CMPivot para dados em tempo real no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

O Gestor de Configuração sempre forneceu uma grande loja centralizada de dados do dispositivo, que os clientes usam para efeitos de reporte. O site normalmente recolhe estes dados semanalmente. A partir da versão 1806, a CMPivot é um novo utilitário na consola que agora fornece acesso ao estado em tempo real dos dispositivos no seu ambiente. Executa imediatamente uma consulta sobre todos os dispositivos atualmente ligados na recolha do alvo e devolve os resultados. Em seguida, filtre e agrupe estes dados na ferramenta. Ao fornecer dados em tempo real de clientes online, você pode responder mais rapidamente a questões de negócio, problemas de resolução de problemas e resposta a incidentes de segurança.

Por exemplo, na mitigação das vulnerabilidades dos canais laterais de execução especulativa,um dos requisitos é atualizar o sistema BIOS. Pode utilizar a CMPivot para consultar rapidamente as informações do sistema BIOS e encontrar clientes que não estejam em conformidade.

Importante

  • Algum software de segurança pode bloquear scripts que são de c:\windows\ccm\scriptstore. Isto pode impedir a execução bem sucedida de consultas cmpivot. Alguns softwares de segurança também podem gerar eventos de auditoria ou alertas ao executar a CMPivot PowerShell.
  • Certos softwares anti-malware podem desencadear inadvertidamente eventos contra as funcionalidades de Execução de Scripts do Gestor de Configuração ou de CMPivot. Recomenda-se excluir %windir%\CCM\ScriptStore para que o software anti-malware permita que essas funcionalidades possam ser executadas sem interferências.

Pré-requisitos

São necessários os seguintes componentes para utilizar o CMPivot:

  • Atualize os dispositivos-alvo para a versão mais recente do cliente Gestor de Configuração.

  • Os clientes-alvo requerem um mínimo de powerShell versão 4.

  • Para recolher dados para as seguintes entidades, os clientes-alvo requerem a versão 5.0 do PowerShell:

    • Administradores
    • Ligação
    • IPConfig
    • SMBConfig
  • A CMPivot e o instalador Microsoft Edge estão atualmente assinados com o certificado PCA 2011 de Assinatura do Código microsoft. Se definir a política de execução powerShell para o AllSigned, então tem de se certificar de que os dispositivos confiam neste certificado de assinatura. Pode exportar o certificado de um computador onde instalou a consola 'Gestor de Configuração'. Veja o certificado em "C:\Program Files (x86)\Microsoft Endpoint Manager\AdminConsole\bin\CMPivot.exe" , e depois exporte o certificado de assinatura de código a partir da rota de certificação. Em seguida, importe-o para a loja trusted Publishers da máquina em dispositivos geridos. Pode utilizar o processo no seguinte blog, mas certifique-se de exportar o certificado de assinatura de código a partir da rota de certificação: Adicionar um Certificado a Editores Fidedignos utilizando o Intune.

Permissões

São necessárias as seguintes permissões para a CMPivot:

  • Executar permissão cmpivot na Coleção
  • Ler permissão em Relatórios de Inventário
  • Leia a permissão no objeto scripts SMS
    • Ler para SCRIPTS SMS não é necessário a partir da versão 2107
    • A CMPivot não precisa de Ler para SMS Scripts para o seu cenário primário a partir da versão 2107. No entanto, se o serviço de administração estiver em baixo e a autorização tiver sido removida, então quando o serviço de administração recuar, a CMPivot falhará. O Fornecedor de SMS ainda requer a permissão de leitura em Scripts SMS se o serviço de administração voltar a cair devido a um erro de 503 (Serviço Indisponível), como se pode ver na cmpivot.log.
  • O âmbito padrão.
    • O âmbito padrão não é necessário a partir da versão 2107

Permissões CMPivot por versão Do Gestor de Configuração

1902 e mais cedo Versões 1906 a 2103 2107 ou mais tarde
Executar permissão de Script na Coleção Executar permissão cmpivot na Coleção Executar permissão cmpivot na Coleção
Ler permissão em Relatórios de Inventário Ler permissão em Relatórios de Inventário Ler permissão em Relatórios de Inventário
Ler permissão em Scripts SMS Ler permissão em Scripts SMS N/D

O Fornecedor de SMS ainda requer a permissão de leitura em Scripts SMS se o serviço de administração voltar a cair devido a um erro de 503 (Serviço Indisponível), como se pode ver na cmpivot.log.
Permissão de âmbito predefinido Permissão de âmbito predefinido N/D

Limitações

  • A CMPivot só devolve dados para clientes ligados ao site atual, a menos que seja gerido a partir do site da administração central (CAS).
    • Se uma coleção contiver dispositivos de outro local, os resultados da CMPivot são apenas de dispositivos no local atual, a menos que a CMPivot seja executada a partir do CAS.
    • Em alguns ambientes, são necessárias permissões adicionais para que a CMPivot corra no CAS. Para mais informações, consulte as alterações da CMPivot para a versão 1902.
  • Não é possível personalizar propriedades de entidades, colunas para resultados ou ações em dispositivos.
  • Apenas uma instância de CMPivot pode ser executada ao mesmo tempo num computador que está a executar a consola Do Gestor de Configuração.
  • No cmpivot autónomo, você não é capaz de aceder a consultas CMPivot armazenadas no centro comunitário.

Iniciar CMPivot

  1. Na consola 'Gestor de Configuração', ligue-se ao local primário ou ao CAS. Vá ao espaço de trabalho De Bens e Conformidade e selecione o nó de Recolhas de Dispositivos. Selecione uma coleção de destino e selecione Iniciar CMPivot na fita para lançar a ferramenta. Se não vir esta opção, verifique as seguintes configurações:

    • Confirme com um administrador do site que a sua conta tem as permissões necessárias. Para obter mais informações, veja os Pré-requisitos.
  2. A interface fornece mais informações sobre a utilização da ferramenta.

    • Introduza manualmente as cordas de consulta na parte superior ou selecione os links na documentação em linha.

    • Selecione uma das Entidades para adicioná-lo à cadeia de consulta.

    • Os links para Operadores de Tabelas, Funções agregação e Funções Scalar abrem documentação de referência linguística no navegador web. A CMPivot utiliza a Língua De Consulta kusto (KQL).

  3. Mantenha a janela CMPivot aberta para ver os resultados dos clientes. Ao fechar a janela CMPivot, a sessão está completa.

    • Se a consulta tiver sido enviada, os clientes ainda enviam uma resposta de mensagem de estado para o servidor.

Como usar o CMPivot

Amostra de janela CMPivot

A janela CMPivot contém os seguintes elementos:

  1. A coleção que a CMPivot visa atualmente está na barra de títulos no topo, e a barra de estado na parte inferior da janela. Por exemplo, "PM_Team_Machines" na imagem acima.

  2. O painel à esquerda lista as Entidades que estão disponíveis nos clientes. Algumas entidades confiam no WMI enquanto outras usam o PowerShell para obter dados dos clientes.

    • Clique com o direito numa entidade para as seguintes ações:

      • Insira: Adicione a entidade à consulta na posição atual do cursor. A consulta não funciona automaticamente. Esta ação é o padrão quando clica duas vezes numa entidade. Use esta ação ao construir uma consulta.

      • Consulta tudo: Executar uma consulta para esta entidade, incluindo todas as propriedades. Utilize esta ação para consultar rapidamente uma única entidade.

      • Consulta por dispositivo: Executar uma consulta para esta entidade e agrupar os resultados. Por exemplo, Disk | summarize dcount( Device ) by Name

    • Expandir uma entidade para ver propriedades específicas disponíveis para cada entidade. Clique duas vezes numa propriedade para adicioná-la à consulta na posição atual do cursor.

  3. O separador Home mostra informações gerais sobre a CMPivot, incluindo links para consultas de amostra e documentação de apoio.

  4. O separador de consulta apresenta o painel de consultas, o painel de resultados e a barra de estado. O separador de consulta é selecionado no exemplo de screenshot acima.

  5. O painel de consultas é onde se constrói ou escreve uma consulta para correr com os clientes da coleção.

    • Por padrão, este painel utiliza o IntelliSense. Por exemplo, se começar a D escrever, o IntelliSense sugere todas as entidades que começam com essa carta. Selecione uma opção e prima o Separador para inseri-lo. Digite um caracter de tubo e um espaço | , e então o IntelliSense sugere todos os operadores de mesa. Insira summarize e digite um espaço, e o IntelliSense sugere todas as funções de agregação. Para obter mais informações sobre estes operadores e funções, selecione o separador Casa em CMPivot.

    • O painel de consulta também fornece as seguintes opções:

      • Execute a consulta.

        • Para refazer a sua consulta atual de CMPivot sobre os clientes, mantenha a Ctrl enquanto clica em Run.
      • Ande para trás e para a frente na lista de história de consultas.

      • Criar uma coleção direta de membros.

      • Exporte os resultados da consulta para o CSV ou para a área de transferência.

  6. O painel de resultados exibe os dados devolvidos pelos clientes ativos para a consulta.

    • As colunas disponíveis variam em função da entidade e da consulta.

    • Selecione um nome de coluna para classificar os resultados por essa propriedade.

    • Clique com o direito em qualquer nome de coluna para agrupar os resultados pela mesma informação nessa coluna, ou ordenar os resultados.

    • Clique com o botão direito num nome do dispositivo para tomar as seguintes ações adicionais no dispositivo:

    • Clique com o botão direito em qualquer célula não-dispositivo para tomar as seguintes ações adicionais:

      • Cópia: Copiar o texto da célula para a área de transferência.

      • Mostrar dispositivos com: Consulta para dispositivos com este valor para esta propriedade. Por exemplo, a partir dos resultados da OS consulta, selecione esta opção numa célula na linha versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ > 0)

      • Mostrar dispositivos sem: Consulta para dispositivos sem este valor para esta propriedade. Por exemplo, a partir dos resultados da OS consulta, selecione esta opção numa célula na linha versão: OS | summarize countif( (Version == '10.0.17134') ) by Device | where (countif_ == 0) | project Device

      • Bing-lo: Lançar o navegador web padrão https://www.bing.com para com este valor como a cadeia de consulta.

    • Selecione qualquer texto hiperligado para orientar a vista sobre essa informação específica.

    • O painel de resultados não mostra mais de 20.000 filas. Ajuste a consulta para filtrar ainda mais os dados ou reinicie o CMPivot numa recolha mais pequena.

  7. A barra de estado mostra as seguintes informações (da esquerda para a direita):

    • O estado da consulta atual à recolha do alvo. Este estado inclui:

      • O número de clientes ativos que completaram a consulta (3)

      • O número total de clientes (5)

      • O número de clientes offline (2)

      • Quaisquer clientes que devolvam falha (0)

        Por exemplo: Query completed on 3 of 5 clients (2 clients offline and 0 failure)

    • A identificação da operação do cliente. Por exemplo: id(16780221)

    • A coleção atual. Por exemplo: PM_Team_Machines

    • O número total de linhas no painel de resultados. Por exemplo, 1 objects

Dica

A partir da versão 2107, utilize novamente o botão Desílmo dos Dispositivos de Consulta ou Ctrl + F5 para forçar o cliente a recuperar novamente os dados para a consulta. A utilização de dispositivos de consulta novamente é útil quando espera que os dados sejam alterados no dispositivo desde a última consulta, como durante a resolução de problemas. Selecionando a consulta run novamente após os resultados iniciais serem devolvidos apenas analisar os dados que a CMPivot já recuperou do cliente.

Screenshot dos dispositivos de consulta novamente botão mostrando a ponta da ferramenta que Ctrl + F5 é um atalho para forçar os clientes a recuperar os dados novamente.

Publicar consulta ao hub comunitário da CMPivot

(Aplica-se à versão 2107 ou posterior)

A partir da versão 2107, pode publicar uma consulta cmpivot ao centro comunitário diretamente a partir da janela CMPivot. Submeter as suas consultas diretamente através da CMPivot facilita a contribuição para o hub comunitário.

Você precisará dos seguintes requisitos para a CMPivot e para contribuir para o centro comunitário:

  1. Vá ao espaço de trabalho Ativos e Compliance e, em seguida, selecione o nó de Recolhas de Dispositivos.

  2. Selecione uma recolha de alvos, dispositivo alvo ou grupo de dispositivos e, em seguida, selecione Iniciar CMPivot na fita para lançar a ferramenta.

  3. A partir da janela CMPivot, selecione o ícone do hub comunitário no menu.

    Ícone de hub comunitário

  4. Selecione Iniciar sômin e, em seguida, inscreva-se em GitHub.

  5. Crie uma consulta CMPivot e, em seguida, selecione ''Executar Consulta' para verificar se funciona como esperado.

    • Opcionalmente, selecione o ícone da pasta para aceder à sua lista de favoritos para utilizar uma consulta que já criou.
  6. Selecione o link Publicar no topo da janela do hub comunitário da CMPivot quando estiver pronto para submeter a sua consulta.

    Screenshot da janela do hub comunitário em CMPivot mostrando o separador de publicação

  7. Dê à sua consulta um Nome e Descrição e, em seguida, selecione o botão Publicar para enviar a sua consulta para o centro comunitário.

  8. Uma vez que a contribuição esteja completa, pode aceder à sua consulta a qualquer momento a partir do separador Me.

  9. Para ver o pedido de GitHub puxar (PR), vá a https://github.com/Microsoft/configmgr-hub/pulls . Também pode aceder ao link de relações públicas a partir da página do seu hub no nó do hub comunitário.

    • Os pRs não devem ser submetidos diretamente ao repositório GitHub.

Nota

  • Atualmente, quando publica uma consulta através da CMPivot, não pode editá-la ou eliminá-la após a publicação.
  • O hub comunitário só está disponível na CMPivot quando o executar a partir da consola Do Gestor de Configuração. O centro comunitário não está disponível a partir de CMPivot autónomo.

Exemplo de cenários para CMPivot

As seguintes secções fornecem exemplos de como pode utilizar o CMPivot no seu ambiente:

Exemplo 1: Parar um serviço de corrida

O seu administrador de segurança pede-lhe para parar e desativar o serviço de Navegador de Computador o mais rapidamente possível em todos os dispositivos do departamento de contabilidade. Inicia-se a CMPivot numa recolha para todos os dispositivos contabilísticos e seleciona Consulta tudo na entidade de Serviço.

Service

À medida que os resultados aparecem, clique à direita na coluna Nome e selecione Grupo por.

Service | summarize dcount( Device ) by Name

Na linha para o serviço Browser, selecione o número hiperligado na coluna dcount_.

Service | where (Name == 'Browser') | summarize count() by Device

Seleciona multi-seleccionar todos os dispositivos, clique com o botão direito na seleção e escolha Executar Script. Esta ação lança o assistente de Script de Execução, a partir do qual executou um script existente que tem para parar e desativar um serviço. Com o CMPivot responde rapidamente ao incidente de segurança de todos os computadores ativos, visualizando os resultados no assistente de Script de Execução. Em seguida, segue-se a criação de uma linha de base de configuração para remediar outros computadores na coleção à medida que se tornam ativos no futuro.

Exemplo CMPivot para serviço de navegador e ação de Script executado

Exemplo 2: Resolver proativamente falhas de aplicação

Para ser proativo com a manutenção operacional, uma vez por semana executa CMPivot contra uma coleção de servidores que gere, e selecione Consulta tudo na entidade AppCrash. Clique no botão direito da coluna FileName e selecione Sort Ascending. Um dispositivo devolve sete resultados para sqlsqm.exe com um tempotando cerca das 03:00 todos os dias. Selecione o nome do ficheiro numa das linhas, clique à direita e selecione Bing It. Navegando nos resultados da pesquisa no navegador web, encontra um artigo de suporte da Microsoft para este problema com mais informações e resolução.

Exemplo 3: Versão BIOS

Para mitigar as vulnerabilidades do canal de execução especulativa, um dos requisitos é atualizar o sistema BIOS. Começa-se com uma consulta para a entidade BIOS. Em seguida, Grupo pela propriedade Version. Em seguida, clique com o botão direito de um valor específico, como "LENOVO - 1140", e selecione dispositivos Show com.

Bios | summarize countif( (Version == 'LENOVO - 1140') ) by Device | where (countif_ > 0)

Exemplo 4: Espaço de disco gratuito

É necessário armazenar temporariamente um ficheiro grande num servidor de ficheiros de rede, mas não tem a certeza de qual tem capacidade suficiente. Inicie a CMPivot contra uma recolha de servidores de ficheiros e questione a entidade disco. Modifique a consulta para a CMPivot devolver rapidamente uma lista de servidores ativos com dados de armazenamento em tempo real:

Disk | where (Description == 'Local Fixed Disk') | where isnotnull( FreeSpace ) | order by FreeSpace asc

CMPivot autónomo

A partir da versão 1906, pode utilizar a CMPivot como uma aplicação autónoma. O CMPivot autónomo só está disponível em inglês. Executar CMPivot fora da consola Do Gestor de Configuração para ver o estado em tempo real dos dispositivos no seu ambiente. Esta alteração permite-lhe utilizar o CMPivot num dispositivo sem antes instalar a consola.

Dica

Esta funcionalidade foi introduzida pela primeira vez na versão 1906 como uma funcionalidade pré-lançamento. Começando pela versão 2002, já não é uma funcionalidade pré-lançamento.

Pode partilhar o poder da CMPivot com outras personalidades, como o Helpdesk ou os administradores de segurança, que não têm a consola instalada no computador. Estas outras personalidades podem usar o CMPivot para consultar o Gestor de Configuração ao lado das outras ferramentas que tradicionalmente utilizam. Ao partilhar estes dados de gestão ricos, pode trabalhar em conjunto para resolver proativamente problemas de negócio que cruzam papéis.

Instalar CMPivot autónomo

  1. Configurar as permissões necessárias para executar a CMPivot. Para mais informações, consulte os pré-requisitos. Também pode utilizar a função de Administrador de Segurança se as permissões forem apropriadas para o utilizador.

  2. Encontre o instalador de aplicações CMPivot no seguinte caminho: <site install path>\tools\CMPivot\CMPivot.msi . Pode executá-lo a partir desse caminho, ou copiá-lo para outro local.

  3. Quando executar a app autónoma CMPivot, será solicitado que se conecte a um site. Especifique o nome de domínio ou nome de computador totalmente qualificado da Administração Central ou do servidor do site primário.

    • Cada vez que abrir o CMPivot autónomo, será solicitado a ligar-se a um servidor do site.
  4. Navegue pela coleção em que pretende executar a CMPivot e, em seguida, faça a sua consulta.

    Navegue pela coleção contra a sua consulta

Nota

  • As ações de clique com direito, tais como Scripts de Execução, Explorador de Recursos e pesquisa na Web não estão disponíveis em autónomo CMPivot. A utilização primária da CMPivot é consulta independente da infraestrutura do Gestor de Configuração. Para ajudar os administradores de segurança, a CMPivot autónoma inclui a capacidade de se ligar a Centro de Segurança do Microsoft Defender.
  • A partir da versão 1910, pode fazer uma avaliação de consulta de dispositivo local utilizando o CMPivot autónomo.

Dentro da CMPivot

A CMPivot envia consultas aos clientes utilizando o "canal rápido" do Gestor de Configuração. Este canal de comunicação de servidor para cliente também é usado por outras funcionalidades, tais como ações de notificação do cliente, estado do cliente e Proteção endpoint. Os clientes devolvem resultados através do sistema de mensagens estatais igualmente rápido. As mensagens estatais são temporariamente armazenadas na base de dados. Para mais informações sobre as portas utilizadas para notificação do cliente, consulte o artigo Portos.

As consultas e os resultados são apenas texto. As entidades InstallSoftware e Process devolvem alguns dos maiores conjuntos de resultados. Durante os testes de desempenho, o maior tamanho de ficheiro de mensagem estatal de um cliente para estas consultas foi inferior a 1 KB. Dimensionada para um grande ambiente com 50.000 clientes ativos, esta consulta única geraria menos de 50 MB de dados em toda a rede. Todos os itens na página de boas-vindas que são sublinhados, devolverão menos de 1 KB de informação por cliente.

CMPivot sublinhou exemplo de entidades

A partir do Gestor de Configuração 1810, a CMPivot pode consultar dados de inventário de hardware, incluindo classes de inventário de hardware alargadas. Estas novas entidades (entidades não sublinhadas na página de boas-vindas) podem devolver conjuntos de dados muito maiores, dependendo da quantidade de dados definidos para uma determinada propriedade de inventário de hardware. Por exemplo, a entidade "InstalledExecutable" poderá devolver vários MB de dados por cliente, dependendo dos dados específicos que consultar. Esteja atento ao desempenho e escalabilidade dos seus sistemas ao devolver conjuntos de dados de inventário de hardware maiores de coleções maiores utilizando o CMPivot.

Uma consulta de hora depois de uma hora. Por exemplo, uma coleção tem 500 dispositivos, e 450 dos clientes estão atualmente online. Os dispositivos ativos recebem a consulta e devolvem os resultados quase imediatamente. Se deixar a janela CMPivot aberta, uma vez que os outros 50 clientes ficam online, também recebem a consulta e devolvem os resultados.

Ficheiros de registo

As interações cmpivot são registadas nos seguintes ficheiros de registo:

Lado do servidor:

  • SmsProv.log
  • BgbServer.log
  • StateSys.log

Lado do cliente:

  • CcmNotificationAgent.log
  • Scripts.log
  • StateMessage.log

Para obter mais informações, consulte ficheiros de registo e resolução de problemas cmPivot.

Passos seguintes