本的共同管理裝置。 舊版 Windows 10 版本上的共同管理裝置需要將用戶端應用程式工作負載指向 Intune (僅適用於 1607 版或更舊版本)。

授權

補救需要裝置的用戶擁有下列其中一個授權:

  • Windows 10/11 企業版 E3 或 E5 (隨附於 Microsoft 365 F3、E3 或 E5 中)

  • Windows 10/11 教育版 A3 或 A5 (隨附於 Microsoft 365 A3 或 A5 中)

  • 每位使用者的 Windows 10/11 虛擬桌面存取 (VDA)

權限

腳本需求

  • 您最多可以有 200 個腳本套件。
  • 腳本套件只能包含偵測腳本,或同時包含偵測腳本和補救腳本。
    • 只有在偵測腳本使用結束代碼 exit 1時,才會執行補救腳本,這表示偵測到問題。
  • 請確定腳本是以UTF-8編碼。
    • 如果在建立腳本套件的 [設定] 頁面中啟用 [強制執行腳本簽章檢查] 選項,請確定腳本是以UTF-8而非UTF-8 BOM編碼。
  • 允許的輸出大小上限為 2048 個字元。
  • 如果在建立腳本套件的 [設定] 頁面中啟用 [強制執行腳本簽章檢查] 選項,腳本就會使用裝置的 PowerShell 執行原則來執行。 Windows 用戶端電腦的預設執行原則為 [受限制]。 Windows Server 裝置的預設執行是 RemoteSigned。 如需詳細資訊,請參閱 PowerShell 執行原則
    • 系統會簽署修復內建的腳本,並將憑證新增至裝置的 受信任發行者 證書存儲。
    • 使用已簽署的第三方腳本時,請確定憑證位於 信任的發行者證書 存儲中。 如同任何憑證,裝置必須信任證書頒發機構單位。
    • 沒有 強制執行腳本簽章檢查的腳本 會使用 略過 執行原則。
  • 請勿在偵測或補救腳本中放置重新啟動命令。
  • 請勿在腳本 (中包含任何類型的敏感性資訊,例如密碼)
  • 請勿在腳本中包含個人標識資訊 (PII)
  • 請勿使用腳本從裝置收集 PII
  • 一律遵循隱私權最佳做法

部署內建腳本套件

您可以使用內建腳本套件來開始進行補救。 Microsoft Intune 管理延伸模組服務會從 Intune 取得腳本並加以執行。 只需要指派下列內建腳本套件:

  • 更新過時的組策略 – 過時的組策略可能會導致與連線能力和內部資源存取相關的技術服務人員票證。
  • 重新啟動 Office 隨選即用服務 – 當隨選即用服務停止時,Office 應用程式無法啟動,導致服務台呼叫。

若要指派文稿套件:

  1. 從 [ 裝置>管理裝置>] [腳本和補救 ] 節點,選取其中一個內建腳本套件。
  2. 取 [屬性],然後在 [ 指派] 標題旁邊,選取 [ 編輯]
  3. 選擇您想要 指派給 的群組,以及腳本套件的任何 排除群組
  4. 若要變更 範圍標籤,請選取 [ 編輯 ],然後 選取 [選取範圍卷標]
  5. 如果您想要變更排程,請選取省略號,然後選擇 [ 編輯 ] 以指定您的設定,然後選取 [ 用] 以儲存它們。
  6. 當您完成時,請選取 [ 檢閱 + 儲存]

建立和部署自定義腳本套件

Microsoft Intune 管理延伸模組服務會從 Intune 取得腳本並加以執行。 腳本會每隔 24 小時重新執行一次。 您可以複製提供的文稿並加以部署,也可以建立自己的腳本套件。 若要部署腳本套件,請遵循下一節中的指示。

複製提供的偵測和補救腳本

  1. PowerShell 腳本文章複製腳本
    • 名稱開頭為的 Detect 腳本檔案是偵測腳本。 補救腳本的開頭為 Remediate
    • 如需腳本的描述,請參閱 腳本描述
  2. 使用提供的名稱儲存每個腳本。 名稱也會在每個腳本頂端的批註中。 請確定儲存的腳本是以UTF-8編碼。
    • 您可以使用不同的文稿名稱,但不會與 腳本描述中所列的名稱相符。

部署腳本套件

修復腳本必須以UTF-8編碼。 上傳這些腳本,而不是直接在瀏覽器中編輯它們,有助於確保腳本編碼正確,讓您的裝置可以執行它們。

  1. 在 Intune 系統管理中心中,移至 [ 裝置>] [管理裝置>] [腳本和補救]

  2. 選擇 [建立文稿套件 ] 按鈕以建立腳本套件。 [補救] 頁面。選取 [建立] 連結。

  3. 在 [ 基本] 步驟中 ,為腳本套件提供 [名稱 ],並選擇性地提供 [ 描述]。 您可以編輯 [發行者 ] 字段,但預設為您的名稱。 無法編輯版本

  4. 在 [ 設定] 步驟上,執行下列步驟來上傳 偵測腳本檔案補救腳本檔案

    1. 選取資料夾圖示。
    2. 流覽至 .ps1 檔案。
    3. 選擇檔案,然後選取 [開啟 ] 上傳檔案。

    如果偵測到目標問題,偵測腳本必須使用結束代碼 exit 1 。 如果有任何其他結束代碼,則不會執行補救腳本。 包含空的輸出,因為它會導致 找不到問題 狀態。 如需結束代碼使用方式的範例,請檢閱 範例偵測腳本

    您需要對應的偵測和補救腳本,才能位於相同的套件中。 例如, Detect_Expired_User_Certificates.ps1 偵測腳本會對應至 Remediate_Expired_User_Certificates.ps1 補救腳本。 [補救腳本設定] 頁面。

  5. 使用下列建議的設定,完成 [ 設定 ] 頁面上的選項:

    • 使用登入認證執行此文稿:此設定取決於腳本。 如需詳細資訊,請參閱 腳本描述
    • 強制執行腳本簽章檢查:否
    • 在 64 位 PowerShell 中執行腳本:否

    如需強制執行腳本簽章檢查的資訊,請參閱 腳本需求

  6. 取 [下一步 ],然後指派您需要的任何 範圍卷標

  7. 在 [ 指派] 步驟中 ,選取您要部署腳本套件的裝置群組。 當您準備好要將套件部署至使用者或裝置時,也可以使用篩選。 如需詳細資訊,請 參閱在 Microsoft Intune 中建立篩選

    注意事項

    請勿在包含和排除指派之間混用使用者和裝置群組。

  8. 完成部署的 檢閱 + 建立 步驟。

執行隨選修復文本 (預覽)

您可以使用 [執行 補救 裝置] 動作,依需求對單一 Windows 裝置執行補救腳本。

隨選執行補救腳本的必要條件

  • 您必須先設定補救,才能視需要使用補救腳本。

  • 內建或自定義腳本套件必須可供使用者依需求執行補救,但不需要指派給使用者或裝置。 您可以使用 範圍標籤 來限制使用者可以看到的補救腳本套件。

  • 用戶必須是全域管理員、Intune 系統管理員,或具有遠端工作 ) 下可用的執行補救許可權 (角色。 在公開預覽期間,用戶也必須具有組織:讀取。

  • 裝置已上線,而且能夠在遠端動作期間與 Intune 和 Windows 推播通知服務 (WNS) 通訊。

  • Intune 管理延伸模組必須安裝在裝置上。 將 Win32 應用程式、PowerShell 腳本或補救指派給使用者或裝置時,會自動完成安裝。

如何視需要執行補救腳本

  1. 登入 Microsoft Intune 系統管理中心
  2. 流覽至 [依平台>的裝置>],Windows> 選取支持的裝置。
  3. 在裝置的 [ 概觀 ] 頁面上,選取 [...]>執行補救 (預覽) 。
  4. 在 [執行 補救 (預覽) ] 窗格中,從列表中選取您要執行的 腳本套 件。 選 取 [檢視詳細數據 ] 以查看腳本套件的屬性,例如偵測和補救腳本內容、描述和已設定的設定。
  5. 若要視需要執行補救,請選取 [ 執行補救]

注意事項

相同裝置一次只能發出單一執行 補救 裝置動作。 如果您在短時間內對裝置執行多個執行 補救 裝置動作,它們可能會互相覆寫。

注意事項

如果裝置不在在線,或是能夠在傳 送裝置動作 時成功與 Intune 或 Windows 推播通知服務通訊, (WNS) ,則裝置可能不會收到此動作。

客戶端原則擷取和客戶端報告

用戶端會在下列時間擷取補救腳本的原則:

  • 裝置或 Intune 管理延伸模組服務重新啟動之後

  • 使用者登入客戶端之後

  • 每8小時一次

    • 8 小時的腳本擷取排程會根據 Intune 管理延伸模組服務的啟動時間來修正。 使用者登入不會改變排程。

用戶端會在下列時間報告補救資訊:

  • 當腳本設定為執行一次時,會在腳本執行之後回報結果。

  • 週期性腳本會遵循七天的報告週期:

    • 在前六天內,用戶端只會在發生變更時報告。 第一次執行腳本時,會被視為變更。

    • 用戶端會每隔七天傳送報告一次,即使沒有變更也一次。

監視您的腳本套件

  1. 在 Intune 系統管理中心中,移至 [ 裝置>管理裝置>] [腳本和補救],您可以看到偵測和補救狀態的概觀。 補救報告,概觀頁面。

  2. 取 [裝置狀態 ] 以取得部署中每個裝置的狀態詳細數據。 補救裝置狀態。

匯出腳本輸出

若要協助您輕鬆地分析傳回的輸出,請使用 [ 出] 選項將輸出儲存為 .csv 檔案。 將輸出匯出至 .csv 檔案,可讓您在發生問題的裝置上執行補救時,分析傳回的輸出。 匯出也可讓您與其他人共享結果,以進行更多分析。

監視裝置的補救狀態

您可以檢視指派或視需要對裝置執行的補救狀態。

  1. 登入 Microsoft Intune 系統管理中心
  2. 流覽至 [依平台>的裝置>],Windows> 選取支持的裝置。
  3. 選取 [監視] 區段中的 [補救]。

後續步驟