共用方式為

整治

重要事項

主動修復已更名為修復,並可在 Microsoft Intune 管理中心的裝置>管理>腳本與修復中取得。 本文件中所有關於主動修復的提及均被替換為「修復」。 然而,「主動修復」這個詞仍可能出現在某些部落格和其他文章中。

修復措施能幫助您在最終使用者察覺前解決常見的支援問題。

在本文中,您將學習如何:

  • 審查整治的先決條件
  • 部署內建腳本套件
  • 部署自訂腳本套件
  • 隨選執行修復腳本 (預覽)
  • 客戶政策檢索與客戶回報
  • 監控腳本套件
  • 匯出腳本輸出
  • 監控裝置的修復狀態

關於修復工程

修復是腳本套件,能在使用者發現問題前就偵測並修正常見的支援問題。 修復措施有助於減少客服電話和工單。 你可以建立自己的腳本套件,或部署內建的腳本套件。

每個腳本套件包含偵測腳本、修復腳本及元資料。 使用 Intune 時,你可以部署這些腳本套件,並查看其效能報告。

必要條件

無論是透過 Intune 或 Configuration Manager 註冊裝置,修復腳本都有以下需求:

  • 裝置必須是 Microsoft Entra 加入或 Microsoft Entra 混合加入,並符合以下條件之一:

    • 裝置為行動版裝置管理 (MDM,) 註冊於 Intune,並運行 Windows 企業版、專業版或教育版。

      OR

    • 裝置是 共用管理的,運行 Windows。

授權

修復措施要求裝置使用者擁有以下其中一種授權:

  • Windows Enterprise E3 或 E5 (包含在 Microsoft 365 F3、E3 或 E5)

  • Windows Education A3 或 A5 (包含在 Microsoft 365 A3 或 A5)

  • Windows 虛擬桌面存取 (每位使用者的 VDA)

權限

劇本需求

  • 你可以有最多 200 個腳本套件。
  • 腳本套件可以只包含偵測腳本,或同時包含偵測腳本與修復腳本。
    • 修復腳本只有在偵測腳本使用退出碼 exit 1時才會執行,表示問題已被偵測到。
  • 確保腳本以 UTF-8 編碼。
    • 在建立腳本套件的 設定 頁面,如果啟用強制 腳本簽章檢查 選項,請確保腳本是用 UTF-8 編碼,而不是 UTF-8 BOM (位元組順序標記) 。
  • 最大允許的輸出大小限制為 2,048 個字元。
  • 在建立腳本套件的 設定 頁面,如果啟用強制 腳本簽章檢查 選項,腳本就會依照裝置的 PowerShell 執行政策執行。 Windows 用戶端電腦的預設執行政策為 受限。 Windows Server 裝置的預設執行方式是遠端簽署(RemoteSigned)。 欲了解更多資訊,請參閱 PowerShell 執行策略
    • 修復中內建的腳本會被簽署,憑證會被加入裝置的 受信任出版商 憑證庫。
    • 使用非 Microsoft 簽署腳本時,請確保憑證存在於 Trusted Publishers 憑證庫中。 如同任何憑證,裝置必須信任憑證授權中心。
    • 未執行 腳本簽名檢查 的腳本會使用 繞過 執行策略。
  • 不要把重啟指令放在偵測或修復腳本裡。
  • 腳本 (中不要包含任何敏感資訊,例如密碼)
  • 不要在腳本中包含個人資料
  • 不要用腳本從裝置收集個人資料
  • 務必遵循隱私最佳實務

部署內建腳本套件

內建腳本套件可以讓你開始使用修復程序。 Microsoft Intune 管理擴充服務會從 Intune 取得腳本並執行。 以下內建腳本套件只需指派:

  • 更新過時的群組政策 ——過時的群組政策可能導致與連線及內部資源存取相關的客服單。
  • 重新啟動 Office 點擊執行服務 ——當點擊執行服務停止時,Office 應用程式無法啟動,導致客服電話。

要指派腳本套件:

  1. Intune 管理中心,點到「裝置>管理裝置>腳本與修復」節點,選擇內建的腳本套件之一。
  2. 選擇 屬性,然後在 指派 標題旁選擇 編輯
  3. 選擇你想 指派的 群組,以及腳本套件中任何 已排除的群組
  4. 要更改範圍標籤,請選擇編輯,再選擇範圍標籤。
  5. 要更改排程,請選擇省略號並選擇 編輯 以指定你的設定。 選取 [套用] 以儲存變更。
  6. 完成後,選擇 「檢視+儲存」。

作業排程選項

當您設定腳本套件的指派時,您可以使用以下排 選項之一來定義修復執行的頻率:

  • 一次 - 只執行一次修復,且在指定日期與時間。

  • 每小時 - 每小時執行一次修復,並設定可設定的間隔,例如每 n 小時一次。 價值必須少於24小時。

  • 每日 - 在指定時間執行修復。

執行行為:

  • 修復作業預設是根據裝置的本地時間執行。 若要依協調世界時排程,請選擇使用UTC。
  • 若漏接預定執行,修復會在裝置上線時執行,且盡快執行。
  • 對於非緊急或資源密集的腳本,建議使用較少頻率的排程 (如每七天) 一次,以減少對裝置的效能影響。

建立並部署自訂腳本套件

Microsoft Intune 管理擴充服務會從 Intune 取得腳本並執行。 這些劇本每24小時重播一次。 你可以複製提供的腳本並部署,或者自己建立腳本套件。 要部署腳本套件,請依照下一節的指示操作。

複製提供的偵測與修復腳本

  1. 複製 PowerShell 腳本 文章的腳本。
    • 名稱以 End Detect 開頭的腳本檔是偵測腳本。 修復腳本以 開頭。Remediate
    • 關於文字的描述,請參見 文字描述
  2. 請用提供的名稱儲存每個腳本。 名字也會在每個腳本頂端的留言區。 確保儲存的腳本以 UTF-8 編碼。
    • 你可以用不同的腳本名稱,但不會和 腳本描述中列出的名字相符。

部署腳本套件

修復腳本需要以 UTF-8 編碼。 上傳這些腳本,而不是直接在瀏覽器編輯,有助於確保腳本編碼正確,讓你的裝置能執行。

  1. Intune 管理中心,請前往「裝置>管理裝置>腳本與修復」。

  2. 選擇 「建立腳本套件 」按鈕以建立腳本套件。

    這張截圖顯示 Microsoft Intune 修復頁面中建立腳本套件按鈕。

  3. 基礎 步驟中,給腳本套件一個 名稱 ,並可選擇性地設定 一個描述出版者欄位可以編輯,但預設是你的名字。 版本 無法編輯。

  4. 設定 步驟中,依以下步驟上傳 偵測腳本檔修復腳本檔

    1. 選擇資料夾圖示。
    2. 瀏覽該 .ps1 檔案。
    3. 選擇檔案並選擇 開啟 來上傳。

    偵測腳本必須使用退出碼 exit 1 ,若偵測到目標問題。 如果有其他退出代碼,修復腳本就無法執行。 包含空輸出,因為這會導致 問題不是找到 狀態。 請參考 範例偵測腳本 ,以了解退出代碼的使用範例。

    你需要將對應的偵測與修復腳本放在同一個套件中。 例如, Detect_Expired_User_Certificates.ps1 偵測腳本對 Remediate_Expired_User_Certificates.ps1 應於修復腳本。

    截圖顯示 Microsoft Intune 修復頁面中自訂腳本設定。

  5. 設定 頁面完成以下建議配置:

    • 使用登入的憑證執行此腳本:此設定取決於腳本本身。 欲了解更多資訊,請參閱 劇本說明
    • 執行腳本簽章檢查:否
    • 在 64 位元 PowerShell 執行腳本:否

    關於執行腳本簽章檢查的資訊,請參見 腳本需求

  6. 選擇 「下一步 」,然後指派你需要的 範圍標籤

  7. 指派 步驟中,選擇你想部署腳本套件的裝置群組。 當你準備好將套件部署給使用者或裝置時,也可以使用篩選器。 欲了解更多資訊,請參閱 Microsoft Intune 中的建立篩選器

    注意事項

    不要在包含與排除指派間混用使用者和裝置群組。

  8. 完成部署的 檢視 + 創建 步驟。

隨需執行修復腳本 (預覽)

你可以使用 「執行修復 裝置」動作,按需對單一 Windows 裝置執行修復腳本。

按需執行修復腳本的前提條件

  • 修復必須先設定好,才能按需使用修復腳本。

  • 內建或自訂腳本套件必須提供,讓使用者能按需執行修復。 不過,這些裝置不需要被指派給使用者或裝置。 你可以使用 Scope 標籤 來限制使用者能看到哪些修復腳本套件。

  • 使用者必須是Intune管理員,或擁有在遠端任務) 中 (執行修復權限的角色。 在公開預覽期間,使用者還必須擁有組織:已閱讀。

  • 裝置已在線,能在遠端行動期間與Intune及 Windows 推播通知服務 (WNS) 通訊。

  • Intune 管理擴充功能必須安裝在裝置上。 當 Win32 應用程式、PowerShell 腳本或修復程式被指派給使用者或裝置時,安裝會自動完成。

如何隨需執行修復腳本

  1. 登入 Intune 系統管理中心
  2. 平台>瀏覽>裝置Windows> 選擇支援的裝置。
  3. 在裝置的 概覽 頁面,選擇 ......>執行修復 (預覽) 。
  4. 「執行修復」 (預覽) 窗格中,從清單中選擇你想執行的 腳本套件 。 選擇 「檢視詳細資料 」以查看腳本套件的屬性,如偵測與修復腳本內容、描述及設定。
  5. 若要按需執行修復,請選擇「執行修復」。

注意事項

  • 同一裝置一次只能執行一次 「執行修復 」裝置動作。 如果你在短時間內對同一裝置執行多次 「執行修復 裝置」動作,它們可能會互相覆寫。

  • 如果裝置離線或無法成功與 Intune 或 Windows 推播通知服務 (W) NS 通訊,該裝置可能無法收到執行修復裝置動作。

客戶政策檢索與客戶回報

用戶端會在以下時間取得修復腳本的政策:

  • 在裝置或 Intune 管理擴充服務重新啟動後

  • 使用者登入客戶端後

  • 每8小時一次

    • 8 小時腳本檢索排程是根據 Intune 管理擴充服務開始的時間來固定。 使用者登入不會改變排程。

客戶在以下時間回報修復資訊:

  • 當腳本設定執行一次時,結果會在腳本執行後回報。

  • 重複劇本遵循七天的報告週期:

    • 在前六天內,客戶僅在變動發生時才會回報。 劇本第一次執行會被視為變更。

    • 即使沒有變動,客戶每七天就會寄出報告。

監控你的腳本套件

  1. Intune 管理中心,請前往「裝置>管理裝置>腳本與修復」,您可以看到偵測與修復狀態的概覽。

    這張截圖顯示了 Microsoft Intune 中修復報告總覽頁面。

  2. 選擇 裝置狀態 以取得部署中每個裝置的狀態細節。

    這張截圖顯示 Microsoft Intune 中修復裝置狀態頁面。

匯出腳本輸出

為了幫助你輕鬆分析回傳的輸出,可以使用 匯出 選項將輸出儲存為 .csv 檔案。 將輸出匯出成 .csv 檔案後,可以在有問題的裝置上執行修復時分析回傳的輸出。 匯出功能也讓你能將結果分享給他人進行更多分析。

監控裝置的修復狀態

您可以查看裝置被指派或按需執行的修復狀態。

  1. 登入 Intune 系統管理中心
  2. 平台>瀏覽>裝置Windows> 選擇支援的裝置。
  3. 監控區段選擇修復措施

已知問題

當你套用「作者」或「狀態」等篩選器,或在「腳本與修復」的修復頁面使用匯出選項時,只有目前已載入的腳本套件會被包含。 要包含所有腳本,請往下滑直到完整清單載入。

注意事項

從 Intune 管理中心匯出平台腳本的裝置狀態,現在會使用 Intune 匯出 API,CSV 欄位名稱也與 API 架構對齊。

後續步驟

  • Last updated on