终结点分析疑难解答

以下部分可用于帮助排查可能遇到的问题。

已知问题

自定义客户端设置可能错误地指示已启用终结点分析数据收集

在配置服务器中启用终结点分析数据上传时,将在层次结构的默认客户端设置中自动启用数据收集。 之后,任何预先存在的自定义客户端设置 (包括计算机代理 组设置) 可能会在配置服务器控制台中出现具有 可启用终结点分析数据收集 设置为 , 但此设置可能尚未部署到目标设备。

受影响的设备: 此问题会影响包括计算机代理组设置在内的自定义客户端设置对象,并在载入到终结点分析之前创建和部署。 如果查看此类自定义客户端设置所面向设备的“结果客户端设置”,可能会发现未启用终结点分析数据收集。

风险缓解: 若要正确配置由自定义客户端设置支配的设备进行终结点分析,请手动将 可启用终结点分析数据收集 设置为 ,然后选择 确定 来关闭设置。 然后,重新打开自定义客户端设置,并将 启用终结点分析数据收集 设置改回为 并选择 确认。 此更改强制在目标设备上更新自定义客户端设置。

错误代码 -2016281112 (修正失败)

如果它们不能正确分配 Intune 数据收集策略,客户可能会看到配置文件分配错误,受影响的设备显示 -2016281112 (Remediation failed) 错误代码。 启动性能见解仅适用于运行版本 Windows 10 版本 1903 或更高版本的企业版、教育版或专业版的设备。 不支持长期服务通道 (LTSC)。

  • Windows 10 专业版版本 1903 和 1909 需要 KB4577062
  • Windows 10 专业版 2004 和 20H2 需要 KB4577063

硬件清单无法处理

有时,设备的硬件清单在启用终结点分析后无法处理。 Dataldr.log 文件中可能会看到类似于此处所示的错误:

Begin transaction: Machine=<machine>
*** [23000][2627][Microsoft][SQL Server Native Client 11.0][SQL Server]Violation of PRIMARY KEY constraint 'BROWSER_USAGE_HIST_PK'. Cannot insert duplicate key in object 'dbo.BROWSER_USAGE_HIST'. The duplicate key value is (XXXX, Y). : dbo.dBROWSER_USAGE_DATA
ERROR - SQL Error in
ERROR - is NOT retyrable.
Rollback transaction: XXXX

风险缓解: 若要暂时避开此问题,请禁止收集 浏览器使用情况 (SMS_BrowerUsage) 硬件清单类。 此类当前不由终结点分析使用,也不会传输到 Microsoft。

修正的脚本要求

如果在创建脚本包的 设置 页中启用了 强制脚本签名检查 选项,请确保脚本在 UTF-8 而不是 UTF-8 BOM 中进行编码。

排除设备注册和启动性能的故障

如果概述页显示的启动性能分数为零,并带有显示其正在等待数据的横幅,或者如果启动性能的设备性能选项卡显示的设备数量少于预期,则可以采取一些步骤来对问题进行故障排除。

首先,确保设备满足先决条件:

对于使用 Intune 数据收集策略配置的 Intune 或共同管理的设备:

  1. 请确保 Intune 数据收集 策略面向要查看性能数据的所有设备。 查看分配选项卡,确保已将其分配给预期的设备集。
  2. 查找尚未成功配置数据收集的设备。 也可以在配置文件概述页中查看此信息。
    • 存在一个已知问题,即客户可能会看到配置文件分配错误,其中受影响的设备显示错误代码 -2016281112 (Remediation failed)。 有关更多信息,请参阅 错误代码 -2016281112 部分。
  3. 启用数据收集后,必须重启已成功完成数据收集配置的设备,然后,必须等待最多 25 小时才能看到设备在设备性能选项卡中显示。请参阅 数据流
  4. 如果设备已成功配置为数据收集,稍后已重启,25 小时后仍看不到它,则设备可能无法与所需的终结点通信。 请参阅 代理配置

对于配置服务器管理的设备:

  1. 确保要查看性能数据的所有设备都 已注册
  2. 通过查看托管服务连接点角色的站点系统上 UXAnalyticsUploadWorker.log 文件上的错误消息,检查从配置管理器到网关服务的数据上传是否成功。
  3. 请检查管理员是否具有客户端设置的自定义重写功能。 在配置服务器控制台中,转到 设备 工作区, 找到目标设备,然后在 客户端设置 组中,选择 结果客户端设置。 如果禁用终结点分析,则会覆盖客户端设置。 查找替代客户端设置并对其启用终结点分析。
  4. 通过查看位于客户端设备上 C:\Windows\CCM\Logs\ 中的 SensorEndpoint.log 文件,检查缺少的客户端设备是否正在将数据发送到站点服务器。 查找 消息已发送 的消息。
  5. 通过查看位于客户端设备上 C:\Windows\CCM\Logs\ 中的 SensorManagedProvider.log 文件,检查并解决在处理启动事件过程中所发生的任何错误。
  6. 客户端设备需要重启才能完全启用所有分析。

代理配置

如果环境使用代理服务器,请将代理服务器配置为允许以下终结点:

重要

对于隐私和数据完整性,Windows 在与所需功能数据共享终结点通信时将检查 Microsoft SSL 证书 (证书固定)。 无法进行 SSL 拦截和检查。 若要使用终结点分析,请从 SSL 检查中排除这些终结点。

Configuration Manager 管理的设备所需的终结点

Configuration Manager 管理的设备通过 Configuration Manager 角色上的连接器将数据发送到 Intune,它们不需要直接访问 Microsoft 公有云。

端点 函数
https://graph.windows.net 用于在将层次结构附加到 Configuration Manager 服务器角色上的终结点分析时自动检索设置。 有关详细信息,请参阅配置站点系统服务器的代理
https://*.manage.microsoft.com 仅用于将设备集合和设备与 Configuration Manager 服务器角色上的终结点分析同步。 有关详细信息,请参阅配置站点系统服务器的代理

Intune 管理的设备所需的终结点

若要向终结点分析注册设备,它们需要将所需的功能数据发送到 Microsoft 公有云。 Endpoint Analytics 使用 Windows 客户端和 Windows Server 连接的用户体验和遥测 组件 (DiagTrack) 从 Intune 托管的设备收集数据。 确保设备上的“已连接的用户体验和遥测”服务正在运行。

端点 函数
https://*.events.data.microsoft.com 由 Intune 管理的设备用于将 所需的功能数据 发送到 Intune 数据收集终结点。

代理服务器身份验证

如果你的组织使用代理服务器身份验证进行 Internet 访问,请确保它不会因为身份验证而阻止数据。 如果代理不允许设备发送此数据,则它们不会显示在终结点分析中。

将代理服务器配置为不要求对数据共享终结点的流量进行代理身份验证。 此选项是最全面的解决方案。 适用于所有 Windows 10 或更高版本。

用户代理身份验证

将设备配置为使用登录用户的上下文进行代理身份验证。 此方法需要以下配置:

  • 设备具有受支持的 Windows 版本的最新质量更新

  • 在 Windows 设置的“网络和 Internet”组中的 “代理设置” 中配置用户级代理 (WinINET 代理)。 还可以使用旧版”Internet 选项”控制面板。

  • 确保用户拥有访问数据共享终结点的代理权限。 此选项要求设备具有拥有代理权限的控制台用户,因此无法将此方法用于无外设设备。

重要

用户代理身份验证方法与使用 Microsoft Defender for Endpoint 不兼容。 出现此行为是因为,此身份验证依赖于设置为 0 的“DisableEnterpriseAuthProxy”注册表项,而 Microsoft Defender for Endpoint 要求将其设置为 1。 有关详细信息,请参阅在 Microsoft Defender for Endpoint 中配置计算机代理和 Internet 连接设置

设备代理身份验证

此方法支持以下方案:

  • 无外设的设备,其中无用户进行登录或该设备的用户无法访问 Internet

  • 不使用 Windows 集成身份验证的经验证的代理

  • 如果还使用 Microsoft Defender for Endpoint

此方法是最复杂的方法,因为它需要以下配置:

  • 确保设备可以通过 WinHTTP 在本地系统上下文中访问代理服务器。 使用下列选项之一来配置此行为:

    • 命令行 netsh winhttp set proxy

    • Web 代理自动发现 (WPAD) 协议

    • 透明代理

    • 使用以下组策略设置配置设备范围的 WinINET 代理: 使代理设置按每台计算机 (而不是每个用户) 进行 (ProxySettingsPerUser = 1)

    • 路由的连接,或使用网络地址转换 (NAT) 的连接

  • 配置代理服务器以允许 Active Directory 中的计算机帐户访问数据终结点。 此配置要求代理服务器支持 Windows 集成身份验证。

常见问题解答

如果我的设备是共同管理的,我应该通过 Intune、配置服务器,还是同时注册它们?

建议使用 Intune 注册符合条件的共同托管设备。 不满足 Intune 注册 (设备要求的设备(例如 Windows 家庭版设备或运行旧版 Windows) 的设备)可以通过 Configuration Manager 进行注册。 后端中的重复数据删除逻辑可防止通过 Intune 和配置服务器注册的设备多次出现在终结点分析门户中。

如果将我的 Intune 租户移到其他租户位置,会迁移我的终结点分析数据吗?

如果将你的 Intune 租户迁移到其他位置,则在迁移时终结点分析解决方案中的所有数据都将丢失。 如果设备仍保持正确注册状态,由于终结点会持续向终结点分析报告,因此,迁移后发生的所有事件都将自动上传到新租户位置,且报告将开始重新填充。

为什么脚本退出时的代码为 1?

脚本退出时附带代码 1 指示 Intune 应进行修正。 在这种情况下,退出带有 1 的检测脚本意味着需要进行修正。 许多仅以 CM 运行的脚本包可能会显示符合,但在退出时会附带代码 1。 对于这些脚本,退出时附带代码 1 并不是什么令人担忧的事情,但你可能需要验证设备是否正确进行了修正。

为什么更新过时的组策略脚本返回错误 0x87D00321?

0x87D00321 是脚本执行超时错误。 此错误通常发生在远程连接的计算机上。 可能的缓解措施可能是仅部署到具有内部网络连接的动态计算机集合中。

修正脚本的输出大小限制是多少?

修正脚本允许的最大输出大小限制为 2048 个字符。

后续步骤

在最终用户注意到问题之前,使用 修正 来帮助解决常见的支持问题。