Aktivieren der Datenfreigabe für Desktop Analytics

Damit Geräte bei Desktop Analytics registriert werden können, müssen diese Diagnosedaten an Microsoft senden. Configuration Manager bietet eine integrierte Umgebung zum Verwalten und Bereitstellen von Einstellungen auf Clients. Verwenden Sie Configuration Manager, um die Diagnosedatenschicht zu überwachen und Proxyserver zu konfigurieren. Verwenden Sie Configuration Manager, um eine optimale Leistung zu erzielen.

Wichtig

In den meisten Fällen konfigurieren Sie diese Einstellungen ausschließlich mit Configuration Manager. Wenden Sie diese Einstellungen nicht gleichzeitig in Domänen-Gruppenrichtlinienobjekten an. Weitere Informationen finden Sie unter Konfliktauflösung.

Diagnosedatenebenen

Diagramm der Diagnosedatenebenen für Desktop Analytics

Die grundlegende Funktionalität von Desktop Analytics ist auf die Diagnosedatenebene Erforderlich festgelegt. Wenn Sie in Configuration Manager nicht die Ebene Optional (begrenzt) konfigurieren, stehen die folgenden Features in Desktop Analytics nicht zur Verfügung:

Microsoft empfiehlt die Aktivierung der Diagnosedatenebene Optional (begrenzt) für Desktop Analytics, damit Sie optimal von diesem Dienst profitieren.

  • Die Einstellung Optional (begrenzt) in Configuration Manager entspricht der Richtlinieneinstellung Erweiterte Diagnosedaten auf das für Windows Analytics erforderliche Mindestmaß beschränken, die auf Geräten unter Windows 10, Version 1709 und höher, verfügbar ist.

  • Auf Geräten unter Windows 10, Version 1703 und früher, Windows 8.1 und Windows 7 ist diese Richtlinieneinstellung nicht vorhanden. Wenn Sie die Einstellung Optional (begrenzt) in Configuration Manager konfigurieren, erfolgt ein Fallback der betreffenden Geräte auf die Ebene Erforderlich.

  • Diese Richtlinieneinstellung ist auf Geräten unter Windows 10, Version 1709 vorhanden. Wenn Sie jedoch die Einstellung Optional (begrenzt) in Configuration Manager konfigurieren, erfolgt auch für diese Geräte ein Fallback auf die Ebene Erforderlich.

Weitere Informationen zu Diagnosedaten, die mit der Einstellung Optional (begrenzt) an Microsoft übermittelt werden, finden Sie unter Windows 10-Diagnosedatenereignisse und -felder, die über die Richtlinie zum Einschränken erweiterter Diagnosedaten erfasst werden.

Beim Konfigurieren der Diagnosedatenebene legen Sie die Obergrenze für das Gerät fest. Standardmäßig können Benutzer in Windows 10, Version 1803 und höher, eine niedrigere Ebene festlegen. Sie können dieses Verhalten mithilfe der Gruppenrichtlinien-Einstellung Benutzeroberfläche für die Festlegung der Telemetrieaktivierung konfigurieren steuern.

Wichtig

Microsoft ist bestrebt, Ihnen Tools und Ressourcen zur Verfügung zu stellen, mit denen Sie die Kontrolle über Ihre Privatsphäre erlangen. Daher werden von Desktop Analytics zwar Windows 8.1-Geräte unterstützt, Microsoft erfasst jedoch keine Windows-Diagnosedaten von Windows 8.1-Geräten, die sich in europäischen Ländern (EWR, Schweiz und Vereinigtes Königreich) befinden.

Ab Juli 2021 unterstützt Desktop Analytics die Konfiguration des Windows-Diagnosedatenprozessors. Weitere Informationen finden Sie unter Unterstützung für die Konfiguration des Windows-Diagnosedatenprozessors.

Weitere Informationen finden Sie unter Desktop Analytics – Datenschutz.

Auch anhand der folgenden Artikel können Sie ein besseres Verständnis der Windows-Diagnosedatenebenen erlangen:

Hinweis

Clients, die für das Senden von Diagnosedaten auf der Ebene Optional (begrenzt) konfiguriert sind, senden bei der anfänglichen vollständigen Überprüfung ca. 2 MB Daten an die Microsoft-Cloud. Das tägliche Delta schwankt zwischen 250 und 400 KB.

Die tägliche Delta-Überprüfung erfolgt um 03:00 Uhr (Ortszeit des Geräts). Einige Ereignisse werden bei erster Verfügbarkeit im Verlauf des Tages gesendet. Diese Zeiten können nicht konfiguriert werden.

Weitere Informationen finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation.

Unterstützung für neue Windows 10-Diagnosedatenebenen

Microsoft verbessert die Transparenz durch Kategorisierung der von Windows 10 gesammelten Diagnosedaten:

  • Grundlegende Diagnosedaten werden neu als erforderliche Diagnosedaten kategorisiert.
  • Vollständige Daten werden als optional neu kategorisiert.

Diese neuen Bezeichnungen werden ab Current Branch-Version 2006 von Configuration Manager auf der Registerkarte Diagnosedaten des Diensts „Desktop Analytics“ in der Configuration Manager-Konsole verwendet. In Configuration Manager, Version 2002 und früher, hatten die Einstellungen andere Namen:

Version 2006 und höher Version 2002 und früher
Erforderlich Basic
Optional (begrenzt) Erweitert (begrenzt)
Nicht zutreffend Verbessert
Optional Vollständig

Wenn Sie zuvor Geräte auf der Ebene Erweitert konfiguriert haben, werden diese bei einem Upgrade auf Version 2006 auf Optional (begrenzt) zurückgesetzt. Dadurch senden diese weniger Daten an Microsoft. Diese Änderung sollte keine Auswirkungen auf die in Desktop Analytics angezeigten Informationen haben.

In einem zukünftigen Release von Windows 10 werden Diagnosedaten für Geräte, die für die Ebene Erweitert oder Erweitert (eingeschränkt) konfiguriert sind, auf die Ebene Erforderlich zurückgesetzt. Diese Änderung kann sich auf die Funktionalität von Desktop Analytics auswirken. Verwenden Sie Configuration Manager Current Branch, Version 2010, um diese Geräte ordnungsgemäß für Optional (begrenzt) zu konfigurieren. Wenn Sie einen anderen Mechanismus zum Konfigurieren dieser Richtlinien auf Geräten verwenden, müssen Sie möglicherweise Änderungen für das neue Verhalten vornehmen. Weitere Informationen finden Sie unter Änderungen an der Windows-Diagnosedatenerfassung.

Sie können die Behavior Changes jetzt im Windows 10 Insider Preview-Build 19577 und höher testen. Nach dem Registrieren von Windows-Insider-Geräten bei Desktop Analytics kann es bis zu 48 Stunden dauern, bis die Geräte im Desktop Analytics-Portal angezeigt oder die neuen Konfigurationen wirksam werden. Verwenden Sie beim Überwachen der Verbindungsintegrität die Configuration Manager-Konsole, um nach Problemen oder Konfigurationswarnungen zu suchen.

Endpunkte

Konfigurieren Sie zum Aktivieren der Datenfreigabe den Proxyserver so, dass die folgenden Internetendpunkte zulässig sind.

Wichtig

Aus Gründen des Datenschutzes und der Datenintegrität führt Windows bei der Kommunikation mit den Diagnosedatenendpunkten eine Prüfung auf ein Microsoft SSL-Zertifikat (Anheften von Zertifikaten) aus. SSL-Abfangen und -Untersuchung sind somit nicht möglich. Um Desktop Analytics nutzen zu können, müssen Sie diese Endpunkte aus der SSL-Untersuchung ausschließen.

Seit Version 2002 gilt Folgendes: Wenn die Verbindung des Configuration Manager-Standorts mit den erforderlichen Endpunkten für einen Clouddienst nicht hergestellt werden kann, wird eine kritische Statusmeldung mit der ID 11488 ausgegeben. Wenn keine Verbindung mit dem Dienst hergestellt werden kann, wird der Status der Komponente „SMS_SERVICE_CONNECTOR“ in „kritisch“ geändert. Zeigen Sie detaillierte Statusinformationen im Knoten Komponentenstatus in der Configuration Manager-Konsole an.

Ab Version 2010 prüft der Dienstverbindungspunkt wichtige Internetendpunkte für Desktop Analytics. Diese Überprüfungen helfen sicherzustellen, dass der Clouddienst verfügbar ist. Außerdem hilft er Ihnen, Probleme zu beheben, indem schnell festgestellt wird, ob die Netzwerkkonnektivität problematisch ist. Weitere Informationen finden Sie unter Überprüfen des Internetzugriffs.

Hinweis

Weitere Informationen zum IP-Adressbereich von Microsoft finden Sie unter Microsoft Public IP Space (Öffentlicher IP-Adressraum von Microsoft). Diese Adressen werden regelmäßig aktualisiert. Es gibt keine dienstspezifische Granularität, alle IP-Adressen in diesen Bereichen können verwendet werden.

Serverkonnektivitäts-Endpunkte

Der Dienstverbindungspunkt muss mit den folgenden Endpunkten kommunizieren:

Endpunkt Funktion
https://aka.ms Zum Suchen des Diensts
https://graph.windows.net Wird beim Anfügen Ihrer Hierarchie an Desktop Analytics (für Configuration Manager-Serverrolle) zum automatischen Abrufen von Einstellungen wie CommercialId verwendet. Weitere Informationen finden Sie unter Konfigurieren des Proxys für einen Standortsystemserver.
https://*.manage.microsoft.com Wird zum Synchronisieren der Mitgliedschaften von Gerätesammlungen, von Bereitschaftsplänen und des Bereitschaftsstatus von Geräten mit Desktop Analytics verwendet (nur für Configuration Manager-Serverrolle). Weitere Informationen finden Sie unter Konfigurieren des Proxys für einen Standortsystemserver.
https://dc.services.visualstudio.com Für Diagnosedaten vom lokalen Dienstconnector, um Erkenntnisse über die Integrität von mit der Cloud verbundenen Diensten zu gewinnen.

Endpunkte für Benutzerfreundlichkeit und Diagnosekomponenten

Clientgeräte müssen mit den folgenden Endpunkten kommunizieren:

Endpunkt Funktion
https://v10c.events.data.microsoft.com Endpunkt für Benutzererfahrung im verbundenen Modus und Diagnosekomponenten. Wird von Geräten unter Windows 10, Version 1809 oder höher oder Version 1803 mit einer Installation des kumulativen Updates 2018-09 oder höher verwendet.
https://v10.events.data.microsoft.com Endpunkt für Benutzererfahrung im verbundenen Modus und Diagnosekomponenten. Wird von Geräten unter Windows 10, Version 1803 ohne Installation des kumulativen Updates 2018-09 verwendet.
https://v10.vortex-win.data.microsoft.com Endpunkt für Benutzererfahrung im verbundenen Modus und Diagnosekomponenten. Wird von Geräten unter Windows 10, Version 1709 oder früher verwendet.
https://vortex-win.data.microsoft.com Endpunkt für Benutzererfahrung im verbundenen Modus und Diagnosekomponenten. Wird von Geräten unter Windows 7 und Windows 8.1 verwendet.

Clientkonnektivitäts-Endpunkte

Clientgeräte müssen mit den folgenden Endpunkten kommunizieren:

Index Endpunkt Funktion
1 https://settings-win.data.microsoft.com Ermöglicht dem Kompatibilitätsupdate das Senden von Daten an Microsoft.
2 http://adl.windows.com Ermöglicht dem Kompatibilitätsupdate das Empfangen der neuesten Kompatibilitätsdaten von Microsoft.
3 https://watson.telemetry.microsoft.com Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1803 oder früher.
4 https://umwatsonc.events.data.microsoft.com Windows-Fehlerberichterstattung (WER). Erforderlich für Berichte über die Geräteintegrität in Windows 10, Version 1809 oder höher.
5 https://ceuswatcab01.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
6 https://ceuswatcab02.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
7 https://eaus2watcab01.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
8 https://eaus2watcab02.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
9 https://weus2watcab01.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
10 https://weus2watcab02.blob.core.windows.net Windows-Fehlerberichterstattung (WER). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1809 oder später.
11 https://kmwatsonc.events.data.microsoft.com OCA (Online Crash Analysis). Erforderlich für Berichte über die Geräteintegrität in Windows 10, Version 1809 oder höher.
12 https://oca.telemetry.microsoft.com OCA (Online Crash Analysis). Erforderlich zum Überwachen der Bereitstellungsintegrität in Windows 10, Version 1803 oder früher.
13 https://login.live.com Erforderlich zum Bereitstellen einer zuverlässigeren Geräteidentität für Desktop Analytics.

Verwenden Sie Richtlinieneinstellungen, anstatt diesen Endpunkt zu blockieren, um den Zugriff auf Endbenutzer-Microsoft-Konten zu deaktivieren. Weitere Informationen finden Sie unter Das Microsoft-Konto im Unternehmen.
14 https://v20.events.data.microsoft.com Endpunkt für Benutzererfahrung im verbundenen Modus und Diagnosekomponenten.

Proxyserverauthentifizierung

Wenn Ihr Unternehmen die Proxyserverauthentifizierung für den Internetzugriff verwendet, stellen Sie sicher, dass die Diagnosedaten nicht aufgrund der Authentifizierung blockiert werden. Wenn Ihr Proxy es nicht zulässt, dass Geräte diese Daten senden, werden sie in Desktop Analytics nicht angezeigt.

Konfigurieren Sie die Proxyserver so, dass keine Proxyauthentifizierung für den Datenverkehr zu den Diagnosedaten-Endpunkten erforderlich ist. Diese Option ist die umfassendste Lösung. Sie funktioniert für alle Windows 10-Versionen.

Benutzerproxyauthentifizierung

Konfigurieren Sie die Geräte so, dass der Kontext des angemeldeten Benutzers für die Proxyauthentifizierung verwendet wird. Für diese Methode werden die folgenden Konfigurationen benötigt:

  • Die Geräte verfügen über das aktuelle Qualitätsupdate für eine unterstützte Version von Windows

  • Konfigurieren Sie in der Gruppe „Netzwerk und Internet“ der Windows-Einstellungen in Proxyeinstellungen den Proxy auf Benutzerebene (WinINET-Proxy). Sie können auch „Internetoptionen“ in der Legacy-Systemsteuerung verwenden.

  • Stellen Sie sicher, dass die Benutzer über die Proxyberechtigung für den Zugriff auf die Diagnosedaten-Endpunkte verfügen. Für diese Option müssen die Geräte über Konsolenbenutzer mit Proxyberechtigungen verfügen; daher können Sie diese Methode nicht auf monitorlosen Geräten verwenden.

Wichtig

Die Benutzerproxyauthentifizierung ist nicht mit der Verwendung von Microsoft Defender für Endpunkt kompatibel. Dieses Verhalten ist darauf zurückzuführen, dass bei dieser Authentifizierung der Registrierungsschlüssel DisableEnterpriseAuthProxy auf 0 festgelegt ist, während er für Microsoft Defender für Endpunkt auf 1 festgelegt sein muss. Weitere Informationen finden Sie unter Konfigurieren von Computerproxy- und Internetverbindungseinstellungen in Microsoft Defender für Endpunkt.

Geräteproxyauthentifizierung

Dieser Ansatz unterstützt folgende Szenarien:

  • Monitorlose Geräte, bei denen sich kein Benutzer anmeldet oder die Benutzer des Geräts keinen Internetzugriff haben

  • Authentifizierte Proxys, die keine integrierte Windows-Authentifizierung verwenden

  • Wenn Sie auch Microsoft Defender für Endpoint verwenden

Dies ist der Ansatz mit der höchsten Komplexität, da er die folgenden Konfigurationen erfordert:

  • Stellen Sie sicher, dass die Geräte über WinHTTP im lokalen Systemkontext auf den Proxyserver zugreifen können. Verwenden Sie zum Konfigurieren dieses Verhaltens eine der folgenden Optionen:

    • Die Befehlszeile netsh winhttp set proxy

    • WPAD-Protokoll (Web Proxy Auto-Discovery)

    • Transparenter Proxy

    • Konfigurieren Sie den geräteweiten WinINET-Proxy unter Verwendung der folgenden Gruppenrichtlinieneinstellung: Erstellen Sie Proxyeinstellungen pro Computer (anstatt pro Benutzer) (ProxySettingsPerUser = 1)

    • Geroutete Verbindung, oder Verwendung von Netzwerkadressübersetzung (Network Address Translation, NAT)

  • Konfigurieren Sie Proxyserver so, dass den Computerkonten in Active Directory der Zugriff auf die Diagnosedaten-Endpunkte ermöglicht wird. Für diese Konfiguration müssen Proxyserver die integrierte Windows-Authentifizierung unterstützen.

Nächste Schritte

Desktop Analytics – Datenschutz