Endpoint Analytics & Advanced Features Endpoint Analytics & Advanced Features
Tiefenreferenz zu Endpoint Analytics, Proactive Remediations, Endpoint Privilege Management, Remote Help, Microsoft Tunnel, FOTA und Reporting in Intune. Deep reference for Endpoint Analytics, proactive remediations, Endpoint Privilege Management, Remote Help, Microsoft Tunnel, FOTA, and reporting in Intune.
Die Intune-Advanced-Features bilden zusammen einen Operations-Stack: Analytics erklärt den Zustand, Remediations beheben ihn, EPM reduziert Admin-Rechte, Remote Help beschleunigt Support und Tunnel bindet Mobilgeräte sicher ins Unternehmensnetz ein. The Intune advanced features form an operations stack: analytics explains the state, remediations fix it, EPM reduces admin rights, Remote Help accelerates support, and Tunnel securely connects mobile devices to corporate networks.
Voraussetzungen und Datenquelle Requirements and data source
Boot-Phasen und Trends Boot phases and trends
App- und Gerätezuverlässigkeit App and device reliability
Work from anywhere und Anomalien Work from anywhere and anomalies
Detection und Remediation Scripts Detection and remediation scripts
Elevation Rules und Requests Elevation rules and requests
Rollen und Sessions Roles and sessions
VPN und OEM Updates VPN and OEM updates
Endpoint Analytics Überblick Endpoint Analytics overview
Endpoint Analytics sammelt Diagnosedaten von verwalteten Geräten und übersetzt sie in Health- und Experience-Scores. Die Qualität der Erkenntnisse hängt an sauberer Enrollment-Basis, unterstützten Betriebssystemen, zugelassenen Diagnostics und korrektem RBAC-Scoping. Endpoint Analytics collects diagnostics from managed devices and translates them into health and experience scores. Insight quality depends on clean enrollment, supported operating systems, allowed diagnostics, and correct RBAC scoping.
| Bereich Area | Was geliefert wird What is delivered | Wichtige Hinweise Important notes |
|---|---|---|
| Enrollment Requirement Enrollment requirement | Geräte müssen in Intune oder Co-management eingebunden sein Devices must be in Intune or co-management | Ohne konsistente Enrollment-Basis sind Trends wertlos Without a consistent enrollment baseline, trends are meaningless |
| Data Collection Data collection | Windows-Diagnosedaten und Telemetrie Windows diagnostic data and telemetry | Datenschutzfreigaben und Rechtsgrundlagen dokumentieren Document privacy approvals and legal basis |
| Device Scopes Device scopes | Scope Tags und RBAC begrenzen Sichtbarkeit Scope tags and RBAC limit visibility | Berichte immer aus Sicht der verantwortlichen Betriebsrollen prüfen Always review reports from the perspective of the responsible operating roles |
| Insights Insights | Empfehlungen aus Score-Abweichungen Recommendations from score deviations | Insights erst nach Verifikation produktiv priorisieren Prioritize insights for production only after verification |
| Trends Trends | Zeitliche Entwicklung je Gerät oder Gruppe Time-based development per device or group | Trendbrüche oft mit Release-Wechseln, Firmware oder Netzänderungen korrelieren Trend breaks often correlate with release changes, firmware, or network changes |
| Reporting Export Reporting export | Berichte für Governance oder Log Analytics Reports for governance or Log Analytics | Für Management-Reporting Exportjobs automatisieren Automate export jobs for management reporting |
Startup Performance Startup performance
Startup Performance zerlegt den Bootprozess in BIOS-, OS- und Sign-in-Phase. Für tiefere Ursachenanalyse werden Hardware-Generationen, Firmware-Versionen, Storage-Treiber, Login-Skripte und Autostart-Komponenten mit dem Startup-Score korreliert. Startup Performance breaks boot into BIOS, OS, and sign-in phases. For deeper root-cause analysis, correlate the startup score with hardware generations, firmware versions, storage drivers, login scripts, and startup components.
| Signal Signal | Bedeutung Meaning | Tiefenanalyse Deep analysis |
|---|---|---|
| BIOS / Firmware Phase BIOS / firmware phase | Zeit bis zur OS-Übergabe Time until handoff to the OS | Bei Sprüngen Firmware, BitLocker-PIN oder OEM-Boot-Änderungen prüfen When it jumps, review firmware, BitLocker PIN, or OEM boot changes |
| OS Phase OS phase | Treiber- und Serviceinitialisierung Driver and service initialization | Große AV-, VPN- oder Storage-Änderungen wirken hier zuerst Large AV, VPN, or storage changes usually surface here first |
| Sign-in Phase Sign-in phase | Zeit bis Desktop benutzbar ist Time until the desktop is usable | GPOs, ESP-Äquivalente, SSO-Plug-ins und Login-Skripte betrachten Review GPOs, ESP equivalents, SSO plug-ins, and login scripts |
| Per-Device Score Per-device score | Einzelwert für Vergleich und Priorisierung Single value for comparison and prioritization | Low-Score-Geräte mit ähnlicher Hardware clustern Cluster low-score devices with similar hardware |
| Benchmark Benchmark | Vergleich zu Peer-Gruppe Comparison to a peer group | Peer Groups nur auf wirklich vergleichbare Builds anwenden Apply peer groups only to truly comparable builds |
| Top Insights Top insights | Von Microsoft priorisierte Optimierungshebel Microsoft-prioritized optimization levers | Empfehlungen mit lokaler Architektur gegenprüfen Cross-check recommendations with local architecture |
Application und Device Reliability Application and device reliability
Application Reliability und Device Reliability fokussieren Abstürze, Stop Errors und Systemstabilität. In reifen Umgebungen werden diese Daten mit Problem-Management, Release Governance und Pilotierungsroutinen verknüpft. Application Reliability and Device Reliability focus on crashes, stop errors, and system stability. In mature environments, these data points are tied to problem management, release governance, and pilot routines.
| Stream Stream | Beobachtete Signale Observed signals | Praxisnutzung Practical usage |
|---|---|---|
| App Crash Data App crash data | Abstürze, Hänger, problematische Versionen Crashes, hangs, and problematic versions | Mit App-Ringen und Version-Rollouts korrelieren Correlate with application rings and rollout versions |
| App Usage Metrics App usage metrics | Nutzungshäufigkeit und Auswirkung eines Problems Usage frequency and impact of an issue | Wichtige Business-Apps höher priorisieren als selten genutzte Tools Prioritize critical business apps above seldom-used tools |
| Blue Screen Analysis Blue screen analysis | Stop Errors und Wiederholungsmuster Stop errors and recurring patterns | Treiber, Firmware und Security Stack gemeinsam prüfen Review drivers, firmware, and the security stack together |
| Unexpected Restarts Unexpected restarts | Strom, Firmware, Thermik oder Treiberfehler Power, firmware, thermal, or driver errors | Laptop-Generationen und BIOS-Revisionen gesondert analysieren Analyze laptop generations and BIOS revisions separately |
| Trend View Trend view | Entwicklung der Zuverlässigkeit über Zeit Reliability development over time | Vor und nach Rollouts Screenshots oder Exporte sichern Capture screenshots or exports before and after rollouts |
| Operational Follow-up Operational follow-up | Ticket, KEDB, Known Issue oder Rollback Ticket, KEDB, known issue, or rollback | Analytics nur wertvoll, wenn Folgeprozess existiert Analytics only matter if a follow-up process exists |
Work from Anywhere und Anomaly Detection Work from Anywhere and anomaly detection
Work from Anywhere bewertet Cloud-Provisioning, Cloud Identity und Cloud Management. Anomaly Detection ergänzt das Bild um Ausreißer und Warnsignale. Zusammen helfen diese Bereiche, Hybrid-Altlasten sichtbar zu machen. Work from Anywhere evaluates cloud provisioning, cloud identity, and cloud management. Anomaly detection adds outliers and warning signals. Together, these areas help expose hybrid legacy patterns.
| Thema Topic | Signal Signal | Management-Mehrwert Management value |
|---|---|---|
| Cloud Provisioning Cloud provisioning | Autopilot, provisioning readiness, cloud-native onboarding Autopilot, provisioning readiness, cloud-native onboarding | Zeigt, wie weit Gerätebereitstellung von klassischen Imaging-Prozessen entfernt ist Shows how far provisioning has moved away from classic imaging |
| Cloud Identity Cloud identity | Entra Join, Benutzeridentität, moderner Zugriff Entra join, user identity, modern access | Hilft bei der Priorisierung von Join- und Tokenproblemen Helps prioritize join and token issues |
| Cloud Management Cloud management | Intune-Verwaltbarkeit, Richtlinienabdeckung, Agentik Intune manageability, policy coverage, agent footprint | Macht Altgeräte sichtbar, die formal verwaltet, aber operativ nicht cloudfähig sind Makes legacy devices visible that are formally managed but not cloud-operable |
| Anomaly Alerts Anomaly alerts | Ausreißer bei Scores oder Mustern Outliers in scores or patterns | Alerts immer mit Release-Kalender und Incident-Lage abgleichen Always match alerts with the release calendar and incident situation |
| Correlation Engine Correlation engine | Verknüpft ähnliche Symptome über Geräte Links similar symptoms across devices | Besonders nützlich nach Treiber-, VPN- oder Security-Änderungen Especially useful after driver, VPN, or security changes |
| Custom Thresholds Custom thresholds | Tenant-spezifische Empfindlichkeit Tenant-specific sensitivity | Nur anpassen, wenn Grundrauschen und Baseline stabil bekannt sind Adjust only when noise and baseline are well understood |
Proactive Remediations Proactive remediations
Proactive Remediations bestehen aus Detection Script, optionalem Remediation Script, Zuweisung, Zeitplan und Reporting. In reifen Umgebungen bilden sie die Brücke zwischen Analytics und automatisierter Fehlerbehebung. Proactive remediations consist of a detection script, an optional remediation script, assignment, schedule, and reporting. In mature environments they are the bridge between analytics and automated correction.
| Baustein Building block | Inhalt Content | Best Practice Best practice |
|---|---|---|
| Detection Script Detection script | Ermittelt den fehlerhaften Zustand Determines the faulty state | Schnell, deterministisch und mit klaren Exit-Codes bauen Build it to be fast, deterministic, and with clear exit codes |
| Remediation Script Remediation script | Behebt den Zustand automatisiert Fixes the state automatically | Idempotenz ist Pflicht, sonst verschärft die Remediation das Problem Idempotence is mandatory or the remediation worsens the problem |
| Scheduling Scheduling | Stündlich, täglich oder bedarfsorientiert Hourly, daily, or as needed | Belastung und Nutzerwirkung mit dem Zeitpunkt abstimmen Align timing with load and user impact |
| Reporting Reporting | Detected, remediated, failed Detected, remediated, failed | Fehlgeschlagene Remediations in Problem Management aufnehmen Feed failed remediations into problem management |
| Pre-built Scripts Pre-built scripts | Microsoft-Beispiele für bekannte Probleme Microsoft examples for known issues | Vor produktivem Einsatz immer tenant-spezifisch testen Always test in a tenant-specific way before production |
| Security Model Security model | Skripte laufen mit hohem Kontext Scripts run with elevated context | Code Review und Signaturstrategie für Remediation-Bibliotheken etablieren Establish code review and a signing strategy for remediation libraries |
# Detection
$service = Get-Service -Name BITS -ErrorAction SilentlyContinue
if ($service.Status -ne 'Running') { exit 1 }
exit 0
# Remediation
Start-Service -Name BITSEndpoint Privilege Management Endpoint Privilege Management
EPM reduziert lokale Administratorrechte, ohne Produktivität zu blockieren. Regeln können genehmigte, automatische oder anforderungsbasierte Erhöhungen erlauben und dabei Dateihash, Zertifikat, Pfad und Child-Process-Verhalten berücksichtigen. EPM reduces local administrator rights without blocking productivity. Rules can allow approved, automatic, or request-based elevation while considering file hash, certificate, path, and child process behavior.
| Regeltyp Rule type | Wann geeignet When it fits | Tiefe Kontrolle Deep control |
|---|---|---|
| Automatic Elevation Automatic elevation | Wiederkehrende, bekannte Admin-Aufgaben Recurring, known admin tasks | Mit Zertifikat, Hash und Parametern eng eingrenzen Constrain tightly with certificate, hash, and parameters |
| User-Confirmed Elevation User-confirmed elevation | Kontrollierte Self-Service-Freigaben Controlled self-service approvals | Begründung und Benutzerwarnung erzwingen Require justification and user warning |
| Support Approved Support approved | Helpdesk- oder Admin-gesteuerte Freigaben Help-desk or admin-driven approvals | Approval-Workflow mit Ticketnummer koppeln Tie the approval workflow to a ticket number |
| Child Process Control Child process control | Begrenzt, was nach einer Elevation starten darf Limits what can launch after elevation | Wichtig gegen Installer, die beliebige Tools nachladen Important against installers that spawn arbitrary tools |
| File Hash Rule File hash rule | Bindet an exakte Binärversion Binds to an exact binary version | Sicher, aber bei häufigen Updates wartungsintensiv Secure, but maintenance-heavy for frequent updates |
| Certificate Rule Certificate rule | Vertrauen auf signierten Herausgeber Trust based on signed publisher | Flexibler, aber mit sorgfältiger Publisher-Pflege More flexible, but requires careful publisher hygiene |
| Reporting Reporting | Elevations, Ablehnungen, Anfragen Elevations, denials, requests | Ideal für Least-Privilege-KPIs und Nachweisführung Ideal for least-privilege KPIs and evidence |
Remote Help Remote Help
Remote Help stellt kontrollierte Support-Sitzungen für Windows und macOS bereit. Tenant-Konfiguration, RBAC, Session-Typen, Compliance-Warnungen und Auditing bestimmen, ob der Dienst sicher und betrieblich nutzbar ist. Remote Help provides controlled support sessions for Windows and macOS. Tenant configuration, RBAC, session types, compliance warnings, and auditing determine whether the service is secure and operationally useful.
| Thema Topic | Funktion Function | Betriebsnotiz Operational note |
|---|---|---|
| Tenant Setup Tenant setup | Aktivierung, Lizenzierung, Netzwerkfreigaben Activation, licensing, network allow lists | Vor produktivem Rollout Piloten mit Proxy- und Firewall-Teams abstimmen Coordinate pilots with proxy and firewall teams before production rollout |
| Roles Roles | Helper, Helpdesk, erweiterte Operatoren Helper, help desk, elevated operators | Least-Privilege-Rollen verwenden und lokale Adminrechte nicht automatisch voraussetzen Use least-privilege roles and do not assume local admin rights |
| Session Types Session types | View only, full control, elevated help View only, full control, elevated help | Für besonders sensible Umgebungen View-only als Standard prüfen Consider view-only as the default for highly sensitive environments |
| Compliance Warning Compliance warning | Zeigt Supportern den Gerätezustand Shows the device state to helpers | Nützlich, um riskante Support-Aktionen auf nicht konformen Geräten zu erkennen Useful to recognize risky support actions on non-compliant devices |
| Auditing Auditing | Session-Protokolle und Nachvollziehbarkeit Session logs and traceability | Mit Datenschutz und Betriebsrat abstimmen Align with privacy and works council requirements |
| macOS Support macOS support | Unterstützte Remote-Hilfe-Szenarien für Apple-Geräte Supported remote-help scenarios for Apple devices | Vorab prüfen, welche lokalen Berechtigungen bei macOS nötig sind Validate required local permissions for macOS in advance |
Microsoft Tunnel, FOTA und Reporting Microsoft Tunnel, FOTA, and reporting
Microsoft Tunnel bringt per-app VPN und sicheren Zugriff für mobile Plattformen, während FOTA OEM-Updates wie Samsung Knox oder Zebra LifeGuard in das Endpoint-Betriebsmodell einbindet. Berichte und Graph-Exporte machen die Nutzung steuerbar. Microsoft Tunnel brings per-app VPN and secure access for mobile platforms, while FOTA integrates OEM updates such as Samsung Knox or Zebra LifeGuard into endpoint operations. Reports and Graph exports make usage governable.
| Feature Feature | Worum es geht What it covers | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| Tunnel Gateway Tunnel gateway | Linux-basierte Tunnel-Server für mobile VPN-Anbindung Linux-based tunnel servers for mobile VPN access | DNS, Zertifikate, Split Tunnel und Skalierung vor dem Rollout modellieren Model DNS, certificates, split tunneling, and scale before rollout |
| Per-App VPN Per-app VPN | Nur definierte Apps bauen Tunnel auf Only defined apps build the tunnel | Ideal für BYOD oder selektive Datenpfade Ideal for BYOD or selective data paths |
| Compliance Integration Compliance integration | Nur konforme Geräte dürfen Tunnel verwenden Only compliant devices can use the tunnel | Tunnel und CA-Policies gemeinsam testen Test tunnel and CA policies together |
| Defender Integration Defender integration | Risk Signale können Netzpfade beeinflussen Risk signals can influence network paths | Zero-Trust-Szenarien mit Defender abstimmen Align zero-trust scenarios with Defender |
| Samsung Knox FOTA Samsung Knox FOTA | OEM-Firmware- und OS-Steuerung OEM firmware and OS control | Mit Standard-WUfB- oder Android-Updateprozessen harmonisieren Harmonize with standard update processes |
| Zebra LifeGuard Zebra LifeGuard | Spezialisierte Rugged-Device-Updates Specialized rugged-device updates | Operational Ownership mit Warehouse- oder Field-Service-Teams teilen Share operational ownership with warehouse or field service teams |
| Reports / Log Analytics Reports / Log Analytics | Built-in Reports, Exporte, Korrelation Built-in reports, exports, correlation | Für Management- und SOC-Sicht zentrale Dashboards bauen Build central dashboards for management and SOC views |
$uri = "https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs"
$body = @{ reportName = "EndpointAnalyticsStartupPerformance"; format = "csv" } | ConvertTo-Json
Invoke-MgGraphRequest -Method POST -Uri $uri -Body $body -ContentType 'application/json'