Windows Analytics でのデバイスの登録

• 2019/10/30
• • 
  • 

使用する3つの Windows Analytics ソリューション ([コンプライアンスの更新]、[アップグレード準備]、および [デバイス正常性]) のいずれかのトピックを参照して、手順に従って Azure ポータルにソリューションを追加します。

• デバイスの正常性の概要
• 準拠している更新の概要
• Upgrade Readiness の利用を開始する

この作業を既に行っている場合は、次の手順に従って、Windows Analytics でデバイスを登録する準備ができています。

商用 ID キーをコピーする

Microsoft は固有の商用 ID を使用して、ユーザーのコンピューターから Azure workspace に情報をマップします。 これは自動的に生成されます。 Windows Portal に追加したいずれかの Windows Analytics ソリューションから商用 ID キーをコピーして、それをユーザーコンピューターに展開します。

商用 ID を見つけるには、まずワークスペースの [ソリューション] タブに移動し、解決策を選びます。 この例では、互換性評価を選択してアップグレードの準備を調整しています。

[

次に、[設定] ページを選びます。ここでは、商業 ID を検索してコピーすることができます。

[

重要
元の ID キーを使用できなくなった場合にのみ、商用 ID キーを再生成します。 商用 ID キーを再生成すると、その ID を使用するすべてのソリューションのワークスペースのデータがリセットされます。 さらに、新しい商用 ID キーをユーザーのコンピューターにもう一度展開する必要があります。

データ共有を有効にする

データ共有を有効にするには、次のエンドポイントをホワイトリストにするようにプロキシサーバーを構成します。 この操作を行うには、セキュリティグループから承認を得る必要がある場合があります。

SSL 検査を使用してエンドポイントアクセスを構成する

プライバシーとデータの整合性を確保するために、診断データのエンドポイントと通信するときに、Microsoft SSL 証明書を確認します。 これにより、SSL の傍受と検査が不可能になります。 Windows Analytics services を使用するには、SSL 検査から上のエンドポイントを除外する必要があります。

プロキシサーバー認証を使用してエンドポイントアクセスを構成する

組織で送信トラフィックにプロキシサーバー認証を使用している場合は、次のうち1つ以上の方法を使用して、診断データがプロキシ認証によってブロックされないようにします。

• 最適なオプション: バイパス診断データエンドポイントへのトラフィックに対してプロキシ認証を必要としないようにプロキシサーバーを構成します。 これは最も包括的なソリューションであり、Windows 10 のすべてのバージョンで動作します。
• ユーザープロキシ認証: または、ログオンしているユーザーのコンテキストをプロキシ認証に使うようにデバイスを構成することもできます。 まず、デバイスを Windows 10 バージョン1703以降に更新します。 次に、デバイスのユーザーに診断データのエンドポイントに到達するためのプロキシ権限があることを確認します。 これを行うには、デバイスにプロキシ権限を持つ本体のユーザーがいる必要があります。そのため、この方法はヘッドレスデバイスでは使用できません。
• デバイスプロキシ認証: もう1つのオプションは、次のようになります。最初に、デバイスにシステムレベルのプロキシサーバーを構成します。 次に、これらのデバイスを構成して、コンピューターアカウントベースの送信プロキシ認証を使用します。 最後に、プロキシサーバーを構成して、マシンアカウントが診断データのエンドポイントにアクセスできるようにします。

互換性のある更新と関連する更新プログラムを展開する

互換性更新プログラムによってデバイスがスキャンされ、アプリケーションの使用状況の追跡が有効になります。 これらの更新プログラムがまだインストールされていない場合は、Microsoft Update カタログから該当するバージョンをダウンロードするか、Windows Server Update Services (WSUS) を使用するか、または System Center Configuration などのソフトウェア配布ソリューションを使用して展開することができます。管理者.

接続されているユーザーエクスペリエンスとテレメトリサービス

Windows 診断データを有効にすると、接続されているユーザーエクスペリエンスとテレメトリサービス (DiagTrack) は、システムデータ、アプリケーションデータ、およびドライバーデータを収集します。 Microsoft は、このデータを分析し、Windows Analytics を使用して元のデータを共有します。 最適なエクスペリエンスを実現するには、オペレーティングシステムのバージョンに応じて、これらの更新プログラムをインストールします。

• Windows 10 の場合は、最新の Windows 10 累積的な更新プログラムをインストールします。
• Windows 8.1 の場合は、 KB4462926年 10 2018 月の月次ロールアップをインストールしてください。
• Windows 7 の場合は、2018年10月の月間ロールアップ、 KB4462923をインストールしてください。

アップグレードの準備中に IE サイトの検出を有効にすることを計画している場合は、いくつかの追加の更新プログラムをインストールする必要があります。

診断データレベルを設定する

監視対象デバイスで使用される診断データのレベルを設定するには、アップグレード準備完了展開スクリプトまたはポリシー (グループポリシーまたはモバイルデバイス管理を使用する) を使用します。

アップグレード準備の基本的な機能は、基本的な診断データレベルで動作します。拡張レベルを有効にせずに、更新されたデバイスの使用状況や正常性のデータを取得することはできません。 これは、更新されたデバイスの正常性の回帰に関する情報を取得できないことを意味します。 強化された診断データのレベルは、少なくとも Windows 10、バージョン 1709 (またはそれ以降) を実行しているデバイスで有効にすることをお勧めします ( windows 10 拡張診断データイベントを参照してください)。Windows Analytics によって使用されるフィールド)。 詳細については、「 Windows Analytics とプライバシー」を参照してください。

いくつかのパイロットデバイスを登録する

アップグレード準備展開スクリプトを使用して、展開の自動化と検証を行うことができます。 適切に構成されていて、デバイスが診断データのエンドポイントに接続できることを確認するために、このスクリプトをいくつかの代表的なデバイスで手動で実行することをお勧めします。 パイロット版のスクリプトが実行されていることを確認します。これには、追加の診断機能が用意されています。

スクリプトの入手方法と実行方法、および表示可能なエラーコードの説明については、アップグレード準備展開スクリプトのトピックを参照してください。 スクリプトの ClientProxy の設定方法の概要については、「Windows Analytics のブログの接続シナリオと展開スクリプトについて」を参照してください。これにより、診断データエンドポイント接続が正しくチェックされます。

デバイスから Microsoft にデータを送信した後は、通常、Windows Analytics にデータを入力するのに48-56 時間がかかります。 互換性更新プログラムの実行には、数分かかる場合があります。 更新プログラムを実行することができない場合、またはコンピューターにアクセスできない場合 (電源が切られているかスリープ状態になっている場合など)、Windows Analytics でデータの入力が完了するまでに時間がかかります。 このため、ユーザーのコンピューターに更新プログラムと構成を展開した後、1-2 日以内に Windows Analytics でデバイスのほとんどを設定することを想定しています。 「Windows Analytics ブログの投稿」で説明したように、展開スクリプトが実行されてから数時間以内にコンピューターの状態を確認できるようになりました。数時間以内にデバイスがサービスに正常に接続されたことを確認できます。 これらのデバイスのほとんどは、数日以内に Windows Analytics コンソールに表示されるはずです。

追加のオプション設定を展開する

Windows Analytics の一部の機能には、追加の設定があります。

• 更新プログラムのコンプライアンスは、Windows 10 デスクトップデバイス (ワークステーションとノート pc) とのみ互換性があります。 Windows Defender ウイルス対策評価を使用するには、デバイスが Windows Defender AV で保護されている必要があります (パートナーのウイルス対策アプリケーションではありません)。「Microsoft cloud で配信された保護を利用する」の説明に従って、クラウド配信の保護を有効にする必要があります。 Windows Defender ウイルス対策。 構成が正しいことを確認するには、「コンプライアンスの更新」の「Windows Defender ウイルス対策レポートのトラブルシューティング」を参照してください。

• Windows 10 バージョン1607以前を実行しているデバイスの場合は、windows 診断データも拡張に設定する必要があります (「組織の windows 診断データを構成する」を参照してください)。 Windows Defender AV の有効化、構成、検証の詳細については、「windows 10 および Windows Server 2016 の Windows Defender ウイルス対策」を参照してください。

• デバイス正常性は、Windows 10 デスクトップデバイス (ワークステーションとノート pc) とのみ互換性があります。 ソリューションでは、ソリューションに表示するすべてのデバイスで、少なくとも拡張レベルの診断データが有効になっている必要があります。 Windows 10 バージョン1709では、[強化されたテレメトリを Windows Analytics で最低限必要とするものに制限する] に新しいポリシーが追加されました。 Windows 診断データの詳細については、「組織の windows 診断データを構成する」を参照してください。

• IE site discoveryは、windows 7、windows 8.1、windows 10 の Internet Explorer を使用してクライアントデバイスからアクセスされる web サイトのインベントリを提供する、アップグレード準備のオプションの機能です。 IE サイトの検出を有効にするには、必要な更新プログラム (前のセクション単位) がインストールされていることを確認し、展開スクリプトのバッチファイルで IE サイトの検出を有効にします。

Windows Analytics のスケールでの展開

パイロット展開が完了したら、データ収集を自動化して、組織内の残りのデバイスに展開スクリプトを配布する準備が整いました。

データの収集を自動化する

ユーザーコンピューターが Microsoft から最新のデータを確実に受信できるようにするには、次のデータ共有と分析プロセスを確立することをお勧めします。

• 互換性更新プログラムと関連する更新プログラムの自動更新を有効にします。 これらの更新プログラムには、テスト中に検出された最新のアプリケーションとドライバーの問題の情報が含まれています。
• アップグレード準備展開スクリプトをスケジュールして、毎月自動的に実行されるようにします。 スクリプトをスケジュールすると、デバイスが接続されていない場合、または通常、システムでインベントリを送信するときにバッテリが少なくなった場合でも、完全なインベントリが毎月送信されます。 軽量で非対話型のスクリプトの運用バージョンを必ず実行してください。 このスクリプトには、さまざまなエラーチェック機能も用意されているため、結果を監視できます。 展開スクリプトをスケールで実行できない場合は、グループポリシーまたはモバイルデバイス管理 (MDM) を使用して、それらを一元的に構成する方法もあります。 展開スクリプトを使用することをお勧めしますが、両方のオプションについては次のセクションで説明します。

展開スクリプトを実行すると、完全なスキャンが開始されます。 変更をキャプチャするための毎日のスケジュールされたタスクは、更新パッケージがインストールされたときに作成されます。 Windows 10 デバイスの場合、このタスクは既にオペレーティングシステムに含まれています。 完全なスキャンの平均は 2 MB になりますが、変更のスキャンは非常に小さくなります。 スケジュールされたタスクは "Windows 互換 Appraiser" という名前で、タスクスケジューラライブラリの [Microsoft > Windows > アプリケーションエクスペリエンス] の下にあります。 変更は、夜間スケジュールされたタスクによって呼び出されます。 毎日 3: 00AM を実行しようとします。 この時点でシステムの電源がオフになっている場合は、システムがオンになったときにタスクが実行されます。

展開スクリプトをスケールで配布する

System Center Configuration Manager などのソフトウェア配布システムを使用して、スケールでアップグレード準備展開スクリプトを配布します。 詳細については、「準備展開スクリプトをアップグレードする」を参照してください。 Windows Intune を使用して PowerShell スクリプトを展開する方法について詳しくは、「 windows 10 デバイス用 intune で powershell スクリプトを管理する」をご覧ください。

規模に合わせてポリシーを配布する

Windows Analytics デバイスの構成を制御するために、一元管理できるポリシーがいくつかあります。 これらのポリシーにはすべて、配置スクリプトを使用して設定できる設定レジストリキーがあります。 両方が設定されている場合、ポリシー設定は設定を上書きします。

これらのポリシーは、[ Microsoft\Windows\DataCollection] の下の値によって定義されます。 All は、REG_DWORD のポリシーです (REG_SZ は CommercialId を除く)。

グループポリシーを使って、これらの値を設定することができます (コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > データの収集とプレビュービルド)、またはモバイルデバイス管理 (Provider/PROVIDER ID/CommercialID) を使用します。 (Microsoft Intune を使用している場合MS DM Serverは、プロバイダー ID として使用します)。MDM を使用した展開の詳細については、MDM ドキュメントの「 Dmclient CSP 」のトピックを参照してください。

対応する設定レジストリ値は、 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\DataCollectionで利用でき、配置スクリプトで構成できます。 指定した設定が、設定のレジストリ設定とポリシーの両方によって構成されている場合、ポリシー値は上書きされます。 ただし、 Iedataoptin設定は異なります。これを設定するには、設定レジストリキーを使用する必要があります。

• Ieop・ Level = 0 Internet Explorer データ収集が無効になっています
• Ieop/Level = 1 のデータ収集が、ローカルイントラネットと信頼済みサイトとコンピューターのローカルゾーンのサイトで有効になっている
• Ieop/Level = 2 のデータ収集は、インターネットと制限付きサイトゾーンのサイトで有効になっています
• すべてのサイトで Ieop/Level = 3 のデータ収集が有効になっている

Internet Explorer のセキュリティゾーンの詳細については、「 URL セキュリティゾーンについて」を参照してください。

展開スクリプトを使用しないでスケールで配布する

デバイスを構成するには、展開スクリプトを使用することをお勧めします。 ただし、これがオフの場合でも、前のセクションで説明したポリシーに従って設定を管理できます。 ただし、展開スクリプトを実行していない場合は、エラーチェックによる恩恵を受けることはできません。また、デバイスで最初の完全なインベントリスキャンが送信されるまでに時間がかかることがあります。

次のコマンドを呼び出すことにより、デバイスで完全なインベントリスキャンを開始できることに注意してください。

• M:generaltel.dll-f:DoCensusRun (Comp)
• M:appraiser.dll-f:DoScheduledTelemetryRun ent (Comp)

これらの実行方法と結果の確認方法の詳細については、展開スクリプトを参照してください。