CMPivot para dados em tempo real no Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Configuration Manager sempre forneceu um grande armazenamento centralizado de dados de dispositivo, que os clientes usam para fins de relatório. O site normalmente coleta esses dados semanalmente. A partir da versão 1806, o CMPivot é um novo utilitário no console que agora fornece acesso ao estado em tempo real dos dispositivos em seu ambiente. Ele executa imediatamente uma consulta em todos os dispositivos conectados atualmente na coleção de destino e retorna os resultados. Em seguida, filtre e agrupe esses dados na ferramenta. Ao fornecer dados em tempo real de clientes online, você pode responder mais rapidamente a perguntas comerciais, solucionar problemas e responder a incidentes de segurança.

Por exemplo, ao mitigar vulnerabilidades especulativas do canal lateral de execução, um dos requisitos é atualizar o BIOS do sistema. Você pode usar o CMPivot para consultar rapidamente as informações do BIOS do sistema e localizar clientes que não estão em conformidade.

Importante

• Alguns softwares de segurança podem bloquear scripts em execução de c:\windows\ccm\scriptstore. Isso pode impedir a execução bem-sucedida de consultas CMPivot. Alguns softwares de segurança também podem gerar eventos de auditoria ou alertas ao executar o CMPivot PowerShell.
• Determinado software anti-malware pode inadvertidamente disparar eventos em relação aos recursos Configuration Manager Executar Scripts ou CMPivot. É recomendável excluir %windir%\CCM\ScriptStore para que o software anti-malware permita que esses recursos sejam executados sem interferência.

Pré-requisitos

Os seguintes componentes são necessários para usar o CMPivot:

• Atualize os dispositivos de destino para a versão mais recente do Gerenciador de Configurações cliente.

• Os clientes de destino exigem no mínimo a versão 4 do PowerShell.

• Para coletar dados para as seguintes entidades, os clientes de destino exigem o PowerShell versão 5.0:

  • Administradores
  • Connection
  • IPConfig
  • SMBConfig

• O CMPivot e o instalador do Microsoft Edge estão atualmente assinados com o certificado PCA 2011 de Assinatura de Código Microsoft. Se você definir a política de execução do PowerShell como AllSigned, precisará garantir que os dispositivos confiem nesse certificado de assinatura. Você pode exportar o certificado de um computador em que instalou o console Configuration Manager. Exiba o certificado em "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe"e exporte o certificado de assinatura de código do caminho de certificação. Em seguida, importe-o para o repositório Editores Confiáveis do computador em dispositivos gerenciados. Você pode usar o processo no blog a seguir, mas certifique-se de exportar o certificado de assinatura de código do caminho de certificação: adicionando um certificado a editores confiáveis usando Intune.

Permissões

As seguintes permissões são necessárias para o CMPivot:

• Executar a permissão CMPivot na Coleção
• Permissão de leitura em Relatórios de Inventário
• Permissão de leitura no objeto Scripts SMS
  • A leitura para scripts sms não é necessária a partir da versão 2107
  • O CMPivot não precisa de Leitura para Scripts SMS para seu cenário principal a partir da versão 2107. No entanto, se o serviço de administração estiver desligado e a permissão tiver sido removida, quando o serviço de administração voltar, o CMPivot falhará. O Provedor de SMS ainda requer permissão de leitura em Scripts SMS se o serviço de administração voltar a ele devido a um erro de 503 (Serviço Indisponível), conforme visto no CMPivot.log.
• O escopo padrão.
  • O escopo padrão não é necessário a partir da versão 2107

Permissões CMPivot por Configuration Manager versão

1902 e anterior	Versões 1906 a 2103	2107 ou posterior
Executar permissão de script na Coleção	Executar a permissão CMPivot na Coleção	Executar a permissão CMPivot na Coleção
Permissão de leitura em Relatórios de Inventário	Permissão de leitura em Relatórios de Inventário	Permissão de leitura em Relatórios de Inventário
Permissão de leitura em Scripts SMS	Permissão de leitura em Scripts SMS	N/A O provedor de SMS ainda requer permissão de leitura em Scripts SMS se o serviço de administração voltar a ele devido a um erro de 503 (Serviço Indisponível), conforme visto no CMPivot.log.
Permissão de escopo padrão	Permissão de escopo padrão	N/D

Limitações

• O CMPivot só retorna dados para clientes conectados ao site atual, a menos que sejam executados no CAS (site de administração central).
  • Se uma coleção contiver dispositivos de outro site, os resultados do CMPivot serão somente de dispositivos no site atual, a menos que o CMPivot seja executado a partir do CAS.
  • Em alguns ambientes, permissões adicionais são necessárias para que o CMPivot seja executado no CAS. Para obter mais informações, confira Alterações de CMPivot para a versão 1902.
• Você não pode personalizar propriedades de entidade, colunas para resultados ou ações em dispositivos.
• Somente uma instância do CMPivot pode ser executada ao mesmo tempo em um computador que está executando o console Configuration Manager.
• No CMPivot autônomo, você não pode acessar consultas CMPivot armazenadas no hub comunitário.
• Quando o logon único com autenticação multifator é usado, talvez você não possa entrar no hub comunitário do CMPivot ao usar Configuration Manager 2103 e anterior.

Iniciar CMPivot

1. No console Configuration Manager, conecte-se ao site primário ou ao CAS. Acesse o workspace Ativos e Conformidade e selecione o nó Coleções de Dispositivos . Selecione uma coleção de destino e selecione Iniciar CMPivot na faixa de opções para iniciar a ferramenta. Se você não vir essa opção, verifique as seguintes configurações:

   • Confirme com um administrador do site que sua conta tem as permissões necessárias. Para obter mais informações, confira Pré-requisitos.

2. A interface fornece mais informações sobre como usar a ferramenta.

   • Insira manualmente cadeias de caracteres de consulta na parte superior ou selecione os links na documentação na linha.

   • Selecione uma das Entidades para adicioná-la à cadeia de caracteres de consulta.

   • Os links para Operadores de Tabela, Funções de Agregação e Funções Escalares abrem a documentação de referência de idioma no navegador da Web. O CMPivot usa o Linguagem de Consulta Kusto (KQL).

3. Mantenha a janela CMPivot aberta para exibir os resultados dos clientes. Quando você fecha a janela CMPivot, a sessão é concluída.

   • Se a consulta tiver sido enviada, os clientes ainda enviarão uma resposta de mensagem de estado ao servidor.

Como usar o CMPivot

A janela CMPivot contém os seguintes elementos:

1. A coleção que o CMPivot visa atualmente está na barra de título na parte superior e na barra de status na parte inferior da janela. Por exemplo, "PM_Team_Machines" na captura de tela acima.

2. O painel à esquerda lista as Entidades disponíveis em clientes. Algumas entidades dependem do WMI, enquanto outras usam o PowerShell para obter dados de clientes.

   • Clique com o botão direito do mouse em uma entidade para as seguintes ações:

     • Insira: Adicione a entidade à consulta na posição atual do cursor. A consulta não é executada automaticamente. Essa ação é o padrão quando você clica duas vezes em uma entidade. Use essa ação ao criar uma consulta.

     • Consultar tudo: execute uma consulta para essa entidade, incluindo todas as propriedades. Use essa ação para consultar rapidamente uma única entidade.

     • Consulta por dispositivo: execute uma consulta para essa entidade e agrupe os resultados. Por exemplo, Disk | summarize dcount( Device ) by Name

   • Expanda uma entidade para ver propriedades específicas disponíveis para cada entidade. Clique duas vezes em uma propriedade para adicioná-la à consulta na posição atual do cursor.

3. A guia Home mostra informações gerais sobre o CMPivot, incluindo links para consultas de exemplo e documentação de suporte.

4. A guia Consulta exibe o painel de consulta, o painel de resultados e a barra de status. A guia consulta é selecionada no exemplo de captura de tela acima.

5. O painel de consulta é onde você cria ou digita uma consulta para executar em clientes na coleção.

   • O CMPivot usa um subconjunto da KQL (Linguagem de Consulta Kusto).

   • Cortar, copiar ou colar conteúdo no painel de consulta.

   • Por padrão, esse painel usa o IntelliSense. Por exemplo, se você começar a digitar D, o IntelliSense sugerirá todas as entidades que começam com essa letra. Selecione uma opção e pressione Tab para inseri-la. Digite um caractere de pipe e um espaço | e, em seguida, o IntelliSense sugere todos os operadores de tabela. Insira e digite summarize um espaço e o IntelliSense sugere todas as funções de agregação. Para obter mais informações sobre esses operadores e funções, selecione a guia Página Inicial no CMPivot.

   • O painel de consulta também fornece as seguintes opções:

     • Execute a consulta.

       • Para executar novamente sua consulta CMPivot atual nos clientes, segure Ctrl ao clicar em Executar.

     • Mova-se para trás e para frente na lista de consultas de histórico.

     • Crie uma coleção de associação direta.

     • Exporte os resultados da consulta para CSV ou a área de transferência.

6. O painel de resultados exibe os dados retornados por clientes ativos para a consulta.

   • As colunas disponíveis variam de acordo com a entidade e a consulta.

   • A saturação de cores dos dados na tabela ou gráfico de resultados indica se os dados estão em tempo real ou na última verificação de inventário de hardware armazenada no banco de dados do site. Por exemplo, preto é dados em tempo real de um cliente online, enquanto cinza é dados armazenados em cache.

   • Selecione um nome de coluna para classificar os resultados por essa propriedade.

   • Clique com o botão direito do mouse em qualquer nome de coluna para agrupar os resultados pelas mesmas informações nessa coluna ou classifique os resultados.

   • Clique com o botão direito do mouse em um nome de dispositivo para executar as seguintes ações adicionais no dispositivo:

     • Pivot to: Consulta para outra entidade neste dispositivo.

       • A partir da versão 2006, Pivot to foi substituído por Device Pivot. Para obter mais informações, confira Alterações de CMPivot para a versão 2006.

     • Executar Script: inicie o assistente Executar Script para executar um script do PowerShell existente neste dispositivo. Para obter mais informações, consulte Executar um script.

     • Controle Remoto: inicie uma sessão de controle remoto Configuration Manager neste dispositivo. Para obter mais informações, consulte Como administrar remotamente um computador cliente windows.

     • Gerenciador de Recursos: inicie Configuration Manager Resource Explorer para este dispositivo. Para obter mais informações, confira Exibir inventário de hardware ou Exibir inventário de software.

   • Clique com o botão direito do mouse em qualquer célula que não seja do dispositivo para executar as seguintes ações adicionais:

     • Copiar: copie o texto da célula para a área de transferência.

     • Mostrar dispositivos com: Consultar dispositivos com esse valor para essa propriedade. Por exemplo, nos resultados da OS consulta, selecione essa opção em uma célula na linha Versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ > 0)

     • Mostrar dispositivos sem: Consulta para dispositivos sem esse valor para essa propriedade. Por exemplo, nos resultados da OS consulta, selecione essa opção em uma célula na linha Versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ == 0) | project Device

     • Bing it: inicie o navegador da Web padrão para https://www.bing.com com esse valor como a cadeia de caracteres de consulta.

   • Selecione qualquer texto hiperlinked para pivotar a exibição sobre essas informações específicas.

   • O painel de resultados não mostra mais de 20.000 linhas. Ajuste a consulta para filtrar ainda mais os dados ou reinicie o CMPivot em uma coleção menor.

7. A barra de status mostra as seguintes informações (da esquerda para a direita):

   • O status da consulta atual para a coleção de destino. Este status inclui:

     • O número de clientes ativos que concluíram a consulta (3)

     • O número de clientes totais (5)

     • O número de clientes offline (2)

     • Todos os clientes que retornaram falha (0)

       Por exemplo: Query completed on 3 of 5 clients (2 clients offline and 0 failure)

   • A ID da operação do cliente. Por exemplo: id(16780221)

   • A coleção atual. Por exemplo: PM_Team_Machines

   • O número total de linhas no painel de resultados. Por exemplo, 1 objects

Dica

A partir da versão 2107, use o botão Query devices again ou Ctrl + F5 para forçar o cliente a recuperar os dados novamente para a consulta. Usar dispositivos de consulta novamente é útil quando você espera que os dados sejam alterados no dispositivo desde a última consulta, como durante a solução de problemas. Selecionar a consulta Executar novamente depois que os resultados iniciais forem retornados apenas analisa os dados que o CMPivot já recuperou do cliente.

Publicar consulta no hub comunitário do CMPivot

(Aplica-se à versão 2107 ou posterior)

A partir da versão 2107, você pode publicar uma consulta CMPivot no hub community diretamente da janela CMPivot. Enviar suas consultas diretamente por meio do CMPivot facilita a contribuição para o hub da Comunidade.

Você precisará dos seguintes requisitos para o CMPivot e para contribuir para o hub da Comunidade:

• Atender a todos os pré-requisitos e permissões do CMPivot
• Habilitar o hub da comunidade.
  • Se necessário, instale a extensão Microsoft Edge WebView2 da notificação do console Configuration Manager.
• Uma conta do GitHub que está ingressada no hub da Comunidade
  • Você deve aceitar o convite enviado no email caso contrário, não poderá contribuir com o conteúdo.

1. Acesse o workspace Ativos e Conformidade e selecione o nó Coleções de Dispositivos .

2. Selecione uma coleção de destino, dispositivo de destino ou grupo de dispositivos e selecione Iniciar CMPivot na faixa de opções para iniciar a ferramenta.

3. Na janela CMPivot, selecione o ícone do hub da comunidade no menu.

   

4. Selecione Entrar e entre no GitHub.

5. Crie uma consulta CMPivot e selecione Executar Consulta para verificar se ela funciona conforme o esperado.

   • Opcionalmente, selecione o ícone de pasta para acessar sua lista de favoritos para usar uma consulta que você já criou.

6. Selecione o link Publicar na parte superior da janela do hub comunitário do CMPivot quando estiver pronto para enviar sua consulta.

   

7. Dê à consulta um nome e uma descrição e selecione o botão Publicar para enviar sua consulta para o hub da Comunidade.

8. Depois que a contribuição for concluída, você poderá acessar sua consulta a qualquer momento na guia Me .

9. Para exibir a solicitação de pull do GitHub (PR), acesse https://github.com/Microsoft/configmgr-hub/pulls. Você também pode acessar o link de RP na página Seu hub no nó hub da comunidade .

   • Os PRs não devem ser enviados diretamente para o repositório GitHub.

Observação

• Atualmente, quando você publica uma consulta por meio do CMPivot, não é possível editá-la ou excluí-la após a publicação.
• O hub comunitário só está disponível no CMPivot quando você o executa no console Configuration Manager. O hub comunitário não está disponível no CMPivot autônomo.

Cenários de exemplo para CMPivot

As seções a seguir fornecem exemplos de como você pode usar o CMPivot em seu ambiente:

Exemplo 1: parar um serviço em execução

O administrador de segurança pede que você pare e desabilite o serviço do Navegador de Computador o mais rápido possível em todos os dispositivos do departamento de contabilidade. Inicie o CMPivot em uma coleção para todos os dispositivos na contabilidade e selecione Consultar tudo na entidade de serviço .

Service

À medida que os resultados aparecem, você clica com o botão direito do mouse na coluna Nome e seleciona Grupo por.

Service | summarize dcount( Device ) by Name

Na linha do serviço Browser , você seleciona o número hiperlinked na coluna dcount_ .

Service | where (Name == 'Browser') | summarize count() by Device

Selecione vários dispositivos, clique com o botão direito do mouse na seleção e escolha Executar Script. Essa ação inicia o assistente Executar Script, do qual você executa um script existente para parar e desabilitar um serviço. Com o CMPivot, você responde rapidamente ao incidente de segurança de todos os computadores ativos, exibindo os resultados no assistente Executar Script. Em seguida, você segue para criar uma linha de base de configuração para corrigir outros computadores na coleção à medida que eles se tornam ativos no futuro.

Exemplo 2: resolver proativamente falhas de aplicativo

Para ser proativo com a manutenção operacional, uma vez por semana você executa o CMPivot em uma coleção de servidores que gerencia e selecione Consultar tudo na entidade AppCrash . Clique com o botão direito do mouse na coluna FileName e selecione Classificar Crescente. Um dispositivo retorna sete resultados para sqlsqm.exe com um carimbo de data/hora cerca de 03:00 todos os dias. Selecione o nome do arquivo em uma das linhas, clique com o botão direito do mouse nele e selecione Bing It. Ao navegar pelos resultados da pesquisa no navegador da Web, você encontra um artigo de suporte Microsoft para esse problema com mais informações e resolução.

Exemplo 3: versão do BIOS

Para mitigar vulnerabilidades especulativas do canal lateral de execução, um dos requisitos é atualizar o BIOS do sistema. Você começa com uma consulta para a entidade BIOS . Em seguida, Agrupar pela propriedade Versão . Em seguida, clique com o botão direito do mouse em um valor específico, como "LENOVO – 1140", e selecione Mostrar dispositivos com.

Bios | summarize countif( (Version == 'LENOVO - 1140') ) by Device | where (countif_ > 0)

Exemplo 4: Espaço livre em disco

Você precisa armazenar temporariamente um arquivo grande em um servidor de arquivo de rede, mas não tem certeza de qual deles tem capacidade suficiente. Inicie o CMPivot em relação a uma coleção de servidores de arquivo e consulte a entidade Disk . Modifique a consulta para CMPivot para retornar rapidamente uma lista de servidores ativos com dados de armazenamento em tempo real:

Disk | where (Description == 'Local Fixed Disk') | where isnotnull( FreeSpace ) | order by FreeSpace asc

CMPivot autônomo

Você pode usar o CMPivot como um aplicativo autônomo. O CMPivot autônomo só está disponível em inglês. Execute o CMPivot fora do console Configuration Manager para exibir o estado em tempo real dos dispositivos em seu ambiente. Essa alteração permite que você use o CMPivot em um dispositivo sem antes instalar o console.

Você pode compartilhar o poder do CMPivot com outras personas, como auxiliares ou administradores de segurança, que não têm o console instalado em seu computador. Essas outras personas podem usar o CMPivot para consultar Configuration Manager ao lado das outras ferramentas que tradicionalmente usam. Ao compartilhar esses dados de gerenciamento avançados, você pode trabalhar em conjunto para resolver proativamente problemas de negócios que cruzam funções.

Instalar o CMPivot autônomo

1. Configure as permissões necessárias para executar o CMPivot. Para obter mais informações, confira pré-requisitos. Você também pode usar a função administrador de segurança se as permissões forem apropriadas para o usuário.

2. Encontre o instalador do aplicativo CMPivot no seguinte caminho: <site install path>\tools\CMPivot\CMPivot.msi. Você pode executá-lo desse caminho ou copiá-lo para outro local.

3. Ao executar o aplicativo autônomo CMPivot, você será solicitado a se conectar a um site. Especifique o nome de domínio ou o nome do computador totalmente qualificado da Administração Central ou do servidor de site primário.

   • Sempre que você abrir o CMPivot autônomo, será solicitado que você se conecte a um servidor de site.

4. Navegue até a coleção na qual você deseja executar o CMPivot e execute sua consulta.

   

Observação

• Ações com o botão direito do mouse, como Executar Scripts, Gerenciador de Recursos e pesquisa na Web não estão disponíveis no CMPivot autônomo. O principal uso autônomo do CMPivot é consultar independentemente da infraestrutura Configuration Manager. Para ajudar os administradores de segurança, o CMPivot autônomo inclui a capacidade de se conectar a Central de Segurança do Microsoft Defender.
• Você pode fazer a avaliação de consulta de dispositivo local usando CMPivot autônomo.

Dentro do CMPivot

O CMPivot envia consultas aos clientes usando o Configuration Manager "canal rápido". Esse canal de comunicação de servidor para cliente também é usado por outros recursos, como ações de notificação do cliente, status do cliente e Proteção de Ponto de Extremidade. Os clientes retornam resultados por meio do sistema de mensagens de estado igualmente rápido. As mensagens de estado são armazenadas temporariamente no banco de dados. Para obter mais informações sobre as portas usadas para notificação do cliente, consulte o artigo Portas .

As consultas e os resultados são apenas texto. As entidades InstallSoftware e Process retornam alguns dos maiores conjuntos de resultados. Durante o teste de desempenho, o maior tamanho de arquivo de mensagem de estado de um cliente para essas consultas foi menor que 1 KB. Dimensionada para um ambiente grande com 50.000 clientes ativos, essa consulta única geraria menos de 50 MB de dados em toda a rede. Todos os itens na página de boas-vindas sublinhados retornarão menos de 1 KB de informações por cliente.

A partir de Configuration Manager 1810, o CMPivot pode consultar dados de inventário de hardware, incluindo classes de inventário de hardware estendidas. Essas novas entidades (entidades não sublinhadas na página de boas-vindas) podem retornar conjuntos de dados muito maiores, dependendo de quantos dados são definidos para uma determinada propriedade de inventário de hardware. Por exemplo, a entidade "InstalledExecutable" pode retornar vários MB de dados por cliente, dependendo dos dados específicos que você consulta. Esteja atento ao desempenho e escalabilidade em seus sistemas ao retornar conjuntos de dados de inventário de hardware maiores de coleções maiores usando o CMPivot.

Uma consulta acaba depois de uma hora. Por exemplo, uma coleção tem 500 dispositivos e 450 clientes estão online no momento. Esses dispositivos ativos recebem a consulta e retornam os resultados quase imediatamente. Se você deixar a janela CMPivot aberta, à medida que os outros 50 clientes entrarem online, eles também receberão a consulta e retornarão os resultados.

Arquivos de log

As interações CMPivot são registradas nos seguintes arquivos de log:

Lado do servidor:

• SmsProv.log
• BgbServer.log
• StateSys.log

Lado do cliente:

• CcmNotificationAgent.log
• Scripts.log
• StateMessage.log

Para obter mais informações, confira Arquivos de log e CMPivot de solução de problemas.

Próximas etapas

• Alterações no CMPivot
• Solução de problemas do CMPivot
• Criar e executar scripts do PowerShell