Windows デバイスから診断情報を収集する

  • [アーティクル]

[診断情報の収集] リモート アクションを使用すると、ユーザーの作業を中断することなく、Windows デバイスのログを収集してダウンロードできます。 ユーザー以外の場所とファイルの種類にのみアクセスできるため、個人情報は収集されません。

診断コレクションは 28 日間保存され、その後削除されます。 各デバイスには、一度に最大 10 個のコレクションを保存できます。

診断の収集 は、一度に最大 25 台の Windows デバイスから診断ログを収集する バルク デバイス アクションとしても利用できます。

要件

[診断情報の収集] リモート アクションは、次の場合にサポートされます。

  • Intune または共同管理デバイス。
  • Windows 10 バージョン 1909 以降。
  • Windows 11
  • Microsoft HoloLens 2 2004 以降。
  • グローバル管理者、Intune 管理者、 または、[診断情報の収集] 管理の役割 (リモート タスク 下) および [読み取り] (デバイス コンプライアンス ポリシー 下) のアクセス許可。
  • 企業所有のデバイス。
  • 診断時にサービスとオンラインで通信できるデバイス。

診断の収集

[診断情報の収集] アクションを使用するには:

  1. Microsoft エンドポイント マネージャー管理センターにサインインし、 > [デバイス] > [Windows] を選択し、サポートされているデバイスを選択します。
  2. デバイスの [概要] ページで [...] > [診断情報の収集] > [はい] を選択します。 デバイスの [概要] ページに保留中の通知が表示されます。
  3. アクションの状態を確認するには、[Device diagnostics monitor](デバイス診断モニター) を選択します。
  4. 操作が完了したら、その操作の行にある [ダウンロード] を選択し、[はい] を選択します。
  5. データの zip ファイルがダウンロード トレイに追加され、それをコンピューターに保存できます。

収集されるデータ

個人情報は収集されません。 KB5011543 (Windows 10)、または KB5011563 (Windows 11) がインストール済みである場合、zip ファイルの形式が単純になります。これには、収集されたログが収集されたデータに一致するように名前が付けられ、複数のファイルが収集されたときにフォルダーが作成されるフラット化した構造が含まれます。

以下の一覧は、診断情報の zip と同じ順序です。 各コレクションには、次のデータが含まれています。

レジストリ キー:

  1. HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  2. HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  3. HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  4. HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  6. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  7. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  8. HKLM\SOFTWARE\Policies
  9. HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  10. HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  11. HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  12. HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

コマンド:

  1. %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  2. %windir%\system32\certutil.exe -store
  3. %windir%\system32\certutil.exe -store -user my
  4. %windir%\system32\Dsregcmd.exe /status
  5. %windir%\system32\ipconfig.exe /all
  6. %windir%\system32\mdmdiagnosticstool.exe
  7. %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  8. %windir%\system32\netsh.exe advfirewall show allprofiles
  9. %windir%\system32\netsh.exe advfirewall show global
  10. %windir%\system32\netsh.exe lan show profiles
  11. %windir%\system32\netsh.exe winhttp show proxy
  12. %windir%\system32\netsh.exe wlan show profiles
  13. %windir%\system32\netsh.exe wlan show wlanreport
  14. %windir%\system32\ping.exe -n 50 localhost
  15. %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  16. %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

イベント ビューアー:

  1. アプリケーション
  2. Microsoft-Windows-AppLocker/EXE and DLL
  3. Microsoft-Windows-AppLocker/MSI and Script
  4. Microsoft-Windows-AppLocker/Packaged app-Deployment
  5. Microsoft-Windows-AppLocker/Packaged app-Execution
  6. Microsoft-Windows-AppxPackaging/Operational
  7. Microsoft-Windows-Bitlocker/Bitlocker Management
  8. Microsoft-Windows-HelloForBusiness/Operational
  9. Microsoft-Windows-SENSE/Operational
  10. Microsoft-Windows-SenseIR/Operational
  11. 高度なセキュリティ/ファイアウォールを備えた Microsoft - Windows - Windows ファイアウォール
  12. Microsoft-Windows-WinRM/Operational
  13. Microsoft-Windows-WMI-Activity/Operational
  14. セットアップ
  15. System

ファイル:

  1. %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors*.etl
  2. %ProgramData%\Microsoft\IntuneManagementExtension\Logs*.*
  3. %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  4. %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  5. %ProgramData Microsoft Update Health Tools\Logs*.etl
  6. %temp%\MDMDiagnostics\battery-report.html
  7. %temp%\MDMDiagnostics\energy-report.html
  8. %temp%\MDMDiagnostics\mdmlogs-<Date/Time>.cab
  9. %temp%\MDMDiagnostics\msinfo32.log
  10. %windir%\ccm\logs*.log
  11. %windir%\ccmsetup\logs*.log
  12. %windir%\logs\CBS\cbs.log
  13. %windir%\logs\measuredboot*.*
  14. %windir%\Logs\WindowsUpdate*.etl
  15. %windir%\temp%computername%*.log
  16. %windir%\temp\officeclicktorun*.log

デバイス診断を無効にする

次の手順に従って、すべてのデバイスの [診断情報の収集] リモート アクションを無効にすることができます。

  1. Microsoft エンドポイント マネージャー管理センターにサインインし、 > [テナント管理] > [デバイス診断] を選択します。

  2. コントロールを [無効] に変更します。

    [デバイス診断] ウィンドウのスクリーンショット。コントロールが [無効] に設定されています。

デバイス診断に関する既知の問題

現在、デバイス診断が失敗する原因となる 2 つの主な問題があります。

  1. パッチ KB4601315 または KB4601319 が適用されていないデバイスでタイムアウトが発生する可能性があります。 これらのパッチには、アップロード中のタイムアウトを防止する DiagnosticLog CSP の修正プログラムが含まれています。 更新プログラムをインストールした後、デバイスを再起動してください。
  2. デバイスは、24 時間の期間内にデバイス アクションを受信できませんでした。 デバイスがオフラインまたは電源オフになっている場合、失敗の原因になる可能性があります。