エンドポイント分析のトラブルシューティングTroubleshooting Endpoint analytics

以下のセクションは、発生する可能性のある問題のトラブルシューティングを支援するために使用できます。The sections below can be used to assist in troubleshooting issues you may come across.

既知の問題Known issues

カスタムクライアント設定で、エンドポイント分析データ収集が有効になっていることが誤って示されるCustom client settings may incorrectly indicate Endpoint analytics data collection is enabled

Configuration Manager でエンドポイント分析データのアップロードを有効にすると、階層の既定のクライアント設定でデータ収集が自動的に有効になります。When you enable Endpoint analytics data upload in Configuration Manager, data collection is automatically enabled in your hierarchy's default client settings. その後、 コンピューターエージェント の設定のグループを含む既存のカスタム クライアント設定には、Configuration Manager コンソールで [ エンドポイント分析データコレクションを有効 にする ] が [はい] に設定されているように見えることがありますが、この設定は対象デバイスに展開されていない可能性があります。Afterwards, any pre-existing custom client settings that include the Computer Agent group of settings may appear to have the Enable Endpoint analytics data collection set to Yes in the Configuration Manager console, but this setting may not have been deployed to targeted devices.

影響を受けるデバイス: この問題は、エンドポイント分析を開始する前に、 コンピュータエージェント の設定のグループを含むカスタムクライアント設定オブジェクトに影響を及ぼし、作成および展開されました。Impacted devices: This issue impacts custom client settings objects that include the Computer Agent group of settings and were created and deployed prior to onboarding to Endpoint analytics. このようなカスタムクライアント設定の対象となるデバイスのクライアント設定の結果を表示すると、エンドポイント分析データコレクションが有効になっていない可能性があります。If you view Resultant Client Settings for devices targeted by such a custom client setting, you may find that Endpoint analytics data collection is not enabled.

軽減策: エンドポイント分析のカスタムクライアント設定によって管理されるデバイスを適切に構成するには、[ endpoint analytics データコレクションを有効に する] 設定を [ いいえ ] に設定し、[ OK ] を選択して設定を閉じます。Mitigation: To properly configure devices governed by custom client settings for Endpoint analytics, manually set the Enable Endpoint analytics data collection setting to No and select OK to close the settings. 次に、カスタムクライアント設定を再度開き、[ Endpoint analytics データコレクションを有効にする ] 設定を [はい ] に変更し、[ OK] を選択します。Then, reopen the custom client settings and change the Enable Endpoint analytics data collection setting back to Yes and select OK . この変更により、ターゲットデバイスでカスタムクライアント設定が強制的に更新されます。This change will force the custom client settings to update on targeted devices.

一部のデバイスでは、ユーザーエクスペリエンスブレードは使用できません。User experience blade not available in All Devices report for some devices

Intune ですべての デバイスの レポートを表示すると > All Devices 、エンドポイント分析に登録されている一部のデバイスで [ ユーザーエクスペリエンス ] ブレードが使用できない場合があります。When viewing the Devices > All Devices report in Intune, the User experience blade may not be available for some devices that are enrolled in Endpoint analytics.

影響を受けるデバイス: この問題は、共同管理されたデバイスに影響します。Impacted devices: This issue impacts co-managed devices. Intune または Configuration Manager 経由でのみ登録されたデバイスは影響を受けません。Devices enrolled only via Intune or only via Configuration Manager are not affected.

回避策: [ユーザーエクスペリエンス] ブレードは、エンドポイント分析ソリューション内の共同管理対象デバイスを含むすべてのデバイスで使用できます。Workaround: The User experience blade is available for all devices, including co-managed devices, within the Endpoint analytics solution. [ 起動時のパフォーマンス > デバイスのパフォーマンス ] に移動し、クリックしてデバイスをドリルダウンします。Navigate to Startup performance > Device performance , then click to drill down into a device.

エンドポイント分析レポートに表示されるサーバーもあります。Some Servers are appearing in Endpoint analytics reports

Windows Server を実行している一部のデバイスが、 スタートアップのパフォーマンス や推奨さ れるソフトウェア などのエンドポイント分析レポートに予期せず表示される。Some devices running Windows Server are unexpectedly appearing in Endpoint analytics reports, such as Startup performance and Recommended software .

影響を受けるデバイス: この問題は、テナントの接続が有効になっている Configuration Manager によって管理されている一部の Windows Server デバイスに影響します。Impacted devices: This issue impacts some Windows Server devices that are managed by Configuration Manager with tenant attach enabled.

軽減策: この問題はバックエンドで修正されているため、何もする必要はありません。Mitigation: This issue is being fixed on the back end, and no action is required. テナント接続のターゲットコレクションから Windows Server デバイスを削除することはお勧めしません。これは、すべての Microsoft Endpoint Manager サービスに影響するためです。We do not recommend removing Windows Server devices from your target collection for tenant attach, as this will affect all Microsoft Endpoint Manager services.

エラーコード-2016281112 (修復に失敗しました)Error code -2016281112 (Remediation failed)

ユーザーにプロファイル割り当てエラーが表示される可能性がある既知の問題があります。影響を受けるデバイスでは、エラーコードが表示さ -2016281112 (Remediation failed) れます。There's a known issue where customers may see profile assignment errors, where affected devices show an error code of -2016281112 (Remediation failed). Microsoft ではこの問題を積極的に調査しています。We're actively investigating this issue.

ハードウェア インベントリの処理に失敗する場合があるHardware inventory may fail to process

エンドポイント分析を有効にした後、デバイスのハードウェアインベントリの処理に失敗する場合があります。Hardware inventory for devices may fail to process after enabling endpoint analytics. Dataldr.box ファイルに次のようなエラーが表示される場合があります。Errors similar to the one below may be seen in the Dataldr.log file:

Begin transaction: Machine=<machine>
**_ [23000][2627][Microsoft][SQL Server Native Client 11.0][SQL Server]Violation of PRIMARY KEY constraint 'BROWSER_USAGE_HIST_PK'. Cannot insert duplicate key in object 'dbo.BROWSER_USAGE_HIST'. The duplicate key value is (XXXX, Y). : dbo.dBROWSER_USAGE_DATA
ERROR - SQL Error in
ERROR - is NOT retyrable.
Rollback transaction: XXXX

_ 軽減策: * この問題を回避するには、 ブラウザー使用状況 (SMS_BrowerUsage) ハードウェアインベントリクラスのコレクションを無効にします。_ Mitigation: * To work around this issue, disable the collection of the Browser Usage (SMS_BrowerUsage) hardware inventory class. このクラスは現在、エンドポイント分析によって利用されていないため、Microsoft には送信されません。This class isn't currently leveraged by Endpoint analytics and isn't transmitted to Microsoft.

プロアクティブ修復のスクリプト要件Script requirements for Proactive remediations

スクリプトパッケージの作成の [ 設定] ページで [ スクリプト署名チェックを強制 する] オプションが有効になっている場合は、スクリプトが utf-8 BOM ではなく utf-8 でエンコードされていることを確認してください。If the option Enforce script signature check is enabled in the Settings page of creating a script package, then make sure that the scripts are encoded in UTF-8 not UTF-8 BOM.

デバイスの登録と起動のパフォーマンスのトラブルシューティングTroubleshooting device enrollment and startup performance

[概要] ページにデータを待機していることを示すバナーが表示された状態で、起動パフォーマンススコアが0の場合、または起動パフォーマンスの [デバイスパフォーマンス] タブに予想よりも多くのデバイスが表示されない場合は、問題のトラブルシューティングを行うためのいくつかの手順があります。If the overview page shows a startup performance score of zero with a banner showing it's waiting for data, or if the startup performance's device performance tab shows fewer devices than you expect, there are some steps you can take to troubleshoot the issue.

まず、デバイスが前提条件を満たしていることを確認します。First, ensure devices meet the prerequisites:

Intune データ収集ポリシーを使用して構成された Intune または共同管理デバイスの場合:For Intune or co-managed devices configured with the Intune data collection policy:

  1. パフォーマンスデータを表示するすべてのデバイスを対象とする Intune データ収集 ポリシーがあることを確認します。Make sure you have the Intune data collection policy is targeting all devices you want to see performance data. [割り当て] タブを見て、予想されるデバイスのセットに割り当てられていることを確認します。Look at the assignment tab to make sure it's assigned to the expected set of devices.
  2. データ収集が正常に構成されていないデバイスを探します。Look for devices that haven't been successfully configured for data collection. この情報は、プロファイルの概要ページでも確認できます。You can also see this information in the profiles overview page.
    • ユーザーにプロファイル割り当てエラーが表示される可能性がある既知の問題があります。影響を受けるデバイスでは、エラーコードが表示さ -2016281112 (Remediation failed) れます。There's a known issue where customers may see profile assignment errors, where affected devices show an error code of -2016281112 (Remediation failed). Microsoft ではこの問題を積極的に調査しています。We're actively investigating this issue.
  3. データ収集が有効になっているデバイスは、データ収集を有効にした後で再起動する必要があります。その後、デバイスが [デバイスパフォーマンス] タブに表示されるまで、最大で25時間待機する必要があります。データフローを確認するDevices that have been successfully configured for data collection must be restarted after data collection has been enabled, and you must then wait up to 25 hours after for the device to show up in the device performance tab. See Data flow
  4. デバイスが正常にデータ収集用に構成され、その後再起動された場合、25時間後にデバイスが必要なエンドポイントと通信できない可能性があります。If your device has been successfully configured for data collection, has subsequently restarted, and after 25 hours you're still not seeing it, then the device may not be able communicate with the required endpoints. プロキシの構成」を参照してください。See Proxy configuration.

Configuration Manager 管理されたデバイスの場合:For Configuration Manager-managed devices:

  1. パフォーマンスデータを表示するすべてのデバイスが 登録されていることを確認します。Ensure all devices you want to see performance data are enrolled.
  2. サイトサーバーの uxanalytics でエラーメッセージを確認して、ゲートウェイサービスに Configuration Manager からのデータアップロードが成功したかどうかを確認します。Check if the data upload from Configuration Manager to the Gateway Service was successful by looking at the error messages on the UXAnalyticsUploadWorker.log file on the site server.
  3. 管理者がクライアント設定に対してカスタムの上書きを使用しているかどうかを確認します。Check if an admin has custom overrides for client settings. Configuration Manager コンソールで、[ デバイス ] ワークスペースに移動し、ターゲットデバイスを見つけて、[ クライアント設定 ] グループで、結果として生成された クライアント設定 を選択します。In the Configuration Manager console, go to the Devices workspace, find the target devices, and in the Client settings group, select the Resultant client settings . エンドポイント分析が無効になっている場合は、クライアント設定が上書きされます。If endpoint analytics is disabled, there's an overriding client setting. オーバーライドしているクライアント設定を見つけ、それに対してエンドポイントの分析を有効にします。Find the overriding client settings and enable endpoint analytics on it.
  4. クライアントデバイスのにある Sensorendpoint .log ファイルを確認して、不足しているクライアントデバイスがサイトサーバーにデータを送信しているかどうかを確認し C:\Windows\CCM\Logs\ ます。Check if missing client devices are sending data to the site server by reviewing the SensorEndpoint.log file located in C:\Windows\CCM\Logs\ on client devices. メッセージが 送信さ れたことを確認します。Look for Message sent messages.
  5. クライアントデバイスのにある Sensormanagedprovider .log ファイルを確認して、ブートイベントの処理中に発生したエラーを確認して解決し C:\Windows\CCM\Logs\ ます。Check and resolve any errors occurring during processing of the boot events by reviewing the SensorManagedProvider.log file located in C:\Windows\CCM\Logs\ on client devices.

プロキシの構成Proxy configuration

環境でプロキシサーバーを使用する場合は、次のエンドポイントを許可するようにプロキシサーバーを構成します。If your environment uses a proxy server, configure your proxy server to allow the following endpoints:

重要

プライバシーとデータの整合性を確保するため、必要な機能データを共有するエンドポイントとの通信時に、Windows によって Microsoft SSL 証明書がチェックされます (証明書のピン留め)。For privacy and data integrity, Windows checks for a Microsoft SSL certificate (certificate pinning) when communicating with the required functional data sharing endpoints. SSL を傍受および検査することはできません。SSL interception and inspection aren't possible. エンドポイント分析を使用するには、以下のエンドポイントを SSL の検査から除外します。To use Endpoint analytics, exclude these endpoints from SSL inspection.

Configuration Manager マネージド デバイスに必要なエンドポイントEndpoints required for Configuration Manager-managed devices

Configuration Manager マネージド デバイスからは、Configuration Manager ロールのコネクタ経由で Intune にデータが送信され、Microsoft パブリック クラウドに直接アクセスする必要はありません。Configuration Manager-managed devices send data to Intune via the connector on the Configuration Manager role and they don't need directly access to the Microsoft public cloud.

エンドポイントEndpoint 関数Function
https://graph.windows.net Configuration Manager サーバー ロールで階層をエンドポイント分析にアタッチするときに、設定を自動的に取得するために使用されます。Used to automatically retrieve settings when attaching your hierarchy to Endpoint analytics on Configuration Manager server role. 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。For more information, see Configure the proxy for a site system server.
https://*.manage.microsoft.com Configuration Manager サーバー ロールのみで、デバイス コレクションおよびデバイスをエンドポイント分析に同期するために使用されます。Used to synch device collection and devices with Endpoint analytics on Configuration Manager server role only. 詳しくは、「サイト システム サーバー用にプロキシを構成する」をご覧ください。For more information, see Configure the proxy for a site system server.

Intune マネージド デバイスに必要なエンドポイントEndpoints required for Intune-managed devices

エンドポイント分析にデバイスを登録する場合、デバイスから Microsoft パブリック クラウドに必要な機能データが送信される必要があります。To enroll devices to Endpoint analytics, they need to send required functional data to Microsoft public cloud. エンドポイント分析では、Windows 10 と Windows Server の接続ユーザーのエクスペリエンスと利用統計情報コンポーネント (DiagTrack) を利用して、Intune マネージド デバイスからデータが収集されます。Endpoint Analytics uses the Windows 10 and Windows Server Connected User Experiences and Telemetry component (DiagTrack) to collect the data from Intune-managed devices. デバイス上の接続ユーザー エクスペリエンスとテレメトリ サービスが実行されていることを確認してください。Make sure that the Connected User Experiences and Telemetry service on the device is running.

エンドポイントEndpoint 関数Function
https://*.events.data.microsoft.com 必要な機能データを Intune データ収集エンドポイントに送信するために Intune マネージド デバイスによって使用されます。Used by Intune-managed devices to send required functional data to the Intune data collection endpoint.

プロキシ サーバー認証Proxy server authentication

組織でインターネット アクセスにプロキシ サーバー認証を使用している場合は、認証のためにデータがブロックされないことを確認します。If your organization uses proxy server authentication for internet access, make sure that it doesn't block the data because of authentication. デバイスによるこのデータの送信がプロキシで許可されていない場合、それらのデバイスはデスクトップ分析に表示されません。If your proxy doesn't allow devices to send this data, they won't show in Desktop Analytics.

プロキシ サーバーを構成して、データ共有エンドポイントへのトラフィックにプロキシ認証が要求されないようにします。Configure your proxy servers to not require proxy authentication for traffic to the data sharing endpoints. このオプションは、最も包括的な解決策です。This option is the most comprehensive solution. Windows 10 のすべてのバージョンで動作します。It works for all versions of Windows 10.

ユーザー プロキシ認証User proxy authentication

サインインしたユーザーのコンテキストをプロキシ認証に使用するようにデバイスを構成します。Configure devices to use the signed-in user's context for proxy authentication. この方法では、次の構成が必要です。This method requires the following configurations:

  • デバイスに、サポートされているバージョンの Windows の最新の品質更新プログラムがインストールされているDevices have the current quality update for a supported version of Windows

  • Windows の設定の [ネットワークとインターネット] グループの [プロキシ設定] で、ユーザー レベル プロキシ (WinINET プロキシ) を構成します。Configure user-level proxy (WinINET proxy) in Proxy settings in the Network & Internet group of Windows Settings. 従来の [インターネット オプション] コントロール パネルを使用することもできます。You can also use the legacy Internet Options control panel.

  • ユーザーに、データ共有エンドポイントにアクセスするためのプロキシ アクセス許可があることを確認します。Make sure that the users have proxy permission to reach the data sharing endpoints. このオプションでは、デバイスにプロキシ アクセス許可を持つコンソール ユーザーが存在する必要があるため、この方法をヘッドレス デバイスで使用することはできません。This option requires that the devices have console users with proxy permissions, so you can't use this method with headless devices.

重要

ユーザー プロキシ認証の方法は、Microsoft Defender Advanced Threat Protection の使用と互換性がありません。The user proxy authentication approach is incompatible with the use of Microsoft Defender Advanced Threat Protection. このような動作が発生するのは、この認証では DisableEnterpriseAuthProxy レジストリ キーが 0 に設定されている必要があるのに対し、Microsoft Defender ATP では 1 に設定されている必要があるためです。This behavior is because this authentication relies on the DisableEnterpriseAuthProxy registry key set to 0, while Microsoft Defender ATP requires it to be set to 1. 詳しくは、Microsoft Defender ATP でのコンピューターのプロキシとインターネット接続設定の構成に関する記事をご覧ください。For more information, see Configure machine proxy and internet connectivity settings in Microsoft Defender ATP.

デバイス プロキシ認証Device proxy authentication

この方法では次のシナリオがサポートされます。This approach supports the following scenarios:

  • ユーザーがサインインしない、またはデバイスのユーザーがインターネット アクセスを使用しないヘッドレス デバイスHeadless devices, where no user signs in, or users of the device don't have internet access

  • Windows 統合認証を使用しない認証プロキシAuthenticated proxies that don't use Windows Integrated Authentication

  • Microsoft Defender Advanced Threat Protection も使用する場合If you also use Microsoft Defender Advanced Threat Protection

この方法は、次の構成が必要であるため、最も複雑です。This approach is the most complex because it requires the following configurations:

  • デバイスがローカル システム コンテキストで WinHTTP を使用してプロキシ サーバーに接続できることを確認します。Make sure devices can reach the proxy server through WinHTTP in local system context. この動作を構成するには、次のいずれかのオプションを使用します。Use one of the following options to configure this behavior:

    • コマンド ライン netsh winhttp set proxyThe command line netsh winhttp set proxy

    • Web プロキシ自動検出 (WPAD) プロトコルWeb proxy auto-discovery (WPAD) protocol

    • 透過的プロキシTransparent proxy

    • 次のグループ ポリシー設定を使用して、デバイス全体の WinINET プロキシを構成します。 (ユーザー別ではなく) コンピューター別にプロキシを設定する (ProxySettingsPerUser = 1)Configure device-wide WinINET proxy using the following group policy setting: Make proxy settings per-machine (rather than per-user) (ProxySettingsPerUser = 1)

    • ルーティングされた接続、またはネットワーク アドレス変換 (NAT) を使用する接続Routed connection, or that uses network address translation (NAT)

  • Active Directory のコンピューター アカウントがデータ エンドポイントにアクセスできるように、プロキシ サーバーを構成します。Configure proxy servers to allow the computer accounts in Active Directory to access the data endpoints. この構成では、プロキシ サーバーで Windows 統合認証をサポートする必要があります。This configuration requires proxy servers to support Windows Integrated Authentication.

よく寄せられる質問Frequently asked questions

デバイスが共同管理されている場合、Intune、Configuration Manager、またはその両方で登録する必要がありますか。If my devices are co-managed, should I enroll them via Intune, Configuration Manager, or both?

Intune を使用して、対象となる共同管理対象デバイスを登録することをお勧めします。We recommend using Intune to enroll eligible co-managed devices. Intune の登録に必要なデバイス (Windows ホームデバイスや古いバージョンの Windows を実行しているデバイスなど) を満たしていないデバイスは、Configuration Manager を使用して登録できます。Devices that do not meet the device requirements for Intune enrollment (such as Windows Home devices or devices running older versions of Windows) can be enrolled via Configuration Manager. バックエンドの重複除去ロジックにより、Intune と Configuration Manager の両方を介して登録されたデバイスが、エンドポイント分析ポータルに複数回表示されることはありません。Note that deduplication logic in our back end prevents devices enrolled via both Intune and Configuration Manager from appearing multiple times in the Endpoint analytics portal.

Intune テナントを別のテナントの場所に移動した場合、エンドポイント分析データは移行されますか?Will my Endpoint analytics data migrate if I move my Intune tenant to a different tenant location?

Intune テナントを別の場所に移行すると、移行時のエンドポイント分析ソリューション内のすべてのデータが失われます。If you migrate your Intune tenant to a different location, all data in your Endpoint analytics solution at the time of the migration will be lost. エンドポイントはエンドポイント分析に継続的に報告されるため、デバイスが適切に登録されているとすれば、移行後に発生するすべてのイベントが新しいテナントの場所に自動的にアップロードされ、レポートが再作成されます。Because endpoints report into Endpoint analytics continuously, all events that occur post-migration automatically upload into your new tenant location and reports begin to repopulate, assuming devices remain properly enrolled.

スクリプトがコード 1 で終了するのはなぜですか。Why are the scripts exiting with a code of 1?

スクリプトがコード 1 で終了するのは、修復が行われる必要があることを Intune に通知するためです。The scripts exit with a code of 1 to signal to Intune that remediation should occur. この場合、検出スクリプトを 1 で終了することは、修復が必要であることを意味します。In this case, exiting a detection script with 1 means it's true that remediation is needed. CM でのみ実行されるスクリプト パッケージの多くは、準拠していると表示されることがありますが、コード 1 で終了します。Many script packages that run solely in CM may show compliant, but exit with a code of 1. これらのスクリプトでは、コード 1 で終了することは何らかの警告ではありませんが、デバイスの修復を適切に検証することをお勧めします。For these scripts, exiting with a code of 1 isn't something alarming but you may want to verify the device remediates properly.

古いグループ ポリシーの更新スクリプトがエラー 0x87D00321 で終了したのはなぜですか。Why did the Update Stale Group Policies script return with error 0x87D00321?

0x87D00321 は、スクリプトの実行タイムアウト エラーです。0x87D00321 is a script execution timeout error. 通常、このエラーはリモート接続されているコンピューターで発生します。This error typically occurs with machines that are connected remotely. 可能な軽減策としては、内部ネットワーク接続を持つコンピューターの動的なコレクションにのみ展開することが考えられます。A potential mitigation might be to only deploy to a dynamic collection of machines that have internal network connectivity.

プロアクティブな修復スクリプトの出力サイズの上限は何ですか。What is the output size limit for proactive remediation scripts?

プロアクティブ修復スクリプトで許容される出力サイズの上限は2048文字です。The maximum allowed output size limit for proactive remediation scripts is 2048 characters.

次のステップNext steps

予防的修復を使用して、エンドユーザーが問題を通知する前に、一般的なサポートの問題を修正してください。Use Proactive remediations to help fix common support issues before end-users notice issues.