Расширение управления Intune для Windows

Расширение управления Intune (IME) — это агент установщика, который улучшает управление устройствами Windows (MDM). Он дополняет стандартную функцию Windows MDM, включив расширенные возможности управления устройствами.

Данная функция применяется к:

• Поддерживаемые версии Windows (за исключением устройств Windows Домашняя и Windows, работающих в S-режиме).

Предварительные требования

Для расширения управления Intune действуют следующие предварительные требования. При выполнении предварительных требований расширение управления Intune устанавливается автоматически при назначении скрипта PowerShell или приложения Win32 пользователю или устройству.

• Устройства под управлением поддерживаемой версии Windows. Расширение управления Intune не поддерживает Windows в S-режиме, так как S-режим не разрешает запуск приложений, не относящихся к хранилищу.

• Устройства, присоединенные к Microsoft Entra ID, в том числе:

  • Microsoft Entra гибридное присоединение: устройства, присоединенные к Microsoft Entra ID и локальная служба Active Directory (AD). Рекомендации см. в статье Планирование реализации гибридного присоединения Microsoft Entra.

  • Microsoft Entra зарегистрировано или присоединено к рабочему месту (WPJ): устройства, зарегистрированные в Microsoft Entra ID. Дополнительные сведения см. в статье Присоединение к рабочему месту как простая проверка подлинности второго фактора. Это устройства с переносом собственного устройства (BYOD) с рабочей или учебной учетной записью, добавленной с помощью параметров>Учетные записиДоступ к рабочей или учебной учетной> записи.

• Устройства, зарегистрированные в Intune, включая:

  • Устройства, зарегистрированные с помощью групповой политики (GPO). Дополнительные сведения см. в статье Автоматическая регистрация устройства с Windows с помощью групповая политика.

  • Устройства, зарегистрированные вручную в Intune, что происходит в следующих случаях:

    • Автоматическая регистрация в Intune включена в Microsoft Entra ID. Пользователи входят на устройства с помощью локальной учетной записи пользователя и вручную присоединяют устройство к Microsoft Entra ID. Затем они входят на устройство с помощью учетной записи Microsoft Entra.

    ИЛИ

    • Пользователи входят на устройство с помощью учетной записи Microsoft Entra, а затем регистрироваться в Intune.

  • Совместно управляемые устройства с использованием Configuration Manager и Intune. При установке приложений Win32 задайте для рабочей нагрузки Приложениязначение Пилотная Intune или Intune. Скрипты PowerShell выполняются, даже если для рабочей нагрузки Приложения задано значение Configuration Manager. Расширение управления Intune развертывается на устройстве, когда вы нацеливаете сценарий PowerShell на устройство. Устройство должно быть Microsoft Entra ID или Microsoft Entra гибридное присоединение и работать под управлением поддерживаемой версии Windows. Дополнительные сведения см. в следующих статьях:

    • Что такое совместное управление
    • Рабочая нагрузка клиентских приложений
    • Переключение рабочих нагрузок Configuration Manager на Intune

• Для устройств за брандмауэрами и прокси-серверами включите связь для Intune. Дополнительные сведения см. в статье Требования к сети для сценариев PowerShell и приложений Win32.

Общие сведения об установке агента расширения управления Intune

Для устройств, отвечающих предварительным требованиям, расширение управления Intune устанавливается автоматически при назначении определенных функций пользователю или устройству. Установка происходит при назначении следующих компонентов:

• Скрипты PowerShell
• Исправления
• Скрипты обнаружения для настраиваемого соответствия требованиям
• Приложения Win32
• Аналитика конечных точек
• Удаленная помощь
• Управляемые установщики в Intune
• Обновление BIOS Windows с помощью политики MDM конфигурации

Агент устанавливается в C:\ProgramData\Microsoft\IntuneManagementExtension\Logs , если применимо, и не отображается в меню "Пуск" на устройствах Windows. Агент отображается как IntuneManagementExtension в разделе Службы в диспетчере задач при запуске на устройствах Windows.

Функциональные возможности расширения управления Intune

• IME автоматически выполняет проверку подлинности в службах Intune перед возвратом для получения назначенных установок для устройства Windows.
• IME проверяет наличие новых или обновленных установок с помощью служб Intune каждые 8 часов. Этот процесс проверка не зависит от проверка mdm.
• IME может периодически выполнять проверки работоспособности для проверки подключения к Intune службам.

Запуск IME проверка управления Intune вручную с устройства Windows

На устройстве с Windows, на котором установлен IME, откройте Корпоративный портал, выберите Синхронизация параметров>. Это инициирует проверка MDM и проверка в IME.

Кроме того, откройте диспетчер задач, найдите службу IntuneManagementExtension, щелкните правой кнопкой мыши и выберите Перезапустить. Служба IntuneManagementExtension немедленно перезапускается, инициируя проверка с Intune.

Удаление расширения управления Intune

IME удаляется с устройства при следующих условиях:

• Скрипты PowerShell больше не назначаются устройству.
• Устройство с Windows больше не управляется.
• IME находится в невосстановимом состоянии более 24 часов (время пробуждения устройства).

Распространенные проблемы и способы их решения

Проблема: не удается скачать расширение управления Intune

Возможные решения:

• Устройство не присоединено к Microsoft Entra ID. Убедитесь, что устройства соответствуют предварительным требованиям, приведенным в этой статье.
• Никакие сценарии PowerShell или приложения Win32 не назначаются группам, к которым принадлежит пользователь или устройство.
• Устройство не может зарегистрироваться в службе Intune. Например, нет доступа к Интернету или к службам push-уведомлений Windows (WNS).
• Устройство находится в S-режиме. Расширение управления Intune не поддерживает устройства, работающие в S-режиме.
• На устройствах Windows, если прокси-сервер настроен только на уровне пользователя (а не на уровне компьютера), убедитесь, что пользователь вошел в устройство. Кроме того, можно bitsadmin /util /setieproxy вручную настроить прокси-сервер для BITS (фоновая интеллектуальная служба передачи). Дополнительные сведения см. в разделе bitsadmin util и setieproxy.

Чтобы проверка, если устройство зарегистрировано автоматически, выполните следующие действия:

1. Перейдите в раздел Параметры>Учетные записи>Доступ к рабочей или учебной учетной записи.
2. Выберите сведения о присоединенной учетной записи>.
3. В разделе Расширенный диагностический отчет выберите Создать отчет.
4. В веб-браузере откройте MDMDiagReport.
5. Найдите свойство MDMDeviceWithAAD. Если свойство существует, устройство регистрируется автоматически. Если это свойство не существует, устройство не регистрируется автоматически.

Включение автоматической регистрации Windows включает действия по настройке автоматической регистрации в Intune.

Проблема: Microsoft Intune приложение агента Windows автоматически отключается

Microsoft Intune агент Windows — это Microsoft Entra ID приложение. Агент IME использует приложение Microsoft Intune агента Windows для проверки подлинности в шлюзе, чтобы получить другие приложения, скрипты и другие важные полезные данные. Это приложение не связано ни с каким потоком жизненного цикла на основе подписки.

При некоторых условиях приложение агента Windows Microsoft Intune может завершиться сбоем проверки допустимости подписки и постоянно отключаться, даже если администратор повторно включает приложение. Если этот параметр отключен, агент IME не может получить маркеры для Microsoft Intune приложения агента Windows и полезные данные, предназначенные для пользователей, перестают работать.

Возможное разрешение:

Удалите субъект-службу из клиента организации с помощью microsoft API Graph, предпочтительно с помощью Graph Обозреватель:

1. Войдите в Graph Обозреватель с помощью учетной записи администратора организации, которая может удалять субъекты-службы, например роль администратора приложений. Убедитесь, что в правом верхнем углу отображается имя клиента, а не "пример клиента".

   Список Microsoft Entra встроенных ролей и их возможности см. в статье Microsoft Entra встроенных ролей.

2. Выберите API Обозреватель>servicePrincipalsDELETE>{servicePrincipal-id}>.

3. В синтаксисе URL-адреса Graph замените {servicePrincipal-id} идентификатором субъекта-службы.

4. Выберите Выполнить запрос , чтобы выполнить удаление.

Журналы расширения управления Intune

Журналы IME на клиентском компьютере обычно находятся в C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Используйте CMTrace.exe для просмотра этих файлов журнала.

Кроме того, используйте файл журнала AppWorkload.log для устранения неполадок и анализа событий управления приложениями Win32 в клиенте. Этот файл журнала содержит все сведения журнала, связанные с действиями развертывания приложений, выполняемыми IME.

Файлы журнала IME

Дальнейшие действия

• Создаваемое приложение появится в списке приложений. Назначьте его выбранным группам. Дополнительные сведения см. в статье Назначение приложений группам с Microsoft Intune.
• Дополнительные сведения о мониторинге свойств и назначений приложений. Дополнительные сведения см. в разделе Отслеживание сведений о приложении и его назначениях с помощью Microsoft Intune.
• Дополнительные сведения о контексте приложения см. в Intune. Дополнительные сведения см. в статье Обзор жизненного цикла управления мобильными устройствами (MDM) Microsoft Intune.