Résoudre les problèmes d’intégration de Microsoft Defender pour les points de terminaisonTroubleshoot Microsoft Defender for Endpoint onboarding issues

  • 16 minutes de lecture

Important

Découvrez comment Microsoft contribue à protéger les clients d’Solorigate, une agression sophistiquée récente.Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

S’applique à:Applies to:

Vous devrez peut-être résoudre les problèmes du processus d’intégration de Microsoft Defender for Endpoint si vous rencontrez des problèmes.You might need to troubleshoot the Microsoft Defender for Endpoint onboarding process if you encounter issues. Cette page fournit des étapes détaillées pour résoudre les problèmes d’intégration qui peuvent se produire lors du déploiement avec l’un des outils de déploiement et les erreurs courantes qui peuvent se produire sur les appareils.This page provides detailed steps to troubleshoot onboarding issues that might occur when deploying with one of the deployment tools and common errors that might occur on the devices.

Résoudre les problèmes avec les outils d’intégrationTroubleshoot issues with onboarding tools

Si vous avez terminé le processus d’intégration et que vous ne voyez pas les appareils dans la liste Appareils après une heure, cela peut indiquer un problème d’intégration ou de connectivité.If you have completed the onboarding process and don't see devices in the Devices list after an hour, it might indicate an onboarding or connectivity problem.

Résolution des problèmes d’intégration lors du déploiement d’une stratégie de groupeTroubleshoot onboarding when deploying with Group Policy

Le déploiement avec une stratégie de groupe s’exécute en exécutant le script d’intégration sur les appareils.Deployment with Group Policy is done by running the onboarding script on the devices. La console de stratégie de groupe n’indique pas si le déploiement a réussi ou non.The Group Policy console does not indicate if the deployment has succeeded or not.

Si vous avez terminé le processus d’intégration et que vous ne voyez pas les appareils dans la liste Appareils après une heure, vous pouvez vérifier la sortie du script sur les appareils.If you have completed the onboarding process and don't see devices in the Devices list after an hour, you can check the output of the script on the devices. Pour plus d’informations, voir Résoudre les problèmes d’intégration lors du déploiement avec un script.For more information, see Troubleshoot onboarding when deploying with a script.

Si le script se termine correctement, consultez Résoudre les problèmes d’intégration sur les appareils pour les erreurs supplémentaires qui peuvent se produire.If the script completes successfully, see Troubleshoot onboarding issues on the devices for additional errors that might occur.

Résoudre les problèmes d’intégration lors du déploiement avec Microsoft Endpoint Configuration ManagerTroubleshoot onboarding issues when deploying with Microsoft Endpoint Configuration Manager

Lors de l’intégration d’appareils à l’aide des versions suivantes de Configuration Manager :When onboarding devices using the following versions of Configuration Manager:

  • Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager
  • System Center2012 Configuration ManagerSystem Center 2012 Configuration Manager
  • System Center2012R2 Configuration ManagerSystem Center 2012 R2 Configuration Manager

Le déploiement avec les versions mentionnées ci-dessus de Configuration Manager s’exécute en exécutant le script d’intégration sur les appareils.Deployment with the above-mentioned versions of Configuration Manager is done by running the onboarding script on the devices. Vous pouvez suivre le déploiement dans la console ConfigurationManager.You can track the deployment in the Configuration Manager Console.

Si le déploiement échoue, vous pouvez vérifier la sortie du script sur les appareils.If the deployment fails, you can check the output of the script on the devices.

Si l’intégration s’est correctement terminée, **** mais que les appareils n’apparaissent pas dans la liste Appareils après une heure, consultez Résolution des problèmes d’intégration sur l’appareil pour les erreurs supplémentaires qui peuvent se produire.If the onboarding completed successfully but the devices are not showing up in the Devices list after an hour, see Troubleshoot onboarding issues on the device for additional errors that might occur.

Résoudre les problèmes d’intégration lors du déploiement avec un scriptTroubleshoot onboarding when deploying with a script

Vérifiez le résultat du script sur l’appareil :Check the result of the script on the device:

  1. Cliquez sur Démarrer, tapez Observateur d’événements, puis appuyez sur Entrée.Click Start, type Event Viewer, and press Enter.

  2. Accédez à Journaux Windows > Application.Go to Windows Logs > Application.

  3. Recherchez un événement à partir de la source d’événement WDATPOnboarding.Look for an event from WDATPOnboarding event source.

Si le script échoue et que l’événement est une erreur, vous pouvez vérifier l’identifiant de l’événement dans le tableau suivant pour parvenir à résoudre le problème.If the script fails and the event is an error, you can check the event ID in the following table to help you troubleshoot the issue.

Notes

Les identifiants d’événements suivants sont spécifiques au script d’intégration seulement.The following event IDs are specific to the onboarding script only.

ID d’événementEvent ID Type d’erreurError Type Procédure de résolutionResolution steps
5 Des données de désintégration ont été trouvées mais n’ont pas pu être suppriméesOffboarding data was found but couldn't be deleted Vérifiez les autorisations sur le Registre, en particulierCheck the permissions on the registry, specifically
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection..
10 Les données d’intégration n’ont pas pu être écrites dans le RegistreOnboarding data couldn't be written to registry Vérifiez les autorisations sur le Registre, en particulierCheck the permissions on the registry, specifically
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection..
Vérifiez que le script a été exécuté en tant qu’administrateur.Verify that the script has been run as an administrator.
15 Impossible de démarrer le service SENSEFailed to start SENSE service Vérifiez l’état du service (commande sc query sense).Check the service health (sc query sense command). Assurez-vous qu’il ne s’agit pas d’un état intermédiaire (’Pending_Stopped’, ’Pending_Running’) et essayez d’exécuter à nouveau le script (avec des droits d’administrateur).Make sure it's not in an intermediate state ('Pending_Stopped', 'Pending_Running') and try to run the script again (with administrator rights).

Si l’appareil exécute Windows 10, version 1607 et exécute la commande, redémarrez sc query sense START_PENDING l’appareil.If the device is running Windows 10, version 1607 and running the command sc query sense returns START_PENDING, reboot the device. Si le redémarrage de l’appareil ne permet pas de résoudre le problème, faites une mise à niveau vers KB4015217 et tentez à nouveau l’intégration.If rebooting the device doesn't address the issue, upgrade to KB4015217 and try onboarding again.
15 Impossible de démarrer le service SENSEFailed to start SENSE service Si le message de l’erreur est le suivant : erreur système 577 ou erreur 1058 s’est produite, vous devez activer le pilote ELAM de l’Antivirus Microsoft Defender. Pour plus d’instructions, voir s’assurer que l’Antivirus Microsoft Defender n’est pas désactivé par une stratégie.If the message of the error is: System error 577 or error 1058 has occurred, you need to enable the Microsoft Defender Antivirus ELAM driver, see Ensure that Microsoft Defender Antivirus is not disabled by a policy for instructions.
30 Le script n’a pas pu attendre le démarrage de l’exécution du serviceThe script failed to wait for the service to start running Le service a peut-être mis plus de temps à démarrer ou a rencontré des erreurs lors de la tentative de démarrage.The service could have taken more time to start or has encountered errors while trying to start. Pour plus d’informations sur les événements et les erreurs liés à SENSE, voir Passer en revue les événements et les erreurs à l’aide de l’Observateur d’événements.For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
35 Le script n’est pas parvenu à trouver la valeur de Registre de l’état d’intégration requiseThe script failed to find needed onboarding status registry value Lorsque le service SENSE démarre pour la première fois, il écrit le statut d’intégration sur l’emplacement du RegistreWhen the SENSE service starts for the first time, it writes onboarding status to the registry location
HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status..
Le script n’est pas parvenu à le trouver après quelques secondes.The script failed to find it after several seconds. Vous pouvez manuellement le tester et vérifier sa présence.You can manually test it and check if it's there. Pour plus d’informations sur les événements et les erreurs liés à SENSE, voir Passer en revue les événements et les erreurs à l’aide de l’Observateur d’événements.For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
40 L’état d’intégration du service n’est pas défini sur 1SENSE service onboarding status is not set to 1 Le service SENSE n’a pas pu être intégré correctement.The SENSE service has failed to onboard properly. Pour plus d’informations sur les événements et les erreurs liés à SENSE, voir Passer en revue les événements et les erreurs à l’aide de l’Observateur d’événements.For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
65 Privilèges insuffisantsInsufficient privileges Exécutez à nouveau le script avec des privilèges d’administrateur.Run the script again with administrator privileges.

Résolution des problèmes d’intégration à l’aide de MicrosoftIntuneTroubleshoot onboarding issues using Microsoft Intune

Vous pouvez utiliser MicrosoftIntune pour vérifier les codes d’erreur et tenter de résoudre la cause du problème.You can use Microsoft Intune to check error codes and attempt to troubleshoot the cause of the issue.

Si vous avez configuré des stratégies dans Intune et qu’elles ne sont pas propagées sur les appareils, vous devrez peut-être configurer l’inscription mdM automatique.If you have configured policies in Intune and they are not propagated on devices, you might need to configure automatic MDM enrollment.

Utilisez les tableaux suivants pour comprendre les causes possibles des problèmes pendant l’intégration:Use the following tables to understand the possible causes of issues while onboarding:

  • Tableau des OMA-URI et des codes d’erreur MicrosoftIntuneMicrosoft Intune error codes and OMA-URIs table
  • Tableau des problèmes connus de non-conformitéKnown issues with non-compliance table
  • Tableau des journaux d’événement de gestion des périphériques mobiles (GPM)Mobile Device Management (MDM) event logs table

Si aucun des journaux des événements et des étapes de dépannage ne fonctionne, téléchargez le script local à partir de la section Gestion des périphériques du portail, puis exécutez-le dans une invite de commandes avec élévation de niveaux.If none of the event logs and troubleshooting steps work, download the Local script from the Device management section of the portal, and run it in an elevated command prompt.

Codes d’erreur et OMA-URIs Microsoft IntuneMicrosoft Intune error codes and OMA-URIs

Code d’erreur (hexadécimal)Error Code Hex Code d’erreur (décimal)Error Code Dec Description de l’erreurError Description OMA-URIOMA-URI Cause possible et procédure de résolution des problèmesPossible cause and troubleshooting steps
0x87D1FDE80x87D1FDE8 -2016281112-2016281112 Échec de la correctionRemediation failed IntégrationOnboarding
DésintégrationOffboarding		 Cause possible: l’intégration ou la désintégration a échoué sur un objet blob incorrect: signature incorrecte ou champs PreviousOrgIds manquants.Possible cause: Onboarding or offboarding failed on a wrong blob: wrong signature or missing PreviousOrgIds fields.

Procédure de résolution:Troubleshooting steps:
Vérifiez les ID d’événement dans les erreurs d’intégration de l’agent d’affichage dans la section journal des événements de l’appareil.Check the event IDs in the View agent onboarding errors in the device event log section.

Consultez les journaux d’événements GPM dans le tableau suivant ou suivez les instructions dans Diagnostiquer les échecs GPM dans Windows10.Check the MDM event logs in the following table or follow the instructions in Diagnose MDM failures in Windows 10.
IntégrationOnboarding
DésintégrationOffboarding
SampleSharingSampleSharing		 Cause possible : La clé de Registre microsoft Defender pour la stratégie de point de terminaison n’existe pas ou le client DM OMA n’est pas autorisé à y écrire.Possible cause: Microsoft Defender for Endpoint Policy registry key does not exist or the OMA DM client doesn't have permissions to write to it.

Procédure de résolution: Vérifiez si la clé de registre suivante existe:Troubleshooting steps: Ensure that the following registry key exists: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Si elle n’existe pas, ouvrez une commande avec élévation de privilèges et ajoutez la clé.If it doesn't exist, open an elevated command and add the key.
SenseIsRunningSenseIsRunning
OnboardingStateOnboardingState
OrgIdOrgId		 Cause possible: une tentative de correction par propriété en lecture seule.Possible cause: An attempt to remediate by read-only property. L’intégration a échoué.Onboarding has failed.

Étapes de résolution des problèmes : Vérifiez les étapes de dépannage dans Résoudre les problèmes d’intégration sur l’appareil.Troubleshooting steps: Check the troubleshooting steps in Troubleshoot onboarding issues on the device.

Consultez les journaux d’événements GPM dans le tableau suivant ou suivez les instructions dans Diagnostiquer les échecs GPM dans Windows10.Check the MDM event logs in the following table or follow the instructions in Diagnose MDM failures in Windows 10.
TousAll Cause possible : Essayez de déployer Microsoft Defender pour le point de terminaison sur une plateforme/référence SKU non prise en charge, en particulier SKU holographique.Possible cause: Attempt to deploy Microsoft Defender for Endpoint on non-supported SKU/Platform, particularly Holographic SKU.

Plateformes actuellement pris en charge :Currently supported platforms:
Entreprise, Éducation et Professionnel.Enterprise, Education, and Professional.
Le serveur n’est pas pris en charge.Server is not supported.
0x87D101A90x87D101A9 -2016345687-2016345687 SyncML(425) : la commande demandée a échoué car l’expéditeur ne peut pas avoir les autorisations de contrôle d’accès (ACL) adéquates sur le destinataire.SyncML(425): The requested command failed because the sender does not have adequate access control permissions (ACL) on the recipient. TousAll Cause possible : Essayez de déployer Microsoft Defender pour le point de terminaison sur une plateforme/référence SKU non prise en charge, en particulier SKU holographique.Possible cause: Attempt to deploy Microsoft Defender for Endpoint on non-supported SKU/Platform, particularly Holographic SKU.

Plateformes actuellement prise en charge :Currently supported platforms:
Entreprise, Éducation et Professionnel.Enterprise, Education, and Professional.

Problèmes connus de non-conformitéKnown issues with non-compliance

Le tableau suivant fournit des informations sur les problèmes de non-conformité et la manière de les résoudre.The following table provides information on issues with non-compliance and how you can address the issues.

CasCase SymptômesSymptoms Cause possible et procédure de résolution des problèmesPossible cause and troubleshooting steps
1 L’appareil est conforme à l’OMA-URI SenseIsRunning.Device is compliant by SenseIsRunning OMA-URI. Mais n’est pas conforme selon les OMA-URI OrgId, Onboarding et OnboardingState.But is non-compliant by OrgId, Onboarding and OnboardingState OMA-URIs. Cause possible: vérifiez que l’utilisateur a transmis l’OOBE après l’installation ou la mise à niveau de Windows.Possible cause: Check that user passed OOBE after Windows installation or upgrade. Pendant l’OOBE, l’intégration n’a pas pu se terminer mais SENSE est déjà en cours d’exécution.During OOBE onboarding couldn't be completed but SENSE is running already.

Procédure de résolution: attendez la fin de l’OOBE.Troubleshooting steps: Wait for OOBE to complete.
2 L’appareil est conforme aux OMA-URI OrgId, Onboarding et OnboardingState, mais n’est pas conforme par OMA-URI SenseIsRunning.Device is compliant by OrgId, Onboarding, and OnboardingState OMA-URIs, but is non-compliant by SenseIsRunning OMA-URI. Cause possible: le type de démarrage du service SENSE est défini sur «Démarrage différé».Possible cause: Sense service's startup type is set as "Delayed Start". Parfois, le serveur Microsoft Intune signale l’appareil comme non conforme par SenseIsRunning lorsque la session DM se produit au démarrage du système.Sometimes this causes the Microsoft Intune server to report the device as non-compliant by SenseIsRunning when DM session occurs on system start.

Procédure de résolution: le problème devrait automatiquement être résolu dans un délai de 24heures.Troubleshooting steps: The issue should automatically be fixed within 24 hours.
3 L’appareil n’est pas conformeDevice is non-compliant Étapes de résolution des problèmes : Assurez-vous que les stratégies d’intégration et de hors-intégration ne sont pas déployées sur le même appareil en même temps.Troubleshooting steps: Ensure that Onboarding and Offboarding policies are not deployed on the same device at same time.

Journaux des événements de gestion des périphériques mobiles (GPM)Mobile Device Management (MDM) event logs

Affichez les journaux des événements de GPM pour résoudre les problèmes pouvant survenir pendant l’intégration:View the MDM event logs to troubleshoot issues that might arise during onboarding:

Nom du journal: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-ProviderLog name: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

Nom du canal: AdminChannel name: Admin

IDID GravitéSeverity Description de l’événementEvent description Procédure de résolutionTroubleshooting steps
18191819 ErreurError Microsoft Defender for Endpoint CSP: Failed to Set Node’s Value.Microsoft Defender for Endpoint CSP: Failed to Set Node's Value. NodeId: (%1), TokenName: (%2), Result: (%3).NodeId: (%1), TokenName: (%2), Result: (%3). Téléchargez la mise à jour cumulative pour Windows10, 1607.Download the Cumulative Update for Windows 10, 1607.

Résoudre les problèmes d’intégration sur l’appareilTroubleshoot onboarding issues on the device

Si les outils de déploiement utilisés n’indiquent pas une erreur dans le processus d’intégration, mais que les appareils n’apparaissent toujours pas dans la liste des appareils dans une heure, consultez les rubriques de vérification suivantes pour vérifier si une erreur s’est produite avec l’agent Microsoft Defender pour Endpoint.If the deployment tools used does not indicate an error in the onboarding process, but devices are still not appearing in the devices list in an hour, go through the following verification topics to check if an error occurred with the Microsoft Defender for Endpoint agent.

Afficher les erreurs d’intégration de l’agent dans le journal des événements de l’appareilView agent onboarding errors in the device event log

  1. Cliquez sur Démarrer, tapez Observateur d’événements, puis appuyez sur Entrée.Click Start, type Event Viewer, and press Enter.

  2. Dans le volet Observateur d’événements (Local), développez Journaux des applications et des services > Microsoft > Windows > SENSE.In the Event Viewer (Local) pane, expand Applications and Services Logs > Microsoft > Windows > SENSE.

    Notes

    SENSE est le nom interne utilisé pour faire référence au capteur comportemental qui alimente Microsoft Defender pour endpoint.SENSE is the internal name used to refer to the behavioral sensor that powers Microsoft Defender for Endpoint.

  3. Sélectionnez Opérationnel pour charger le journal.Select Operational to load the log.

  4. Dans le volet Action, cliquez sur Filtrer le journal en cours.In the Action pane, click Filter Current log.

  5. Sur l’onglet Filtrer, sous Niveau d’événement: sélectionnez Critique, Avertissement et Erreur, puis cliquez sur OK.On the Filter tab, under Event level: select Critical, Warning, and Error, and click OK.

    Image du filtrage du journal dans l’Observateur d’événements

  6. Les événements qui peuvent indiquer des problèmes s’affichent dans le volet Opérationnel.Events which can indicate issues will appear in the Operational pane. Vous pouvez essayer de résoudre ces problèmes en vous référant aux solutions dans le tableau suivant:You can attempt to troubleshoot them based on the solutions in the following table:

ID d’événementEvent ID MessageMessage Procédure de résolutionResolution steps
5 Le service Microsoft Defender pour le point de terminaison n’a pas réussi à se connecter au serveur à la variableMicrosoft Defender for Endpoint service failed to connect to the server at variable Assurez-vous que l’appareil dispose d’un accès à Internet.Ensure the device has Internet access.
6 Le service Microsoft Defender for Endpoint n’est pas intégré et aucun paramètre d’intégration n’a été trouvé.Microsoft Defender for Endpoint service is not onboarded and no onboarding parameters were found. Code d’échec: variableFailure code: variable Ré-exécutez le script d’intégration.Run the onboarding script again.
7 Le service Microsoft Defender for Endpoint n’a pas réussi à lire les paramètres d’intégration.Microsoft Defender for Endpoint service failed to read the onboarding parameters. Code d’échec: variableFailure code: variable Assurez-vous que l’appareil dispose d’un accès à Internet,puis exécutez à nouveau l’intégralité du processus d’intégration.Ensure the device has Internet access, then run the entire onboarding process again.
9 Le service Microsoft Defender for Endpoint n’a pas réussi à modifier son type de démarrage.Microsoft Defender for Endpoint service failed to change its start type. Code d’échec: variableFailure code: variable Si l’événement s’est produit lors de l’intégration, redémarrez et essayez à nouveau d'exécuter le script d’intégration.If the event happened during onboarding, reboot and re-attempt running the onboarding script. Pour plus d’informations, voir Réexécuter le script d’intégration.For more information, see Run the onboarding script again.

Si l’événement s’est produit lors de la désintégration, contactez le support.If the event happened during offboarding, contact support.
10 Le service Microsoft Defender for Endpoint n’a pas réussi à rendre persistantes les informations d’intégration.Microsoft Defender for Endpoint service failed to persist the onboarding information. Code d’échec: variableFailure code: variable Si l’événement s’est produit lors de l’intégration, essayez à nouveau d'exécuter le script d’intégration.If the event happened during onboarding, re-attempt running the onboarding script. Pour plus d’informations, voir Réexécuter le script d’intégration.For more information, see Run the onboarding script again.

Si le problème persiste, contactez le support.If the problem persists, contact support.
15 Microsoft Defender pour le point de terminaison ne peut pas démarrer le canal de commande avec l’URL : variableMicrosoft Defender for Endpoint cannot start command channel with URL: variable Assurez-vous que l’appareil dispose d’un accès à Internet.Ensure the device has Internet access.
17 Le service Microsoft Defender for Endpoint n’a pas réussi à modifier l’emplacement du service Expériences des utilisateurs connectés et télémétrie.Microsoft Defender for Endpoint service failed to change the Connected User Experiences and Telemetry service location. Code d’échec: variableFailure code: variable Ré-exécutez le script d’intégration.Run the onboarding script again. Si le problème persiste, contactez le support.If the problem persists, contact support.
25 Le service Microsoft Defender for Endpoint n’a pas réussi à réinitialiser l’état d’état d’état dans le Registre.Microsoft Defender for Endpoint service failed to reset health status in the registry. Code d’échec: variableFailure code: variable Contactez le support.Contact support.
27 Échec de l’activement de Microsoft Defender pour le mode Point de terminaison en mode Windows Defender.Failed to enable Microsoft Defender for Endpoint mode in Windows Defender. Échec du processus d’intégration.Onboarding process failed. Code d’échec: variableFailure code: variable Contactez le support.Contact support.
29 N’a pas pu lire les paramètres de la désintégration.Failed to read the offboarding parameters. Type d’erreur: %1, code d’erreur: %2, Description: %3Error type: %1, Error code: %2, Description: %3 Assurez-vous que l’appareil dispose d’un accès à Internet, puis exécutez à nouveau l’intégralité du processus deboarding.Ensure the device has Internet access, then run the entire offboarding process again.
30 Échec de la désactivation du mode $(build.sense.productDisplayName) dans Microsoft Defender pour Endpoint.Failed to disable $(build.sense.productDisplayName) mode in Microsoft Defender for Endpoint. Code d’échec: %1Failure code: %1 Contactez le support.Contact support.
32 Échec du service $(build.sense.productDisplayName) à demander son arrêt après le processus de désintégration.$(build.sense.productDisplayName) service failed to request to stop itself after offboarding process. Code d’échec: %1Failure code: %1 Vérifiez que le type de démarrage du service est manuel et redémarrez l’appareil.Verify that the service start type is manual and reboot the device.
55 Impossible de créer le journal automatique ETW sécurisé.Failed to create the Secure ETW autologger. Code d’échec: %1Failure code: %1 Redémarrez l'appareil.Reboot the device.
63 Mise à jour du type de démarrage du service externe.Updating the start type of external service. Nom: %1, type de démarrage réel: %2, type de démarrage attendu: %3, code de sortie: %4Name: %1, actual start type: %2, expected start type: %3, exit code: %4 Identifier la cause des modifications dans le type de démarrage du service mentionné.Identify what is causing changes in start type of mentioned service. Si le code de sortie est 0, corrigez le type de démarrage manuellement pour le définir sur le type de démarrage attendu.If the exit code is not 0, fix the start type manually to expected start type.
64 Démarrage du service externe arrêté.Starting stopped external service. Nom: %1, code de sortie: %2Name: %1, exit code: %2 Contactez le support si l’événement se reproduit.Contact support if the event keeps re-appearing.
68 Le type de démarrage du service est inattendu.The start type of the service is unexpected. Nom du service: %1, type de démarrage réel: %2, type de démarrage attendu: %3Service name: %1, actual start type: %2, expected start type: %3 Identifier la cause des modifications du type de démarrage.Identify what is causing changes in start type. Corriger le type de démarrage du service mentionné.Fix mentioned service start type.
69 Le service est arrêté.The service is stopped. Nom du service: %1Service name: %1 Démarrez le service mentionné.Start the mentioned service. Si le problème persiste, contactez le support.Contact support if persists.

Il existe des composants supplémentaires sur l’appareil dont dépend l’agent Microsoft Defender pour Endpoint pour fonctionner correctement.There are additional components on the device that the Microsoft Defender for Endpoint agent depends on to function properly. S’il n’existe aucune erreur liée à l’intégration dans le journal des événements de l’agent Microsoft Defender pour Endpoint, procédez comme suit pour vous assurer que les composants supplémentaires sont configurés correctement.If there are no onboarding related errors in the Microsoft Defender for Endpoint agent event log, proceed with the following steps to ensure that the additional components are configured correctly.

Vérifier que le service des données de diagnostic est activéEnsure the diagnostic data service is enabled

Si les appareils ne sont pas correctement signalés, vous devrez peut-être vérifier que le service de données de diagnostic De Windows 10 est prêt à démarrer automatiquement et qu’il s’exécute sur l’appareil.If the devices aren't reporting correctly, you might need to check that the Windows 10 diagnostic data service is set to automatically start and is running on the device. Le service a peut-être été désactivé par d’autres programmes ou modifications de configuration utilisateur.The service might have been disabled by other programs or user configuration changes.

Tout d’abord, vous devez vérifier que le service est configuré pour démarrer automatiquement au démarrage de Windows, puis vérifier que le service est en cours d’exécution (et le démarrer si ce n’est pas le cas).First, you should check that the service is set to start automatically when Windows starts, then you should check that the service is currently running (and start it if it isn't).

S’assurer que le service est défini pour démarrerEnsure the service is set to start

Utiliser la ligne de commande pour vérifier le type de démarrage du service des données de diagnostic de Windows10:Use the command line to check the Windows 10 diagnostic data service startup type:

  1. Ouvrez une invite de ligne de commande avec élévation de niveaux sur l’appareil :Open an elevated command-line prompt on the device:

    a.a. Cliquez sur Démarrer, tapez cmd, puis appuyez sur Entrée.Click Start, type cmd, and press Enter.

    b.b. Cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.Right-click Command prompt and select Run as administrator.

  2. Entrez la commande suivante et appuyez sur Entrée.Enter the following command, and press Enter:

    sc qc diagtrack

    Si le service est activé, le résultat doit ressembler à la capture d’écran suivante:If the service is enabled, then the result should look like the following screenshot:

    Résultat de la commande sc query pour diagtrack

    Si START_TYPE n’est pas défini sur AUTO_START, vous devez définir le service pour démarrer automatiquement.If the START_TYPE is not set to AUTO_START, then you'll need to set the service to automatically start.

Utiliser la ligne de commande pour configurer le service des données de diagnostic de Windows10 pour qu'il démarre automatiquement:Use the command line to set the Windows 10 diagnostic data service to automatically start:

  1. Ouvrez une invite de ligne de commande avec élévation de niveaux sur l’appareil :Open an elevated command-line prompt on the device:

    a.a. Cliquez sur Démarrer, tapez cmd, puis appuyez sur Entrée.Click Start, type cmd, and press Enter.

    b.b. Cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.Right-click Command prompt and select Run as administrator.

  2. Entrez la commande suivante et appuyez sur Entrée.Enter the following command, and press Enter:

    sc config diagtrack start=auto

  3. Un message de réussite s’affiche.A success message is displayed. Vérifiez la modification en entrant la commande suivante, puis appuyez sur Entrée:Verify the change by entering the following command, and press Enter:

    sc qc diagtrack

  4. Démarrez le service.Start the service.

    a.a. Dans l’invite de commande, tapez la commande suivante et appuyez sur Entrée:In the command prompt, type the following command and press Enter:

    sc start diagtrack

Vérifier que l’appareil dispose d’une connexion InternetEnsure the device has an Internet connection

Le capteur Window Defender ATP nécessite Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Microsoft Defender for Endpoint.The Window Defender ATP sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Microsoft Defender for Endpoint service.

WinHTTP est indépendant des paramètres de proxy de navigation Internet et d’autres applications de contexte utilisateur. Il doit être en mesure de détecter les serveurs proxy qui sont disponibles dans votre environnement particulier.WinHTTP is independent of the Internet browsing proxy settings and other user context applications and must be able to detect the proxy servers that are available in your particular environment.

Pour vous assurer que le capteur dispose d’une connectivité de service, suivez les étapes décrites dans la rubrique Vérifier la connectivité du client à Microsoft Defender pour les URL de service de point de terminaison.To ensure that sensor has service connectivity, follow the steps described in the Verify client connectivity to Microsoft Defender for Endpoint service URLs topic.

Si la vérification échoue et que votre environnement utilise un proxy pour se connecter à Internet, suivez la procédure dans la rubrique Configurer les paramètres de proxy et de connectivité Internet.If the verification fails and your environment is using a proxy to connect to the Internet, then follow the steps described in Configure proxy and Internet connectivity settings topic.

S’assurer que l’Antivirus Microsoft Defender n’est pas désactivé par une stratégieEnsure that Microsoft Defender Antivirus is not disabled by a policy

Important

L’exemple suivant s’applique uniquement aux appareils qui n’ont pas encore reçu la mise à jour d’août 2020 (version 4.18.2007.8) de l’Antivirus Microsoft Defender. ****The following only applies to devices that have not yet received the August 2020 (version 4.18.2007.8) update to Microsoft Defender Antivirus.

La mise à jour garantit que l’Antivirus Microsoft Defender ne peut pas être désactivé sur les appareils clients via la stratégie système.The update ensures that Microsoft Defender Antivirus cannot be turned off on client devices via system policy.

Problème: le service Microsoft Defender for Endpoint ne démarre pas après l’intégration.Problem: The Microsoft Defender for Endpoint service does not start after onboarding.

Symptôme : l’intégration se termine correctement, mais vous voyez l’erreur 577 ou l’erreur 1058 lors de la tentative de démarrage du service.Symptom: Onboarding successfully completes, but you see error 577 or error 1058 when trying to start the service.

Solution: si vos appareils exécutent un client de logiciel anti-programme malveillant tiers, l’agent Microsoft Defender pour Endpoint a besoin du pilote ELAM (Logiciel anti-programme malveillant à lancement rapide) pour être activé.Solution: If your devices are running a third-party antimalware client, the Microsoft Defender for Endpoint agent needs the Early Launch Antimalware (ELAM) driver to be enabled. Vous devez vous assurer qu’elle n’est pas désactivée par une stratégie système.You must ensure that it's not turned off by a system policy.

  • En fonction de l’outil employé pour implémenter les stratégies, vous devez vérifier que les stratégies suivantes de WindowsDefender sont effacées:Depending on the tool that you use to implement policies, you'll need to verify that the following Windows Defender policies are cleared:

    • DisableAntiSpywareDisableAntiSpyware
    • DisableAntiVirusDisableAntiVirus

    Par exemple, la stratégie de groupe ne doit comporter aucune entrée telle que les valeurs suivantes:For example, in Group Policy there should be no entries such as the following values:

    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

Important

Le paramètre est interrompu et sera ignoré sur tous les appareils clients à partir de la mise à jour d’août disableAntiSpyware 2020 (version 4.18.2007.8) de l’Antivirus Microsoft Defender.The disableAntiSpyware setting is discontinued and will be ignored on all client devices, as of the August 2020 (version 4.18.2007.8) update to Microsoft Defender Antivirus.

  • Après l’effacement de la stratégie, exécutez à nouveau les étapes d’intégration.After clearing the policy, run the onboarding steps again.

  • Vous pouvez également vérifier les valeurs de clé de Registre précédentes pour vérifier que la stratégie est désactivée, en ouvrant la clé de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Registre.You can also check the previous registry key values to verify that the policy is disabled, by opening the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.

    Image de la clé de Registre pour l’Antivirus Microsoft Defender

    Notes

    En outre, vous devez vous assurer que wdfilter.sys et wdboot.sys sont définies sur leur valeur de début par défaut « 0 ».In addition, you must ensure that wdfilter.sys and wdboot.sys are set to their default start values of "0".

    • <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
    • <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>

Résolution des problèmes d’intégration sur un serveurTroubleshoot onboarding issues on a server

Si vous rencontrez des problèmes lors de l’intégration sur un serveur, parcourez les étapes de vérification suivantes pour résoudre les problèmes possibles.If you encounter issues while onboarding a server, go through the following verification steps to address possible issues.

Vous devrez peut-être également vérifier ce qui suit:You might also need to check the following:

  • Vérifiez qu’un service Microsoft Defender pour points de terminaison est en cours d’exécution dans l’onglet Processus dans le Gestionnaire des tâches.Check that there is a Microsoft Defender for Endpoint Service running in the Processes tab in Task Manager. Par exemple:For example:

    Image de l’affichage des processus avec Microsoft Defender pour le service de point de terminaison en cours d’exécution

  • Dans Observateur d’événements > Journaux des applications et des services > Operations Manager, vérifiez s’il existe des erreurs.Check Event Viewer > Applications and Services Logs > Operation Manager to see if there are any errors.

  • Dans Services, vérifiez si MicrosoftMonitoring Agent est en cours d’exécution sur le serveur.In Services, check if the Microsoft Monitoring Agent is running on the server. Par exemple:For example,

    Image des services

  • Dans MicrosoftMonitoring Agent > Azure Log Analytics (OMS), vérifiez les espaces de travail et vérifiez que l’état est «en cours d’exécution».In Microsoft Monitoring Agent > Azure Log Analytics (OMS), check the Workspaces and verify that the status is running.

    Image des propriétés de Microsoft Monitoring Agent

  • Vérifiez que les appareils sont reflétés dans la liste Appareils du portail.Check to see that devices are reflected in the Devices list in the portal.

Confirmation de l’intégration des appareils nouvellement créésConfirming onboarding of newly built devices

Il peut y avoir des instances lors du déploiement de l’intégration sur un appareil nouvellement créé, mais non terminé.There may be instances when onboarding is deployed on a newly built device but not completed.

Les étapes ci-dessous fournissent des conseils pour le scénario suivant :The steps below provide guidance for the following scenario:

  • Le package d’intégration est déployé sur les appareils nouvellement créésOnboarding package is deployed to newly built devices
  • Le capteur ne démarre pas car l’expérience OOBE (Out-of-Box Experience) ou la première logonSensor does not start because the Out-of-box experience (OOBE) or first user logon has not been completed
  • L’appareil est désactivé ou redémarré avant que l’utilisateur final effectue une première logonDevice is turned off or restarted before the end user performs a first logon
  • Dans ce scénario, le service SENSE ne démarre pas automatiquement même si le package d’intégration a été déployéIn this scenario, the SENSE service will not start automatically even though onboarding package was deployed

Notes

Les étapes suivantes ne sont pertinentes que lors de l’utilisation de Microsoft Endpoint Configuration Manager.The following steps are only relevant when using Microsoft Endpoint Configuration Manager. Pour plus d’informations sur l’intégration à l’aide de Microsoft Endpoint Configuration Manager, voir Microsoft Defender for Endpoint.For more details about onboarding using Microsoft Endpoint Configuration Manager, see Microsoft Defender for Endpoint.

  1. Créez une application dans Microsoft Endpoint Configuration Manager.Create an application in Microsoft Endpoint Configuration Manager.

    Image de la configuration de Microsoft Endpoint Manager

  2. Sélectionnez Spécifier manuellement les informations d’application.Select Manually specify the application information.

    Image de la configuration de Microsoft Endpoint Manager

  3. Spécifiez des informations sur l’application, puis sélectionnez Suivant.Specify information about the application, then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  4. Spécifiez des informations sur le centre de logiciels, puis sélectionnez Suivant.Specify information about the software center, then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  5. Dans les types de déploiement, sélectionnez Ajouter.In Deployment types select Add.

    Image de la configuration de Microsoft Endpoint Manager

  6. Sélectionnez Spécifier manuellement les informations sur le type de déploiement, puis sélectionnez Suivant.Select Manually specify the deployment type information, then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  7. Spécifiez des informations sur le type de déploiement, puis sélectionnez Suivant.Specify information about the deployment type, then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  8. Dans le programme > d’installation de contenu, spécifiez la commande : net start sense .In Content > Installation program specify the command: net start sense.

    Image de la configuration de Microsoft Endpoint Manager

  9. Dans la méthode Detection, sélectionnez Configurer des règles pour détecterla présence de ce type de déploiement, puis sélectionnez Ajouter une clause.In Detection method, select Configure rules to detect the presence of this deployment type, then select Add Clause.

    Image de la configuration de Microsoft Endpoint Manager

  10. Spécifiez les détails de règle de détection suivants, puis sélectionnez OK:Specify the following detection rule details, then select OK:

    Image de la configuration de Microsoft Endpoint Manager

  11. Dans la méthode de détection, sélectionnez Suivant.In Detection method select Next.

    Image de la configuration de Microsoft Endpoint Manager

  12. Dans Expérience utilisateur, spécifiez les informations suivantes, puis sélectionnez Suivant:In User Experience, specify the following information, then select Next:

    Image de la configuration de Microsoft Endpoint Manager

  13. Dans Les conditions requises, sélectionnez Suivant.In Requirements, select Next.

    Image de la configuration de Microsoft Endpoint Manager

  14. Dans Dépendances, sélectionnez Suivant.In Dependencies, select Next.

    Image de la configuration de Microsoft Endpoint Manager

  15. En résumé, sélectionnez Suivant.In Summary, select Next.

    Image de la configuration de Microsoft Endpoint Manager

  16. In Completion, select Close.In Completion, select Close.

    Image de la configuration de Microsoft Endpoint Manager

  17. Dans les types dedéploiement, sélectionnez Suivant.In Deployment types, select Next.

    Image de la configuration de Microsoft Endpoint Manager

  18. En résumé, sélectionnez Suivant.In Summary, select Next.

    Image de la configuration de Microsoft Endpoint Manager

    L’état est ensuite affiché : Image de la configuration de Microsoft Endpoint ManagerThe status is then displayed: Image of Microsoft Endpoint Manager configuration

  19. In Completion, select Close.In Completion, select Close.

    Image de la configuration de Microsoft Endpoint Manager

  20. Vous pouvez maintenant déployer l’application en cliquant avec le bouton droit sur l’application et en sélectionnant Déployer.You can now deploy the application by right-clicking the app and selecting Deploy.

    Image de la configuration de Microsoft Endpoint Manager

  21. En général, sélectionnez Distribuer automatiquement le contenu pour les dépendances et Parcourir.In General select Automatically distribute content for dependencies and Browse.

    Image de la configuration de Microsoft Endpoint Manager

  22. Dans le contenu, sélectionnez Suivant.In Content select Next.

    Image de la configuration de Microsoft Endpoint Manager

  23. Dans les paramètres de déploiement, sélectionnez Suivant.In Deployment settings, select Next.

    Image de la configuration de Microsoft Endpoint Manager

  24. Dans la planification, sélectionnez Dès que possible après le tempsdisponible, puis sélectionnez Suivant.In Scheduling select As soon as possible after the available time, then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  25. Dans l’expérience utilisateur, sélectionnez Valider les modifications à l’échéance ou pendant une fenêtre de maintenance (nécessite des redémarrages), puis sélectionnez Suivant. ****In User experience, select Commit changes at deadline or during a maintenance window (requires restarts), then select Next.

    Image de la configuration de Microsoft Endpoint Manager

  26. Dans les alertes, sélectionnez Suivant.In Alerts select Next.

    Image de la configuration de Microsoft Endpoint Manager

  27. En résumé, sélectionnez Suivant.In Summary, select Next.

    Image de la configuration de Microsoft Endpoint Manager

    L’état s’affiche ensuite image de la configuration de Microsoft Endpoint ManagerThe status is then displayed Image of Microsoft Endpoint Manager configuration

  28. In Completion, select Close.In Completion, select Close.

    Image de la configuration de Microsoft Endpoint Manager

Rubriques connexesRelated topics