远程设备作：收集诊断

在 Microsoft Intune 中收集诊断是一项功能强大的远程作，使 IT 管理员能够在不中断用户的情况下从托管设备收集故障排除数据。此功能对于识别和解决与设备符合性、应用性能或注册失败相关的问题至关重要，尤其是在对设备的动手访问受限的大型或分布式环境中。例如，如果 Windows 设备在 Autopilot 预配过程中发生故障，Intune可以从设备自动收集日志并上传日志以供审阅，帮助管理员快速查明根本原因。此功能还可以同时在多达 25 台设备上批量使用，从而大规模简化诊断。

通过收集诊断远程作，可以在不中断用户的情况下收集和下载托管设备诊断。仅访问非用户位置和文件类型。

先决条件

设备平台要求

此远程作支持以下平台：

通过应用保护) 的 Android (

通过应用保护) (iOS/iPadOS

Windows (公司拥有的)

Windows Holographic

角色要求

若要运行此远程作，请使用至少具有以下角色之一的帐户：

技术支持操作员

学校管理员

自定义角色包括：

权限远程任务/收集诊断

提供对Intune (中托管设备的可见性和访问权限的权限，例如组织/读取、托管设备/读取)

网络和连接要求

为了使诊断能够成功从客户端上传，请确保未在网络上阻止你的区域的 URL：

欧洲： lgmsapeweu.blob.core.windows.net

美洲： lgmsapewus2.blob.core.windows.net

东亚： lgmsapesea.blob.core.windows.net

澳大利亚： lgmsapeaus.blob.core.windows.net

印度： lgmsapeind.blob.core.windows.net

设备必须联机，并且能够在诊断期间与服务通信。

注意

可以从“故障排除”窗格中的“诊断”选项卡下载Intune应用保护日志。但是，M365 远程应用程序诊断仅适用于其特定支持工程师。

设备不必由 MDM 管理 (移动设备管理) 收集Intune应用保护或 M365 应用诊断，仅由Intune应用保护策略管理。

数据存储在Microsoft支持系统中，不受Intune数据管理策略或保护的约束。某些应用程序可能会使用Intune以外的系统收集和存储数据。

如何收集诊断

Microsoft 365 远程应用程序诊断使管理员能够请求Intune应用保护诊断和Microsoft 365 应用程序诊断 (（如果适用) ）。

管理员可以在Microsoft Intune管理中心找到此报告，方法是选择“故障排除 + 支持>”>，选择用户>摘要>应用保护*。此功能仅适用于Intune应用保护管理下的应用程序。如果受支持，则会收集特定于应用程序的日志并将其存储在每个应用程序的专用存储解决方案中。

支持 M365 应用程序诊断的应用程序：

Outlook
Teams
OneDrive
Microsoft Edge

Outlook
Teams
OneDrive
Microsoft Edge
Microsoft Word
Microsoft Excel
Microsoft PowerPoint
OneNote
Microsoft 365 (Office)

从 M365 应用程序收集诊断的要求：

登录到 Microsoft Intune 管理中心。
导航到“租户管理>设备诊断>确保已启用第三个设置。
创建Intune应用保护策略并将其部署到用户，有关详细信息，请参阅此处。
确认应用程序已由Intune应用保护策略管理。可以在设备和/或本地检查，方法是将用户加载到“Intune故障排除窗格”并打开“应用保护摘要”页。

若要使用收集诊断操作，请执行以下操作：

登录到 Microsoft Intune 管理中心
导航到 “故障排除 + 支持>”，选择>用户。
在“摘要”页上，选择“已签入应用保护>”。
找到要收集诊断的应用程序，并使用“...”选项选择“收集诊断”。
出现提示时，选择“ 是”。

若要检查“收集诊断”作的状态，请执行以下作：

在“应用保护”摘要中，选择“ 刷新”。
找到需要其状态的应用程序，并在“诊断状态”列中选择超链接。

若要下载诊断：

导航到 “故障排除 + 支持>”，选择>用户。
在“摘要”页上，选择“诊断”页并下载诊断。

重要

不能直接从 Intune 门户下载超过 50 诊断或 4 MB 的诊断数据。若要访问更大的诊断上传，请联系Microsoft Intune支持人员。

诊断大约需要 30 分钟才能从最终用户的设备传递。如果打开应用时提示输入 pin，用户可能需要关闭并重新打开应用，以便诊断请求进行提示。

收集诊断远程作还可以配置为在设备上出现 Windows Autopilot 故障时自动收集和上传 Windows 设备日志。发生 Windows Autopilot 故障时，会在故障设备上处理日志，然后自动捕获日志并将其上传到Intune。设备每天可以自动捕获一组日志。

诊断集合将存储 28 天，然后将被删除。每个设备一次最多可以存储 10 个集合。

收集诊断也可用作批量设备作，一次从多达 25 个 Windows 设备收集诊断日志。

注意

Microsoft人员可能会访问设备诊断，以帮助排查和解决事件。

若要使用收集诊断操作，请执行以下操作：

在Microsoft Intune管理中心，选择“设备>”“所有设备”。
从设备列表中，选择一个设备。
在设备概述窗格顶部，找到远程作图标行。选择“收集诊断”。
选择“是”以确认。设备的 “概述 ”页上会显示一条挂起的通知。
若要检查作的状态，请选择“监视>设备诊断”。
作完成后，选择“...”>在“是”作>的行中下载。
数据 zip 文件已添加到下载磁盘，可以将其保存到计算机上。

Windows Autopilot 失败时的诊断收集

只要启用了 Windows Autopilot 自动捕获诊断功能，设备遇到故障时，系统会自动捕获 Windows Autopilot 诊断。

若要查看 Windows Autopilot 故障后收集的诊断：：

在Microsoft Intune管理中心，选择“设备>”“所有设备”。
从设备列表中，选择一个设备。
在设备概述窗格顶部，找到远程作图标行。选择“ 诊断>下载”。
数据 zip 文件已添加到下载磁盘，可以将其保存到计算机上。

收集的数据

虽然无意收集个人数据，但诊断可能包含用户身份信息，例如用户或设备名称。

如果在 Windows 10 上安装 KB5011543，或在 Windows 11 上安装 KB5011563，则 zip 文件的格式会更简单，包括：

一个平展结构，其中收集的日志命名以匹配收集的数据
收集多个文件时，将创建一个文件夹。

以下列表的顺序与诊断 zip 相同。每个集合都包含以下数据：

注册表项
`HKLM\SOFTWARE\Microsoft\CloudManagedUpdate`
`HKLM\SOFTWARE\Microsoft\EPMAgent`
`HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\DeviceHealthMonitoring`
`HKLM\SOFTWARE\Microsoft\IntuneManagementExtension`
`HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot`
`HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection`
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI`
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings`
`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall`
`HKLM\SOFTWARE\Microsoft\DeviceInventory`
`HKLM\SOFTWARE\Policies`
`HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL`
`HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection`
`HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall`
`HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL`
`HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Mdm`
`HKLM\SYSTEM\Setup\SetupDiag\Results`

命令
`%programfiles%\windows defender\mpcmdrun.exe -GetFiles`
`%windir%\system32\certutil.exe -store`
`%windir%\system32\certutil.exe -store -user my`
`%windir%\system32\Dsregcmd.exe /status`
`%windir%\system32\ipconfig.exe /all`
`%windir%\system32\mdmdiagnosticstool.exe`
`%windir%\system32\msinfo32.exe /report %temp%\MDMDiagnostics\msinfo32.log`
`%windir%\system32\netsh.exe advfirewall show allprofiles`
`%windir%\system32\netsh.exe advfirewall show global`
`%windir%\system32\netsh.exe lan show profiles`
`%windir%\system32\netsh.exe winhttp show proxy`
`%windir%\system32\netsh.exe wlan show profiles`
`%windir%\system32\netsh.exe wlan show wlanreport`
`%windir%\system32\ping.exe -n 50 localhost`
`%windir%\system32\pnputil.exe /enum-drivers`
`%windir%\system32\powercfg.exe /batteryreport /output %temp%\MDMDiagnostics\battery-report.html`
`%windir%\system32\powercfg.exe /energy /output %temp%\MDMDiagnostics\energy-report.html`

事件
`Application`
`Microsoft-Windows-AppLocker/EXE and DLL`
`Microsoft-Windows-AppLocker/MSI and Script`
`Microsoft-Windows-AppLocker/Packaged app-Deployment`
`Microsoft-Windows-AppLocker/Packaged app-Execution`
`Microsoft-Windows-AppxPackaging/Operational`
`Microsoft-Windows-Bitlocker/Bitlocker Management`
`Microsoft-Windows-HelloForBusiness/Operational`
`Microsoft-Windows-SENSE/Operational`
`Microsoft-Windows-SenseIR/Operational`
`Microsoft-Windows-Windows Firewall With Advanced Security/Firewall`
`Microsoft-Windows-WinRM/Operational`
`Microsoft-Windows-WMI-Activity/Operational`
`Microsoft-Windows-AppXDeployment/Operational`
`Microsoft-Windows-AppXDeploymentServer/Operational`
`Setup`
`System`

Path
`%ProgramData%\Microsoft\DiagnosticLogCSP\Collectors\*.etl`
`%ProgramFiles%\Microsoft EPM Agent\Logs\.`
`%Program Files%\Microsoft Device Inventory Agent\Logs`
`%ProgramData%\Microsoft\IntuneManagementExtension\Logs\.`
`%ProgramData%\Microsoft\Windows Defender\Support\MpSupportFiles.cab`
`%ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html`
`%ProgramData%\USOShared\logs\system\*.etl`
`%ProgramData Microsoft Update Health Tools\Logs\*.etl`
`%temp%\CloudDesktop\*.log`
`%temp%\MDMDiagnostics\battery-report.html`
`%temp%\MDMDiagnostics\energy-report.html`
`%temp%\MDMDiagnostics\mdmlogs-<Date/Time>.cab`
`%temp%\MDMDiagnostics\msinfo32.log`
`%windir%\ccm\logs\*.log`
`%windir%\ccmsetup\logs\*.log`
`%windir%\logs\CBS\cbs.log`
`%windir%\logs\measuredboot\.`
`%windir%\logs\Panther\unattendgc\setupact.log`
`%windir%\logs\SoftwareDistribution\ReportingEvent\measuredboot\*.log`
`%windir%\Logs\SetupDiag\SetupDiagResults.xml`
`%windir%\logs\WindowsUpdate\*.etl`
`%windir%\SensorFramework\*.etl`
`%windir%\system32\config\systemprofile\AppData\Local\mdm\*.log`
`%windir%\temp\%computername%*.log`
`%windir%\temp\officeclicktorun*.log`
`%TEMP%\winget\defaultstate*.log`

禁用设备诊断

默认情况下，将启用收集诊断远程作。可以执行以下步骤禁用所有设备的“收集诊断信息”远程操作：

登录到 Microsoft Intune 管理中心
导航到“租户管理>设备诊断”。
将“设备诊断”下的控件可用于运行 Windows 10 版本 1909 及更高版本的公司管理设备，或者Windows 11“更改为”已禁用”。

禁用 Windows Autopilot 自动收集诊断

默认情况下启用 Windows Autopilot 自动诊断捕获。可以按照以下步骤禁用 Windows Autopilot 自动诊断捕获：

登录到 Microsoft Intune 管理中心
导航到“租户管理>设备诊断”。
Windows 10 版本 1909 或更高版本的 Autopilot 过程中设备遇到故障时，请更改“自动捕获诊断”下的控件，Windows 11。诊断可能包括用户身份信息，例如用户或设备名称 (预览) 。设置为“已禁用”。

设备诊断的已知问题

目前有两个主要问题可能导致设备诊断失败：

在没有修补程序 KB4601315 或 KB4601319的设备上可能会发生超时。这些修补程序包含 DiagnosticLog CSP 的修补程序，可防止上传期间超时。更新安装后，请确保重新启动你的设备。
设备在 24 小时内无法接收设备操作。如果设备脱机或关闭，可能会导致故障。

参考链接

Microsoft图形 API：

反馈

此页面是否有帮助？

Last updated on 2025-11-22