Collecter les diagnostics à partir d’un appareil Windows

L’action à distance Collecter les diagnostics vous permet de collecter et de télécharger les journaux des appareils Windows sans interrompre l’utilisateur. Comme seuls sont accessibles les types de fichiers et les emplacements non-utilisateur, aucune information personnelle n’est collectée.

La collecte des diagnostics est stockée pendant 28 jours, puis supprimée. Chaque appareil peut avoir jusqu’à 10 collections stockées à la fois.

Spécifications

L’action à distance Collecter les diagnostics est prise en charge pour :

  • Les appareils Intune ou les appareils cogérés.
  • Windows 10 version 1909 et ultérieures
  • Microsoft HoloLens 2 versions 2004 et ultérieures
  • Les administrateurs généraux, les administrateurs Intune ou un rôle disposant des autorisations Collecter les diagnostics (sous Tâches à distance)
  • Appareils d’entreprise
  • Appareils en ligne et capables de communiquer avec le service pendant les diagnostics

Collecter des diagnostics

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager > Appareils > Windows, puis sélectionnez un appareil pris en charge.
  2. Dans la page Vue d’ensemble de l’appareil, sélectionnez > Collecter les diagnostics > Oui. Une notification en attente s’affiche dans la page Vue d’ensemble de l’appareil.
  3. Pour voir l’état de l’action, sélectionnez Supervision des diagnostics des appareils.
  4. Une fois l’action terminée, sélectionnez Télécharger dans la ligne correspondant à l’action > Oui.
  5. Le fichier zip de données est ajouté à la zone de réception des téléchargements et vous pouvez l’enregistrer sur votre ordinateur.

Données collectées

Aucune information personnelle n’est collectée. La liste ci-dessous est classée dans le même ordre que le fichier zip de diagnostic. Chaque collection contient les données suivantes :

Clés de Registre :

  • HKLM\Software\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Endpoint
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\Software\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Endpoint
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Commandes :

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

Observateurs d’événements :

  • Application
  • Microsoft-Windows-AppLocker/EXE et DLL
  • Microsoft-Windows-AppLocker/MSI et Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • Programme d’installation
  • Système

Fichiers :

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors*.etl
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-<Date/Heure>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs*.log
  • %windir%\ccmsetup\logs*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot*.*
  • %windir%\Logs\WindowsUpdate*.etl

Désactiver les diagnostics des appareils

Vous pouvez désactiver l’action à distance Collecter les diagnostics pour tous les appareils en procédant comme suit :

  1. Connectez-vous à Centre d’administration Microsoft Endpoint Manager > Administration de locataire > Diagnostics des appareils.
  2. Définissez le contrôle sur Désactivé.

Problèmes connus avec les diagnostics des appareils

Actuellement, deux principaux problèmes peuvent entraîner l’échec des diagnostics des appareils :

  1. Une expiration de délai peut survenir sur les appareils sans les correctifs KB4601315 ou KB4601319. Ces correctifs résolvent un problème au niveau du CSP DiagnosticLog qui empêche l’expiration du délai lors du chargement. Après l’installation de la mise à jour, veillez à redémarrer votre appareil.
  2. L’appareil n’a pas pu recevoir l’action de l’appareil dans une période de 12 heures. Si l’appareil est hors connexion ou désactivé, cela peut provoquer un échec.