端點分析中的異常偵測

注意事項

這項功能可作為 Intune 附加元件使用。 如需詳細資訊，請參閱 Intune 附加元件。

本文說明端點分析中的異常偵測如何作為早期警告系統運作。

異常偵測會監視組織中裝置的健康情況，以在組態變更之後的使用者體驗和生產力回歸。 發生失敗時，異常會使相關的部署物件相互關聯，以啟用快速疑難排解、建議根本原因和補救。

系統管理員可以依賴異常偵測來瞭解使用者體驗會影響問題，然後再透過其他通道觸達問題。 異常偵測的初始焦點在於應用程式停止回應/當機和停止錯誤重新開機。

概觀

透過異常偵測，您可以在系統成為嚴重問題之前，先偵測到系統中的潛在問題。 傳統上，支援小組對於潛在問題的可見度有限。

• 通常，它們只會取得透過支援通道回報/呈報問題的子集，而這並不真正代表貴組織中發生的一切。

• 他們必須花費數小時來檢閱自訂儀表板，嘗試找出根本原因、疑難排解、建立自訂警示、變更閾值，以及調整參數。

異常偵測的目標是透過啟用具有重要資訊的 IT 系統管理員來解決這些問題。

除了偵測異常之外，您還可以檢視裝置相互關聯群組，以探索中度和高嚴重性異常的潛在根本原因。 這些裝置世代可讓您檢視在裝置之間識別的模式。 我們已採取主動式的裝置管理方法，同時識別這些世代中「有風險」的裝置。 這些裝置屬於具有高度信賴度但尚未看到這些異常的已識別模式。

注意事項

裝置世代僅針對中度和高嚴重性異常進行識別。

必要條件

• 授權/訂用帳戶：端點分析中的進階功能會包含為Microsoft Intune Suite下的 Intune 附加元件，而且需要額外成本給包含Microsoft Intune的授權選項。

• 許可權：異常偵測使用內建 角色許可權

異常索引標籤

1. 登入Microsoft Intune系統管理中心。

2. 選取[報表>端點分析>概觀]。

3. 選 取 [異常] 索引卷 標。[ 異常] 索引卷 標提供組織中偵測到異常的快速概觀。

4. 在此範例中，[異常] 索引標籤會顯示具有中度嚴重性影響的異常。 您可以新增篩選來精簡清單。

   

5. 若要查看特定專案的詳細資訊，請從清單中選擇它。 您可以看到詳細資料，例如應用程式名稱、受影響的裝置、第一次偵測到問題的時間和上次發生的時間，以及可能造成問題的任何裝置群組。

   

6. 從清單中選取裝置相互關聯群組，以取得裝置常見因素的詳細檢視。 裝置會根據一或多個共用屬性相互關聯，例如應用程式版本、驅動程式更新、OS 版本和裝置型號。 您可以看到目前受異常影響的裝置數目，以及有發生異常風險的裝置數目。 普遍性率也會顯示屬於相互關聯群組成員之異常的受影響裝置百分比。

   

7. 選 取 [檢視受影響的裝置 ] 以顯示具有與每個裝置相關之金鑰屬性的裝置清單。 您可以篩選以檢視特定相互關聯群組中的裝置，或顯示組織中受該異常影響的所有裝置。 此外，裝置時間軸會顯示更多異常事件。

   

用於判斷異常的統計模型

建置的分析模型會偵測到裝置世代遇到異常的停止錯誤重新開機和應用程式停止回應/當機，需要系統管理員注意以減輕和解決。 從感應器遙測和診斷記錄中識別的模式會決定這些裝置世代

• 以臨界值為基礎的啟發學習模型：啟發學習法模型牽涉到為應用程式停止回應/當機或停止錯誤重新開機設定一或多個臨界值。 如果上述設定閾值中有缺口，則會將裝置標示為異常。 模型簡單但有效;它適合用來顯示裝置或其應用程式的顯著或靜態問題。 目前，臨界值已預先決定，沒有自訂選項。 

• 配對的 T 測試模型：配對的 t 測試是一種數學方法，可比較資料集中的觀察配對，以尋找其方法之間的統計顯著距離。 測試會在資料集上使用，這些資料集由某種方式彼此相關的觀察所組成。 例如，在原則變更之前和之後從相同裝置停止錯誤重新開機的計數，或在作業系統 (作業系統) 更新之後，應用程式在裝置上損毀的計數。

• 母體 Z 分數模型：以母體 Z 分數為基礎的統計模型牽涉到計算資料集的標準差和平均值，然後使用這些值來判斷哪些資料點是異常的。 標準差和平均值是用來計算每個資料點的 Z 分數，這代表與平均值相差的標準差數目。 落在特定範圍之外的資料點是異常的。 此模型非常適合用來醒目提示來自更廣泛基準的極端值裝置或應用程式，但需要足夠大的資料集才能正確無誤。

• 時間序列 Z 分數模型：時間序列 Z 分數模型是標準 Z 分數模型的變化，專為偵測時間序列資料中的異常而設計。 時間序列資料是一連串在一段時間內定期收集的資料點，例如「停止錯誤重新開機」的匯總。 標準差和平均值是使用匯總計量來計算滑動時間範圍。 這個方法可讓模型敏感于資料中的時態模式，並隨著時間調整其分佈中的變更。

後續步驟

如需詳細資訊，請移至：

• 增強的裝置時間軸
• 裝置範圍
• 什麼是進階端點分析