Remediações
Importante
O nome das Remediações Proativas foi mudado para Remediações e está agora disponível em Dispositivos>Gerir Dispositivos Scripts>e remediações. Todas as referências a Remediações Proativas nesta documentação são substituídas por Remediações. No entanto, o termo Remediações Proativas ainda pode aparecer em alguns blogues e outros artigos.
As remediações ajudam-no a corrigir problemas comuns de suporte antes de os utilizadores finais detetarem problemas.
Neste artigo, irá aprender a:
- Rever os pré-requisitos para Remediações
- Implantar um pacote de script interno
- Implantar um pacote de script personalizado
- Executar um script de Remediação a pedido (pré-visualização)
- Recuperação de política de cliente e relatório de cliente
- Monitorar os pacotes de script
- Exportar saída de script
- Monitorizar status de remediação de um dispositivo
Acerca das Remediações
As remediações são pacotes de scripts que podem detetar e corrigir problemas comuns de suporte no dispositivo de um utilizador antes mesmo de perceberem que existe um problema. As remediações podem ajudar a reduzir as chamadas de suporte. Você pode criar seu próprio pacote de scripts ou implantar um dos pacotes de scripts que criamos e usamos em nosso ambiente para reduzir os tíquetes de suporte.
Cada pacote consiste em um script de detecção, um script de correção e em metadados. Por meio do Intune, você pode implantar esses pacotes de script e ver relatórios sobre sua eficácia.
Pré-requisitos
Quer esteja a inscrever dispositivos através de Intune ou Configuration Manager, o scripting de Remediação tem os seguintes requisitos:
Os dispositivos têm de estar Microsoft Entra associados ou Microsoft Entra associados híbridos e cumprir uma das seguintes condições:
- É gerenciado pelo Intune e executa uma edição Enterprise, Professional ou Education do Windows 10 ou posterior.
- Um dispositivoco-gerenciado executando o Windows 10, versão 1903 ou posterior. Dispositivos co-gerenciados em versões anteriores do Windows 10 precisarão da Carga de trabalho de aplicativos cliente apontada para o Intune (aplicável apenas até a versão 1607).
Licenciamento
As remediações exigem que os utilizadores dos dispositivos tenham uma das seguintes licenças:
Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
VDA (Acesso à Área de Trabalho Virtual) do Windows 10/11 por usuário
Permissões
Para Remediações, o utilizador precisa de permissões adequadas à respetiva função na categoria Configurações do dispositivo. Para obter mais informações, veja Controlo de acesso baseado em funções para Microsoft Intune.
É necessário um Administrador de Serviços Intune para confirmar os requisitos de licenciamento antes de utilizar Remediações pela primeira vez.
Requisitos de script
- Você pode ter até 200 pacotes de script.
- Um pacote de script pode conter apenas um script de detecção ou um script de detecção e um script de correção.
- Um script de remediação só é executado se o script de deteção utilizar o código
exit 1
de saída, o que significa que o problema foi detetado.
- Um script de remediação só é executado se o script de deteção utilizar o código
- Verifique se os scripts estão codificados em UTF-8.
- Se a opção Impor verificação de assinatura de script estiver habilitada na página configurações da criação de um pacote de script, verifique se os scripts estão codificados em UTF-8 e não em UTF-8 BOM.
- O limite máximo de tamanho de saída permitido é de 2048 caracteres.
- Se a opção Enforce a verificação de assinatura de script estiver habilitada na página Settings da criação de um pacote de script, o script será executado usando a política de execução do PowerShell do dispositivo. A política de execução padrão para computadores cliente Windows é Restrita. A execução padrão para dispositivos Windows Server é RemoteSigned. Para obter mais informações, consulte Políticas de execução do PowerShell.
- Os scripts incorporados em Remediações são assinados e o certificado é adicionado ao arquivo de certificados fabricantes fidedignos do dispositivo.
- Ao usar scripts de terceiros assinados, verifique se o certificado está no repositório de certificados Editores Confiáveis. Assim como com qualquer certificado, a autoridade de certificação deve ser confiável para o dispositivo.
- Scripts sem verificação de assinatura de script Impor usam a política de execução Ignorar.
- Não coloque comandos de reinicialização em scripts de detecção ou correções.
- Não inclua qualquer tipo de informações confidenciais em scripts (como palavras-passe)
- Não inclua Informações Pessoais (PII) em scripts
- Não utilizar scripts para recolher PII de dispositivos
- Siga sempre as melhores práticas de privacidade
Implantar pacotes de script internos
Existem pacotes de scripts incorporados que pode utilizar para começar a utilizar Remediações. O serviço de Extensão de Gerenciamento do Microsoft Intune obtém os scripts do Intune e os executa. Os seguintes pacotes de script internos só precisam ser atribuídos:
- Atualizar Políticas de Grupo obsoletas: Políticas de Grupo Obsoletas podem levar a tíquetes de assistência técnica relacionados à conectividade e ao acesso a recursos internos.
- Reiniciar o serviço Clique para Executar do Office: Quando o serviço Clique para Executar é interrompido, os aplicativos do Office falham ao iniciar, levando a chamadas de assistência técnica.
Para atribuir o pacote de script:
- No nó Dispositivos>Gerir Dispositivos Scripts>e remediações , selecione um dos pacotes de scripts incorporados.
- Selecione Propriedades, em seguida, no título Atribuição, selecione Editar.
- Escolha os grupos que deseja Atribuir a e quaisquer Grupos excluídos para o pacote de scripts.
- Para alterar as Marcas de escopo, selecione Editar depois Selecione as marcas de escopo.
- Se você quiser alterar a agenda, selecione as reticências e escolha Editar para especificar suas configurações e, em seguida, Aplicar para salvá-las.
- Quando terminar, selecione Exibir + salvar.
Criar e implantar pacotes de script personalizados
O serviço de Extensão de Gerenciamento do Microsoft Intune obtém os scripts do Intune e os executa. Os scripts são re-executados a cada 24 horas. Você pode copiar os scripts fornecidos e implantá-los ou criar seus próprios pacotes de script. Para implementar pacotes de scripts, siga as instruções na secção seguinte.
Copiar os scripts de detecção e correção fornecidos
- Copie os scripts do artigo Scripts do PowerShell.
- Os arquivos de script cujos nomes começam com
Detect
são scripts de detecção. Os scripts de correção começam comRemediate
. - Para obter uma descrição dos scripts, confira Descrições de scripts.
- Os arquivos de script cujos nomes começam com
- Salve cada script usando o nome fornecido. O nome também é exibido nos comentários na parte superior de cada script. Verifique se os scripts salvos estão codificados em UTF-8.
- Você pode usar um nome de script diferente, mas ele não corresponderá ao nome listado no Descrições de Scripts.
Implantar os pacotes de script
Os scripts de remediação têm de ser codificados em UTF-8. Carregar esses scripts em vez de editá-los diretamente no navegador ajuda a garantir que a codificação do script esteja correta para que seus dispositivos possam executá-los.
No centro de administração do Intune, aceda a Dispositivos>Gerir Scripts>e remediações de dispositivos.
Selecione o botão Criar pacote de script para criar um pacote de script.
Na etapa Noções básicas, dê ao pacote de scripts um Nome e, opcionalmente, uma Descrição. O Editor pode ser editado, mas o padrão é seu nome. A Versão não pode ser editada.
Na etapa Configurações, carregue o arquivo Detecção de script e o Arquivo de correção de script executando as seguintes etapas:
- Selecione o ícone de pasta.
- Navegue até o arquivo
.ps1
. - Escolha o arquivo e selecione Abrir para carregá-lo.
O script de deteção tem de utilizar o código
exit 1
de saída se for detetado o problema de destino. Se existir outro código de saída, o script de remediação não será executado. Incluindo uma saída vazia, uma vez que resulta num estado de problema não encontrado . Veja o Script de deteção de exemplo para obter um exemplo de utilização do código de saída.É necessário que os scripts de detecção e correção correspondentes estejam no mesmo pacote. Por exemplo, o script de detecção
Detect_Expired_User_Certificates.ps1
deve corresponder ao script de correçãoRemediate_Expired_User_Certificates.ps1
.Conclua as opções na página Configurações com as seguintes configurações recomendadas:
- Execute este script usando as credenciais conectadas: Essa configuração depende do script. Para obter mais informações, confira as Descrições de scripts.
- Impor a verificação de assinatura de script: Não
- Executar o script no PowerShell de 64 bits: Não
Para obter informações sobre como impor verificações de assinatura de script, consulte Requisitos de Script.
Selecione Seguinte e, em seguida, atribua as etiquetas de Âmbito necessárias .
Na etapa Atribuições, selecione os grupos de dispositivos nos quais você deseja implantar o pacote de scripts. Quando estiver pronto para implantar os pacotes em seus usuários ou dispositivos, você também pode usar filtros. Para obter mais informações, consulte Criar filtros no Microsoft Intune.
Observação
Não misture grupos de utilizadores e dispositivos entre incluir e excluir atribuições.
Conclua a etapa Revisar + Criar da sua implantação.
Executar um script de remediação a pedido (pré-visualização)
Pode utilizar a ação Executar dispositivo de remediação para executar um script de remediação a pedido num único dispositivo Windows.
Pré-requisitos para executar um script de remediação a pedido
As remediações já têm de ser configuradas para que um script de remediação possa ser utilizado a pedido.
Os pacotes de scripts incorporados ou personalizados têm de estar disponíveis para que os utilizadores executem uma remediação a pedido, mas não precisam de ser atribuídos a um utilizador ou dispositivo. Pode utilizar etiquetas de Âmbito para limitar os pacotes de scripts de remediação que um utilizador pode ver.
Os utilizadores têm de ser Administradores Globais, Intune Administradores ou ter uma função com a permissão Executar remediação (disponível em Tarefas remotas). Durante a pré-visualização pública, o utilizador também tem de ter Organização: Ler.
Os dispositivos estão online e conseguem comunicar com Intune e o Windows Push Notification Service (WNS) durante a ação remota.
A Extensão de Gestão de Intune tem de ser instalada nos dispositivos. A instalação é efetuada automaticamente quando uma aplicação Win32, um script do PowerShell ou uma Remediação são atribuídos a um utilizador ou dispositivo.
Como executar um script de Remediação a pedido
- Entre no Centro de administração do Microsoft Intune.
- Navegue para Dispositivos>Por plataforma> OWindows> selecione um dispositivo suportado.
- Na página Descrição Geral do dispositivo, selecione ...>Execute a remediação (pré-visualização).
- No painel Executar remediação (pré-visualização), selecione o pacote script que pretende executar a partir da lista. Selecione Ver detalhes para ver as propriedades do pacote de script, como conteúdo do script de deteção e remediação, descrição e definições configuradas.
- Para executar a remediação a pedido, selecione Executar remediação.
Observação
Apenas uma única ação executar dispositivo de remediação pode ser emitida de cada vez para o mesmo dispositivo. Se executar várias ações executar dispositivos de remediação num curto período de tempo para um dispositivo, estas poderão substituir-se umas às outras.
Observação
O dispositivo poderá não receber a ação Executar dispositivo de remediação se não estiver online ou conseguir comunicar com êxito com Intune ou o Serviço de Notificações Push do Windows (WNS) quando a ação do dispositivo for enviada.
Recuperação de política de cliente e relatório de cliente
O cliente obtém a política para scripts de Remediação nos seguintes momentos:
Após uma reinicialização do dispositivo ou do serviço de extensão de gerenciamento do Intune
Depois que um usuário entra no cliente
Uma vez a cada oito horas
- O agendamento de recuperação de script de oito horas é corrigido com base em quando o serviço de extensão de gerenciamento do Intune é iniciado. Os inícios de sessão do utilizador não alteram a agenda.
O cliente comunica as informações de Remediação nos seguintes momentos:
Quando um script é definido para ser executado uma vez, os resultados são relatados após a execução do script.
Os scripts periódicos seguem um ciclo de relatórios de sete dias:
Nos primeiros seis dias, o cliente comunica apenas se ocorrer uma alteração. A primeira vez que o script for executado será considerada uma alteração.
A cada sete dias, o cliente envia um relatório mesmo que não tenha havido uma alteração.
Monitorar seus pacotes de script
No centro de administração do Intune, aceda a Dispositivos>Gerir Dispositivos Scripts>e remediações. Pode ver uma descrição geral das suas status de deteção e remediação.
Selecione Status do dispositivo para obter detalhes de status para cada dispositivo em sua implantação.
Exportar saída de script
Para ajudá-lo a analisar facilmente as saídas retornadas, use a opção Exportar para salvar a saída como um arquivo .csv
. Exportar a saída para um .csv
ficheiro permite-lhe analisar as saídas devolvidas quando as Remediações são executadas em dispositivos com problemas. A exportação também lhe permite partilhar os resultados com outras pessoas para obter mais análises.
Monitorizar status de remediação de um dispositivo
Pode ver a status de Remediações atribuídas ou executadas a pedido num dispositivo.
- Entre no Centro de administração do Microsoft Intune.
- Navegue para Dispositivos>Por plataforma> OWindows> selecione um dispositivo suportado.
- Selecione Remediações na secção Monitorizar .
Próximas etapas
Obtenha os scripts do PowerShell para Remediações.
Saiba mais sobre Segurança de script do PowerShell.