從 Intune 管理的裝置收集診斷
收集診斷遠端動作可讓您收集和下載Managed裝置記錄,而不會中斷使用者。 只會存取非使用者位置和檔案類型。
注意事項
Intune 可從 [疑難解答] 窗格中的 [診斷] 索引標籤下載應用程式保護記錄。 不過,M365 遠端應用程式記錄僅適用於其特定的支持工程師。
數據會儲存在Microsoft支持系統中,不受 Intune 數據管理原則或保護的約束。 某些應用程式可能會使用 Intune 以外的系統來收集和儲存數據。
收集 Microsoft 365 遠端應用程式的診斷
Microsoft 365 遠端應用程式診斷可讓 Intune 系統管理員要求 Intune 應用程式保護記錄,並直接從 Intune 控制台) Microsoft 365 個應用程式 (記錄。 系統管理員可以在 Microsoft Intune 系統管理中心找到此報告,方法是選取 [疑難解答 + 支援>疑難解答>] 選取使用者>摘要>應用程式防護*。 這項功能專屬於 Intune 應用程式保護管理下的應用程式。 如果支援,則會收集應用程式特定記錄,並儲存在每個應用程式的專用記憶體解決方案中。
從 M365 應用程式收集診斷
若要使用 收集診斷 動作:
- 登入 Microsoft Intune 系統管理中心
- 流覽至 [疑難解答 + 支援>疑難解答>] 選取使用者。
- 在 [ 摘要] 頁面上,選取 [應用程式保護>簽入]。
- 尋找要收集診斷的應用程式,並使用 “...” 選項來選取 [收集診斷]。
- 出現提示時,選取 [ 是]。
若要檢查 收集診斷動作的 狀態:
- 在 [應用程式保護] 摘要上,選取 [ 重新整理]。
- 尋找您想要狀態的應用程式,然後在 [診斷狀態] 資料行中選取超連結。
若要下載診斷:
- 流覽至 [疑難解答 + 支援>疑難解答>] 選取使用者。
- 在 [ 摘要] 頁面上,選取 [ 診斷] 頁面並下載診斷。
重要事項
針對 Android 裝置,如果 公司入口網站 未由使用者登入,記錄將無法在 Intune 入口網站中下載。 無法直接從 Intune 入口網站下載診斷上傳超過 50 個診斷或 4 MB 的診斷數據。 若要存取較大的診斷上傳,請連絡 Microsoft Intune 支援。
從終端使用者的裝置傳遞診斷大約需要30分鐘。 如果在開啟應用程式時提示您輸入釘選,使用者可能需要關閉並重新開啟應用程式,以提示診斷要求。
從 Windows 裝置收集診斷
收集診斷遠端動作也可以設定為在裝置上發生 Autopilot 失敗時自動收集和上傳 Windows 裝置記錄。 發生 Autopilot 失敗時,會在失敗的裝置上處理記錄,然後自動擷取並上傳至 Intune。 裝置每天可以自動擷取一組記錄。
診斷集合會儲存 28 天,然後刪除。 每個裝置一次最多可以儲存10個集合。
收集診斷 也可作為 大量裝置動作 ,一次從最多 25 部 Windows 裝置收集診斷記錄。
注意事項
Microsoft人員可以存取裝置診斷,以協助疑難解答和解決事件。
Windows 裝置的需求
下列項目支援 收集診斷 遠端動作:
- Intune 或共同管理的裝置
- Windows 10 1909 版和更新版本
- Windows 11
- Microsoft HoloLens 2 2004 和更新版本
- 全域管理員、Intune 系統管理員,或在 [裝置合規性政策] 下) 和 [讀取 (] 下的 [收集診斷 (] 角色) 許可權
- 公司擁有的裝置
- 在線且能夠在診斷期間與服務通訊的裝置
注意事項
若要讓診斷能夠從用戶端成功上傳,請確定您的區域URL不會在網路上遭到封鎖:
Europe - lgmsapeweu.blob.core.windows.netAmericas - lgmsapewus2.blob.core.windows.netEast Asia - lgmsapesea.blob.core.windows.netAustralia - lgmsapeaus.blob.core.windows.netIndia - lgmsapeind.blob.core.windows.net
收集診斷
若要使用 收集診斷 動作:
- 登入 Microsoft Intune 系統管理中心
- 流覽至 [依平台>的裝置>],Windows> 選取支持的裝置。
- 在裝置的 [ 概觀 ] 頁面上,選取 [...]>收集診斷>是。 裝置的 [ 概觀 ] 頁面上會出現擱置中的通知。
- 若要查看動作的狀態,請選取 [裝置診斷監視器]。
- 動作完成之後,選取數據列中的 [下載] 作為動作 > [是]。
- 數據 ZIP 檔案會新增至您的下載匣,您可以將它儲存到您的電腦。
Autopilot 失敗的診斷集合
針對 Autopilot 診斷集合,不需要採取任何其他動作。 只要已啟用 Autopilot 自動擷取診斷功能,當裝置發生失敗時,就會自動擷取 Autopilot 診斷。
若要檢視 Autopilot 失敗後收集的診斷:
- 登入 Microsoft Intune 系統管理中心
- 流覽至 [依平臺>Windows 的裝置>]。
- 選取裝置。
- 選取> [診斷下載]。
- 數據 ZIP 檔案會新增至您的下載匣,您可以將它儲存到您的電腦。
收集的資料
雖然沒有任何收集個人資料的意圖,但診斷可能包含用戶可識別的資訊,例如使用者或裝置名稱。
如果您已在 Windows 10 上安裝KB5011543,或在 Windows 11 上安裝KB5011563,則 zip 檔案的格式會比較簡單,包括:
- 扁平化結構,其中所收集的記錄會命名為符合收集的數據
- 收集多個檔案時,會建立資料夾。
下列清單與診斷 zip 的順序相同。 每個集合都包含下列資料:
登入機碼:
- HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
- HKLM\SOFTWARE\Microsoft\EPMAgent
- HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
- HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
- HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
- HKLM\SOFTWARE\Microsoft\Windows 進階威脅防護
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SOFTWARE\Microsoft\DeviceInventory
- HKLM\SOFTWARE\Policies
- HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
- HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
- HKLM\SYSTEM\Setup\SetupDiag\Results
命令:
- %programfiles%\windows defender\mpcmdrun.exe -GetFiles
- %windir%\system32\certutil.exe -store
- %windir%\system32\certutil.exe -store -user my
- %windir%\system32\Dsregcmd.exe /status
- %windir%\system32\ipconfig.exe /all
- %windir%\system32\mdmdiagnosticstool.exe
- %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
- %windir%\system32\netsh.exe advfirewall show allprofiles
- %windir%\system32\netsh.exe advfirewall show global
- %windir%\system32\netsh.exe lan show 設定檔
- %windir%\system32\netsh.exe winhttp show Proxy
- %windir%\system32\netsh.exe wlan show 配置檔
- %windir%\system32\netsh.exe wlan show wlanreport
- %windir%\system32\ping.exe -n 50 localhost
- %windir%\system32\pnputil.exe /enum-drivers
- %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
- %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html
事件檢視器:
- 應用程式
- Microsoft-Windows-AppLocker/EXE and DLL
- Microsoft-Windows-AppLocker/MSI and Script
- Microsoft-Windows-AppLocker/Packaged app-Deployment
- Microsoft-Windows-AppLocker/Packaged app-Execution
- Microsoft-Windows-AppxPackaging/Operational
- Microsoft-Windows-Bitlocker/Bitlocker Management
- Microsoft-Windows-HelloForBusiness/Operational
- Microsoft-Windows-SENSE/Operational
- Microsoft-Windows-SenseIR/Operational
- Microsoft-Windows-Windows 防火牆與進階安全性/防火牆
- Microsoft-Windows-WinRM/Operational
- Microsoft-Windows-WMI-Activity/Operational
- Microsoft-Windows-AppXDeployment/Operational
- Microsoft-Windows-AppXDeploymentServer/Operational
- 設定
- 系統
檔案:
- %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
- %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
- %Program Files%\Microsoft Device Inventory Agent\Logs
- %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
- %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
- %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
- %ProgramData%\USOShared\logs\system\*.etl
- %ProgramData Microsoft更新健全狀況工具\Logs\*.etl
- %temp%\CloudDesktop*.log
- %temp%\MDMDiagnostics\battery-report.html
- %temp%\MDMDiagnostics\energy-report.html
- %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
- %temp%\MDMDiagnostics\msinfo32.log
- %windir%\ccm\logs\*.log
- %windir%\ccmsetup\logs\*.log
- %windir%\logs\CBS\cbs.log
- %windir%\logs\measuredboot\*.*
- %windir%\logs\Panther\unattendgc\setupact.log
- %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
- %windir%\Logs\SetupDiag\SetupDiagResults.xml
- %windir%\logs\WindowsUpdate\*.etl
- %windir%\SensorFramework*.etl
- %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
- %windir%\temp%computername%*.log
- %windir%\temp\officeclicktorun*.log
- %TEMP%\winget\defaultstate*.log
停用裝置診斷
默認會啟用 收集診斷 遠程動作。 您可以遵循下列步驟,停用所有裝置 的收集診斷 遠端動作:
流覽至 [租使用者管理>] [裝置診斷]。
將 [裝置診斷] 下方的控件變更為 [公司管理的裝置],其執行 Windows 10 版本 1909 及更新版本,或 Windows 11。為 [已停用]。
![顯示 [裝置診斷] 窗格的螢幕快照,其中已將裝置診斷的醒目提示控件設定為 [已停用]。](media/collect-diagnostics/disable-device-diagnostics.png)
![顯示 [裝置診斷] 窗格的螢幕快照,其中已將裝置診斷的醒目提示控件設定為 [已停用]。](media/collect-diagnostics/disable-device-diagnostics.png#lightbox)
停用 Autopilot 自動收集診斷
默認會啟用 Autopilot 自動診斷擷取。 您可以依照下列步驟停用 Autopilot 自動診斷擷取:
流覽至 [租使用者管理>] [裝置診斷]。
在 Windows 10 1909 版或更新版本的 Autopilot 程式期間發生失敗且 Windows 11 時,變更 [自動擷取診斷] 底下的控件。診斷可能包含使用者標識資訊,例如使用者或裝置名稱 (預覽) 。至 [已停用]。
![顯示 [裝置診斷] 窗格的螢幕快照,其中已將 Autopilot 自動診斷收集的醒目提示控件設定為 [已停用]。](media/collect-diagnostics/disable-autopilot-diagnostics.png)
![顯示 [裝置診斷] 窗格的螢幕快照,其中已將 Autopilot 自動診斷收集的醒目提示控件設定為 [已停用]。](media/collect-diagnostics/disable-autopilot-diagnostics.png#lightbox)
裝置診斷的已知問題
目前有兩個主要問題可能會導致裝置診斷失敗:
- 裝置上可能會發生逾時,而沒有修補 程式KB4601315 或 KB4601319。 這些修補程式包含 DiagnosticLog CSP 的修正,可防止在上傳期間逾時。 安裝更新之後,請務必重新啟動您的裝置。
- 裝置無法在24小時內收到裝置動作。 如果裝置離線或關閉,可能會導致失敗。