为桌面分析启用数据共享

  • 项目

若要将设备注册到桌面分析,需要将诊断数据发送到 Microsoft。 Configuration Manager提供用于管理和将设置部署到客户端的集成体验。 使用 Configuration Manager 管理诊断数据级别并帮助配置代理服务器。 为了获得最佳体验,请使用 Configuration Manager。

重要

在大多数情况下,仅使用 Configuration Manager 来配置这些设置。 请勿在域组策略对象中应用这些设置。 有关详细信息,请参阅 冲突解决

诊断数据级别

桌面分析的诊断数据级别示意图

桌面分析的基本功能在所需的诊断数据级别工作。 如果未在 Configuration Manager 中配置可选 (有限) 级别,则不会获得桌面分析的以下功能:

Microsoft 建议使用 桌面分析 启用可选 (有限) 诊断数据级别,以最大程度地提高其优势。

  • Configuration Manager 中的可选 (限制) 设置与将增强诊断数据限制为运行 Windows 10 版本 1709 及更高版本的设备上的 Windows Analytics 策略所需的最低要求相同。

  • 运行 Windows 10 版本 1703 及更低版本、Windows 8.1或 Windows 7 的设备没有此策略设置。 在 Configuration Manager 中配置“可选 (受限) ”设置时,这些设备回退到“必需”级别。

  • 运行 Windows 10 版本 1709 的设备具有此策略设置。 但是,在 Configuration Manager 中配置“可选 (受限) ”设置时,这些设备也会回退到“必需”级别。

有关使用可选 (有限) 与 Microsoft 共享的诊断数据的详细信息,请参阅Windows 10增强的诊断数据事件和字段

配置诊断数据级别时,可以设置设备的上限。 默认情况下,在 Windows 10 版本 1803 及更高版本中,用户可以选择设置较低的级别。 可以使用组策略设置配置 遥测选择加入设置用户界面来控制此行为。

重要

Microsoft 承诺提供工具和资源,让你能够控制你的隐私。 因此,虽然 桌面分析 支持Windows 8.1设备,但 Microsoft 不会从位于欧洲经济区 [欧洲经济区]、瑞士和英国) (欧洲国家/地区的Windows 8.1设备收集 Windows 诊断数据。

从 2021 年 7 月开始,桌面分析支持 Windows 诊断数据处理者配置。 有关详细信息,请参阅 支持 Windows 诊断数据处理者配置

有关详细信息,请参阅桌面分析隐私

以下文章也是更好地了解 Windows 诊断数据级别的好资源:

注意

配置为发送 可选 (有限) 诊断数据的客户端将在初始完全扫描时向 Microsoft 云发送大约 2 MB 的数据。 每日增量在每天 250-400 KB 之间变化。

每日增量扫描在设备本地时间) (凌晨 3:00 进行。 某些事件在一天中的第一个可用时间发送。 这些时间不可配置。

有关详细信息,请参阅 在组织中配置 Windows 诊断数据

支持新的Windows 10诊断数据级别

Microsoft 通过对Windows 10收集的诊断数据进行分类来提高透明度:

  • 基本 诊断数据被重新分类为 必需
  • Full 被重新分类为 可选

从 Configuration Manager current Branch 版本 2006 开始,Configuration Manager控制台中桌面分析服务的“诊断数据”选项卡使用这些新标签。 在 Configuration Manager 版本 2002 及更早版本中,这些设置具有不同的名称:

版本 2006 及更高版本 版本 2002 及更早版本
必需 基本
可选 (受限) 增强 (有限公司)
不适用 增强
可选 完整

如果以前在增强级别配置了任何设备,则升级到版本 2006 时,它们将还原为可选 (受限) 。 然后,他们将向 Microsoft 发送更少的数据。 此更改不应影响你在 桌面分析 中看到的内容。

在即将发布的 Windows 10 版本中,为增强型或增强型 (有限) 诊断数据配置的设备将还原为“必需”级别。 此更改可能会影响桌面分析的功能。 使用 Configuration Manager current Branch 版本 2010,将这些设备正确配置为可选 (受限) 。 如果使用其他机制在设备上配置这些策略,则可能需要对即将推出的新行为进行更改。 有关详细信息,请参阅 对 Windows 诊断数据收集的更改

现在可以在 Windows 10 Insider Preview 版本 19577 及更高版本中测试行为更改。 将 Windows 预览体验成员设备注册到桌面分析后,可能需要长达 48 小时才能显示在桌面分析门户或新配置上生效。 使用 Configuration Manager 控制台在监视连接运行状况时查找问题或配置警报。

终结点

若要启用数据共享,请将代理服务器配置为允许以下 Internet 终结点。

重要

为了保护隐私和数据完整性,Windows 在与诊断数据终结点通信时会检查 Microsoft SSL 证书 (证书固定) 。 无法进行 SSL 拦截和检查。 若要使用桌面分析,请从 SSL 检查中排除这些终结点。

从版本 2002 开始,如果Configuration Manager站点无法连接到云服务所需的终结点,则会引发关键状态消息 ID 11488。 当它无法连接到服务时,SMS_SERVICE_CONNECTOR组件状态将更改为“严重”。 在Configuration Manager控制台的“组件状态”节点中查看详细状态。

从版本 2010 开始,服务连接点将验证桌面分析的重要 Internet 终结点。 这些检查可以帮助确保云服务可用。 其还可以快速确定网络连接是否存在问题,有助于故障排除。 有关详细信息,请参阅 验证 Internet 访问

注意

有关 Microsoft IP 地址范围的详细信息,请参阅 Microsoft 公共 IP 空间。 这些地址会定期更新。 没有按服务排序的粒度,可以使用这些范围中的任何 IP 地址。

服务器连接终结点

服务连接点需要与以下终结点通信:

端点 函数
https://aka.ms 用于查找服务
https://graph.windows.net 用于在将层次结构附加到 Configuration Manager Server 角色) 上的桌面分析 (时自动检索 CommercialId 等设置。 有关详细信息,请参阅配置站点系统服务器的代理
https://*.manage.microsoft.com 用于将设备集合成员身份、部署计划和设备就绪状态与仅) Configuration Manager服务器角色上的桌面分析 (同步。 有关详细信息,请参阅配置站点系统服务器的代理
https://dc.services.visualstudio.com 对于来自本地服务连接器的诊断数据,以获取有关云连接服务的运行状况的见解。

用户体验和诊断组件终结点

客户端设备需要与以下终结点通信:

端点 函数
https://v10c.events.data.microsoft.com 连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1809 或更高版本、版本 1803 且安装了 2018-09 累积更新或更高版本的设备使用。
https://v10.events.data.microsoft.com 连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1803 且未安装 2018-09 累积更新的设备使用。
https://v10.vortex-win.data.microsoft.com 连接的用户体验和诊断组件终结点。 由运行 Windows 10 版本 1709 或更低版本的设备使用。
https://vortex-win.data.microsoft.com 连接的用户体验和诊断组件终结点。 由运行 Windows 7 和 Windows 8.1 的设备使用

客户端连接终结点

客户端设备需要与以下终结点通信:

索引 端点 函数
1 https://settings-win.data.microsoft.com 启用兼容性更新以将数据发送到 Microsoft。
2 http://adl.windows.com 允许兼容性更新从 Microsoft 接收最新的兼容性数据。
3 https://watson.telemetry.microsoft.com Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1803 或更低版本中的部署运行状况。
4 https://umwatsonc.events.data.microsoft.com Windows 错误报告 (WER) 。 对于 Windows 10 版本 1809 或更高版本中的设备运行状况报告是必需的。
5 https://ceuswatcab01.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
6 https://ceuswatcab02.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
7 https://eaus2watcab01.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
8 https://eaus2watcab02.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
9 https://weus2watcab01.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
10 https://weus2watcab02.blob.core.windows.net Windows 错误报告 (WER) 。 需要监视 Windows 10 版本 1809 或更高版本中的部署运行状况。
11 https://kmwatsonc.events.data.microsoft.com 联机崩溃分析 (OCA) 。 对于 Windows 10 版本 1809 或更高版本中的设备运行状况报告是必需的。
12 https://oca.telemetry.microsoft.com 联机崩溃分析 (OCA) 。 需要监视 Windows 10 版本 1803 或更低版本中的部署运行状况。
13 https://login.live.com 需要为桌面分析提供更可靠的设备标识。

若要禁用最终用户 Microsoft 帐户访问,请使用策略设置,而不是阻止此终结点。 有关详细信息,请参阅 企业中的 Microsoft 帐户
14 https://v20.events.data.microsoft.com 连接的用户体验和诊断组件终结点。

代理服务器身份验证

如果组织使用代理服务器身份验证进行 Internet 访问,请确保它不会因为身份验证而阻止诊断数据。 如果你的代理不允许设备发送此数据,则它们不会显示在桌面分析中。

将代理服务器配置为不需要对发到诊断数据终结点的流量进行代理身份验证。 此选项是最全面的解决方案。 它适用于所有版本的Windows 10。

用户代理身份验证

将设备配置为使用登录用户的上下文进行代理身份验证。 此方法需要以下配置:

  • 设备具有受支持的 Windows 版本的最新质量更新

  • 在 Windows 设置的“网络和 Internet”组中的 “代理设置” 中配置用户级代理 (WinINET 代理)。 还可以使用旧版”Internet 选项”控制面板。

  • 确保用户具有访问诊断数据终结点的代理权限。 此选项要求设备具有拥有代理权限的控制台用户,因此无法将此方法用于无外设设备。

重要

用户代理身份验证方法与使用 Microsoft Defender for Endpoint 不兼容。 出现此行为是因为,此身份验证依赖于设置为 0 的“DisableEnterpriseAuthProxy”注册表项,而 Microsoft Defender for Endpoint 要求将其设置为 1。 有关详细信息,请参阅在 Microsoft Defender for Endpoint 中配置计算机代理和 Internet 连接设置

设备代理身份验证

此方法支持以下方案:

  • 无外设的设备,其中无用户进行登录或该设备的用户无法访问 Internet

  • 未使用 Windows 集成身份验证的经过身份验证的代理

  • 如果还使用 Microsoft Defender for Endpoint

此方法是最复杂的方法,因为它需要以下配置:

  • 确保设备可以通过 WinHTTP 在本地系统上下文中访问代理服务器。 使用下列选项之一来配置此行为:

    • 命令行 netsh winhttp set proxy

    • Web 代理自动发现 (WPAD) 协议

    • 透明代理

    • 使用以下组策略设置配置设备范围的 WinINET 代理: 使代理设置按每台计算机 (而不是每个用户) 进行 (ProxySettingsPerUser = 1)

    • 路由的连接,或使用网络地址转换 (NAT) 的连接

  • 配置代理服务器以允许 Active Directory 中的计算机帐户访问诊断数据终结点。 此配置要求代理服务器支持 Windows 集成身份验证。

后续步骤

桌面分析数据隐私