从Intune托管设备收集诊断
通过“收集诊断远程操作,可以在不中断用户的情况下收集和下载托管设备诊断。 仅访问非用户位置和文件类型。
注意
可以从“故障排除”窗格中的“诊断”选项卡下载Intune应用保护日志。 但是,M365 远程应用程序诊断仅适用于其特定支持工程师。
设备不必由 MDM 管理 (移动设备管理) 收集Intune应用保护或 M365 应用诊断,仅由Intune应用保护策略管理。
数据存储在Microsoft支持系统中,不受Intune数据管理策略或保护的约束。 某些应用程序可能会使用Intune以外的系统收集和存储数据。
收集 Microsoft 365 个远程应用程序的诊断
Microsoft 365 远程应用程序诊断允许Intune管理员直接从Intune控制台请求Intune应用保护诊断和Microsoft 365 应用程序) 诊断 ((如果适用)。 管理员可以在Microsoft Intune管理中心找到此报告,方法是选择“故障排除 + 支持>”>,选择用户>摘要>应用保护*。 此功能仅适用于Intune应用保护管理下的应用程序。 如果受支持,则会收集特定于应用程序的日志并将其存储在每个应用程序的专用存储解决方案中。
支持 M365 应用程序诊断的应用程序:
- Outlook iOS/Android
- Teams iOS/Android
- OneDrive iOS/Android
- Microsoft Edge iOS/Android
- Microsoft Word iOS
- Microsoft Excel iOS
- Microsoft PowerPoint iOS
- OneNote iOS
- Microsoft 365 (Office) iOS
从 M365 应用程序收集诊断
从 M365 应用程序收集诊断的要求:
- 登录到 Microsoft Intune 管理中心。
- 导航到“租户管理>设备诊断>确保已启用第 3 个设置。
- 创建Intune应用保护策略并将其部署到用户,有关详细信息,请参阅此处。
- 确认应用程序已由Intune应用保护策略管理。 可以在设备上本地检查和/或将用户加载到“Intune故障排除窗格”并打开“应用保护摘要”页。
若要使用收集诊断操作,请执行以下操作:
- 登录到 Microsoft Intune 管理中心
- 导航到 “故障排除 + 支持>”,选择>用户。
- 在“摘要”页上,选择“已签入应用保护>”。
- 找到要收集诊断的应用程序,并使用“...”选项选择“收集诊断”。
- 出现提示时,选择“ 是”。
若要检查“收集诊断”操作的状态,请执行以下操作:
- 在“应用保护”摘要中,选择“ 刷新”。
- 找到需要其状态的应用程序,并在“诊断状态”列中选择超链接。
若要下载诊断:
- 导航到 “故障排除 + 支持>”,选择>用户。
- 在“摘要”页上,选择“诊断”页并下载诊断。
重要
诊断数据中超过 50 诊断 或 4MB 的诊断上传不能直接从 Intune 门户下载。 若要访问更大的诊断上传,请联系Microsoft Intune支持人员。
诊断大约需要 30 分钟才能从最终用户的设备传递。 如果打开应用时提示输入 pin,用户可能需要关闭并重新打开应用,以获取诊断请求提示。
从 Windows 设备收集诊断信息
收集诊断远程操作还可以配置为在设备上发生 Autopilot 故障时自动收集和上传 Windows 设备日志。 发生 Autopilot 故障时,会在故障设备上处理日志,然后自动捕获日志并将其上传到Intune。 设备每天可以自动捕获一组日志。
诊断集合将存储 28 天,然后将被删除。 每个设备一次最多可以存储 10 个集合。
收集诊断也可用作批量设备操作,一次可从多达 25 个 Windows 设备收集诊断日志。
注意
Microsoft人员可以访问设备诊断,以帮助排查和解决事件。
Windows 设备的要求
以下对象支持收集诊断远程操作:
- Intune或共同管理的设备
- Windows 10版本 1909 及更高版本
- Windows 11
- Microsoft HoloLens 2 2004 及更高版本
- 全局管理员、Intune管理员或角色具有“远程任务”下的“收集诊断 (”) “和”设备符合性策略) 权限下的读取 (”
- 公司拥有的设备。
- 联机且能够在诊断期间与服务通信的设备
注意
为了使诊断能够成功从客户端上传,请确保未在网络上阻止你的区域的 URL:
Europe - lgmsapeweu.blob.core.windows.netAmericas - lgmsapewus2.blob.core.windows.netEast Asia - lgmsapesea.blob.core.windows.netAustralia - lgmsapeaus.blob.core.windows.netIndia - lgmsapeind.blob.core.windows.net
收集诊断
若要使用收集诊断操作,请执行以下操作:
- 登录到 Microsoft Intune 管理中心
- 导航到 “设备>按平台>”“Windows> ”选择受支持的设备。
- 在设备的“概述”页上,选择“...”>收集诊断>是的。 设备的“概述”页上将显示挂起通知。
- 若要查看操作的状态,请选择“设备诊断监视器”。
- 操作完成后,在行中选择“下载”操作>“是”。
- 数据 zip 文件已添加到下载磁盘,可以将其保存到计算机上。
Autopilot 失败时的诊断收集
对于 Autopilot 诊断 集合,无需执行其他操作。 只要启用了 Autopilot 自动捕获诊断功能,设备遇到故障,Autopilot 诊断会自动捕获。
若要查看 Autopilot 失败后收集的诊断:
- 登录到 Microsoft Intune 管理中心
- 导航到 “设备>按平台>Windows”。
- 选择设备。
- 选择“ 诊断>下载”。
- 数据 zip 文件已添加到下载磁盘,可以将其保存到计算机上。
收集的数据
虽然无意收集个人数据,但诊断可能包含用户身份信息,例如用户或设备名称。
如果已在 Windows 10 或 Windows 11 上安装 KB5011563 KB5011543,则 zip 文件的格式将更简单,包括:
- 一个平展结构,其中收集的日志命名以匹配收集的数据
- 收集多个文件时,将创建一个文件夹。
下面的列表与诊断 zip 的顺序相同。 每个集合都包含以下数据:
注册表项:
- HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
- HKLM\SOFTWARE\Microsoft\EPMAgent
- HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
- HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
- HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
- HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SOFTWARE\Microsoft\DeviceInventory
- HKLM\SOFTWARE\Policies
- HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
- HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
- HKLM\SYSTEM\Setup\SetupDiag\Results
命令:
- %programfiles%\windows defender\mpcmdrun.exe -GetFiles
- %windir%\system32\certutil.exe -store
- %windir%\system32\certutil.exe -store -user my
- %windir%\system32\Dsregcmd.exe /status
- %windir%\system32\ipconfig.exe /all
- %windir%\system32\mdmdiagnosticstool.exe
- %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
- %windir%\system32\netsh.exe advfirewall show allprofiles
- %windir%\system32\netsh.exe advfirewall show global
- %windir%\system32\netsh.exe lan show profiles
- %windir%\system32\netsh.exe winhttp show proxy
- %windir%\system32\netsh.exe wlan show profiles
- %windir%\system32\netsh.exe wlan show wlanreport
- %windir%\system32\ping.exe -n 50 localhost
- %windir%\system32\pnputil.exe /enum-drivers
- %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
- %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html
事件查看器:
- Application
- Microsoft-Windows-AppLocker/EXE and DLL
- Microsoft-Windows-AppLocker/MSI and Script
- Microsoft-Windows-AppLocker/Packaged app-Deployment
- Microsoft-Windows-AppLocker/Packaged app-Execution
- Microsoft-Windows-AppxPackaging/Operational
- Microsoft-Windows-Bitlocker/Bitlocker Management
- Microsoft-Windows-HelloForBusiness/Operational
- Microsoft-Windows-SENSE/Operational
- Microsoft-Windows-SenseIR/Operational
- 具有高级安全性/防火墙的 Microsoft-Windows-Windows 防火墙
- Microsoft-Windows-WinRM/Operational
- Microsoft-Windows-WMI-Activity/Operational
- Microsoft-Windows-AppXDeployment/Operational
- Microsoft-Windows-AppXDeploymentServer/Operational
- 安装
- 系统警报
文件:
- %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
- %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
- %Program Files%\Microsoft Device Inventory Agent\Logs
- %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
- %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
- %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
- %ProgramData%\USOShared\logs\system\*.etl
- %ProgramData Microsoft Update Health Tools\Logs\*.etl
- %temp%\CloudDesktop*.log
- %temp%\MDMDiagnostics\battery-report.html
- %temp%\MDMDiagnostics\energy-report.html
- %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
- %temp%\MDMDiagnostics\msinfo32.log
- %windir%\ccm\logs\*.log
- %windir%\ccmsetup\logs\*.log
- %windir%\logs\CBS\cbs.log
- %windir%\logs\measuredboot\*.*
- %windir%\logs\Panther\unattendgc\setupact.log
- %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
- %windir%\Logs\SetupDiag\SetupDiagResults.xml
- %windir%\logs\WindowsUpdate\*.etl
- %windir%\SensorFramework*.etl
- %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
- %windir%\temp%computername%*.log
- %windir%\temp\officeclicktorun*.log
- %TEMP%\winget\defaultstate*.log
禁用设备诊断
默认情况下,“收集诊断远程操作”处于启用状态。 可以执行以下步骤禁用所有设备的“收集诊断信息”远程操作:
导航到“租户管理>设备诊断”。
将“设备诊断”下的控件可用于运行 Windows 10 版本 1909 及更高版本的公司管理设备,或者Windows 11“更改为”已禁用”。
禁用 Autopilot 自动收集诊断
默认情况下,Autopilot 自动诊断捕获处于启用状态。 可以按照以下步骤禁用 Autopilot 自动诊断捕获:
导航到“租户管理>设备诊断”。
Windows 10 版本 1909 或更高版本的 Autopilot 过程中设备遇到故障时,请更改“自动捕获诊断”下的控件,Windows 11。诊断可能包括用户身份信息,例如用户或设备名称 (预览) 。设置为“已禁用”。
设备诊断的已知问题
目前有两个主要问题可能导致设备诊断失败: