Correções - Microsoft Endpoint Manager (2023)

  • Artigo

Importante

Remediações proativasé renomeado paraCorreçõese agora está disponível emDispositivos>Correções. Todas as referências a Remediações proativas nesta documentação são substituídas porCorreções. No entanto, o termo Remediações proativas ainda pode aparecer em alguns blogs e outros artigos.

As correções na análise do Endpoint ajudam você a corrigir problemas comuns de suporte antes que os usuários finais percebam os problemas. Use Remediações para ajudar a aumentar suaPontuação da experiência do usuário.

Neste artigo, você aprende como:

(Video) Manage Windows Updates From the Cloud Using Endpoint Manager

  • Revise os pré-requisitos para Remediações
  • Implantar um pacote de script integrado
  • Implantar um pacote de script personalizado
  • Monitorar os pacotes de script

Sobre Remediações

Remediações são pacotes de scripts que podem detectar e corrigir problemas comuns de suporte no dispositivo de um usuário antes mesmo que ele perceba que há um problema. As correções podem ajudar a reduzir as chamadas de suporte. Você pode criar seu próprio pacote de scripts ou implantar um dos pacotes de scripts que escrevemos e usamos em nosso ambiente para reduzir os tíquetes de suporte.

See Also
WSUS - Clientes existentes não detectarão ou baixarão atualizações de recursos, mas clientes recém-instalados sim - Controle de qualidade da MicrosoftAtualização de recursos do Windows 10 1909 mostrando conformidade quando não - Controle de qualidade da Microsoft

Cada pacote de script consiste em um script de detecção, um script de correção e metadados. Por meio do Intune, você pode implantar esses pacotes de scripts e ver relatórios sobre sua eficácia.

Pré-requisitos

  • Dispositivos inscritos na análise de Endpoint.
    • Para mais informações, vejaInscrever dispositivos gerenciados do Configuration ManagereRegistrar dispositivos gerenciados do Intune.

Seja registrando dispositivos por meio do Intune ou do Configuration Manager, o script de correção tem os seguintes requisitos:

  • Os dispositivos devem ser ingressados ​​no Azure AD ou no Azure AD híbrido e atender a uma das seguintes condições:
    • É gerenciado pelo Intune e executa uma edição Enterprise, Professional ou Education do Windows 10 ou posterior.
    • Aco-gerenciadodispositivo executando o Windows 10, versão 1903 ou posterior. Dispositivos cogerenciados em versões anteriores do Windows 10 precisarão doCarga de trabalho de aplicativos clienteapontado para o Intune (aplicável somente até a versão 1607).

Licenciamento

Remediações requerem olicenciamento para análise de endpointe também exige que os usuários dos dispositivos tenham uma das seguintes licenças:

  • Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 ou E5)
  • Windows 10/11 Education A3 ou A5 (incluído no Microsoft 365 A3 ou A5)
  • Windows 10/11 Virtual Desktop Access (VDA) por usuário

Permissões

  • Para Remediações, o usuário precisa de permissões apropriadas para sua função sob oConfigurações do dispositivocategoria. Permissões noAnálise de endpointsA categoria não é necessária se o usuário usar apenas Remediações.

  • UmAdministrador de serviço do Intuneé necessário confirmar os requisitos de licenciamento antes de usar Remediações pela primeira vez.

    (Video) Microsoft Endpoint Manager: Endpoint analytics

Requisitos do script

  • Você pode ter até 200 pacotes de script.
  • Um pacote de scripts pode conter apenas um script de detecção ou um script de detecção e um script de correção.
    • Um script de correção só é executado se o script de detecção usar o código de saídasaída 1, o que significa que o problema foi detectado.
  • Certifique-se de que os scripts estejam codificados em UTF-8.
    • Se a opçãoAplicar verificação de assinatura de scriptestá habilitado noConfiguraçõespágina de criação de um pacote de scripts, certifique-se de que os scripts estejam codificados em UTF-8 e não em UTF-8 BOM.
  • O limite máximo de tamanho de saída permitido é de 2.048 caracteres.
  • Se a opçãoAplicar verificação de assinatura de scriptestá habilitado noConfiguraçõespágina de criação de um pacote de scripts, o script é executado usando a política de execução do PowerShell do dispositivo. A política de execução padrão para computadores cliente Windows éRestrito. A execução padrão para dispositivos Windows Server éRemoteAssinado. Para mais informações, vejaPolíticas de execução do PowerShell.
    • Os scripts incorporados às correções são assinados e o certificado é adicionado aoEditores confiáveisarmazenamento de certificados do dispositivo.
    • Ao usar scripts de terceiros assinados, verifique se o certificado está noEditores confiáveisloja de certificados. Como acontece com qualquer certificado, a autoridade de certificação deve ser confiável para o dispositivo.
    • scripts semAplicar verificação de assinatura de scriptuse oDesviarpolítica de execução.
  • Não coloque comandos de reinicialização em scripts de detecção ou remediação.
  • Não inclua nenhum tipo de informação sensível em scripts (como senhas)
  • Não inclua informações de identificação pessoal (PII) em scripts
  • Não use scripts para coletar PII de dispositivos
  • Siga sempre as práticas recomendadas de privacidade

Implantar pacotes de script integrados

Existem pacotes de script integrados que você pode usar para começar a usar as correções. OExtensão de gerenciamento do Microsoft Intuneservice obtém os scripts do Intune e os executa. Os scripts são executados novamente a cada 24 horas por padrão. Os seguintes pacotes de script integrados precisam apenas ser atribuídos:

  • Atualizar políticas de grupo obsoletas– Políticas de grupo obsoletas podem levar a tíquetes de helpdesk relacionados à conectividade e acesso a recursos internos.
  • Reinicie o serviço clique para executar do Office– Quando o serviço Click-to-run é interrompido, os aplicativos do Office falham ao iniciar, levando a chamadas de suporte técnico.

Para atribuir o pacote de scripts:

  1. DeDispositivos>Correçõesnó, selecione um dos pacotes de script integrados.
  2. SelecionePropriedades, a seguir oatribuiçõestítulo, selecioneEditar.
  3. Escolha os grupos que desejaAtribuir ae qualquerGrupos excluídospara o pacote de scripts.
  4. Para mudar oMarcas de escopo, selecioneEditarentãoSelecionar tags de escopo.
  5. Se desejar alterar a programação, selecione as reticências e escolhaEditarpara especificar suas configuraçõesAplicarpara salvá-los.
  6. Quando terminar, selecioneReveja + salve.

Criar e implantar pacotes de script personalizados

OExtensão de gerenciamento do Microsoft Intuneservice obtém os scripts do Intune e os executa. Os scripts são executados novamente a cada 24 horas. Você pode copiar os scripts fornecidos e implantá-los ou pode criar seus próprios pacotes de scripts. Para implantar pacotes de scripts, siga as instruções abaixo:

Copie os scripts de detecção e correção fornecidos

  1. Copie os scripts doscripts do PowerShellartigo.
    • Arquivos de script cujos nomes começam comdetectarsão scripts de detecção. Os scripts de correção começam comRemediar.
    • Para obter uma descrição dos scripts, consulte oDescrições de script.
  2. Salve cada script usando o nome fornecido. O nome também está nos comentários no topo de cada script. Certifique-se de que os scripts salvos estejam codificados em UTF-8.
    • Você pode usar um nome de script diferente, mas não corresponderá ao nome listado noDescrições de script.

Implantar os pacotes de script

Os scripts de correção precisam ser codificados em UTF-8. Carregar esses scripts em vez de editá-los diretamente em seu navegador ajuda a garantir que a codificação do script esteja correta para que seus dispositivos possam executá-los.

  1. No centro de administração do Intune, vá paraDispositivos>Correções.

  2. EscolherCriar pacote de scriptsbotão para criar um pacote de scripts.

  3. NoFundamentosetapa, dê ao pacote de scripts umNomee, opcionalmente, umDescrição. OEditorcampo pode ser editado, mas o padrão é o seu nome.Versãonão pode ser editado.

    (Video) Gerenciando os seus dispositivos com o Microsoft Intune

  4. NoConfiguraçõesetapa, carregue os doisArquivo de script de detecçãoe aArquivo de script de correçãofazendo os seguintes passos:

    1. Selecione o ícone da pasta.
    2. Navegue até o.ps1arquivo.
    3. Escolha o arquivo e selecioneAbrirpara carregá-lo.

    O script de detecção deve usar o código de saídasaída 1se o problema de destino for detectado. O script de correção não será executado quando houver qualquer outro código de saída, incluindo uma saída vazia, pois resulta em umproblema não foi encontradoestado. Reveja oScript de detecção de amostrapara obter um exemplo de uso do código de saída.

    Você precisa que o script de detecção e correção correspondente esteja no mesmo pacote. Por exemplo, oDetect_Expired_User_Certificates.ps1script de detecção corresponde aoRemediate_Expired_User_Certificates.ps1roteiro de correção.

  5. Conclua as opções noConfiguraçõespágina com as seguintes configurações recomendadas:

    • Execute este script usando as credenciais de logon: esta configuração depende do script. Para mais informações, consulte oDescrições de script.
    • Aplicar verificação de assinatura de script: Não
    • Executar script no PowerShell de 64 bits: Não

    Para obter informações sobre como impor verificações de assinatura de script, consulteRequisitos do script.

  6. CliquePróximoentão atribua qualquerMarcas de escopovocê precisa.

  7. Noatribuiçõesetapa, selecione os grupos de dispositivos nos quais deseja implantar o pacote de scripts. Quando estiver pronto para implantar os pacotes para seus usuários ou dispositivos, você também pode usar filtros. Para mais informações, vejaCriar filtros no Microsoft Intune.

    (Video) Deploy Attack Surface Reduction Rules from Microsoft Intune

    Observação

    Não misture grupos de usuários e dispositivos em atribuições de inclusão e exclusão.

  8. Complete aRevisar + Criaretapa para sua implantação.

Recuperação de políticas de clientes e relatórios de clientes

O cliente recupera a política para scripts de correção nos seguintes momentos:

  • Após uma reinicialização do dispositivo ou do serviço de extensão de gerenciamento do Intune
  • Depois que um usuário faz login no cliente
  • Uma vez a cada 8 horas
    • A programação de recuperação de script de 8 horas é fixada com base em quando o serviço de extensão de gerenciamento do Intune é iniciado. A programação não é alterada pelos logins do usuário.

O cliente reporta informações de Remediação nos seguintes momentos:

  • Quando um script é configurado para ser executado uma vez, os resultados são relatados após a execução do script.
  • Os scripts recorrentes seguem um ciclo de relatório de 7 dias:
    • Nos primeiros 6 dias, o cliente relata apenas se ocorrer uma alteração. A primeira vez que o script é executado seria considerada uma alteração.
    • A cada 7 dias o cliente envia um relatório mesmo que não tenha havido alteração.

Monitore seus pacotes de scripts

  1. No centro de administração do Intune, vá paraDispositivos>Correções, você pode ter uma visão geral do seu status de detecção e correção.
  2. SelecioneStatus do dispositivopara obter detalhes de status para cada dispositivo em sua implantação.

Exportar saída do script

Para ajudá-lo a analisar facilmente as saídas devolvidas, use oExportaropção para salvar a saída como um.csvarquivo. Exportando a saída para um.csvO arquivo permite analisar as saídas retornadas quando as correções são executadas em dispositivos com problemas. A exportação também permite que você compartilhe os resultados com outras pessoas para análises adicionais.

(Video) Gestão de dispositivos Windows MDM – Parte 2 | Microsoft Intune, Endpoint analytics

Próximos passos

  • Pegue oscripts do PowerShellpara Remediações.
  • VisualizarDesempenho de inicialização.
  • Aprender mais sobreSegurança de script do PowerShell.

Videos

1. Attack Surface Reduction | Deployment workflow | Microsoft Defender for Endpoint
(Concepts Work)
2. What's New in ConfigMgr Orchestration groups SCCM Microsoft Endpoint Manager - Server Groups Video
(HTMD Community)
3. Keep apps secure and updated with advanced app management and patching - Microsoft Tech Accelerator
(Microsoft Tech Community)
4. Office and Microsoft 365 Apps Deployment & Update Management 2022
(Microsoft Mechanics)
5. WebClass “Deploy Windows 10 using Deployment Toolkit and Endpoint Manager Configuration Manager”
(Webcasts Grupo Rumos)
6. Curso de System Center Configuration Manager (SCCM)
(Guilherme Maia)

References

Top Articles
Latest Posts
Article information

Author: Arline Emard IV

Last Updated: 09/07/2023

Views: 5569

Rating: 4.1 / 5 (52 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Arline Emard IV

Birthday: 1996-07-10

Address: 8912 Hintz Shore, West Louie, AZ 69363-0747

Phone: +13454700762376

Job: Administration Technician

Hobby: Paintball, Horseback riding, Cycling, Running, Macrame, Playing musical instruments, Soapmaking

Introduction: My name is Arline Emard IV, I am a cheerful, gorgeous, colorful, joyous, excited, super, inquisitive person who loves writing and wants to share my knowledge and understanding with you.