Endpoint 向け Microsoft Defender オンボードの問題のトラブルシューティングTroubleshoot Microsoft Defender for Endpoint onboarding issues

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象Applies to:

問題が発生した場合は、Endpoint 向け Microsoft Defender オンボード プロセスのトラブルシューティングが必要になります。You might need to troubleshoot the Microsoft Defender for Endpoint onboarding process if you encounter issues. このページでは、展開ツールの展開時に起こりうるオンボードの問題やデバイス上で起こりうる一般的なエラーのトラブルシューティングの詳しい手順が記述されています。This page provides detailed steps to troubleshoot onboarding issues that might occur when deploying with one of the deployment tools and common errors that might occur on the devices.

オンボーディング ツールに関する問題のトラブルシューティングTroubleshoot issues with onboarding tools

オンボード プロセスを完了してから 1 時間経ってもデバイス一覧にデバイスが表示されない場合は、オンボードまたは接続に問題がある可能性があります。If you have completed the onboarding process and don't see devices in the Devices list after an hour, it might indicate an onboarding or connectivity problem.

グループ ポリシーで展開する際のオンボードのトラブルシューティングTroubleshoot onboarding when deploying with Group Policy

グループ ポリシーでの展開はデバイス上のオンボード スクリプト実行時に行われます。Deployment with Group Policy is done by running the onboarding script on the devices. グループ ポリシー コンソールには、展開が成功したかどうかが表示されません。The Group Policy console does not indicate if the deployment has succeeded or not.

オンボード プロセスを完了してから 1 時間経ってもデバイス一覧にデバイスが表示されない場合は、デバイス上でスクリプトの出力を確認できます。If you have completed the onboarding process and don't see devices in the Devices list after an hour, you can check the output of the script on the devices. 詳しくは、「スクリプトで展開する際のオンボードのトラブルシューティング」を参照してください。For more information, see Troubleshoot onboarding when deploying with a script.

スクリプトが正常に完了した場合、発生する可能性のあるその他のエラーについては「デバイス上のオンボードの問題のトラブルシューティング」を参照してください。If the script completes successfully, see Troubleshoot onboarding issues on the devices for additional errors that might occur.

Microsoft Endpoint Configuration Manager を使用して展開するときに、オンボードの問題のトラブルシューティングを行うTroubleshoot onboarding issues when deploying with Microsoft Endpoint Configuration Manager

オンボード デバイスで次のバージョンの Configuration Manager を使用している場合:When onboarding devices using the following versions of Configuration Manager:

  • Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager
  • System Center 2012 Configuration ManagerSystem Center 2012 Configuration Manager
  • System Center 2012 R2 Configuration ManagerSystem Center 2012 R2 Configuration Manager

上記のバージョンの Configuration Manager による展開は、そのデバイス上でオンボード スクリプトを実行することにより行われます。Deployment with the above-mentioned versions of Configuration Manager is done by running the onboarding script on the devices. 展開は、Configuration Manager コンソール内で追跡できます。You can track the deployment in the Configuration Manager Console.

展開が失敗した場合は、デバイス上でスクリプトの出力を確認できます。If the deployment fails, you can check the output of the script on the devices.

オンボードが正常に行われたにもかかわらず、1時間経っても デバイス一覧 にデバイスが表示されない場合、発生する可能性のあるその他のエラーについては 「デバイス上でのオンボードの問題のトラブルシューティング」 を参照してください。If the onboarding completed successfully but the devices are not showing up in the Devices list after an hour, see Troubleshoot onboarding issues on the device for additional errors that might occur.

スクリプトで展開する際のオンボードのトラブルシューティングTroubleshoot onboarding when deploying with a script

デバイス上でスクリプト結果を確認する:Check the result of the script on the device:

  1. [スタート] をクリックして「イベント ビューアー」と入力し、Enter キーを押します。Click Start, type Event Viewer, and press Enter.

  2. Windows ログ > アプリケーションに移動します。Go to Windows Logs > Application.

  3. WDATPOnboarding イベント ソースからイベントを検索します。Look for an event from WDATPOnboarding event source.

スクリプトに失敗してイベントがエラーとなった場合は、問題のトラブルシューティングに役立つ次の表でイベント ID を確認できます。If the script fails and the event is an error, you can check the event ID in the following table to help you troubleshoot the issue.

注意

次のイベント ID はオンボード スクリプトのみに限定されています。The following event IDs are specific to the onboarding script only.

イベント IDEvent ID エラーの種類Error Type 解決手順Resolution steps
5 オフボード データが検出されましたが削除できませんでした。Offboarding data was found but couldn't be deleted レジストリ上の権限を確認してください。Check the permissions on the registry, specifically
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection..
10 オンボード データをレジストリに書き込みできませんでした。Onboarding data couldn't be written to registry レジストリ上の権限を確認してください。Check the permissions on the registry, specifically
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection..
スクリプトが管理者として実行されていることを確認します。Verify that the script has been run as an administrator.
15 SENSE サービスを開始できませんでした。Failed to start SENSE service サービスの正常性 (sc query sense コマンド) を確認してください。Check the service health (sc query sense command). サービスが中間の状態 ('Pending_Stopped''Pending_Running') になっていないことを確認し、スクリプトを再度 (管理者の権限で) 実行します。Make sure it's not in an intermediate state ('Pending_Stopped', 'Pending_Running') and try to run the script again (with administrator rights).

デバイスで Windows 10 Version 1607 を使用しており、コマンド sc query sense を実行すると START_PENDING が返される場合は、デバイスを再起動します。If the device is running Windows 10, version 1607 and running the command sc query sense returns START_PENDING, reboot the device. デバイスを再起動しても問題が解決されない場合は、KB4015217 にアップグレードし、オンボードをもう一度やり直してください。If rebooting the device doesn't address the issue, upgrade to KB4015217 and try onboarding again.
15 SENSE サービスを開始できませんでした。Failed to start SENSE service エラーが発生した場合のメッセージ: システム エラー577またはエラー1058が発生した場合の詳細については、「ポリシーにより、Microsoft Defender ウイルス対策ドライバーを有効にする必要があります」 を参照してください。If the message of the error is: System error 577 or error 1058 has occurred, you need to enable the Microsoft Defender Antivirus ELAM driver, see Ensure that Microsoft Defender Antivirus is not disabled by a policy for instructions.
30 スクリプトは、サービスの実行が開始されるのを待機できませんでした。The script failed to wait for the service to start running このサービスの開始には時間がかかる場合があります。もしくは、開始中にエラーが発生する場合があります。The service could have taken more time to start or has encountered errors while trying to start. SENSE に関するイベントおよびエラーの詳細については、「イベント ビューアーを使用してイベントおよびエラーを確認する」を参照してください。For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
35 スクリプトが必要なオンボード状態のレジストリ値の検索ができませんでした。The script failed to find needed onboarding status registry value SENSE サービスをはじめて開始する際は、レジストリの場所にオンボード ステータスが書き込まれますWhen the SENSE service starts for the first time, it writes onboarding status to the registry location
HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status..
数秒経ちましたがスクリプトが検索できませんでした。The script failed to find it after several seconds. 手動でテストを行い、そこにあるか確認できます。You can manually test it and check if it's there. SENSE に関するイベントおよびエラーの詳細については、「イベント ビューアーを使用してイベントおよびエラーを確認する」を参照してください。For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
40 SENSE サービスのオンボード ステータスが 1に設定されていません。SENSE service onboarding status is not set to 1 SENSE サービスが正しく配布準備できませんでした。The SENSE service has failed to onboard properly. SENSE に関するイベントおよびエラーの詳細については、「イベント ビューアーを使用してイベントおよびエラーを確認する」を参照してください。For more information on events and errors related to SENSE, see Review events and errors using Event viewer.
65 十分な特権がありませんInsufficient privileges 管理者特権でスクリプトを再度実行してください。Run the script again with administrator privileges.

Microsoft Intune を使ったオンボードの問題のトラブルシューティングTroubleshoot onboarding issues using Microsoft Intune

Microsoft Intune を使ってエラー コードを確認し、問題の原因のトラブルシューティングを試行できます。You can use Microsoft Intune to check error codes and attempt to troubleshoot the cause of the issue.

Intune でポリシーを構成済みで、それらのポリシーがデバイスに反映されていない場合は、MDM の自動登録の構成が必要になることがあります。If you have configured policies in Intune and they are not propagated on devices, you might need to configure automatic MDM enrollment.

オンボード中の問題の考えられる原因については、以下の表を参照してください。Use the following tables to understand the possible causes of issues while onboarding:

  • Microsoft Intune エラー コードおよび OMA-URIs テーブルMicrosoft Intune error codes and OMA-URIs table
  • コンプライアンス違反状態の既知問題Known issues with non-compliance table
  • モバイル デバイス管理 (MDM) イベント ログ テーブルMobile Device Management (MDM) event logs table

いずれのイベント ログおよびトラブルシューティング手順でも解決できない場合は、ポータルの [Machine management] (デバイスの管理) セクションからローカル スクリプトをダウンロードし、管理者特権でのコマンド プロンプトでそのスクリプトを実行してください。If none of the event logs and troubleshooting steps work, download the Local script from the Device management section of the portal, and run it in an elevated command prompt.

Microsoft Intune エラー コードおよび OMA-URIMicrosoft Intune error codes and OMA-URIs

エラー コード 16 進Error Code Hex エラー コード 10 進Error Code Dec エラーの説明Error Description OMA-URIOMA-URI 考えられる原因およびトラブルシューティングの手順Possible cause and troubleshooting steps
0x87D1FDE80x87D1FDE8 -2016281112-2016281112 修復できませんでしたRemediation failed オンボードOnboarding
オフボードOffboarding
考えられる原因: オンボードまたはオフボードが間違っている blob 上で失敗している:署名が間違っている、または PreviousOrgIds フィールドが不足しているPossible cause: Onboarding or offboarding failed on a wrong blob: wrong signature or missing PreviousOrgIds fields.

トラブルシューティングの手順:Troubleshooting steps:
エージェント オンボード エラーをデバイスのイベント ログで確認する」セクションでイベント ID を確認します。Check the event IDs in the View agent onboarding errors in the device event log section.

MDM イベント ログを次のテーブルで確認するか、「Windows 10 での MDM エラーの診断」に記載されている手順を実行します。Check the MDM event logs in the following table or follow the instructions in Diagnose MDM failures in Windows 10.
オンボードOnboarding
オフボードOffboarding
SampleSharingSampleSharing
考えられる原因: Endpoint 向け Microsoft Defender ポリシー レジストリキーが存在しないか、OMA DM クライアントが書き込むための権限を持っていない。Possible cause: Microsoft Defender for Endpoint Policy registry key does not exist or the OMA DM client doesn't have permissions to write to it.

トラブルシューティングの手順: 次のレジストリキーが存在するか確認する。Troubleshooting steps: Ensure that the following registry key exists: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

存在しない場合は、管理者特権でのコマンド を開いてキーを追加してください。If it doesn't exist, open an elevated command and add the key.
SenseIsRunningSenseIsRunning
OnboardingStateOnboardingState
OrgIdOrgId
考えられる原因: 読み取り専用プロパティで修復を試行している。Possible cause: An attempt to remediate by read-only property. オンボードに失敗しました。Onboarding has failed.

トラブルシューティングの手順: トラブルシューティングの手順を「デバイス上でのオンボードの問題のトラブルシューティング」で確認します。Troubleshooting steps: Check the troubleshooting steps in Troubleshoot onboarding issues on the device.

MDM イベント ログを次のテーブルで確認するか、「Windows 10 での MDM エラーの診断」に記載されている手順を実行します。Check the MDM event logs in the following table or follow the instructions in Diagnose MDM failures in Windows 10.
すべてAll 考えられる原因: サポート外の SKU/Platform である Holographic SKU 上で Endpoint 向け Microsoft Defender を展開しようとしている。Possible cause: Attempt to deploy Microsoft Defender for Endpoint on non-supported SKU/Platform, particularly Holographic SKU.

現在サポートされているプラットフォーム:Currently supported platforms:
エンタープライズ、教育機関、およびプロフェッショナル。Enterprise, Education, and Professional.
サーバーはサポートされていません。Server is not supported.
0x87D101A90x87D101A9 -2016345687-2016345687 Syncml(425): 要求されたコマンドの実行に失敗しました。送信元に、受信者の十分なアクセス制御権限 (ACL) がありません。SyncML(425): The requested command failed because the sender does not have adequate access control permissions (ACL) on the recipient. すべてAll 考えられる原因: サポート外の SKU/Platform である Holographic SKU 上で Endpoint 向け Microsoft Defender を展開しようとしている。Possible cause: Attempt to deploy Microsoft Defender for Endpoint on non-supported SKU/Platform, particularly Holographic SKU.

現在サポートされているプラットフォーム:Currently supported platforms:
エンタープライズ、教育機関、およびプロフェッショナル。Enterprise, Education, and Professional.

コンプライアンス違反状態の既知問題Known issues with non-compliance

次のテーブルはコンプライアンス違反の問題の情報および問題の解決策を示しています。The following table provides information on issues with non-compliance and how you can address the issues.

ケースCase 現象Symptoms 考えられる原因およびトラブルシューティングの手順Possible cause and troubleshooting steps
1 デバイスは SenseIsRunning OMA-URI に対応しています。Device is compliant by SenseIsRunning OMA-URI. ただし、OrgId、Onboarding、および OnboardingState OMA-URIs には非対応です。But is non-compliant by OrgId, Onboarding and OnboardingState OMA-URIs. 考えられる原因: Windows をインストールまたはアップグレードした後に、ユーザーが OOBE を通したことを確認する。Possible cause: Check that user passed OOBE after Windows installation or upgrade. OOBE 中はオンボードを完了できまでしたが、SENSE は既に実行しています。During OOBE onboarding couldn't be completed but SENSE is running already.

トラブルシューティングの手順: OOBE の完了を待つ。Troubleshooting steps: Wait for OOBE to complete.
2 デバイスは OrgId、Onboarding、および OnboardingState OMA-URIs に対応していますが、SenseIsRunning OMA-URI には非対応です。Device is compliant by OrgId, Onboarding, and OnboardingState OMA-URIs, but is non-compliant by SenseIsRunning OMA-URI. 考えられる原因: 検出サービスのスタートアップの種類が「遅延開始」と設定されている。Possible cause: Sense service's startup type is set as "Delayed Start". これにより Microsoft Intune サーバーが DM セッションがシステム起動時に発生した時に、デバイスを SenseIsRunning 非対応としてレポートすることがあります。Sometimes this causes the Microsoft Intune server to report the device as non-compliant by SenseIsRunning when DM session occurs on system start.

トラブルシューティングの手順: この問題は 24 時間以内に自動的に修正されます。Troubleshooting steps: The issue should automatically be fixed within 24 hours.
3 デバイスは非対応です。Device is non-compliant トラブルシューティングの手順: オンボードとオフボードのポリシーが同一デバイスで同時に展開されないことを確認する。Troubleshooting steps: Ensure that Onboarding and Offboarding policies are not deployed on the same device at same time.

モバイル デバイス管理 (MDM) イベント ログMobile Device Management (MDM) event logs

MDM イベント ログを表示してオンボード中に発生する可能性のある問題のトラブルシューティングを行います。View the MDM event logs to troubleshoot issues that might arise during onboarding:

ログ名:Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-ProviderLog name: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

チャンネル名:Channel name: Admin

IDID 重大度Severity イベントの説明Event description トラブルシューティングの手順Troubleshooting steps
18191819 エラーError Microsoft Defender for Endpoint CSP: ノードの値の設定に失敗しました。Microsoft Defender for Endpoint CSP: Failed to Set Node's Value. NodeId: (%1)、TokenName: (%2)、結果: (%3)。NodeId: (%1), TokenName: (%2), Result: (%3). Windows 10 Version 1607 の累積的な更新プログラムをダウンロードします。Download the Cumulative Update for Windows 10, 1607.

デバイス上でのオンボードの問題のトラブルシューティングTroubleshoot onboarding issues on the device

使用している展開ツールではオンボード プロセスでのエラーが示されていなくても、1 時間経ってデバイスがデバイス一覧に表示されない場合は、以下の検証トピックを調べて、EndPoint 向け Microsoft Defender エージェントでエラーが発生ていないか確認してください。If the deployment tools used does not indicate an error in the onboarding process, but devices are still not appearing in the devices list in an hour, go through the following verification topics to check if an error occurred with the Microsoft Defender for Endpoint agent.

エージェント オンボード エラーをデバイスのイベント ログで確認するView agent onboarding errors in the device event log

  1. [スタート] をクリックして「イベント ビューアー」と入力し、Enter キーを押します。Click Start, type Event Viewer, and press Enter.

  2. [イベント ビューアー(ローカル)] ウィンドウで、[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [SENSE] の順に展開します。In the Event Viewer (Local) pane, expand Applications and Services Logs > Microsoft > Windows > SENSE.

    注意

    SENSE は EndPoint 向け Microsoft Defender を起動するための動作センサーを指す内部名称です。SENSE is the internal name used to refer to the behavioral sensor that powers Microsoft Defender for Endpoint.

  3. [Operational] を選択してログを読み込みます。Select Operational to load the log.

  4. アクションウィンドウで 現在のログをフィルターをクリックします。In the Action pane, click Filter Current log.

  5. フィルタータブ上で、 イベント レベル: の下部にある 重大警告、および エラーを選択して OKをクリックします。On the Filter tab, under Event level: select Critical, Warning, and Error, and click OK.

    イベント ビューアー ログ フィルターのイメージ

  6. 問題を表示できるイベントが 稼働中ウィンドウに表示されます。Events which can indicate issues will appear in the Operational pane. 次のテーブル内の解決策に基づいたトラブルシューティングを試行できます。You can attempt to troubleshoot them based on the solutions in the following table:

イベント IDEvent ID メッセージMessage 解決手順Resolution steps
5 EndPoint 向け Microsoft Defender サービスは、variable にあるサーバーに接続できませんでした。Microsoft Defender for Endpoint service failed to connect to the server at variable デバイスがインターネットにアクセスできることを確認してくださいEnsure the device has Internet access.
6 EndPoint 向け Microsoft Defender サービスはオンボードされていません。オンボード パラメーターが見つかりませんでした。Microsoft Defender for Endpoint service is not onboarded and no onboarding parameters were found. エラー コード: variableFailure code: variable オンボード スクリプトを再度実行してくださいRun the onboarding script again.
7 EndPoint 向け Microsoft Defender サービスは、オンボード パラメーターを読み取れませんでした。Microsoft Defender for Endpoint service failed to read the onboarding parameters. エラー コード: variableFailure code: variable デバイスがインターネットにアクセスできることを確認し、オンボード プロセス全体を再度実行します。Ensure the device has Internet access, then run the entire onboarding process again.
9 EndPoint 向け Microsoft Defender サービスの開始の種類を変更できませんでした。Microsoft Defender for Endpoint service failed to change its start type. エラー コード: variableFailure code: variable オンボード処理中にイベントが発生した場合は、再起動し、オンボード スクリプトの実行を再度試みます。If the event happened during onboarding, reboot and re-attempt running the onboarding script. 詳しくは、「オンボード スクリプトを再度実行してください」を参照してください。For more information, see Run the onboarding script again.

オフボード処理中にイベントが発生した場合は、サポートに問い合わせてください。If the event happened during offboarding, contact support.
10 EndPoint 向け Microsoft Defender は、オンボーディング情報を保持できませんでした。Microsoft Defender for Endpoint service failed to persist the onboarding information. エラー コード: variableFailure code: variable オンボード時にイベントが発生した場合は、オンボード スクリプトの実行を再度試みます。If the event happened during onboarding, re-attempt running the onboarding script. 詳しくは、「オンボード スクリプトを再度実行してください」を参照してください。For more information, see Run the onboarding script again.

それでも問題が解決しない場合は、サポートに問い合わせてください。If the problem persists, contact support.
15 EndPoint 向け Microsoft Defender は、URL を使用してコマンド チャネルを開始できません: variableMicrosoft Defender for Endpoint cannot start command channel with URL: variable デバイスがインターネットにアクセスできることを確認してくださいEnsure the device has Internet access.
17 EndPoint 向け Microsoft Defender サービスは、接続ユーザー エクスペリエンスとテレメトリ サービスの場所を変更できませんでした。Microsoft Defender for Endpoint service failed to change the Connected User Experiences and Telemetry service location. エラー コード: variableFailure code: variable オンボード スクリプトを再度実行してくださいRun the onboarding script again. それでも問題が解決しない場合は、サポートに問い合わせてください。If the problem persists, contact support.
25 EndPoint 向け Microsoft Defender サービスは、レジストリの正常性状態をリセットできませんでした。Microsoft Defender for Endpoint service failed to reset health status in the registry. エラー コード: variableFailure code: variable サポートに問い合わせてください。Contact support.
27 Windows Defender の EndPoint 向け Microsoft Defender モードを無効にすることができませんでした。Failed to enable Microsoft Defender for Endpoint mode in Windows Defender. オンボード プロセスが失敗しました。Onboarding process failed. エラー コード: variableFailure code: variable サポートに問い合わせてください。Contact support.
29 オフボード パラメーターを読み取れませんでした。Failed to read the offboarding parameters. エラーの種類: %1、エラー コード: %2、説明: %3Error type: %1, Error code: %2, Description: %3 デバイスでインターネットにアクセスできることを確認してから、オフボード プロセス全体を再度実行します。Ensure the device has Internet access, then run the entire offboarding process again.
30 EndPoint 向け Microsoft Defender で $(build.sense.productDisplayName) モードを無効にできませんでした。Failed to disable $(build.sense.productDisplayName) mode in Microsoft Defender for Endpoint. エラー コード: %1Failure code: %1 サポートに問い合わせてください。Contact support.
32 $(build.sense.productDisplayName) サービスは、オフボード プロセスの後に自分自身の停止要求に失敗しました。$(build.sense.productDisplayName) service failed to request to stop itself after offboarding process. エラー コード: %1Failure code: %1 サービス開始の種類が手動であることを確認し、デバイスを再起動します。Verify that the service start type is manual and reboot the device.
55 セキュリティで保護された ETW autologger を作成できませんでした。Failed to create the Secure ETW autologger. エラー コード: %1Failure code: %1 デバイスを再起動します。Reboot the device.
63 外部サービスの開始の種類を更新しています。Updating the start type of external service. 名前: %1、実際の開始の種類: %2、想定される開始の種類: %3、終了コード: %4Name: %1, actual start type: %2, expected start type: %3, exit code: %4 説明したサービスの開始の種類の変更原因を特定します。Identify what is causing changes in start type of mentioned service. 終了コードが 0 ではない場合、開始の種類を想定される開始の種類に手動で修正します。If the exit code is not 0, fix the start type manually to expected start type.
64 停止された外部サービスを開始しています。Starting stopped external service. 名前: %1、終了コード: %2Name: %1, exit code: %2 イベントが再度表示される場合は、サポートに問い合わせてください。Contact support if the event keeps re-appearing.
68 サービスの開始の種類が想定外です。The start type of the service is unexpected. サービス名: %1、実際の開始の種類: %2、想定される開始の種類: %3Service name: %1, actual start type: %2, expected start type: %3 開始の種類の変更原因を特定します。Identify what is causing changes in start type. 指摘されたサービスの開始の種類を修正します。Fix mentioned service start type.
69 サービスが停止しています。The service is stopped. サービス名: %1Service name: %1 指摘されたサービスを開始します。Start the mentioned service. 問題が解決しない場合は、サポートにお問い合わせください。Contact support if persists.

EndPoint 向け Microsoft Defender エージェントの依存先のデバイス上に、正常に機能するための追加コンポーネントがあります。There are additional components on the device that the Microsoft Defender for Endpoint agent depends on to function properly. EndPoint 向け Microsoft Defender エージェント イベント ログに、オンボードに関するエラーがない場合は、次の手順に従って続行し、追加コンポーネントが正しく構成されていることを確認してください。If there are no onboarding related errors in the Microsoft Defender for Endpoint agent event log, proceed with the following steps to ensure that the additional components are configured correctly.

診断データ サービスが有効になっていることを確認するEnsure the diagnostic data service is enabled

デバイスからのレポートが正しくない場合は、Windows 10 の診断データ サービスが自動的に開始するように設定され、そのデバイス上で実行されていることを確認してください。If the devices aren't reporting correctly, you might need to check that the Windows 10 diagnostic data service is set to automatically start and is running on the device. 他のプログラムまたはユーザーの構成の変更によってサービスが無効化されている可能性があります。The service might have been disabled by other programs or user configuration changes.

まず、Windows 起動時にサービスが自動的に開始するよう設定されているかを確認します。次に、サービスが現在実行中であることを確認します(そうでない場合は開始します)。First, you should check that the service is set to start automatically when Windows starts, then you should check that the service is currently running (and start it if it isn't).

サービスの開始が設定されていることを確認するEnsure the service is set to start

コマンド ラインを使って Windows 10 の診断データ サービスのスタートアップの種類を確認する:Use the command line to check the Windows 10 diagnostic data service startup type:

  1. デバイスで、管理者特権を使用してコマンド プロンプトを開きます。Open an elevated command-line prompt on the device:

    a. a. [スタート] をクリックして、[cmd] と入力し、Enterを押します。Click Start, type cmd, and press Enter.

    b. b. [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします。Right-click Command prompt and select Run as administrator.

  2. 次のコマンドを入力して、Enter キーを押します。Enter the following command, and press Enter:

    sc qc diagtrack
    

    サービスが有効である場合、結果は次のスクリーン ショットのようになります。If the service is enabled, then the result should look like the following screenshot:

    sc query diagtrack コマンドの結果

    START_TYPESTART_TYPEAUTO_START が AUTO_START に設定されていない場合、サービスが自動的に開始されるように設定する必要があります。If the START_TYPE is not set to AUTO_START, then you'll need to set the service to automatically start.

コマンド ラインを使って Windows 10 の診断データ サービスが自動的に起動するように設定する:Use the command line to set the Windows 10 diagnostic data service to automatically start:

  1. デバイスで、管理者特権を使用してコマンド プロンプトを開きます。Open an elevated command-line prompt on the device:

    a. a. [スタート] をクリックして、[cmd] と入力し、Enterを押します。Click Start, type cmd, and press Enter.

    b. b. [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします。Right-click Command prompt and select Run as administrator.

  2. 次のコマンドを入力して、Enter キーを押します。Enter the following command, and press Enter:

    sc config diagtrack start=auto
    
  3. 成功を示すメッセージが表示されます。A success message is displayed. 以下のコマンドを入力して Enter キーを押し、変更を確認します。Verify the change by entering the following command, and press Enter:

    sc qc diagtrack
    
  4. サービスのスタート。Start the service.

    a. a. コマンド プロンプトに次のコマンドを入力して、Enterを押します。In the command prompt, type the following command and press Enter:

    sc start diagtrack
    

デバイスにインターネット接続があることを確認するEnsure the device has an Internet connection

Window Defender ATP センサーでは、センサー データをレポートし、EndPoint 向け Microsoft Defender サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。The Window Defender ATP sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Microsoft Defender for Endpoint service.

WinHTTP は、インターネット ブラウザ プロキシ設定や他のユーザーのコンテキスト アプリケーションに依存しません。また、特定の環境下で利用可能なプロキシ サーバーを検出できる必要があります。WinHTTP is independent of the Internet browsing proxy settings and other user context applications and must be able to detect the proxy servers that are available in your particular environment.

センサーのサービス接続を確保するには、「EndPoint 向け Microsoft Defender サービス URL へのクライアント接続を確認する」に記載されている手順に従ってください。To ensure that sensor has service connectivity, follow the steps described in the Verify client connectivity to Microsoft Defender for Endpoint service URLs topic.

認証に失敗し、ご利用の環境でインターネットに接続するためにプロキシが使用されている場合は、「プロキシおよびインターネット接続設定を構成する」トピックで説明されている手順に従ってください。If the verification fails and your environment is using a proxy to connect to the Internet, then follow the steps described in Configure proxy and Internet connectivity settings topic.

Microsoft Defender ウイルス対策がポリシーで無効化されていないことを確認するEnsure that Microsoft Defender Antivirus is not disabled by a policy

重要

以下は、Microsoft Defender ウイルス対策ソフトウェアに 2020 年 8 月 (バージョン 4.18.2007.8) 更新プログラムをまだ受信して いない デバイスにのみ適用されます。The following only applies to devices that have not yet received the August 2020 (version 4.18.2007.8) update to Microsoft Defender Antivirus.

この更新プログラムを適用すると、Microsoft Defender ウイルス対策は、システム ポリシーを使用してクライアント デバイスで無効にすることはできません。The update ensures that Microsoft Defender Antivirus cannot be turned off on client devices via system policy.

問題: EndPoint 向け Microsoft Defender サービスが、オンボード後に開始されない。Problem: The Microsoft Defender for Endpoint service does not start after onboarding.

現象: オンボードは正常に完了したが、サービスを開始しようとすると、エラー 577 またはエラー 1058 が表示される。Symptom: Onboarding successfully completes, but you see error 577 or error 1058 when trying to start the service.

解決方法: デバイスでサード パーティのマルウェア対策クライアントを実行している場合、EndPoint 向け Microsoft Defender エージェントを使用するには、起動時マルウェア対策 (ELAM) ドライバーが有効になっている必要があります。Solution: If your devices are running a third-party antimalware client, the Microsoft Defender for Endpoint agent needs the Early Launch Antimalware (ELAM) driver to be enabled. システム ポリシーで無効になっていないことを確認してください。You must ensure that it's not turned off by a system policy.

  • ポリシーの実装に使用するツールによっては、次の Windows Defender ポリシーがクリアされていることを確認する必要があります。Depending on the tool that you use to implement policies, you'll need to verify that the following Windows Defender policies are cleared:

    • DisableAntiSpywareDisableAntiSpyware
    • DisableAntiVirusDisableAntiVirus

    たとえば、グループ ポリシーでは、次のような値を持つエントリが存在することは認められません。For example, in Group Policy there should be no entries such as the following values:

    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

重要

disableAntiSpyware の設定は廃止され、Microsoft Defender ウイルス対策ソフトウェアへの 2020 年 8 月 (バージョン 4.18.2007.8) 更新プログラム以降、すべてのクライアント デバイスで無視されます。The disableAntiSpyware setting is discontinued and will be ignored on all client devices, as of the August 2020 (version 4.18.2007.8) update to Microsoft Defender Antivirus.

  • ポリシーをクリアした後、オンボードの手順を再度実行します。After clearing the policy, run the onboarding steps again.

  • レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender を開いて、以前のレジストリ キーの値を確認し、ポリシーが無効になっていることを確認することもできます。You can also check the previous registry key values to verify that the policy is disabled, by opening the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.

    Microsoft Defender ウイルス対策用のレジストリ キーの画像

    注意

    さらに、wdfilter.sys と wdboot.sys がデフォルトの開始値 "0" に設定されていることを確認する必要があります。In addition, you must ensure that wdfilter.sys and wdboot.sys are set to their default start values of "0".

    • <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
    • <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>

サーバー上でのオンボードの問題のトラブルシューティングTroubleshoot onboarding issues on a server

サーバーのオンボード中に問題が発生した場合は、次の検証の手順を調べて、考えられる問題を解決してください。If you encounter issues while onboarding a server, go through the following verification steps to address possible issues.

以下の確認が必要になる場合もあります。You might also need to check the following:

  • タスク マネージャー[プロセス] タブで、EndPoint 向け Microsoft Defender サービスが実行されていることを確認します。Check that there is a Microsoft Defender for Endpoint Service running in the Processes tab in Task Manager. 次に、例を示します。For example:

    EndPoint 向け Microsoft Defender サービスが実行中であるプロセス ビューの画像

  • [イベント ビューアー] > [アプリケーションとサービス ログ] > [Operation Manager] を調べ、エラーがないか確認します。Check Event Viewer > Applications and Services Logs > Operation Manager to see if there are any errors.

  • [サービス] で、Microsoft Monitoring Agent がサーバーで実行されていることを確認します。In Services, check if the Microsoft Monitoring Agent is running on the server. 以下に例を示します。For example,

    [サービス] の画像

  • [Microsoft Monitoring Agent] > [Azure Log Analytics (OMS)] で、ワークスペースを確認し、状態が実行中であることを確認します。In Microsoft Monitoring Agent > Azure Log Analytics (OMS), check the Workspaces and verify that the status is running.

    Microsoft Monitoring Agent のプロパティの画像

  • ポータルの [デバイス一覧] にデバイスが反映されていることを確認します。Check to see that devices are reflected in the Devices list in the portal.

新しくビルドされたデバイスのオンボードを確認するConfirming onboarding of newly built devices

新しくビルドされたデバイスにオンボードを展開しても完了しない場合は、インスタンスがある可能性があります。There may be instances when onboarding is deployed on a newly built device but not completed.

下記の手順で、以下のシナリオのガイダンスを提供しています。The steps below provide guidance for the following scenario:

  • 新しくビルドされたデバイスに、オンボード パッケージが展開されているOnboarding package is deployed to newly built devices
  • OOBE (Out-of-Box Experience) または最初のユーザー ログオンが完了していないため、センサーが起動しないSensor does not start because the Out-of-box experience (OOBE) or first user logon has not been completed
  • エンド ユーザーが最初のログオンを実行する前に、デバイスの電源が切られたか、再起動されたDevice is turned off or restarted before the end user performs a first logon
  • このシナリオでは、オンボード パッケージが展開されたとしても、SENSE サービスは自動的に起動しませんIn this scenario, the SENSE service will not start automatically even though onboarding package was deployed

注意

以下の手順は、Microsoft Endpoint Configuration Manager を使用する場合にのみ該当します。The following steps are only relevant when using Microsoft Endpoint Configuration Manager. Microsoft Endpoint Configuration Manager を使用したオンボードの詳細については、「 EndPoint 向け Microsoft Defender」を参照してください。For more details about onboarding using Microsoft Endpoint Configuration Manager, see Microsoft Defender for Endpoint.

  1. Microsoft Endpoint Configuration Manager でアプリケーションを作成します。Create an application in Microsoft Endpoint Configuration Manager.

    Microsoft Endpoint Configuration Manager の構成の画像

  2. [アプリケーションの情報を手動で指定する] を選択します。Select Manually specify the application information.

    Microsoft Endpoint Configuration Manager の構成の画像

  3. アプリケーションの情報を指定し、[次へ] を選択します。Specify information about the application, then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  4. ソフトウェア センターの情報を指定し、[次へ] を選択します。Specify information about the software center, then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  5. [展開の種類] で、[追加] を選択します。In Deployment types select Add.

    Microsoft Endpoint Configuration Manager の構成の画像

  6. [Manually specify the deployment type information] (展開の種類の情報を手動で指定する) を選択し、[次へ] を選択します。Select Manually specify the deployment type information, then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  7. 展開の種類の情報を指定し、[次へ] を選択します。Specify information about the deployment type, then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  8. [コンテンツ] > [インストール プログラム] で、次のコマンドを指定します: net start senseIn Content > Installation program specify the command: net start sense.

    Microsoft Endpoint Configuration Manager の構成の画像

  9. [検出方法] で、[Configure rules to detect the presence of this deployment type] (この展開の種類の存在を検出するためのルールを構成する) を選択し、[句の追加] を選択します。In Detection method, select Configure rules to detect the presence of this deployment type, then select Add Clause.

    Microsoft Endpoint Configuration Manager の構成の画像

  10. 次の検出ルールの詳細を指定し、[OK] を選択します。Specify the following detection rule details, then select OK:

    Microsoft Endpoint Configuration Manager の構成の画像

  11. [検出方法] で、[次へ] を選択します。In Detection method select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  12. ユーザー エクスペリエンス には、次の情報を指定し、[次へ] を選択します。In User Experience, specify the following information, then select Next:

    Microsoft Endpoint Configuration Manager の構成の画像

  13. [要件] で、[次へ] を選択します。In Requirements, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  14. [依存関係] で、[次へ] を選択します。In Dependencies, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  15. [概要] で、[次へ] を選択します。In Summary, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  16. [完了] で、[閉じる] を選択します。In Completion, select Close.

    Microsoft Endpoint Configuration Manager の構成の画像

  17. [展開の種類] で、[次へ] を選択します。In Deployment types, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  18. [概要] で、[次へ] を選択します。In Summary, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

    その後、状態が表示されます Microsoft Endpoint Configuration Manager の構成の画像The status is then displayed: Image of Microsoft Endpoint Configuration Manager configuration

  19. [完了] で、[閉じる] を選択します。In Completion, select Close.

    Microsoft Endpoint Configuration Manager の構成の画像

  20. これで、アプリを右クリックし、[展開] を選択してアプリを展開できるようになりました。You can now deploy the application by right-clicking the app and selecting Deploy.

    Microsoft Endpoint Configuration Manager の構成の画像

  21. [全般] で [Automatically distribute content for dependencies] (依存関係のためのコンテンツを自動的に配布する) を選択し、[参照] を選択します。In General select Automatically distribute content for dependencies and Browse.

    Microsoft Endpoint Configuration Manager の構成の画像

  22. [コンテンツ] で、[次へ] を選択します。In Content select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  23. [展開設定] で、[次へ] を選択します。In Deployment settings, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  24. [スケジュール] で [使用可能な時間後直ちに] を選択し、[次へ] を選択します。In Scheduling select As soon as possible after the available time, then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  25. [ユーザー エクスペリエンス] で [メンテナンスの期限または期間中の変更を確定する (再起動が必要)] を選択し、[次へ] を選択します。In User experience, select Commit changes at deadline or during a maintenance window (requires restarts), then select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  26. [アラート] で、[次へ] を選択します。In Alerts select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

  27. [概要] で、[次へ] を選択します。In Summary, select Next.

    Microsoft Endpoint Configuration Manager の構成の画像

    その後、状態が表示されます Microsoft Endpoint Configuration Manager の構成の画像The status is then displayed Image of Microsoft Endpoint Configuration Manager configuration

  28. [完了] で、[閉じる] を選択します。In Completion, select Close.

    Microsoft Endpoint Configuration Manager の構成の画像

関連トピックRelated topics