Herstelbewerkingen

Met herstelbewerkingen kunt u veelvoorkomende ondersteuningsproblemen oplossen voordat eindgebruikers problemen opmerken.

In dit artikel leert u het volgende:

Over herstelbewerkingen

Herstelbewerkingen zijn scriptpakketten waarmee veelvoorkomende ondersteuningsproblemen op het apparaat van een gebruiker kunnen worden gedetecteerd en opgelost voordat ze zich realiseren dat er een probleem is. Herstelbewerkingen kunnen helpen bij het verminderen van ondersteuningsgesprekken en tickets. U kunt uw eigen scriptpakket maken of een ingebouwd scriptpakket implementeren.

Elk scriptpakket bestaat uit een detectiescript, een herstelscript en metagegevens. Wanneer u Intune gebruikt, kunt u deze scriptpakketten implementeren en rapporten bekijken over de effectiviteit ervan.

Vereisten

Of het nu gaat om het inschrijven van apparaten via Intune of Configuration Manager, herstelscripts hebben de volgende vereisten:

• Apparaten moeten zijn Microsoft Entra gekoppeld of Microsoft Entra hybride gekoppeld en voldoen aan een van de volgende voorwaarden:

  • Het apparaat is Mobile Apparaatbeheer (MDM) dat is ingeschreven bij Intune en waarop de editie Windows Enterprise, Professional of Education wordt uitgevoerd.

    OF

  • Het apparaat wordt medebeheerd met Windows.

Licenties

Voor herstelbewerkingen moeten gebruikers van de apparaten een van de volgende licenties hebben:

• Windows Enterprise E3 of E5 (opgenomen in Microsoft 365 F3, E3 of E5)

• Windows Education A3 of A5 (opgenomen in Microsoft 365 A3 of A5)

• Windows Virtual Desktop Access (VDA) per gebruiker

Machtigingen

• Voor herstelbewerkingen heeft de gebruiker machtigingen nodig die geschikt zijn voor hun rol in de categorie Apparaatconfiguraties . Zie Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie.

• Een Intune-servicebeheerder moet de licentievereisten bevestigen voordat u Herstelbewerkingen voor het eerst gebruikt.

Scriptvereisten

• U kunt maximaal 200 scriptpakketten hebben.
• Een scriptpakket kan alleen een detectiescript bevatten of zowel een detectiescript als een herstelscript.
  • Een herstelscript wordt alleen uitgevoerd als het detectiescript afsluitcode exit 1gebruikt, wat betekent dat het probleem is gedetecteerd.
• Zorg ervoor dat de scripts zijn gecodeerd in UTF-8.
  • Als op de pagina Instellingen van het maken van een scriptpakket de optie Scripthandtekening controleren is ingeschakeld, controleert u of de scripts zijn gecodeerd in UTF-8, niet UTF-8 BOM (Byte Order Mark).
• De maximaal toegestane uitvoergrootte is 2048 tekens.
• Als op de pagina Instellingen van het maken van een scriptpakket de optie Scripthandtekening controleren is ingeschakeld, wordt het script uitgevoerd met behulp van het PowerShell-uitvoeringsbeleid van het apparaat. Het standaarduitvoeringsbeleid voor Windows-clientcomputers is Beperkt. De standaarduitvoering voor Windows Server-apparaten is RemoteSigned. Zie PowerShell-uitvoeringsbeleidvoor meer informatie.
  • Scripts die zijn ingebouwd in Herstelbewerkingen worden ondertekend en het certificaat wordt toegevoegd aan het certificaatarchief vertrouwde uitgevers van het apparaat.
  • Wanneer u niet-Microsoft-scripts gebruikt die zijn ondertekend, controleert u of het certificaat zich in het certificaatarchief van Vertrouwde uitgevers bevindt. Net als bij elk certificaat moet het apparaat de certificeringsinstantie vertrouwen.
  • Scripts zonder Controle van scripthandtekening afdwingen gebruiken het uitvoeringsbeleid Bypass.
• Plaats geen opdrachten voor opnieuw opstarten in detectie- of herstelscripts.
• Neem geen enkele vorm van gevoelige informatie op in scripts (zoals wachtwoorden)
• Geen persoonsgegevens opnemen in scripts
• Gebruik geen scripts om persoonlijke gegevens van apparaten te verzamelen
• Best practices voor privacy altijd volgen

Ingebouwde scriptpakketten implementeren

Er zijn ingebouwde scriptpakketten die u kunt gebruiken om aan de slag te gaan met herstelbewerkingen. De sevice Microsoft Intune Management Extension haalt de scripts op uit Intune en voert deze uit. De volgende ingebouwde scriptpakketten hoeven alleen maar te worden toegewezen:

• Verouderde groepsbeleid bijwerken: verouderde groepsbeleid kan leiden tot helpdesktickets met betrekking tot connectiviteit en interne resourcetoegang.
• Office Click-to-run-service opnieuw starten: wanneer de Click-to-run-service wordt gestopt, kunnen Office-apps niet worden gestart, wat leidt tot helpdeskgesprekken.

Om het \scriptpakket toe te wijzen:

1. Ga in het Intune-beheercentrum naar Apparaten>Apparaten apparaten beheren> KnooppuntScripts en herstelbewerkingen en selecteer een van de ingebouwde scriptpakketten.
2. Selecteer Eigenschappenen selecteer vervolgens bewerken naast de kop Toewijzingen.
3. Kies de groepen waaraan u wilt Toewijzen en alle Uitgesloten groepen voor het scriptpakket.
4. Als u de Bereiklabels wilt wijzigen, selecteert u Bewerken en vervolgens Bereiklabels selecteren.
5. Als u het schema wilt wijzigen, selecteert u het beletselteken en kiest u Bewerken om uw instellingen op te geven. Selecteer Toepassen om uw wijzigingen op te slaan.
6. Wanneer u klaar bent, selecteert u Controleren en opslaan.

Planningsopties voor toewijzingen

Wanneer u de toewijzing van een scriptpakket configureert, kunt u definiëren hoe vaak het herstel wordt uitgevoerd met behulp van een van de volgende planningsopties :

• Eenmaal : voer het herstel slechts één keer uit, op een opgegeven datum en tijd.

• Elk uur : voer de herstelbewerking uit op uurbasis, met een configureerbaar interval, zoals elke n uur. De waarde moet minder dan 24 uur zijn.

• Dagelijks : voer de herstelbewerking dagelijks op een opgegeven tijdstip uit.

Uitvoeringsgedrag:

• Herstelbewerkingen worden standaard uitgevoerd op basis van de lokale tijd van het apparaat. Als u wilt plannen op Coordinated Universal Time, selecteert u UTC gebruiken.
• Als een geplande uitvoering wordt gemist, wordt het herstel uitgevoerd wanneer het apparaat online is en zo snel mogelijk.
• Gebruik minder frequente schema's (zoals elke zeven dagen) om de prestatie-effecten op het apparaat te verminderen voor niet-intensieve of resource-intensieve scripts.

Aangepaste scriptpakketten maken en implementeren

De sevice Microsoft Intune Management Extension haalt de scripts op uit Intune en voert deze uit. De scripts worden elke 24 uur opnieuw uitgevoerd. U kunt de meegeleverde scripts kopiëren en implementeren of u kunt uw eigen scriptpakketten maken. Volg de instructies in de volgende sectie om scriptpakketten te implementeren.

Kopieer de meegeleverde detectie- en herstelscripts kopiëren

1. Kopieer de scripts uit het artikel PowerShell-scripts.
   • Scriptbestanden waarvan de namen beginnen met Detect zijn detectiescripts. Herstelscripts beginnen met Remediate.
   • Zie de Scriptbeschrijvingen voor een beschrijving van de scripts.
2. Sla elk script op met de opgegeven naam. De naam staat ook in de opmerkingen boven aan elk script. Zorg ervoor dat de opgeslagen scripts zijn gecodeerd in UTF-8.
   • U kunt een andere scriptnaam gebruiken, maar deze komt niet overeen met de naam die wordt vermeld in de Scriptbeschrijvingen.

De scriptpakketten implementeren

Herstelscripts moeten worden gecodeerd in UTF-8. Als u deze scripts uploadt in plaats van ze rechtstreeks in uw browser te bewerken, zorgt u ervoor dat de scriptcodering juist is, zodat uw apparaten ze kunnen uitvoeren.

1. Ga in het Intune-beheercentrum naar Apparaten>Apparaten beheren>Scripts en herstelbewerkingen.

2. Kies de knop Scriptpakket maken om een scriptpakket te maken.

   

3. Geef in de stap Basisinformatie het scriptpakket een Naam desgewenst een Beschrijving. Het veld Publisher kan worden bewerkt, maar wordt standaard op uw naam ingesteld. Versie kan niet worden bewerkt.

4. Upload in de stap Instellingen zowel het Detectiescriptbestand als het Herstelscriptbestand door de volgende stappen uit te voeren:

   1. Selecteer het mappictogram.
   2. Blader naar het .ps1-bestand.
   3. Kies het bestand en selecteer Openen om het te uploaden.

   Het detectiescript moet afsluitcode exit 1 gebruiken als het doelprobleem wordt gedetecteerd. Als er een andere afsluitcode is, wordt het herstelscript niet uitgevoerd. Het opnemen van een lege uitvoer, omdat dit resulteert in een probleem is niet gevonden status. Bekijk het voorbeelddetectiescript voor een voorbeeld van het gebruik van afsluitcode.

   U moet ervoor zorgen dat het bijbehorende detectie- en herstelscript in hetzelfde pakket staat. Het Detect_Expired_User_Certificates.ps1 detectiescript komt bijvoorbeeld overeen met het Remediate_Expired_User_Certificates.ps1 herstelscript.

   

5. Voltooi de opties op de pagina Instellingen met de volgende aanbevolen configuraties:

   • Voer dit script uit met de aangemelde referenties: deze instelling is afhankelijk van het script. Zie de Scriptbeschrijvingen voor meer informatie.
   • Controle van handtekening voor script afdwingen: nee
   • Script uitvoeren in 64-bits PowerShell: nee

   Zie Scriptvereistenvoor meer informatie over het afdwingen van scripthandtekeningcontroles.

6. Selecteer Volgende en wijs vervolgens de bereiktags toe die u nodig hebt.

7. Selecteer in de stap Toewijzingen de apparaatgroepen waarop u het scriptpakket wilt implementeren. Wanneer u klaar bent om de pakketten te implementeren op uw gebruikers of apparaten, kunt u ook filters gebruiken. Zie Filters maken in Microsoft Intune voor meer informatie.

   Opmerking

   Meng gebruikers- en apparaatgroepen niet tussen toewijzingen voor opnemen en uitsluiten.

8. Voltooi de stap Beoordelen en maken voor uw implementatie.

Een herstelscript op aanvraag uitvoeren (preview)

U kunt de actie Herstelapparaat uitvoeren gebruiken om een herstelscript op aanvraag uit te voeren op één Windows-apparaat.

Vereisten voor het uitvoeren van een herstelscript op aanvraag

• Herstelbewerkingen moeten al zijn geconfigureerd voordat een herstelscript op aanvraag kan worden gebruikt.

• De ingebouwde of aangepaste scriptpakketten moeten beschikbaar zijn voor gebruikers om een herstel op aanvraag uit te voeren. Ze hoeven echter niet te worden toegewezen aan een gebruiker of apparaat. U kunt bereiktags gebruiken om te beperken welke herstelscriptpakketten een gebruiker kan zien.

• Gebruikers moeten Intune beheerders of een rol hebben met de machtiging Herstel uitvoeren (beschikbaar onder Externe taken). Tijdens de openbare preview moet de gebruiker ook Organisatie: Lezen hebben.

• Apparaten zijn online en kunnen tijdens de externe actie communiceren met Intune en Windows Push Notification Service (WNS).

• De Intune-beheerextensie moet op apparaten worden geïnstalleerd. De installatie wordt automatisch uitgevoerd wanneer een Win32-app, PowerShell-script of Herstel wordt toegewezen aan een gebruiker of apparaat.

Een herstelscript op aanvraag uitvoeren

1. Meld u aan bij het Microsoft Intune-beheercentrum.
2. Navigeer naar Apparaten>op platform>Windows> selecteer een ondersteund apparaat.
3. Selecteer op de pagina Overzicht van het apparaat de optie ...>Herstel uitvoeren (preview).
4. Selecteer in het deelvenster Herstel uitvoeren (preview) het scriptpakket dat u wilt uitvoeren in de lijst. Selecteer Details weergeven om eigenschappen van het scriptpakket weer te geven, zoals de inhoud van het detectie- en herstelscript, de beschrijving en de geconfigureerde instellingen.
5. Als u het herstel op aanvraag wilt uitvoeren, selecteert u Herstel uitvoeren.

Clientbeleid ophalen en clientrapportage

De client haalt beleid op voor herstelscripts op de volgende momenten:

• Na het opnieuw opstarten van het apparaat of Intune beheeruitbreidingsservice

• Nadat een gebruiker zich heeft aangemeld bij de client

• Eenmaal per 8 uur

  • De planning voor het ophalen van scripts van 8 uur is vastgesteld op basis van het moment waarop de Intune-beheerextensieservice wordt gestart. Gebruikersaanmelding verandert de planning niet.

De client meldt herstelgegevens op de volgende momenten:

• Wanneer een script is ingesteld om eenmaal te worden uitgevoerd, worden de resultaten gerapporteerd nadat het script is uitgevoerd.

• Terugkerende scripts volgen een rapportagecyclus van zeven dagen:

  • Binnen de eerste zes dagen rapporteert de client alleen als er een wijziging optreedt. De eerste keer dat het script wordt uitgevoerd, wordt beschouwd als een wijziging.

  • Elke zeven dagen verzendt de client een rapport, zelfs als er geen wijziging is.

Uw scriptpakketten controleren

1. Ga in het Intune-beheercentrum naar Apparaten>Apparaten beheren>Scripts en herstelbewerkingen. U ziet een overzicht van uw detectie- en herstelstatus.

   

2. Selecteer Apparaatstatus om statusgegevens voor elk apparaat in uw implementatie op te halen.

   

Scriptuitvoer exporteren

Gebruik de optie Exporteren om de uitvoer op te slaan als een .csv-bestand, zodat u de geretourneerde uitvoer eenvoudig kunt analyseren. Als u de uitvoer naar een .csv bestand exporteert, kunt u de geretourneerde uitvoer analyseren wanneer Herstelbewerkingen worden uitgevoerd op apparaten met problemen. Exporteren stelt u ook in staat om de resultaten met anderen te delen voor meer analyse.

Herstelstatus voor een apparaat bewaken

U kunt de status bekijken van herstelbewerkingen die aan een apparaat zijn toegewezen of op aanvraag worden uitgevoerd.

1. Meld u aan bij het Microsoft Intune-beheercentrum.
2. Navigeer naar Apparaten>op platform>Windows> selecteer een ondersteund apparaat.
3. Selecteer Herstelbewerkingen in de sectie Bewaken .

Bekende problemen

Wanneer u filters zoals 'Auteur' of 'Status' toepast of de optie Exporteren gebruikt op de pagina Herstelbewerkingen van Scripts en herstelbewerkingen, worden alleen de momenteel geladen scriptpakketten opgenomen. Als u alle scripts wilt opnemen, schuift u totdat de volledige lijst is geladen.

Volgende stappen

• Haal de PowerShell-scripts voor herstelbewerkingen op.

• Meer informatie over de beveiliging van PowerShell-scripts.