Configuration Manager 中的管理見解

適用於：Configuration Manager (目前的分支)

Configuration Manager 中的 Management 深入解析提供關於目前環境狀態資訊。 此資訊是以月臺資料庫的數據分析為基礎。 深入解析能協助您更深入瞭解所在環境，並依據深入解析採取動作。

檢閱管理見解

若要檢視深入解析，您的帳戶需要 Site 對象的讀取許可權。

1. 在 Configuration Manager 控制台中，移至 [系統管理] 工作區，展開 [管理深入解析]，然後選取 [所有深入解析]。

   注意事項

   當您選取 [ Management Insights] 節點時，它會顯示 [ 管理見解] 儀錶板。

2. 開啟您想要檢閱的管理見解組名。

3. 在功能區中，選取 [顯示深入解析]。

下列四個索引標籤可供檢閱：

• 所有規則：提供所選群組的完整深入解析清單。

• 完成：清單 不需要採取任何動作的深入解析。

• 進行中：顯示部分但並非全部必要條件都已完成的深入解析。

• 需要採取動作：此索引標籤會列出需要您採取動作的深入解析。 選 取 [更多詳細數據 ] 以顯示需要動作的特定專案。

[ 必要條件] 窗格會列出執行所選取深入解析所需的任何必要專案。

例如，下列螢幕快照顯示 雲端服務 群組的 [所有規則] 索引標籤範例：

若要查看詳細數據，請選取深入解析，然後選取 [ 更多詳細數據]。

作業

網站會依每周排程重新評估管理深入解析的適用性。 若要手動重新評估深入解析，請以滑鼠右鍵按兩下深入解析，然後選取 [重新評估]。

管理見解的記錄檔 會SMS_DataEngine.log 在月臺伺服器上。

一些深入解析可讓您採取動作。 選取深入解析，選取 [更多詳細數據]，然後在可用時選 取 [採取動作]。 根據深入解析，此動作具有下列其中一種行為：

• 在控制台中自動瀏覽至節點，您可以在其中採取進一步的動作。 例如，如果管理深入解析建議變更用戶端設定，採取動作會流覽至 [ 用戶端設定] 節點。 然後修改預設或自定義客戶端設定物件，以採取進一步的動作。

• 根據查詢瀏覽至篩選過的檢視。 例如，對空白集合深入解析採取動作只會在集合清單中顯示這些集合。 然後採取進一步的動作，例如刪除集合或修改其成員資格規則。

管理見解儀錶板

選取 [ Management Insights] 節點 以顯示圖形化儀錶板。 此儀錶板會顯示深入解析狀態的概觀，讓您更輕鬆地顯示進度。

使用儀錶板頂端的下列篩選來精簡檢視：

• 顯示已完成
• 選用
• 建議
• 重大

儀錶板包含下列磚：

• 管理見解索引：追蹤管理深入解析的整體進度。 索引是加權平均。 重要深入解析最值得。 此索引提供選擇性深入解析最少的權數。

• 管理見解群組：顯示每個群組中接受篩選的見解百分比。 選取要向下切入至此群組中特定深入解析的群組。

• 管理見解優先順序：依優先順序顯示見解的百分比，並接受篩選條件。

• 前10個適用的深入解析規則：包含優先順序和狀態的深入解析數據表。 使用數據表頂端的 [ 篩選 ] 字段，比對任何可用數據行中的字串。 儀表板會以下列順序排序數據表：

  • 狀態：需要動作、已完成、未知
  • 優先順序：重要、建議、選擇性
  • 上次變更日期：最上層的較舊日期

群組和深入解析

深入解析會組織成下列管理見解群組：

• 應用程式
• 雲端服務
• Collections
• Configuration Manager 評定
• 已淘汰和不支援的功能
• 針對遠端工作者優化
• 主動式維護
• 安全性
• 簡化的管理
• 軟體中心
• 軟體更新
• Windows 10

注意事項

您的網站可能不會顯示下列所有群組和深入解析。 當您已針對建議設定網站時，不會出現一些深入解析。

應用程式

應用程式管理的深入解析。

• 沒有部署或參考的應用程式：清單 環境中沒有作用中部署或參考的應用程式。 參考包括相依性、工作順序和虛擬環境。 此深入解析可協助您尋找和刪除未使用的應用程式，以簡化控制台中顯示的應用程式清單。 如需詳細資訊，請 參閱部署應用程式。

雲端服務

協助您與許多雲端服務整合，以啟用裝置的新式管理。

• 評估共同管理整備程度：協助您瞭解啟用共同管理所需的步驟。 此深入解析具有必要條件。 如需詳細資訊，請 參閱共同管理概觀。

• 未上傳至 Microsoft Entra ID 的裝置：此深入解析會列出網站尚未上傳至 Microsoft Entra ID 的裝置，因為您尚未針對 HTTPS 進行設定。 設定 增強式 HTTP，或至少啟用一個 HTTPS 管理點。 如果您已設定網站進行 HTTPS 通訊，則不會顯示此深入解析。

• 啟用雲端管理閘道：雲端管理閘道 (CMG) 提供簡單的方法來透過因特網管理 Configuration Manager 用戶端。 藉由將 CMG 部署為 Microsoft Azure 中的雲端服務，您可以繼續管理和提供內容給漫遊到因特網的用戶端。 使用 CMG 時，您不需要向因特網公開任何其他內部部署基礎結構。 如需詳細資訊，請參閱 CMG概觀。

• 讓裝置 Microsoft Entra 混合式加入：Microsoft Entra 加入的裝置可讓使用者使用其網域認證登入，並確保裝置符合組織的安全性和合規性標準。 如需詳細資訊，請參閱 Microsoft Entra 混合式身分識別設計考慮。

• 沒有適當 HTTPS 設定的網站：此深入解析會列出階層中未針對 HTTPS 正確設定的網站。 此設定可防止網站將集合成員資格結果同步至 Microsoft Entra 群組。 這可能會導致 Microsoft Entra ID Sync 不會上傳所有裝置。 這些用戶端的管理可能無法正常運作。 設定 增強式 HTTP，或至少啟用一個 HTTPS 管理點。 如果您已設定網站進行 HTTPS 通訊，則不會顯示此深入解析。

• 將用戶端更新為最新的 Windows 10 版本：Windows 10 版本 1709 或更新版本可改善使用者的運算體驗，並將其現代化。 如需詳細資訊，請參閱隨時掌握 Windows 即服務。

集合

透過清除和重新設定集合來協助簡化管理的深入解析。

• 空白集合：清單 環境中沒有成員的集合。 如需詳細資訊，請 參閱如何管理集合。

• 沒有查詢規則且沒有直接成員的集合：若要簡化階層中的集合清單，請刪除這些集合。

• 具有相同重新評估開始時間的集合：這些集合具有與其他集合相同的重新評估時間。 修改重新評估時間，以免衝突。

• 查詢時間超過 5 分鐘的集合：檢閱此集合的查詢規則。 請考慮修改或刪除集合。

• 下列深入解析包括可能會造成站臺上不必要的負載的組態。 檢閱這些集合，然後刪除它們，或停用集合規則評估：

  • 未啟用查詢規則和累加式更新的集合

  • 沒有查詢規則且已針對任何排程啟用的集合

  • 未選取查詢規則和排程完整評估的集合

注意事項

如需管理集合和集合評估的詳細資訊，請參閱下列文章：

• 集合的最佳作法
• 集合評估
• 如何檢視集合評估

Configuration Manager 評定

此群組由 Microsoft Premier Field Engineering 提供。 這些深入解析是 Microsoft Premier 在 Services Hub 中提供之更多檢查的範例。

• Active Directory 安全組探索設定為執行頻率過高：您通常不需要將 Active Directory 安全組探索設定為每三小時發生一次。 頻繁變更設定，很可能會對 Active Directory、網路和組態管理員等效能產生負面影響。 啟用增量同步，而非使用完全同步排程。 如需詳細資訊，請參閱 Active Directory 群組探索。

• Active Directory 系統探索設定為執行頻率過高：您通常不需要將 Active Directory 系統探索設定為每三小時發生一次。 頻繁變更設定，很可能會對 Active Directory、網路和組態管理員等效能產生負面影響。 啟用增量同步，而非使用完全同步排程。 如需詳細資訊，請參閱 Active Directory 系統探索。

• Active Directory 使用者探索設定為執行頻率過高：您通常不需要將 Active Directory 使用者探索設定為每三小時發生一次。 頻繁變更設定，很可能會對 Active Directory、網路和組態管理員等效能產生負面影響。 啟用增量同步，而非使用完全同步排程。 如需詳細資訊，請參閱 Active Directory 使用者探索。

• 限制為 [所有系統] 或 [所有使用者] 的集合：檢閱使用 [所有系統 ] 或 [ 所有使用者 ] 集合做為限制集合的任何集合。 Configuration Manager 會使用來自 Active Directory 發現方法的數據來更新這些預設集合的成員資格。 此數據可能不是 Configuration Manager 用戶端的有效資訊。

• 停用活動訊號探索：活動訊號探索需要您在裝置上安裝 Configuration Manager 用戶端。 這是用戶端唯一啟動的發現方法。 所有其他方法都發生在月台伺服器上。 對維持目前用戶端活動狀態來說，活動訊號探索非常重要。 它可確保月臺不會不小心使月臺資料庫中的資源記錄失效。 如需詳細資訊，請 參閱活動訊號探索。

• 針對累加式更新啟用長時間執行的集合查詢：上次累加式重新整理時間超過 30 秒的集合會使用月臺伺服器和資料庫資源，這可能會影響整體 Configuration Manager 效能。 如需詳細資訊，請 參閱集合的最佳做法。

• 減少發佈點上的應用程式和套件數目：Microsoft 正式支援發佈點上最多 10,000 個套件和應用程式的合併總數。 超過這個總數，就會造成作業上的問題。 如需詳細資訊，請參閱 大小和縮放數位 - 發佈點。

• 次要月臺安裝問題：某些次要月臺的安裝狀態為 [擱置 中] 或 [ 失敗]。 這些狀態表示您已啟動安裝，但尚未順利完成。 在次要月臺安裝完成之前，用戶端可能無法正確地與主要月台通訊。 檢查 [監視 ] 工作區，然後重試安裝。 如需詳細資訊，請 參閱重試安裝失敗的更新。

• 將所有月臺更新為相同的版本：在階層中使用相同版本的 Configuration Manager。 此設定可確保所有月臺都提供相同的功能。 相同階層中不同版本的月臺會引入互操作性案例。 更新版本的 Configuration Manager 包含新功能並解決已知問題。 如需詳細資訊，請參閱 不同版本之間的互操作性。

如需這些深入解析的詳細資訊，請參閱 Configuration Manager 管理見解的補救步驟。

提示

如果您已經是 Microsoft Unified 或 Microsoft Premier 的客戶，請登入 Services Hub 以進行其他隨選評定。

如需 Microsoft 服務的詳細資訊，請參閱 支持解決方案。

已淘汰和不支援的功能

(2203) 版中導入

下列管理見解是關於您可能正在使用的功能，這些功能已被取代或不再受到支援。 這些功能可能會在未來的版本中從產品中移除。

• 與已取代或已移除的功能相關聯的月臺系統角色：此深入解析會檢查已安裝的月臺系統角色是否有即將在未來版本中移除的已淘汰功能。
• 檢查月臺是否使用 Asset Intelligence 同步點角色：此深入解析會檢查 Asset Intelligence 同步處理點角色的安裝。
• Configuration Manager macOS 終止支援的客戶端：此深入解析會列出執行 macOS 的用戶端。 macOS 和 Mac 用戶端管理 Configuration Manager 客戶端支援將於 2022 年 12 月 31 日終止。
• 不再支持憑證註冊點：此深入解析會檢查憑證登錄點月臺系統角色的安裝。 自 2022 年 3 月起，不再支援此功能。 Configuration Manager 2022 年 3 月之前發行的版本仍可安裝及使用憑證登錄點。
• 不再支援公司資源存取原則：此深入解析會檢查公司資源存取原則。 自 2022 年 3 月起，不再支持這些功能。 公司資源存取包括電子郵件、憑證、VPN、Wi-Fi 和 Windows Hello 企業版 配置檔。 Configuration Manager 2022 年 3 月之前發行的版本仍可使用公司資源存取原則。
• 商務用 Microsoft Store 已被取代：此深入解析會檢查 商務用 Microsoft Store 連接器是否存在。 自 2021 年 11 月起，這項功能已被取代。

作業系統部署

下列管理見解可協助您管理工作順序的原則大小。 當工作順序原則的大小超過 32 MB 時，用戶端就無法處理大型原則。 用戶端接著無法執行工作順序部署。

• 大型工作順序可能會導致超過原則大小上限：如果您部署這些工作順序，用戶端可能無法處理大型原則物件。 減少工作順序原則的大小，以防止潛在的原則處理問題。

• 工作順序的總原則大小超過原則限制：客戶端無法處理這些工作順序的原則，因為它太大。 減少工作順序原則的大小，以允許部署在用戶端上執行。

如需詳細資訊，請參閱 減少工作順序原則的大小。

此群組也包含下列深入解析：

• 未使用的開機映射：未參考開機映射以供 PXE 開機或工作順序使用。 如需詳細資訊，請 參閱管理開機映像。

針對遠端工作者優化

從 2006 版開始，下列深入解析可協助您為遠端工作者建立更好的體驗，並降低基礎結構的負載：

• 將 VPN 連線的用戶端設定為偏好雲端式內容來源：若要減少 VPN 上的流量，請啟用界限群組選項，以 偏好使用雲端式來源而非內部部署來源。 此選項可讓用戶端從因特網下載內容，而非跨 VPN 的發佈點。 如需詳細資訊，請參閱 界限群組選項。

• 定義 VPN 界限群組：Create VPN 界限，並將它與界限群組產生關聯。 將 VPN 特定站台系統與群組建立關聯，並設定您環境的設定。 此深入解析會檢查其中至少有一個 VPN 界限的至少一個界限群組。 從此深入解析的屬性中，選取 [ 檢閱動作 ] 以移至 [ 界限群組 ] 節點。 如需詳細資訊，請參閱 VPN 界限類型。

• 停用 VPN 連線用戶端的對等內容共用：若要防止可能對遠端客戶端沒有好處的不必要點對點流量，請停用界限群組選項，以 允許此界限群組中的對等下載。 如需詳細資訊，請參閱 界限群組選項。

主動式維護

此群組中的深入解析會醒目提示可能的設定問題，以避免 Configuration Manager 物件。

• 沒有指派月臺系統的界限群組：若沒有指派的月臺系統，界限群組只能用於月臺指派。 如需詳細資訊， 請參閱設定界限群組。

• 沒有成員的界限群組：如果界限群組沒有任何成員，則不適用於月臺指派或內容查閱。 如需詳細資訊， 請參閱設定界限群組。

• 發佈點未提供內容給客戶端：過去30天內未提供內容給用戶端的發佈點。 此數據是以客戶端的下載歷程記錄報告為基礎。 如需詳細資訊，請 參閱安裝和設定發佈點。

• 啟用 WSUS 清除：確認您已啟用在軟體更新點元件屬性上執行 WSUS 清除的選項。 此選項有助於改善 WSUS 效能。 如需詳細資訊，請參閱 軟體更新維護。

• 未使用的設定專案：不屬於設定基準且超過 30 天的設定專案。 如需詳細資訊，請參閱 Create 組態基準。

• 更新站台系統上的 Microsoft .NET Framework： 從 2107 版開始，Configuration Manager 需要站臺伺服器、特定站台系統、用戶端和控制台的 Microsoft .NET Framework 4.6.2 版。 在您執行安裝程式來安裝或更新月臺之前，請先更新 .NET 並重新啟動系統。 如果可能，請在您的環境中安裝最新版的 .NET 4.8 版。 如需詳細資訊， 請參閱網站和月臺系統必要條件。

• 更新執行 Windows Server 2012和 2012 R2 的伺服器：偵測執行 Windows Server 2012 或 2012 R2 操作系統的伺服器。 這些操作系統的支援生命週期將於 2023 年 10 月 9 日結束。 如需詳細資訊，請參閱 產品生命週期。

• 將對等快取來源升級至最新版本的 Configuration Manager 用戶端：識別做為對等快取來源但尚未從 1806 之前用戶端版本升級的用戶端。 1806 之前的客戶端無法作為執行 1806 版或更新版本之用戶端的對等快取來源。 選 取 [採取動作 ] 以開啟顯示用戶端清單的裝置檢視。

提示

在 2006 版中， 未使用的開機映射 深入解析已移至新的 OS 部署 群組。

安全性

改善基礎結構和裝置安全性的深入解析。

• 已啟用NTLM後援： 此深入解析會偵測您是否為月臺啟用較不安全的NTLM驗證後援方法。 使用用戶端推入方法安裝 Configuration Manager 用戶端時，月臺可能需要 Kerberos 相互驗證。 這項增強功能有助於保護伺服器與客戶端之間的通訊。 如需詳細資訊，請 參閱如何使用用戶端推入安裝用戶端。

• 不支援的反惡意代碼用戶端版本：超過 10% 的用戶端執行不支援的 System Center Endpoint Protection 版本。 如需詳細資訊，請參閱 Endpoint Protection。

• 更新執行 Windows 7 和 Windows Server 2008 的用戶端： 此規則會顯示執行 Windows 7、Windows Server 2008 (非 Azure) 的用戶端，以及不再接收安全性更新的 Windows Server 2008 R2 (非 Azure) 。 如需這些作業系統更新的詳細資訊，請參閱擴充安全性 匯報 (ESU) 。

簡化的管理

可協助您簡化環境日常管理的深入解析。

• 將網站連線至 Microsoft 雲端以進行 Configuration Manager 更新：此深入解析可確保您的 Configuration Manager 服務連接點在過去七天內已連線到 Microsoft 雲端。 此連線是下載一般更新的內容。 檢閱DMPDownloader.log和hman.log。 如需詳細資訊，請參閱 因特網存取需求。

• 非 CB 用戶端版本：清單 所有版本不是最新分支的用戶端 (CB) 組建。 如需詳細資訊，請參閱 升級用戶端。

• 將用戶端更新為支援的 Windows 10 版本：此深入解析會報告執行不再支援之 Windows 10 版本的用戶端。

軟體中心

用於管理軟體中心的深入解析。

• 將使用者導向軟體中心，而不是應用程式類別目錄：檢查使用者在過去14天內是否已從應用程式類別目錄安裝或要求應用程式。 應用程式類別目錄的主要功能現在包含在軟體中心內。 應用程式類別目錄角色的支援以 1910 版結束。 如需詳細資訊，請參閱 已被取代的功能。

• 使用新版的軟體中心：不再支援舊版的軟體中心。 啟用 [在計算機代理程式群組中使用新的軟體中心] 用戶端設定，以設定用戶端以使用新的軟體中心。 如需詳細資訊，請 參閱關於客戶端設定。

軟體更新

• 用戶端設定未設定為允許用戶端下載差異內容：在您的環境中同步處理的某些軟體更新包括差異內容。 啟用客戶端設定[ 允許用戶端在可用時下載差異內容]。 如果您未啟用此設定，當您部署這些更新時，用戶端會不必要地下載超過所需的內容。 如需詳細資訊，請 參閱用戶端設定 - 軟體更新。

• 啟用軟體更新產品類別 『Windows 10，版本 1903 和更新版本』：Windows 10 版本 1903 和更新版本有新的軟體更新產品類別。 如果您同步 Windows 10 更新，並具有 Windows 10 版本 1903 或更新版本的用戶端，請在軟體更新點元件屬性中選取 Windows 10 版本 1903 和更新版本的產品類別。 如需詳細資訊，請參閱設定要同步處理的分類和產品。

• 設定軟體更新點以使用 TLS/SSL： 偵測您的軟體更新點是否設定 為使用 TLS/SSL。 設定 Windows Server Update Services (WSUS) 伺服器及其對應的軟體更新點 (SUP) 使用 TLS/SSL，可能會降低潛在攻擊者從遠端入侵用戶端並提高許可權的能力。 此規則已在 Configuration Manager 2107 版中新增。

Windows 10

與部署和維護 Windows 10相關的深入解析。 只有當超過一半的用戶端執行 Windows 7、Windows 8 或 Windows 8.1 時，才能使用 Windows 10 管理深入解析群組。

• 設定 Windows 診斷數據和商業標識符金鑰：若要使用來自 電腦分析 的數據，請使用商業標識符密鑰設定裝置，並啟用診斷數據的收集。 將 Windows 10 裝置設定為 [增強 (受限) 層級或更高等級。 如需詳細資訊，請參閱啟用 電腦分析 的數據共用。