Collecter des diagnostics à partir d’un appareil géré par Intune

  • Article

L’action à distance Collecter diagnostics vous permet de collecter et de télécharger les journaux d’activité des appareils gérés sans interrompre l’utilisateur. Seuls les emplacements et types de fichiers non-utilisateur sont accessibles.

Remarque

Intune journaux App Protection peuvent être téléchargés à partir de l’onglet diagnostics dans le volet Résolution des problèmes. Toutefois, les journaux des applications distantes M365 ne sont disponibles que pour leurs ingénieurs du support technique spécifiques.

Les données sont stockées dans les systèmes de support Microsoft et ne sont pas soumises à Intune stratégies ou protections de gestion des données. Certaines applications peuvent collecter et stocker des données à l’aide de systèmes autres que Intune.

Collecter des diagnostics pour les applications distantes Microsoft 365

L’application distante Microsoft 365 diagnostics permet aux administrateurs Intune de demander Intune journaux de protection des applications et les journaux des applications Microsoft 365 (le cas échéant) directement à partir de la console Intune. Les administrateurs peuvent trouver ce rapport dans le Centre d’administration Microsoft Intune en sélectionnant Résolution des problèmes + support>>sélectionner unrésumé>utilisateur> Protection d'applications*. Cette fonctionnalité est exclusive aux applications qui sont sous Intune gestion de la protection des applications. S’ils sont pris en charge, les journaux spécifiques à l’application sont collectés et stockés dans des solutions de stockage dédiées pour chaque application.

Importante

Pour les appareils Android, si le Portail d'entreprise n’est pas connecté par l’utilisateur, les journaux ne sont pas disponibles en téléchargement dans le portail Intune.

La remise des diagnostics à partir de l’appareil d’un utilisateur final prend environ 30 minutes. L’utilisateur peut être amené à fermer et à rouvrir l’application s’il est invité à entrer un code confidentiel lors de l’ouverture de l’application pour l’diagnostics demande d’invite.

Remarque

Actuellement, les journaux de protection des applications Intune pour iOS ne sont pas disponibles. Toutefois, Intune équipes de support technique auront accès à ces journaux.

Collecter les diagnostics à partir d’un appareil Windows

L’action à distance Collecter diagnostics peut également être configurée pour collecter et charger automatiquement les journaux des appareils Windows en cas de défaillance d’Autopilot sur un appareil. En cas de défaillance d’Autopilot, les journaux sont traités sur l’appareil défaillant, puis automatiquement capturés et chargés sur Intune. Un appareil peut capturer automatiquement un ensemble de journaux par jour.

La collecte des diagnostics est stockée pendant 28 jours, puis supprimée. Chaque appareil peut avoir jusqu’à 10 collections stockées à la fois.

Collecter les diagnostics est également disponible en tant que Action d’appareil en bloc qui collecte les journaux de diagnostic de 25 appareils Windows au maximum à la fois.

Remarque

Le personnel Microsoft peut accéder aux diagnostics d’appareil pour vous aider à résoudre les incidents et à les résoudre.

Configuration requise pour les appareils Windows

L’action à distance Collecter les diagnostics est prise en charge pour :

  • appareils Intune ou cogérés
  • Windows 10 version 1909 et ultérieure
  • Windows 11
  • Microsoft HoloLens 2 2004 et versions ultérieures
  • Administrateurs généraux, administrateurs Intune ou un rôle avec les autorisations Collecter diagnostics (sous Tâches distantes) et Lire (sous Stratégies de conformité des appareils)
  • Appareils d’entreprise
  • Appareils en ligne et capables de communiquer avec le service pendant diagnostics

Remarque

Pour diagnostics de pouvoir charger correctement à partir du client, assurez-vous que les URL suivantes ne sont pas bloquées sur le réseau :lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

Collecter les diagnostics

Pour utiliser l’action Collecter les diagnostics :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Accédez à Appareils>Windows> sélectionnez un appareil pris en charge.
  3. Dans la page Vue d’ensemble de l’appareil, sélectionnez ...>Collectez diagnostics>Y. Une notification en attente s’affiche dans la page Vue d’ensemble de l’appareil.
  4. Pour voir l’état de l’action, sélectionnez Supervision des diagnostics des appareils.
  5. Une fois l’action terminée, sélectionnez Télécharger dans la ligne pour l’action >Oui.
  6. Le fichier zip de données est ajouté à la zone de réception des téléchargements et vous pouvez l’enregistrer sur votre ordinateur.

Collecte de diagnostics en cas d’échec d’Autopilot

Pour la collecte de diagnostics Autopilot, aucune action supplémentaire n’est requise. Les diagnostics Autopilot sont automatiquement capturés en cas de défaillance des appareils tant que la fonctionnalité de diagnostic de capture automatique Autopilot est activée.

Pour afficher les diagnostics collectées après une défaillance d’Autopilot :

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Accédez à Appareils>Windows.
  3. Sélectionnez un appareil.
  4. Sélectionnez Téléchargement des diagnostics>.
  5. Le fichier zip de données est ajouté à la zone de réception des téléchargements et vous pouvez l’enregistrer sur votre ordinateur.

Données collectées

Bien qu’il n’y ait aucune intention de collecter des données personnelles, diagnostics peuvent inclure des informations d’identification utilisateur telles que le nom de l’utilisateur ou de l’appareil.

Si vous avez installé KB5011543 sur Windows 10 ou KB5011563 sur Windows 11, le format du fichier zip sera plus simple, notamment :

  • Structure aplatit où les journaux collectés sont nommés pour correspondre aux données collectées
  • Lorsque plusieurs fichiers sont collectés, un dossier est créé.

La liste ci-dessous est classée dans le même ordre que le fichier zip de diagnostic. Chaque collection contient les données suivantes :

Clés de Registre :

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

Commandes :

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Observateurs d’événements :

  • Application
  • Microsoft-Windows-AppLocker/EXE et DLL
  • Microsoft-Windows-AppLocker/MSI et Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Pare-feu microsoft-Windows-Windows avec fonctions avancées de sécurité/pare-feu
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activité/Opérationnel
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • Configuration
  • Système

Fichiers :

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

Désactiver les diagnostics des appareils

L’action à distance Collecter diagnostics est activée par défaut. Vous pouvez désactiver l’action à distance Collecter les diagnostics pour tous les appareils en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration >du locataireDiagnostics de l’appareil.

  3. Modifiez le contrôle sous Appareils diagnostics sont disponibles pour les appareils gérés par l’entreprise exécutant Windows 10, version 1909 et ultérieures, ou Windows 11 surDésactivé.

    Capture d’écran montrant le volet Device diagnostics avec le contrôle mis en surbrillance pour l’appareil diagnostics défini sur Désactivé.

Désactiver la collecte automatique autopilot de diagnostics

La capture automatique des diagnostics Autopilot est activée par défaut. Vous pouvez désactiver la capture de diagnostic automatique Autopilot en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration >du locataireDiagnostics de l’appareil.

  3. Modifiez le contrôle sous Capturer automatiquement diagnostics lorsque les appareils rencontrent une défaillance pendant le processus Autopilot sur Windows 10 version 1909 ou ultérieure et Windows 11. Les diagnostics peuvent inclure des informations d’identification utilisateur telles que le nom de l’utilisateur ou de l’appareil (préversion). à Désactivé.

    Capture d’écran montrant le volet Device diagnostics avec le contrôle mis en surbrillance pour autopilot automatic diagnostics collection défini sur Désactivé.

Problèmes connus avec les diagnostics des appareils

Actuellement, deux principaux problèmes peuvent entraîner l’échec des diagnostics des appareils :

  1. Une expiration de délai peut survenir sur les appareils sans les correctifs KB4601315 ou KB4601319. Ces correctifs résolvent un problème au niveau du CSP DiagnosticLog qui empêche l’expiration du délai lors du chargement. Une fois la mise à jour installée, veillez à redémarrer votre appareil.
  2. L’appareil n’a pas pu recevoir l’action de l’appareil dans une période de 24 heures. Si l’appareil est hors connexion ou désactivé, cela peut entraîner un échec.