Windows デバイスから診断情報を収集する

  • [アーティクル]

[診断情報の収集] リモート アクションを使用すると、ユーザーの作業を中断することなく、Windows デバイスのログを収集してダウンロードできます。 アクセスされるのは、ユーザー以外の場所とファイルの種類のみです。

[リモート診断収集] アクションは、デバイスの Autopilot エラー時に Windows デバイス ログを自動的に収集してアップロードするように構成することもできます。 Autopilot エラーが発生すると、失敗したデバイスでログが処理され、自動的にキャプチャされて Intune にアップロードされます。 デバイスは、1 日に 1 セットのログを自動的にキャプチャできます。

診断コレクションは 28 日間保存され、その後削除されます。 各デバイスには、一度に最大 10 個のコレクションを保存できます。

診断の収集は、一度に最大 25 台の Windows デバイスから診断ログを収集するバルク デバイス アクションとしても利用できます。

注:

Microsoft 担当者は、デバイス 診断にアクセスして、インシデントのトラブルシューティングと解決を支援する場合があります。

要件

[診断情報の収集] リモート アクションは、次の場合にサポートされます。

  • Intune または共同管理デバイス
  • バージョン 1909 以降Windows 10
  • Windows 11
  • Microsoft HoloLens 2 2004 以降
  • グローバル管理者、Intune 管理者、または診断の収集 (リモート タスクの下) と読み取り (デバイス コンプライアンス ポリシーの下) アクセス許可を持つロール
  • 企業所有のデバイス。
  • オンラインで、診断中にサービスと通信できるデバイス

注:

診断クライアントから正常にアップロードできるようにするには、次の URL がネットワーク上でブロックされていないことを確認します。lgmsapeweu.blob.core.windows.netlgmsapewus2.blob.core.windows.netlgmsapesea.blob.core.windows.netlgmsapeaus.blob.core.windows.netlgmsapeind.blob.core.windows.net

診断の収集

[診断情報の収集] アクションを使用するには:

  1. Microsoft Intune管理センターにサインインする
  2. [デバイス] [Windows>]> の順に移動し、サポートされているデバイスを選択します。
  3. デバイスの [概要] ページで、[..] を選択します。>診断>Yes を収集します。 デバイスの [概要] ページに保留中の通知が表示されます。
  4. アクションの状態を確認するには、[Device diagnostics monitor]\(デバイス診断モニター\) を選択します。
  5. アクションが完了したら、[はい] アクションの行で [ダウンロード] を選択します>。
  6. データの zip ファイルがダウンロード トレイに追加され、それをコンピューターに保存できます。

Autopilot エラーの診断コレクション

Autopilot 診断 コレクションの場合、追加のアクションは必要ありません。 Autopilot 自動キャプチャ診断機能が有効になっている限り、デバイスで障害が発生すると、Autopilot 診断が自動的にキャプチャされます。

Autopilot エラーの後に収集された診断を表示するには:

  1. Microsoft Intune管理センターにサインインする
  2. [デバイス] [Windows] > の順に移動します。
  3. デバイスを選択します。
  4. [診断のダウンロード] を選択します>。
  5. データの zip ファイルがダウンロード トレイに追加され、それをコンピューターに保存できます。

収集されるデータ

個人データを収集する意図はありませんが、診断にはユーザーやデバイス名などのユーザーを特定できる情報が含まれる場合があります。

Windows 10またはWindows 11KB5011563にKB5011543をインストールした場合、zip ファイルの形式は次のような簡単になります。

  • 収集されたログが収集されたデータと一致するように名前が付けられるフラット化された構造
  • 複数のファイルが収集されると、フォルダーが作成されます。

以下の一覧は、診断情報の zip と同じ順序です。 各コレクションには、次のデータが含まれています。

レジストリ キー:

  • HKLM\SOFTWARE\Microsoft\CloudManagedUpdate
  • HKLM\SOFTWARE\Microsoft\EPMAgent
  • HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring
  • HKLM\SOFTWARE\Microsoft\IntuneManagementExtension
  • HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  • HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SOFTWARE\Policies
  • HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL
  • HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm
  • HKLM\SYSTEM\Setup\SetupDiag\Results

コマンド:

  • %programfiles%\windows defender\mpcmdrun.exe -GetFiles
  • %windir%\system32\certutil.exe -store
  • %windir%\system32\certutil.exe -store -user my
  • %windir%\system32\Dsregcmd.exe /status
  • %windir%\system32\ipconfig.exe /all
  • %windir%\system32\mdmdiagnosticstool.exe
  • %windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\system32\netsh.exe advfirewall show allprofiles
  • %windir%\system32\netsh.exe advfirewall show global
  • %windir%\system32\netsh.exe lan show profiles
  • %windir%\system32\netsh.exe winhttp show proxy
  • %windir%\system32\netsh.exe wlan show profiles
  • %windir%\system32\netsh.exe wlan show wlanreport
  • %windir%\system32\ping.exe -n 50 localhost
  • %windir%\system32\pnputil.exe /enum-drivers
  • %windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html
  • %windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html

イベント ビューアー:

  • アプリケーション
  • Microsoft-Windows-AppLocker/EXE and DLL
  • Microsoft-Windows-AppLocker/MSI and Script
  • Microsoft-Windows-AppLocker/Packaged app-Deployment
  • Microsoft-Windows-AppLocker/Packaged app-Execution
  • Microsoft-Windows-AppxPackaging/Operational
  • Microsoft-Windows-Bitlocker/Bitlocker Management
  • Microsoft-Windows-HelloForBusiness/Operational
  • Microsoft-Windows-SENSE/Operational
  • Microsoft-Windows-SenseIR/Operational
  • 高度なセキュリティ/ファイアウォールを備えた Microsoft - Windows - Windows ファイアウォール
  • Microsoft-Windows-WinRM/Operational
  • Microsoft-Windows-WMI-Activity/Operational
  • Microsoft-Windows-AppXDeployment/Operational
  • Microsoft-Windows-AppXDeploymentServer/Operational
  • セットアップ
  • System

ファイル:

  • %ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl
  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %ProgramData%\Microsoft\IntuneManagementExtension\Logs\*.*
  • %ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab
  • %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
  • %ProgramData%\USOShared\logs\system\*.etl
  • %ProgramData Microsoft Update Health Tools\Logs\*.etl
  • %temp%\CloudDesktop*.log
  • %temp%\MDMDiagnostics\battery-report.html
  • %temp%\MDMDiagnostics\energy-report.html
  • %temp%\MDMDiagnostics\mdmlogs-Date</Time>.cab
  • %temp%\MDMDiagnostics\msinfo32.log
  • %windir%\ccm\logs\*.log
  • %windir%\ccmsetup\logs\*.log
  • %windir%\logs\CBS\cbs.log
  • %windir%\logs\measuredboot\*.*
  • %windir%\logs\Panther\unattendgc\setupact.log
  • %windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log
  • %windir%\Logs\SetupDiag\SetupDiagResults.xml
  • %windir%\logs\WindowsUpdate\*.etl
  • %windir%\SensorFramework*.etl
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log
  • %windir%\temp%computername%*.log
  • %windir%\temp\officeclicktorun*.log
  • %TEMP%\winget\defaultstate*.log

デバイス診断を無効にする

[Collect 診断 remote action]\(リモート診断収集\) アクションは、既定で有効になっています。 次の手順に従って、すべてのデバイスの [診断情報の収集] リモート アクションを無効にすることができます。

  1. Microsoft Intune管理センターにサインインする

  2. [テナント管理>] [デバイス 診断] に移動します。

  3. Windows 10、バージョン 1909 以降、またはWindows 11を実行している企業が管理するデバイスで使用できるデバイス 診断のコントロールを [無効] に変更します。

    デバイスのコントロールが強調表示されている [デバイス 診断] ウィンドウを示すスクリーンショット診断 [無効] に設定されています。

診断の Autopilot 自動収集を無効にする

Autopilot の自動診断キャプチャは、既定で有効になっています。 Autopilot 自動診断キャプチャを無効にするには、次の手順を実行します。

  1. Microsoft Intune管理センターにサインインする

  2. [テナント管理>] [デバイス 診断] に移動します。

  3. [Windows 10 バージョン 1909 以降とWindows 11で Autopilot プロセス中にデバイスでエラーが発生したときに、診断を自動的にキャプチャする] のコントロールを変更します。診断には、ユーザーまたはデバイス名 (プレビュー) などのユーザーを特定できる情報が含まれる場合があります。[無効] に設定します

    Autopilot の自動診断コレクションのコントロールが強調表示されている [デバイス 診断] ウィンドウを示すスクリーンショット。

デバイス診断に関する既知の問題

現在、デバイス診断が失敗する原因となる 2 つの主な問題があります。

  1. パッチ KB4601315 または KB4601319 が適用されていないデバイスでタイムアウトが発生する可能性があります。 これらのパッチには、アップロード中のタイムアウトを防止する DiagnosticLog CSP の修正プログラムが含まれています。 更新プログラムをインストールした後、デバイスを再起動してください。
  2. デバイスは、24 時間の期間内にデバイス アクションを受信できませんでした。 デバイスがオフラインまたはオフになっている場合は、エラーが発生する可能性があります。