Compartilhar via

CMPivot para dados em tempo real no Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Configuration Manager sempre forneceu um grande arquivo centralizado de dados do dispositivo, que os clientes utilizam para fins de relatórios. Normalmente, o site recolhe estes dados semanalmente. A partir da versão 1806, o CMPivot é um novo utilitário na consola que agora fornece acesso ao estado em tempo real dos dispositivos no seu ambiente. Executa imediatamente uma consulta em todos os dispositivos atualmente ligados na coleção de destino e devolve os resultados. Em seguida, filtre e agrupe estes dados na ferramenta. Ao fornecer dados em tempo real de clientes online, pode responder mais rapidamente a perguntas empresariais, resolver problemas e responder a incidentes de segurança.

Por exemplo, na mitigação de vulnerabilidades do canal do lado da execução especulativa, um dos requisitos é atualizar o BIOS do sistema. Pode utilizar o CMPivot para consultar rapidamente as informações do BIOS do sistema e encontrar clientes que não estão em conformidade.

Importante

  • Algum software de segurança pode bloquear scripts em execução a partir de c:\windows\ccm\scriptstore. Isto pode impedir a execução bem-sucedida de consultas CMPivot. Alguns softwares de segurança também podem gerar eventos de auditoria ou alertas ao executar o CMPivot PowerShell.
  • Determinado software antimalware pode inadvertidamente acionar eventos no Configuration Manager executar Scripts ou funcionalidades CMPivot. Recomenda-se excluir %windir%\CCM\ScriptStore para que o software antimalware permita que essas funcionalidades funcionem sem interferências.

Pré-requisitos

Os seguintes componentes são necessários para utilizar o CMPivot:

  • Atualize os dispositivos de destino para a versão mais recente do Gerenciador de Configurações cliente.

  • Os clientes de destino exigem no mínimo a versão 4 do PowerShell.

  • Para recolher dados para as seguintes entidades, os clientes de destino necessitam da versão 5.0 do PowerShell:

    • Administradores
    • Connection
    • IPConfig
    • SMBConfig

  • O CMPivot e o instalador do Microsoft Edge estão atualmente assinados com o certificado PCA 2011 de Assinatura de Código da Microsoft . Se definir a política de execução do PowerShell como AllSigned, tem de se certificar de que os dispositivos confiam neste certificado de assinatura. Pode exportar o certificado a partir de um computador onde instalou a consola do Configuration Manager. Veja o certificado em e, em "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"seguida, exporte o certificado de assinatura de código a partir do caminho de certificação. Em seguida, importe-o para o arquivo fabricantes fidedignos do computador em dispositivos geridos. Pode utilizar o processo no blogue seguinte, mas certifique-se de que exporta o certificado de assinatura de código a partir do caminho de certificação: Adicionar um Certificado a Fabricantes Fidedignos com Intune.

Permissões

São necessárias as seguintes permissões para o CMPivot:

  • Executar a permissão CMPivot na Coleção
  • Permissão de leitura em Relatórios de Inventário
  • Permissão de leitura no objeto Scripts de SMS
    • A leitura paraScripts de SMS não é necessária a partir da versão 2107
    • O CMPivot não precisa de Ler para Scripts de SMS para o seu cenário principal a partir da versão 2107. No entanto, se o serviço de administração estiver inativo e a permissão tiver sido removida, quando o serviço de administração recuar, o CMPivot falhará. O Fornecedor de SMS ainda requer permissão de Leitura em Scripts de SMS se o serviço de administração reverter para o mesmo devido a um erro 503 (Serviço Indisponível), como se pode ver no CMPivot.log.
  • O âmbito predefinido.
    • O âmbito predefinido não é necessário a partir da versão 2107

Permissões CMPivot por versão Configuration Manager

1902 e anterior Versões 1906 a 2103 2107 ou posterior
Permissão Executar Script na Coleção Executar a permissão CMPivot na Coleção Executar a permissão CMPivot na Coleção
Permissão de leitura em Relatórios de Inventário Permissão de leitura em Relatórios de Inventário Permissão de leitura em Relatórios de Inventário
Permissão de leitura em Scripts SMS Permissão de leitura em Scripts SMS N/D

O Fornecedor de SMS ainda necessita de permissão de Leitura em Scripts de SMS se o serviço de administração reverter para o mesmo devido a um erro 503 (Serviço Indisponível), conforme visto no CMPivot.log.
Permissão de âmbito predefinida Permissão de âmbito predefinida N/D

Limitações

  • O CMPivot só devolve dados para clientes ligados ao site atual, a menos que sejam executados a partir do site de administração central (CAS).
    • Se uma coleção contiver dispositivos de outro site, os resultados do CMPivot são apenas de dispositivos no site atual, a menos que o CMPivot seja executado a partir do CAS.
    • Em alguns ambientes, são necessárias permissões adicionais para que o CMPivot seja executado no CAS. Para obter mais informações, veja Alterações cmpivot para a versão 1902.
  • Não pode personalizar propriedades de entidade, colunas para resultados ou ações em dispositivos.
  • Apenas uma instância do CMPivot pode ser executada ao mesmo tempo num computador que esteja a executar a consola Configuration Manager.
  • No CMPivot autónomo, não consegue aceder a consultas CMPivot armazenadas no Hub da Comunidade.
  • Quando é utilizado o início de sessão único com a autenticação multifator, poderá não conseguir iniciar sessão no Hub da Comunidade a partir do CMPivot ao utilizar o Configuration Manager 2103 e anterior.

Iniciar CMPivot

  1. Na consola do Configuration Manager, ligue-se ao site primário ou ao CAS. Aceda à área de trabalho Ativos e Compatibilidade e selecione o nó Coleções de Dispositivos . Selecione uma coleção de destino e selecione Iniciar CMPivot no friso para iniciar a ferramenta. Se não vir esta opção, marcar as seguintes configurações:

    • Confirme junto de um administrador do site que a sua conta tem as permissões necessárias. Para obter mais informações, confira Pré-requisitos.

  2. A interface fornece mais informações sobre a utilização da ferramenta.

    • Introduza manualmente cadeias de consulta na parte superior ou selecione as ligações na documentação em linha.

    • Selecione uma das Entidades para adicioná-la à cadeia de consulta.

    • As ligações para Operadores de Tabela, Funções de Agregação e Funções Escalares abrem a documentação de referência de idioma no browser. O CMPivot utiliza o Linguagem de Consulta Kusto (KQL).

  3. Mantenha a janela CMPivot aberta para ver os resultados dos clientes. Quando fecha a janela CMPivot, a sessão é concluída.

    • Se a consulta tiver sido enviada, os clientes continuam a enviar uma resposta de mensagem de estado para o servidor.

Como utilizar o CMPivot

Exemplo de janela CMPivot

A janela CMPivot contém os seguintes elementos:

  1. A coleção atualmente direcionada para CMPivot está na barra de título na parte superior e na barra de status na parte inferior da janela. Por exemplo, "PM_Team_Machines" na captura de ecrã acima.

  2. O painel à esquerda lista as Entidades que estão disponíveis nos clientes. Algumas entidades dependem da WMI, enquanto outras utilizam o PowerShell para obter dados de clientes.

    • Clique com o botão direito do rato numa entidade para as seguintes ações:

      • Inserir: adicione a entidade à consulta na posição atual do cursor. A consulta não é executada automaticamente. Esta ação é a predefinição quando faz duplo clique numa entidade. Utilize esta ação ao criar uma consulta.

      • Consultar tudo: execute uma consulta para esta entidade, incluindo todas as propriedades. Utilize esta ação para consultar rapidamente uma única entidade.

      • Consultar por dispositivo: execute uma consulta para esta entidade e agrupe os resultados. Por exemplo, Disk | summarize dcount( Device ) by Name

    • Expanda uma entidade para ver propriedades específicas disponíveis para cada entidade. Faça duplo clique numa propriedade para adicioná-la à consulta na posição atual do cursor.

  3. O separador Base mostra informações gerais sobre o CMPivot, incluindo ligações para consultas de exemplo e documentação de suporte.

  4. O separador Consulta apresenta o painel de consulta, o painel de resultados e status barra. O separador consulta está selecionado no exemplo de captura de ecrã acima.

  5. O painel de consulta é onde cria ou escreve uma consulta para ser executada em clientes na coleção.

    • Por predefinição, este painel utiliza o IntelliSense. Por exemplo, se começar a Descrever , o IntelliSense sugere todas as entidades que começam com essa letra. Selecione uma opção e prima a Tecla de Tabulação para a inserir. Escreva um caráter de pipe e um espaço | e, em seguida, o IntelliSense sugere todos os operadores de tabela. Insira summarize e escreva um espaço e o IntelliSense sugere todas as funções de agregação. Para obter mais informações sobre estes operadores e funções, selecione o separador Base no CMPivot.

    • O painel de consulta também fornece as seguintes opções:

      • Execute a consulta.

        • Para executar novamente a consulta CMPivot atual nos clientes, mantenha a tecla Ctrl premida enquanto clica em Executar.

      • Retroceda e avance na lista de consultas do histórico.

      • Crie uma coleção de associação direta.

      • Exporte os resultados da consulta para CSV ou para a área de transferência.

  6. O painel de resultados apresenta os dados devolvidos pelos clientes ativos da consulta.

    • As colunas disponíveis variam com base na entidade e na consulta.

    • A saturação da cor dos dados na tabela ou gráfico de resultados indica se os dados estão em direto ou a partir da última análise de inventário de hardware armazenada na base de dados do site. Por exemplo, preto é dados em tempo real de um cliente online, enquanto cinzento é dados em cache.

    • Selecione um nome de coluna para ordenar os resultados por essa propriedade.

    • Clique com o botão direito do rato em qualquer nome de coluna para agrupar os resultados pelas mesmas informações nessa coluna ou ordene os resultados.

    • Clique com o botão direito do rato no nome de um dispositivo para efetuar as seguintes ações adicionais no dispositivo:

    • Clique com o botão direito do rato em qualquer célula que não utilize o dispositivo para efetuar as seguintes ações adicionais:

      • Copiar: copie o texto da célula para a área de transferência.

      • Mostrar dispositivos com: consulta para dispositivos com este valor para esta propriedade. Por exemplo, nos resultados da OS consulta, selecione esta opção numa célula na linha Versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ > 0)

      • Mostrar dispositivos sem: consultar dispositivos sem este valor para esta propriedade. Por exemplo, nos resultados da OS consulta, selecione esta opção numa célula na linha Versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ == 0) | project Device

      • Bing it: inicie o browser predefinido para https://www.bing.com com este valor como a cadeia de consulta.

    • Selecione qualquer texto hiperligado para dinamizar a vista nessas informações específicas.

    • O painel de resultados não mostra mais de 20 000 linhas. Ajuste a consulta para filtrar ainda mais os dados ou reinicie o CMPivot numa coleção mais pequena.

  7. A barra de status mostra as seguintes informações (da esquerda para a direita):

    • A status da consulta atual à coleção de destino. Este status inclui:

      • O número de clientes ativos que concluíram a consulta (3)

      • O número total de clientes (5)

      • O número de clientes offline (2)

      • Todos os clientes que devolveram a falha (0)

        Por exemplo: Query completed on 3 of 5 clients (2 clients offline and 0 failure)

    • O ID da operação do cliente. Por exemplo: id(16780221)

    • A coleção atual. Por exemplo: PM_Team_Machines

    • O número total de linhas no painel de resultados. Por exemplo, 1 objects

Dica

A partir da versão 2107, utilize novamente o botão Consultar dispositivos ou Ctrl + F5 para forçar o cliente a obter novamente os dados da consulta. A utilização de dispositivos de consulta novamente é útil quando espera que os dados sejam alterados no dispositivo desde a última consulta, como durante a resolução de problemas. Selecionar Executar consulta novamente depois de os resultados iniciais serem devolvidos apenas analisa os dados que o CMPivot já obteve do cliente.

Captura de ecrã do botão de novamente dispositivos de consulta a mostrar a descrição de que Ctrl + F5 é um atalho para forçar os clientes a obter os dados novamente.

Publicar consulta no Hub da Comunidade a partir do CMPivot

(Aplica-se à versão 2107 ou posterior)

A partir da versão 2107, pode publicar uma consulta CMPivot no Hub da Comunidade diretamente a partir da janela CMPivot. Submeter as consultas diretamente através do CMPivot facilita a contribuição para o Hub de Comunidade.

Precisará dos seguintes requisitos para o CMPivot e para contribuir para o Hub da Comunidade:

  1. Aceda à área de trabalho Ativos e Compatibilidade e , em seguida, selecione o nó Coleções de Dispositivos .

  2. Selecione uma coleção de destino, um dispositivo de destino ou um grupo de dispositivos e, em seguida, selecione Iniciar CMPivot no friso para iniciar a ferramenta.

  3. Na janela CMPivot, selecione o ícone Hub de comunidade no menu.

    Ícone do hub da comunidade

  4. Selecione Iniciar sessão e, em seguida, inicie sessão no GitHub.

  5. Crie uma consulta CMPivot e, em seguida, selecione Executar Consulta para verificar se funciona conforme esperado.

    • Opcionalmente, selecione o ícone de pasta para aceder à sua lista de favoritos para utilizar uma consulta que já criou.

  6. Selecione a ligação Publicar na parte superior da janela Hub da comunidade do CMPivot quando estiver pronto para submeter a consulta.

    Captura de ecrã da janela Do hub da Comunidade no CMPivot a mostrar o separador publicação

  7. Atribua um Nome e Uma Descrição à consulta e, em seguida, selecione o botão Publicar para enviar a consulta para o Hub de Comunidade.

  8. Assim que a contribuição estiver concluída, pode aceder à sua consulta em qualquer altura a partir do separador Eu .

  9. Para ver o pedido Pull (PR) do GitHub, aceda a https://github.com/Microsoft/configmgr-hub/pulls. Também pode aceder à ligação pr a partir da página O seu hub no nó Hub da comunidade .

    • Os PRs não devem ser submetidos diretamente para o repositório do GitHub.

Observação

  • Atualmente, quando publica uma consulta através do CMPivot, não pode editá-la ou eliminá-la após a publicação.
  • O hub da comunidade só está disponível no CMPivot quando o executa a partir da consola do Configuration Manager. O hub da comunidade não está disponível a partir do CMPivot autónomo.

Cenários de exemplo para CMPivot

As secções seguintes fornecem exemplos de como pode utilizar o CMPivot no seu ambiente:

Exemplo 1: Parar um serviço em execução

O administrador de segurança pede-lhe para parar e desativar o serviço browser do computador o mais rapidamente possível em todos os dispositivos no departamento de contabilidade. Inicie o CMPivot numa coleção para todos os dispositivos em contabilidade e selecione Consultar tudo na entidade Serviço .

Service

À medida que os resultados são apresentados, clique com o botão direito do rato na coluna Nome e selecione Agrupar por.

Service | summarize dcount( Device ) by Name

Na linha do serviço Browser , selecione o número de hiperligação na coluna dcount_ .

Service | where (Name == 'Browser') | summarize count() by Device

Pode selecionar vários dispositivos, clicar com o botão direito do rato na seleção e selecionar Executar Script. Esta ação inicia o assistente Executar Script, a partir do qual executa um script existente que tem para parar e desativar um serviço. Com o CMPivot, responde rapidamente ao incidente de segurança de todos os computadores ativos, visualizando os resultados no assistente Executar Script. Em seguida, siga para criar uma linha de base de configuração para remediar outros computadores na coleção à medida que estes se tornam ativos no futuro.

Exemplo de CMPivot para o serviço browser e a ação Executar Script

Exemplo 2: Proativamente resolve falhas da aplicação

Para ser proativo com a manutenção operacional, uma vez por semana, executa o CMPivot numa coleção de servidores que gere e seleciona Consultar tudo na entidade AppCrash . Clique com o botão direito do rato na coluna FileName e selecione Ordenação Ascendente. Um dispositivo devolve sete resultados para sqlsqm.exe com um carimbo de data/hora cerca de 03:00 todos os dias. Selecione o nome do ficheiro numa das linhas, clique com o botão direito do rato no mesmo e selecione Bing It. Ao navegar pelos resultados da pesquisa no browser, encontrará um artigo de suporte da Microsoft para este problema com mais informações e resolução.

Exemplo 3: versão do BIOS

Para mitigar vulnerabilidades do canal do lado da execução especulativa, um dos requisitos é atualizar o BIOS do sistema. Começa com uma consulta para a entidade BIOS . Em seguida, agrupe pela propriedade Versão . Em seguida, clique com o botão direito do rato num valor específico, como "LENOVO - 1140" e selecione Mostrar dispositivos com.

Bios | summarize countif( (Version == 'LENOVO - 1140') ) by Device | where (countif_ > 0)

Exemplo 4: espaço livre em disco

Tem de armazenar temporariamente um ficheiro grande num servidor de ficheiros de rede, mas não tem a certeza de qual tem capacidade suficiente. Inicie o CMPivot numa coleção de servidores de ficheiros e consulte a entidade Disco . Modifique a consulta do CMPivot para devolver rapidamente uma lista de servidores ativos com dados de armazenamento em tempo real:

Disk | where (Description == 'Local Fixed Disk') | where isnotnull( FreeSpace ) | order by FreeSpace asc

CMPivot autónomo

Pode utilizar o CMPivot como uma aplicação autónoma. O CMPivot autónomo só está disponível em inglês. Execute o CMPivot fora da consola do Configuration Manager para ver o estado em tempo real dos dispositivos no seu ambiente. Esta alteração permite-lhe utilizar o CMPivot num dispositivo sem instalar primeiro a consola do .

Pode partilhar o poder do CMPivot com outras pessoas, tais como suporte técnico ou administradores de segurança, que não têm a consola instalada no computador. Estas outras pessoas podem utilizar o CMPivot para consultar Configuration Manager juntamente com as outras ferramentas que utilizam tradicionalmente. Ao partilhar estes dados de gestão avançados, pode trabalhar em conjunto para resolver proativamente problemas empresariais que se cruzam com funções.

Instalar o CMPivot autónomo

  1. Configure as permissões necessárias para executar o CMPivot. Para obter mais informações, veja pré-requisitos. Também pode utilizar a função Administrador de Segurança se as permissões forem adequadas para o utilizador.

  2. Localize o instalador da aplicação CMPivot no seguinte caminho: <site install path>\tools\CMPivot\CMPivot.msi. Pode executá-lo a partir desse caminho ou copiá-lo para outra localização.

  3. Quando executar a aplicação autónoma CMPivot, ser-lhe-á pedido para se ligar a um site. Especifique o nome de domínio completamente qualificado ou o nome do computador da Administração Central ou do servidor do site primário.

    • Sempre que abrir o CMPivot autónomo, ser-lhe-á pedido para se ligar a um servidor do site.

  4. Navegue para a coleção na qual pretende executar o CMPivot e, em seguida, execute a consulta.

    Navegue para a coleção na qual pretende executar a consulta

Observação

  • As ações de clique com o botão direito do rato, como Executar Scripts, Explorer de Recursos e pesquisa na Web não estão disponíveis no CMPivot autónomo. A utilização principal autónoma do CMPivot é consultar de forma independente da infraestrutura Configuration Manager. Para ajudar os administradores de segurança, o CMPivot autónomo inclui a capacidade de ligar a Central de Segurança do Microsoft Defender.
  • Pode fazer uma avaliação de consulta de dispositivo local com o CMPivot autónomo.

Dentro do CMPivot

O CMPivot envia consultas aos clientes através do Configuration Manager "canal rápido". Este canal de comunicação do servidor para o cliente também é utilizado por outras funcionalidades, como ações de notificação de cliente, status de cliente e Endpoint Protection. Os clientes devolvem resultados através do sistema de mensagens de estado igualmente rápido. As mensagens de estado são armazenadas temporariamente na base de dados. Para obter mais informações sobre as portas utilizadas para a notificação de cliente, veja o artigo Portas .

As consultas e os resultados são apenas texto. As entidades InstallSoftware e Process devolvem alguns dos maiores conjuntos de resultados. Durante os testes de desempenho, o maior tamanho de ficheiro de mensagem de estado de um cliente para estas consultas foi inferior a 1 KB. Dimensionada para um ambiente grande com 50 000 clientes ativos, esta consulta única geraria menos de 50 MB de dados em toda a rede. Todos os itens na página de boas-vindas sublinhados irão devolver menos de 1 KB de informações por cliente.

CmPivot underlined entities example (Exemplo de entidades sublinhadas cmpivot)

A partir do Configuration Manager 1810, o CMPivot pode consultar dados de inventário de hardware, incluindo classes de inventário de hardware alargadas. Estas novas entidades (entidades não sublinhadas na página de boas-vindas) podem devolver conjuntos de dados muito maiores, consoante a quantidade de dados definida para uma determinada propriedade de inventário de hardware. Por exemplo, a entidade "InstalledExecutable" pode devolver vários MB de dados por cliente, consoante os dados específicos que consultar. Tenha em atenção o desempenho e a escalabilidade nos seus sistemas ao devolver conjuntos de dados de inventário de hardware maiores de coleções maiores com o CMPivot.

Uma consulta excede o tempo limite após uma hora. Por exemplo, uma coleção tem 500 dispositivos e 450 dos clientes estão atualmente online. Esses dispositivos ativos recebem a consulta e devolvem os resultados quase imediatamente. Se deixar a janela CMPivot aberta, à medida que os outros 50 clientes ficam online, também recebem a consulta e devolvem resultados.

Arquivos de log

As interações CMPivot são registadas nos seguintes ficheiros de registo:

Lado do servidor:

  • SmsProv.log
  • BgbServer.log
  • StateSys.log

Lado do cliente:

  • CcmNotificationAgent.log
  • Scripts.log
  • StateMessage.log

Para obter mais informações, veja Ficheiros de registo e Resolução de problemas do CMPivot.

Próximas etapas