通过

适用于 Windows 的 Intune 管理扩展

Intune管理扩展 (IME) 是一个安装程序代理。 管理扩展 (MDM) 增强了 Windows 设备管理。 Intune管理扩展通过启用高级设备管理功能来补充标准 Windows MDM 功能。

注意

有关 PowerShell 脚本的信息,请参阅在 Intune 中的 Windows 10/11 设备上使用 PowerShell 脚本

重要

若要支持扩展功能和 bug 修复,请将 .NET Framework 4.7.2 或更高版本与 Windows 客户端上的 Intune 管理扩展配合使用。 如果 Windows 客户端继续使用早期版本的.NET Framework,Intune管理扩展将继续正常运行。 .NET Framework 4.7.2 自 2018 年 7 月 10 日起从 Windows 更新 提供,它包含在 Win10 1809 (RS5) 及更新中。 请注意,.NET Framework版本的多个版本可以在设备上共存。

此功能适用于:

  • Windows 10 及更高版本 (排除以 S 模式) 运行的Windows 10 家庭版和 Windows 设备。

注意

满足Intune管理扩展先决条件后,将 PowerShell 脚本或 Win32 应用、Microsoft应用商店应用、自定义合规性策略设置或主动修正分配给用户或设备时,将自动安装Intune管理扩展。 有关详细信息,请参阅 Intune 管理扩展先决条件

先决条件

Intune 管理扩展具有以下先决条件。 满足先决条件后,在向用户或设备分配 PowerShell 脚本或 Win32 应用时,系统将自动安装 Intune 管理扩展。

  • 运行 Windows 10 版本 1607 或更高版本的设备。 如果设备是通过批量自动注册进行注册的,设备必须运行 Windows 10 版本 1709 或更高版本。 S 模式下的 Windows 10 不支持 Intune 管理扩展,因为 S 模式不允许运行非存储应用。

  • 已加入Microsoft Entra ID的设备,包括:

  • 在 Intune 中注册的设备,其中包括:

    • 在组策略 (GPO) 中注册的设备。 有关指导,请参阅使用 组策略自动注册 Windows 设备

    • 在 Intune 中手动注册的设备,即在下述情况下注册的设备:

      • Microsoft Entra ID中启用了自动注册到Intune。 用户使用本地用户帐户登录到设备,并手动加入设备以Microsoft Entra ID。 然后,他们使用其Microsoft Entra帐户登录到设备。

      OR

      • 用户使用其Microsoft Entra帐户登录到设备,然后注册Intune。

    • 使用 Configuration Manager 和 Intune 的共同托管设备。 安装 Win32 应用时,请确保将“应用”工作负载设置为“试点 Intune”或“Intune”。 即使将“应用”工作负载设置为“Configuration Manager”,也会运行 PowerShell 脚本。 将 PowerShell 脚本面向设备时,Intune 管理扩展将部署到设备。 请记住,设备必须是Microsoft Entra ID或Microsoft Entra混合联接设备。 此外,还必须运行 Windows 10 版本 1607 或更高版本。 若要获取指南,请参阅下列文章:

  • 对于防火墙和代理服务器后面的设备,必须为Intune启用通信。 若要了解详细信息,请参阅 PowerShell 脚本和 Win32 应用的网络要求

注意

有关使用 Window 10/11 VM 的信息,请参阅将 Windows 10/11 虚拟机与Intune配合使用。

了解Intune管理扩展代理安装

对于满足先决条件的设备,当将某些功能分配给用户或设备时,将自动安装Intune管理扩展。 分配了以下功能时,通常会进行安装:

注意

有关如何推出和更新 IME 的信息,请参阅Microsoft Intune版本更新的服务信息

代理在适用时安装 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs ,不会显示在 Windows 设备上的“开始”菜单中。 在 Windows 设备上运行时,代理在任务管理器中的“服务”下显示为 IntuneManagementExtension

Intune管理扩展功能

  • 在签入以接收 Windows 设备的分配安装之前,IME 会以静默方式通过Intune服务进行身份验证。
  • IME 通常每 8 小时检查一次Intune服务的新安装或更新安装。 此检查过程独立于 MDM 检查。

从 Windows 设备手动启动Intune管理 IME 检查

在安装了 IME 的 Windows 设备上,打开公司门户,选择“设置>同步”。这会启动 MDM 检查以及 IME 检查。

或者,可以打开 任务管理器,找到服务 IntuneManagementExtension,右键单击并选择“ 重启”。 IntuneManagementExtension 服务会立即重启,这将使用 Intune 启动检查。

注意

来自“设置”应用 (Windows 10 或更高版本的同步作) 或Microsoft Intune管理中心中的“设备”启动 MDM 检查,并且不会强制输入 IME 检查。

删除Intune管理扩展

有几个条件可能会导致从设备中删除 IME,例如:

  • Shell 脚本不再分配给设备。
  • 不再管理 Windows 设备。
  • IME 在设备唤醒时间) 超过 24 小时 (处于不可恢复状态。

常见问题和解决方法

问题:Intune管理扩展无法下载。

可能的解决方法

  • 设备未加入到Microsoft Entra ID。 请确保设备满足本文中的先决条件
  • 未向用户或设备所属的组分配任何 PowerShell 脚本或 Win32 应用。
  • 设备无法使用 Intune 服务签入。 例如,没有 Internet 访问权限,无法访问 Windows 推送通知服务 (WNS) 等。
  • 设备处于 S 模式下。 S 模式下运行的设备不支持 Intune 管理扩展。
  • 如果 WINHTTP 代理仅在用户级别配置 (而不是计算机范围的) ,请确保用户已登录到设备。 或者,使用 bitsadmin /util /setieproxy 手动配置 BITS (后台智能传输服务) 代理。 若要了解详细信息,请参阅 bitsadmin 命令详细信息

要查看是否会自动注册设备,可执行以下操作:

  1. 转至“设置”>“帐户”>“访问工作或学校”。
  2. 选择已加入的帐户 >信息
  3. 在“高级诊断报告”下,选择“创建报表”。
  4. 在 Web 浏览器中,打开 MDMDiagReport
  5. 搜索 MDMDeviceWithAAD 属性。 如果存在此属性,则设备已自动注册。 如果没有此属性,则未自动注册设备。

启用 Windows 自动注册包括在 Intune 中配置自动注册的步骤。

Intune 管理扩展日志

客户端计算机上的 IME 日志通常位于 中 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs。 可以使用 CMTrace.exe 查看这些日志文件。

Microsoft Intune 中的屏幕截图或 cmtrace 代理日志示例

此外,可以使用日志文件 AppWorkload.log 来帮助排查和分析客户端上的 Win32 应用管理事件。 此日志文件包含与 IME 执行的应用部署活动相关的所有日志记录信息。

IME 日志文件

日志文件 说明
IntuneManagementExtension.log 这是main日志文件。 它包含所有 IME 检查、策略请求、策略处理和报告活动。
AgentExecutor.log 此文件跟踪 (Intune) 部署的 PowerShell 脚本执行。
AppActionProcessor.log 此文件跟踪已分配应用的检测和适用性检查作。
AppWorkload.log 此文件有助于排查和分析 Win32 应用部署活动。
ClientCertCheck.log 此文件跟踪设备客户端证书检查。
ClientHealth.log 此文件跟踪Intune管理扩展的运行状况。
DeviceHealthMonitoring.log 此文件跟踪硬件就绪情况、设备清单和其他数据收集器的运行状况。
HealthScripts.log 此文件跟踪定期运行的修正的运行状况。
Sensor.log 此文件跟踪终结点分析数据收集器的运行状况,包括启动性能、应用可靠性等。
Win32AppInventory.log 此文件跟踪应用清单收集器的运行状况。

后续步骤