次の方法で共有


エンドポイント分析のトラブルシューティング

次のセクションは、発生する可能性がある問題のトラブルシューティングに役立ちます。

既知の問題

カスタム クライアント設定が、Endpoint Analytics データ収集が有効になっていることを誤って示している可能性があります

Configuration Manager でエンドポイント分析データのアップロードを有効にすると、階層の既定のクライアント設定でデータ収集が自動的に有効になります。 その後、設定の [コンピューター エージェント] グループを含む既存のカスタム クライアント設定は、Configuration Manager コンソールで [エンドポイント分析データの収集を有効にする][はい] に設定されているように見えますが、この設定は対象デバイスに展開されていない可能性があります。

影響を受けるデバイス: この問題は、設定の [コンピューター エージェント] グループを含み、エンドポイント分析へのオンボードの前に作成および展開されたカスタム クライアント設定オブジェクトに影響します。 このようなカスタム クライアント設定の対象となるデバイスの結果クライアント設定を表示すると、Endpoint Analytics データ収集が有効になっていない場合があります。

軽減策: エンドポイント分析のカスタム クライアント設定によって管理されるデバイスを適切に構成するには、[エンドポイント分析データの収集を有効にする] 設定を [いいえ] に手動で設定し、[OK] を選択して設定を閉じます。 その後、カスタム クライアント設定を再度開き、[エンドポイント分析データの収集を有効にする] 設定を [はい] に戻して [OK] を選択します。 この変更により、ターゲット デバイスでカスタム クライアント設定が強制的に更新されます。

エラー コード -2016281112 (修復できませんでした)

Intune データ収集ポリシーを正しく割り当てられない場合に、影響を受けるデバイスに -2016281112 (Remediation failed) のエラー コードが表示されるというプロファイル割り当てエラーがお客様に表示される場合があります。 スタートアップ パフォーマンスの分析情報は、Windows 10 バージョン 1903 以降の Enterprise、Education、または Pro を実行するデバイスでのみ使用できます。 長期サービス チャネル (LTSC) はサポートされていません。

  • Windows 10 Pro バージョン 1903 および 1909 には KB4577062 が必要です。
  • Windows 10 Pro バージョン 2004 および 20H2 には 、KB4577063が必要です。

ハードウェア インベントリの処理に失敗する

エンドポイント分析を有効にした後、デバイスのハードウェア インベントリが処理に失敗することがあります。 ここに示すようなエラーは、Dataldr.log ファイルに表示される場合があります。

Begin transaction: Machine=<machine>
*** [23000][2627][Microsoft][SQL Server Native Client 11.0][SQL Server]Violation of PRIMARY KEY constraint 'BROWSER_USAGE_HIST_PK'. Cannot insert duplicate key in object 'dbo.BROWSER_USAGE_HIST'. The duplicate key value is (XXXX, Y). : dbo.dBROWSER_USAGE_DATA
ERROR - SQL Error in
ERROR - is NOT retyrable.
Rollback transaction: XXXX

軽減策: この問題を回避するには、ブラウザーの使用状況 (SMS_BrowerUsage) のハードウェア インベントリ クラスの収集を無効にします。 このクラスは現在、エンドポイント分析で使用されていないため、Microsoft に送信されません。

修復のスクリプト要件

スクリプト パッケージ作成時の [設定] ページで [スクリプトの署名チェックを強制する] オプションが有効になっている場合、スクリプトが UTF-8 でエンコードされており、UTF-8 BOM ではないことを確認します。

デバイス登録とスタートアップ パフォーマンスのトラブルシューティング

概要ページに、スタートアップ パフォーマンス スコアがゼロと表示され、データを待機していることを示すバナーが一緒に表示されている場合、またはスタートアップ パフォーマンスの [デバイスのパフォーマンス] タブに予想よりも少ないデバイスが表示されている場合は、問題のトラブルシューティングのために実行できる手順がいくつかあります。

まず、デバイスが次の前提条件を満たしていることを確認します。

Intune データ収集ポリシーで構成された Intune または共同管理デバイスの場合:

  1. Intune データ収集ポリシーが、パフォーマンス データを表示するすべてのデバイスを対象としていることを確認します。 [割り当て] タブを確認して、予想されるデバイスのセットに割り当てられていることを確認します。
  2. データ収集用に正常に構成されていないデバイスを探します。 この情報は、プロファイルの概要ページでも確認できます。
    • プロファイル割り当てエラーがお客様に表示される可能性がある既知の問題があります。その影響を受けたデバイスには、-2016281112 (Remediation failed) のエラーコードが表示されます。 詳細については、「エラー コード -2016281112」セクションを参照してください。
  3. データ収集について正常に構成されたデバイスは、データ収集を有効にした後で再起動する必要があります。その後、デバイスが [デバイスのパフォーマンス] タブに表示されるまで、最大 25 時間待機する必要があります。「データ フロー」を参照してください
  4. デバイスがデータ収集用に正常に構成され、後で再起動され、25 時間後も表示されない場合は、デバイスが必要なエンドポイントと通信できない可能性があります。 「プロキシの構成」を参照してください。

Configuration Manager 管理対象デバイスの場合:

  1. パフォーマンス データを表示するすべてのデバイスが登録済みであることを確認します。
  2. サービス接続ポイントの役割をホストしているサイト システムの UXAnalyticsUploadWorker.log ファイルのエラー メッセージを確認して、Configuration Manager からゲートウェイ サービスへのデータのアップロードが成功したかどうかを確認します。
  3. 管理者がクライアント設定に対してカスタム オーバーライドを持っているかどうかを確認します。 Configuration Manager コンソールで、[デバイス] ワークスペースに移動し、対象デバイスを検索して、[クライアント設定] グループで [クライアント設定の結果] を選択します。 エンドポイント分析が無効になっている場合は、オーバーライドするクライアント設定があります。 オーバーライドするクライアント設定を見つけて、それに対するエンドポイント分析を有効にします。
  4. クライアント デバイスの C:\Windows\CCM\Logs\ にある SensorEndpoint.log ファイルを確認して、不足しているクライアント デバイスがサイト サーバーにデータを送信しているかどうかを確認します。 [送信されたメッセージ] のメッセージを探します。
  5. クライアント デバイスの C:\Windows\CCM\Logs\ にある SensorManagedProvider.log ファイルを確認して、ブート イベントの処理中に発生したエラーを確認して解決します。
  6. すべての分析を完全に有効にするには、クライアント デバイスを再起動する必要があります。

プロキシの構成

環境でプロキシ サーバーを使用している場合は、次のエンドポイントを許可するようにプロキシ サーバーを構成します。

重要

プライバシーとデータの整合性を確保するため、Windows は必要な機能データを共有するエンドポイントとの通信時に Microsoft SSL 証明書がないか確認します (証明書のピン留め)。 SSL を傍受および検査することはできません。 エンドポイント分析を使用するには、これらのエンドポイントを SSL の検査から除外します。

Configuration Manager マネージド デバイスに必要なエンドポイント

Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。

エンドポイント 職務
https://graph.windows.net Configuration Manager サーバー ロールの Endpoint analytics に階層をアタッチするときに設定を自動的に取得するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。
https://*.manage.microsoft.com デバイスコレクションとデバイスを、Configuration Manager サーバーロールでのみ Endpoint analytics と同期するために使用されます。 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。

Intune マネージド デバイスに必要なエンドポイント

エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。 Endpoint Analytics は、Windows クライアントと Windows Server 接続ユーザー エクスペリエンスとテレメトリ コンポーネント (DiagTrack) を使用して、Intune で管理されるデバイスからデータを収集します。 デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。

エンドポイント 職務
https://*.events.data.microsoft.com 必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。

プロキシ サーバー認証

組織でインターネット アクセスにプロキシ サーバー認証を使用している場合は、認証のためにデータがブロックされないことを確認します。 プロキシでデバイスがこのデータの送信を許可していない場合、エンドポイント分析には表示されません。

プロキシ サーバーを構成して、データ共有エンドポイントへのトラフィックにプロキシ認証が要求されないようにします。 このオプションは、最も包括的な解決策です。 Windows 10 以降のすべてのバージョンで動作します。

ユーザー プロキシ認証

サインインしたユーザーのコンテキストをプロキシ認証に使用するようにデバイスを構成します。 この方法では、次の構成が必要です。

  • デバイスに、サポートされているバージョンの Windows の最新の品質更新プログラムがインストールされている

  • Windows の設定の [ネットワークとインターネット] グループの [プロキシ設定] で、ユーザーレベル プロキシ (WinINET プロキシ) を構成します。 従来の [インターネット オプション] コントロール パネルを使用することもできます。

  • ユーザーに、データ共有エンドポイントにアクセスするためのプロキシ アクセス許可があることを確認します。 このオプションでは、プロキシ アクセス許可を持つコンソール ユーザーがデバイスに存在する必要があるため、この方法をヘッドレス デバイスで使用することはできません。

重要

ユーザー プロキシ認証の方法は、Microsoft Defender for Endpoint の使用と互換性がありません。 このような動作が発生するのは、この認証では DisableEnterpriseAuthProxy レジストリ キーが 0 に設定されている必要があるのに対し、Microsoft Defender for Endpoint では 1 に設定されている必要があるためです。 詳しくは、Microsoft Defender for Endpoint でのマシンのプロキシとインターネット接続設定の構成に関する記事をご覧ください。

デバイス プロキシ認証

この方法では次のシナリオがサポートされます。

  • ユーザーがサインインしない、またはデバイスのユーザーがインターネット アクセスを使用しないヘッドレス デバイス

  • Windows 統合認証を使用しない認証プロキシ

  • Microsoft Defender for Endpoint も使用する場合

この方法は、次の構成が必要であるため、最も複雑です。

  • デバイスがローカル システム コンテキストで WinHTTP を使用してプロキシ サーバーに接続できることを確認します。 この動作を構成するには、次のいずれかのオプションを使用します。

    • コマンド ライン netsh winhttp set proxy

    • Web プロキシ自動検出 (WPAD) プロトコル

    • 透過プロキシ

    • 次のグループ ポリシー設定を使用して、デバイス全体の WinINET プロキシを構成します: (ユーザー別ではなく) コンピューター別にプロキシを設定する (ProxySettingsPerUser = 1)

    • ルーティングされた接続、またはネットワーク アドレス変換 (NAT) を使用する接続

  • Active Directory 内のコンピューター アカウントがデータ エンドポイントにアクセスすることを許可するようにプロキシ サーバーを構成します。 この構成では、プロキシ サーバーで Windows 統合認証がサポートされている必要があります。

よく寄せられる質問

デバイスが共同管理されている場合は、Intune、Configuration Manager、または両方のどちらを使用してデバイスを登録する必要がありますか。

Intune を使用して、対象となる共同管理デバイスを登録することをお勧めします。 Intune 登録のデバイス要件を満たしていないデバイス (Windows Home デバイスや古いバージョンの Windows を実行しているデバイスなど) は、Configuration Manager を使用して登録できます。 バック エンドの重複排除ロジックにより、Intune と Configuration Manager の両方を経由して登録されたデバイスがエンドポイント分析ポータルに複数回表示されることはありません。

Intune テナントを別のテナントの場所に移動した場合、エンドポイント分析データは移行されますか。

Intune テナントを別の場所に移行すると、移行時のエンドポイント分析ソリューション内のすべてのデータが失われます。 エンドポイントはエンドポイント分析に継続的に報告されるため、デバイスが適切に登録されているとすれば、移行後に発生するすべてのイベントが新しいテナントの場所に自動的にアップロードされ、レポートが再作成されます。

スクリプトがコード 1 で終了するのはなぜですか。

スクリプトがコード 1 で終了するのは、修復が行われる必要があることを Intune に通知するためです。 この場合、検出スクリプトを 1 で終了することは、修復が必要であることを意味します。 CM でのみ実行されるスクリプト パッケージの多くは、準拠していると表示されることがありますが、コード 1 で終了します。 これらのスクリプトでは、コード 1 で終了することは何らかの警告ではありませんが、デバイスの修復を適切に検証することをお勧めします。

古いグループ ポリシーの更新スクリプトがエラー 0x87D00321 で終了したのはなぜですか。

0x87D00321 は、スクリプトの実行タイムアウト エラーです。 通常、このエラーはリモート接続されているコンピューターで発生します。 可能な軽減策としては、内部ネットワーク接続を持つコンピューターの動的なコレクションにのみ展開することが考えられます。

修復スクリプトの出力サイズ制限は何ですか?

修復スクリプトで許可される最大出力サイズ制限は 2048 文字です。

次の手順

エンドユーザーが問題に気付く前に、修復を使用して一般的なサポートの問題の解決に役立てます。