Risoluzione dei problemi relativi all'analisi degli endpoint

Le sezioni seguenti possono essere utilizzate per facilitare la risoluzione dei problemi che possono verificarsi.

Problemi noti

Le impostazioni client personalizzate potrebbero indicare erroneamente che la raccolta dati di endpoint analytics è abilitata

Quando abiliti il caricamento dei dati di Endpoint analytics in Configuration Manager, la raccolta dati viene abilitata automaticamente nelle impostazioni client predefinite della gerarchia. In seguito, eventuali impostazioni client personalizzate preesiste che includono il gruppo di impostazioni Agente computer potrebbero sembrare avere la raccolta di dati Abilita analisi endpoint impostata su nella console di Configuration Manager, ma questa impostazione potrebbe non essere stata distribuita nei dispositivi di destinazione.

Dispositivi influenzati: Questo problema influisce sugli oggetti impostazioni client personalizzati che includono il gruppo di impostazioni Agente computer e sono stati creati e distribuiti prima dell'onboarding in Endpoint Analytics. Se si visualizza Resultant Client Impostazioni per i dispositivi a cui è destinata un'impostazione client personalizzata, è possibile che la raccolta dati di Endpoint analytics non sia abilitata.

Mitigazione: Per configurare correttamente i dispositivi regolati dalle impostazioni client personalizzate per Endpoint Analytics, imposta manualmente l'impostazione Abilita raccolta dati endpoint analytics su No e seleziona OK per chiudere le impostazioni. Riaprire quindi le impostazioni client personalizzate e modificare l'impostazione Abilita raccolta dati di endpoint analytics su e selezionare OK. Questa modifica forza l'aggiornamento delle impostazioni client personalizzate nei dispositivi di destinazione.

Pannello esperienza utente non disponibile nel report Tutti i dispositivi per alcuni dispositivi

Quando si visualizza il report Dispositivi tutti i dispositivi in Intune, il pannello Esperienza utente potrebbe non essere disponibile per alcuni dispositivi registrati > in Endpoint analytics.

Dispositivi influenzati: Questo problema influisce sui dispositivi co-gestiti. I dispositivi registrati solo tramite Intune o solo tramite Configuration Manager non sono interessati.

Soluzione alternativa: Il pannello Esperienza utente è disponibile per tutti i dispositivi, inclusi i dispositivi co-gestiti, all'interno della soluzione endpoint analytics. Passa a Prestazioni di avvio Prestazioni > dispositivo, quindi fai clic per eseguire il drill-down in un dispositivo.

Codice di errore -2016281112 (correzione non riuscita)

I clienti potrebbero visualizzare errori di assegnazione del profilo, in cui i dispositivi interessati mostrano un codice di errore se non è possibile assegnare correttamente i criteri di raccolta dati -2016281112 (Remediation failed) di Intune. Le informazioni dettagliate sulle prestazioni di avvio sono disponibili solo per i dispositivi che eseguono Windows 10 versione 1903 o successiva Enterprise, Education o Pro. Il canale di manutenzione a lungo termine (LTSC) non è supportato.

  • Windows 10 Pro versioni 1903 e 1909 richiedono KB4577062.
  • Windows 10 Pro versioni 2004 e 20H2 richiedono KB4577063.

L'inventario hardware potrebbe non essere in grado di elaborare

L'inventario hardware per i dispositivi potrebbe non essere in grado di elaborare dopo l'abilitazione dell'analisi degli endpoint. Nel file Dataldr.log possono essere visualizzati errori simili a quelli riportati di seguito:

Begin transaction: Machine=<machine>
*** [23000][2627][Microsoft][SQL Server Native Client 11.0][SQL Server]Violation of PRIMARY KEY constraint 'BROWSER_USAGE_HIST_PK'. Cannot insert duplicate key in object 'dbo.BROWSER_USAGE_HIST'. The duplicate key value is (XXXX, Y). : dbo.dBROWSER_USAGE_DATA
ERROR - SQL Error in
ERROR - is NOT retyrable.
Rollback transaction: XXXX

Mitigazione: Per risolvere questo problema, disabilitare la raccolta della classe di inventario hardware SMS_BrowerUsage (Browser Usage). Questa classe non è attualmente usata da Endpoint Analytics e non viene trasmessa a Microsoft.

Requisiti degli script per le correzioni proattive

Se l'opzione Imponi controllo firma script è abilitata nella pagina Impostazioni della creazione di un pacchetto di script, assicurati che gli script siano codificati in UTF-8 e non in UTF-8.

Risoluzione dei problemi relativi alla registrazione dei dispositivi e alle prestazioni di avvio

Se la pagina di panoramica mostra un punteggio di prestazioni di avvio pari a zero con un banner che mostra che è in attesa di dati o se la scheda prestazioni del dispositivo delle prestazioni di avvio mostra meno dispositivi del previsto, è possibile eseguire alcuni passaggi per risolvere il problema.

Verificare innanzitutto che i dispositivi soddisfino i prerequisiti:

Per Intune o dispositivi co-gestiti configurati con i criteri di raccolta dati di Intune:

  1. Assicurati che il criterio di raccolta dei dati di Intune sia mirato a tutti i dispositivi che vuoi visualizzare i dati sulle prestazioni. Guarda la scheda assegnazione per assicurarti che sia assegnata al set di dispositivi previsto.
  2. Cercare i dispositivi che non sono stati configurati correttamente per la raccolta dati. Puoi anche visualizzare queste informazioni nella pagina di panoramica dei profili.
    • Esiste un problema noto in cui i clienti potrebbero visualizzare errori di assegnazione del profilo, in cui i dispositivi interessati mostrano un codice di errore di -2016281112 (Remediation failed) . Per ulteriori informazioni, vedere la sezione Codice di errore -2016281112.
  3. I dispositivi configurati correttamente per la raccolta dati devono essere riavviati dopo l'attivazione della raccolta dati e devi quindi attendere fino a 25 ore dopo che il dispositivo venga visualizzato nella scheda prestazioni del dispositivo. Vedere Flusso di dati
  4. Se il dispositivo è stato configurato correttamente per la raccolta dei dati, è stato riavviato in un secondo momento e dopo 25 ore non viene ancora visualizzato, il dispositivo potrebbe non essere in grado di comunicare con gli endpoint necessari. Vedere Configurazione proxy.

Per i dispositivi gestiti da Configuration Manager:

  1. Assicurati che tutti i dispositivi in cui vuoi visualizzare i dati sulle prestazioni siano registrati.
  2. Verificare se il caricamento dei dati da Configuration Manager al servizio gateway è stato eseguito correttamente esaminando i messaggi di errore nel file UXAnalyticsUploadWorker.log nel server del sito.
  3. Controlla se un amministratore ha sostituzioni personalizzate per le impostazioni client. Nella console di Configuration Manager vai all'area di lavoro Dispositivi, trova i dispositivi di destinazione e nel gruppo Impostazioni client seleziona le impostazioni del client risultante. Se l'analisi degli endpoint è disabilitata, esiste un'impostazione del client che esegue l'override. Trova le impostazioni del client in override e abilita l'analisi degli endpoint su di esso.
  4. Controllare se i dispositivi client mancanti inviano dati al server del sito esaminando il file SensorEndpoint.log presente C:\Windows\CCM\Logs\ nei dispositivi client. Cercare Messaggi inviati.
  5. Controllare e risolvere eventuali errori che si verificano durante l'elaborazione degli eventi di avvio esaminando il file SensorManagedProvider.log presente C:\Windows\CCM\Logs\ nei dispositivi client.
  6. I dispositivi client richiedono un riavvio per abilitare completamente tutte le analisi.

Configurazione proxy

Se l'ambiente utilizza un server proxy, configurarlo in modo da consentire gli endpoint seguenti:

Importante

Per la privacy e l'integrità dei dati, Windows verifica la presenza di un certificato SSL Microsoft (associazione del certificato) durante la comunicazione con gli endpoint di condivisione dei dati funzionali richiesti. L'intercettazione e l'ispezione SSL non sono possibili. Per usare Analisi degli endpoint, escludere questi endpoint dall'ispezione SSL.

Endpoint necessari per i dispositivi gestiti da Configuration Manager

I dispositivi gestiti da Configuration Manager inviano i dati a Intune tramite il connettore sul ruolo Configuration Manager e non hanno bisogno di accedere direttamente al cloud pubblico Microsoft.

Endpoint Funzione
https://graph.windows.net Usato per recuperare automaticamente le impostazioni quando si collega la gerarchia a Endpoint Analytics nel ruolo del server Configuration Manager. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito.
https://*.manage.microsoft.com Usato per sincronizzare la raccolta di dispositivi e i dispositivi con Endpoint analytics solo nel ruolo del server Configuration Manager. Per altre informazioni, vedere Configurare il proxy per un server del sistema del sito.

Endpoint necessari per i dispositivi gestiti da Intune

Per registrare i dispositivi per Analisi degli endpoint, è necessario inviare i dati funzionali richiesti al cloud pubblico Microsoft. Endpoint Analytics usa il componente Windows client e Windows Server Connected User Experiences and Telemetry (DiagTrack) per raccogliere i dati dai dispositivi gestiti da Intune. Assicurarsi che il servizio Esperienze utente connesse e telemetria nel dispositivo sia in esecuzione.

Endpoint Funzione
https://*.events.data.microsoft.com Usato dai dispositivi gestiti da Intune per inviare i dati funzionali richiesti all'endpoint di raccolta dati di Intune.

Autenticazione server proxy

Se l'organizzazione utilizza l'autenticazione del server proxy per l'accesso a Internet, assicurarsi che non blocchi i dati a causa dell'autenticazione. Se il proxy non consente ai dispositivi di inviare questi dati, non vengono visualizzati in Desktop Analytics.

Configurare i server proxy in modo che non richiedano l'autenticazione proxy per il traffico verso gli endpoint di condivisione dei dati. Questa opzione è la soluzione più completa. Funziona per tutte le versioni di Windows 10 o versioni successive.

Autenticazione proxy utente

Configurare i dispositivi in modo che utilizzino il contesto dell'utente connesso per l'autenticazione proxy. Questo metodo richiede le configurazioni seguenti:

  • I dispositivi hanno l'aggiornamento qualitativo corrente per una versione supportata di Windows

  • Configurare il proxy a livello di utente (proxy WinINET) in Impostazioni proxy nel gruppo Rete & Internet di Windows Impostazioni. Puoi anche usare il pannello di controllo Opzioni Internet legacy.

  • Assicurarsi che gli utenti dispongono dell'autorizzazione proxy per raggiungere gli endpoint di condivisione dei dati. Questa opzione richiede che i dispositivi dispongono di utenti della console con autorizzazioni proxy, quindi non puoi usare questo metodo con dispositivi headless.

Importante

L'approccio di autenticazione proxy utente non è compatibile con l'uso di Microsoft Defender per Endpoint. Questo comportamento è dovuto al fatto che questa autenticazione si basa sulla chiave del Registro di sistema DisableEnterpriseAuthProxy impostata su , mentre Microsoft Defender per Endpoint richiede che sia 0 impostata su 1 . Per ulteriori informazioni, vedere Configure machine proxy and internet connectivity settings in Microsoft Defender for Endpoint.

Autenticazione proxy dispositivo

Questo approccio supporta gli scenari seguenti:

  • Dispositivi headless, in cui nessun utente accede o gli utenti del dispositivo non hanno accesso a Internet

  • Proxy autenticati che non utilizzano l'autenticazione Windows-Integrated autenticazione

  • Se usi anche Microsoft Defender per Endpoint

Questo approccio è il più complesso perché richiede le configurazioni seguenti:

  • Assicurati che i dispositivi possano raggiungere il server proxy tramite WinHTTP nel contesto del sistema locale. Utilizzare una delle opzioni seguenti per configurare questo comportamento:

    • Riga di comando netsh winhttp set proxy

    • Protocollo WPAD (Web Proxy Autodiscovery)

    • Proxy trasparente

    • Configurare il proxy WinINET a livello di dispositivo utilizzando la seguente impostazione di Criteri di gruppo: Effettuare le impostazioni proxy per computer (anziché per utente) (ProxySettingsPerUser = 1 )

    • Connessione instradata o che utilizza NAT (Network Address Translation)

  • Configurare i server proxy per consentire agli account computer in Active Directory di accedere agli endpoint dati. Questa configurazione richiede che i server proxy supportino Windows-Integrated autenticazione.

Domande frequenti

Se i miei dispositivi sono co-gestiti, devo registrarli tramite Intune, Configuration Manager o entrambi?

Ti consigliamo di usare Intune per registrare i dispositivi co-gestiti idonei. I dispositivi che non soddisfano i requisiti dei dispositivi per la registrazione di Intune (ad esempio i dispositivi Windows Home o i dispositivi che eseguono versioni precedenti di Windows) possono essere registrati tramite Configuration Manager. La logica di deduplicazione nel back-end impedisce che i dispositivi registrati tramite Intune e Configuration Manager appaiano più volte nel portale di endpoint analytics.

Se si sposta il tenant di Intune in una posizione tenant diversa, i dati di Endpoint Analytics verranno migrati?

Se si esegue la migrazione del tenant di Intune in un percorso diverso, tutti i dati nella soluzione endpoint analytics al momento della migrazione andranno persi. Poiché gli endpoint vengono continuamente inseriti nell'analisi degli endpoint, tutti gli eventi che si verificano dopo la migrazione vengono caricati automaticamente nella nuova posizione del tenant e i report iniziano a ripopolarsi, presupponendo che i dispositivi rimangano registrati correttamente.

Perché gli script terminano con un codice 1?

Gli script terminano con un codice 1 per segnalare a Intune che deve essere eseguita la correzione. In questo caso, uscire da uno script di rilevamento con 1 significa che è necessaria la correzione. Molti pacchetti di script eseguiti esclusivamente in CM possono risultare conformi, ma uscire con un codice 1. Per questi script, uscire con un codice 1 non è qualcosa di allarmante, ma potresti voler verificare che il dispositivo si ripeta correttamente.

Perché lo script Update Stale Group Policies ha restituito l'errore 0x87D00321?

0x87D00321 è un errore di timeout di esecuzione dello script. Questo errore si verifica in genere con computer connessi in remoto. Una potenziale mitigazione potrebbe essere la distribuzione solo in una raccolta dinamica di computer con connettività di rete interna.

Qual è il limite delle dimensioni di output per gli script di correzione proattivi?

Il limite massimo consentito per le dimensioni di output per gli script di correzione proattivi è di 2048 caratteri.

Passaggi successivi

Utilizzare le correzioni proattive per risolvere i problemi di supporto comuni prima che gli utenti finali notino i problemi.