Felsöka Microsoft Defender för Endpoint onboarding-problem

Artikel
05/02/2024

Gäller för:

Microsoft Defender för Endpoint Abonnemang 1
Microsoft Defender för Endpoint Abonnemang 2
Windows Server 2012 R2
Windows Server 2016
Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan behöva felsöka Microsoft Defender för Endpoint onboarding-processen om du stöter på problem. Den här sidan innehåller detaljerade steg för att felsöka onboarding-problem som kan uppstå vid distribution med något av distributionsverktygen och vanliga fel som kan uppstå på enheterna.

Innan du börjar felsöka problem med registreringsverktyg är det viktigt att kontrollera om minimikraven uppfylls för registrering av enheter till tjänsterna. Lär dig mer om licensierings-, maskinvaru- och programvarukraven för att registrera enheter i tjänsten.

Tips

Som ett komplement till den här artikeln rekommenderar vi att du använder Microsoft Defender för Endpoint automatiserad installationsguide när du är inloggad på Administrationscenter för Microsoft 365. Den här guiden anpassar din upplevelse baserat på din miljö. Om du vill granska metodtipsen utan att logga in och aktivera funktioner för automatisk installation går du till installationsguiden för Microsoft 365.

Felsöka problem med registreringsverktyg

Om du har slutfört registreringsprocessen och inte ser enheter i listan Enheter efter en timme kan det tyda på ett problem med registrering eller anslutning.

Felsöka registrering vid distribution med grupprincip

Distribution med grupprincip görs genom att köra registreringsskriptet på enheterna. Grupprincip-konsolen anger inte om distributionen har slutförts eller inte.

Om du har slutfört registreringsprocessen och inte ser enheter i listan Enheter efter en timme kan du kontrollera utdata från skriptet på enheterna. Mer information finns i Felsöka registrering när du distribuerar med ett skript.

Om skriptet har slutförts kan du läsa Felsöka onboarding-problem på enheterna för ytterligare fel som kan inträffa.

Felsöka onboarding-problem vid distribution med Microsoft Endpoint Configuration Manager

När du registrerar enheter med följande versioner av Configuration Manager:

Microsoft Endpoint Configuration Manager
System Center 2012 Configuration Manager
System Center 2012 R2 Configuration Manager

Distribution med ovanstående versioner av Configuration Manager görs genom att köra registreringsskriptet på enheterna. Du kan spåra distributionen i Configuration Manager-konsolen.

Om distributionen misslyckas kan du kontrollera utdata från skriptet på enheterna.

Om registreringen har slutförts men enheterna inte visas i listan Enheter efter en timme kan du läsa Felsöka onboarding-problem på enheten för ytterligare fel som kan inträffa.

Felsöka registrering när du distribuerar med ett skript

Kontrollera resultatet av skriptet på enheten:

Klicka på Start, skriv Loggboken och tryck på Retur.
Gå till Windows-loggprogrammet>.
Leta efter en händelse från WDATPOnboarding-händelsekällan .

Om skriptet misslyckas och händelsen är ett fel kan du kontrollera händelse-ID:t i följande tabell för att felsöka problemet.

Obs!

Följande händelse-ID:t är endast specifika för registreringsskriptet.

Händelse-ID	Feltyp	Lösningssteg
`5`	Avregistreringsdata hittades men kunde inte tas bort	Kontrollera behörigheterna i registret, särskilt `HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection`.
`10`	Det gick inte att skriva registreringsdata till registret	Kontrollera behörigheterna i registret, särskilt `HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection`. Kontrollera att skriptet har körts som administratör.
`15`	Det gick inte att starta SENSE-tjänsten	Kontrollera tjänstens hälsa (`sc query sense` kommando). Kontrollera att det inte är i mellanliggande tillstånd ("Pending_Stopped","Pending_Running") och försök att köra skriptet igen (med administratörsrättigheter). Om enheten körs Windows 10, returnerar `START_PENDING`version 1607 och kör kommandot `sc query sense` , startar du om enheten. Om du inte löser problemet genom att starta om enheten uppgraderar du till KB4015217 och försöker registrera igen.
`15`	Det gick inte att starta SENSE-tjänsten	Om meddelandet om felet är: Systemfel 577 eller fel 1058 har inträffat, måste du aktivera Microsoft Defender Antivirus ELAM-drivrutin. Mer information finns i Kontrollera att Microsoft Defender Antivirus inte är inaktiverat av en princip.
`30`	Skriptet kunde inte vänta på att tjänsten skulle börja köras	Tjänsten kan ha tagit längre tid att starta eller har påträffat fel vid försök att starta. Mer information om händelser och fel som rör SENSE finns i Granska händelser och fel med loggboken.
`35`	Skriptet kunde inte hitta det registreringsstatusregistervärde som behövs	När SENSE-tjänsten startar för första gången skriver den registreringsstatus till registerplatsen `HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status`. Skriptet kunde inte hitta det efter flera sekunder. Du kan testa den manuellt och kontrollera om den finns där. Mer information om händelser och fel som rör SENSE finns i Granska händelser och fel med loggboken.
`40`	SENSE-tjänstens registreringsstatus är inte inställd på 1	SENSE-tjänsten kunde inte registreras korrekt. Mer information om händelser och fel som rör SENSE finns i Granska händelser och fel med loggboken.
`65`	Otillräcklig behörighet	Kör skriptet igen med administratörsbehörighet.
`70`	Avregistreringsskriptet är för en annan organisation	Hämta ett avregistreringsskript för rätt organisation som SENSE-tjänsten är registrerad i.

Felsöka onboarding-problem med Microsoft Intune

Du kan använda Microsoft Intune för att kontrollera felkoder och försöka felsöka orsaken till problemet.

Om du har konfigurerat principer i Intune och de inte sprids på enheter kan du behöva konfigurera automatisk MDM-registrering.

Använd följande tabeller för att förstå möjliga orsaker till problem vid registrering:

Microsoft Intune felkoder och OMA-URIs tabell
Kända problem med inkompatibilitetstabell
Händelseloggtabell för Mobile Enhetshantering (MDM)

Om ingen av händelseloggarna och felsökningsstegen fungerar laddar du ned det lokala skriptet från avsnittet Enhetshantering i portalen och kör det i en upphöjd kommandotolk.

Microsoft Intune felkoder och OMA-URIs

Felkod hex	Felkod dec	Felbeskrivning	OMA-URI	Möjliga orsaks- och felsökningssteg
0x87D1FDE8	-2016281112	Reparationen misslyckades	Introduktioner Avregistrering	Möjlig orsak: Registrering eller avregistrering misslyckades på en fel blob: fel signatur eller saknade PreviousOrgIds-fält. Felsökningssteg: Kontrollera händelse-ID:n i avsnittet Visa agentregistreringsfel i händelseloggen för enheten . Kontrollera MDM-händelseloggarna i följande tabell eller följ anvisningarna i Diagnostisera MDM-fel i Windows.
			Introduktioner Avregistrering SampleSharing	Möjlig orsak: Microsoft Defender för Endpoint Principregisternyckeln finns inte eller så har OMA DM-klienten inte behörighet att skriva till den. Felsökningssteg: Kontrollera att följande registernyckel finns: `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection` Om den inte finns öppnar du ett upphöjt kommando och lägger till nyckeln.
			SenseIsRunning OnboardingState OrgId	Möjlig orsak: Ett försök att åtgärda med skrivskyddad egenskap. Onboarding misslyckades. Felsökningssteg: Kontrollera felsökningsstegen i Felsöka onboarding-problem på enheten. Kontrollera MDM-händelseloggarna i följande tabell eller följ anvisningarna i Diagnostisera MDM-fel i Windows.
			Alla	Möjlig orsak: Försök att distribuera Microsoft Defender för Endpoint på SKU/plattform som inte stöds, särskilt holografisk SKU. Plattformar som stöds för närvarande: Enterprise, Education och Professional. Servern stöds inte.
0x87D101A9	-2016345687	SyncML(425): Det begärda kommandot misslyckades eftersom avsändaren inte har tillräcklig behörighet för åtkomstkontroll (ACL) på mottagaren.	Alla	Möjlig orsak: Försök att distribuera Microsoft Defender för Endpoint på SKU/plattform som inte stöds, särskilt holografisk SKU. Plattformar som stöds för närvarande: Enterprise, Education och Professional.

Kända problem med inkompatibilitet

Följande tabell innehåller information om problem med inkompatibilitet och hur du kan åtgärda problemen.

Fall	Symptom	Möjliga orsaks- och felsökningssteg
`1`	Enheten är kompatibel med SenseIsRunning OMA-URI. Men är inte kompatibel med OrgId, Onboarding och OnboardingState OMA-URI:er.	Möjlig orsak: Kontrollera att användaren har skickat OOBE efter Installationen eller uppgraderingen av Windows. Det gick inte att slutföra OOBE-registreringen, men SENSE körs redan. Felsökningssteg: Vänta tills OOBE har slutförts.
`2`	Enheten är kompatibel med OrgId, Onboarding och OnboardingState OMA-URI:er, men är inte kompatibel med SenseIsRunning OMA-URI.	Möjlig orsak: Sense-tjänstens starttyp anges som "Fördröjd start". Ibland gör detta att Microsoft Intune-servern rapporterar enheten som icke-kompatibel av SenseIsRunning när DM-sessionen inträffar vid systemstart. Felsökningssteg: Problemet bör åtgärdas automatiskt inom 24 timmar.
`3`	Enheten är inte kompatibel	Felsökningssteg: Se till att principer för registrering och avregistrering inte distribueras på samma enhet samtidigt.

MdM-händelseloggar (Mobile Enhetshantering)

Visa MDM-händelseloggarna för att felsöka problem som kan uppstå under registrering:

Loggnamn: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

Kanalnamn: Admin

ID	Allvarlighetsgrad	Händelsebeskrivning	Felsökningssteg
1819	Fel	Microsoft Defender för Endpoint CSP: Det gick inte att ange nodens värde. NodeId: (%1), TokenName: (%2), Resultat: (%3).	Ladda ned den kumulativa uppdateringen för Windows 10, 1607.

Felsöka onboarding-problem på enheten

Om distributionsverktygen som används inte indikerar ett fel i registreringsprocessen, men enheterna fortfarande inte visas i enhetslistan på en timme, går du igenom följande verifieringsavsnitt för att kontrollera om ett fel har uppstått med Microsoft Defender för Endpoint-agenten.

Visa agentregistreringsfel i enhetshändelseloggen
Kontrollera att diagnostikdatatjänsten är aktiverad
Kontrollera att tjänsten är inställd på att starta
Kontrollera att enheten har en Internetanslutning
Kontrollera att Microsoft Defender Antivirus inte är inaktiverat av en princip

Visa agentregistreringsfel i enhetshändelseloggen

Klicka på Start, skriv Loggboken och tryck på Retur.
I fönstret Loggboken (lokal) expanderar du Program- och tjänstloggar>Microsoft>Windows>SENSE.

Obs!

SENSE är det interna namnet som används för att referera till den beteendesensor som driver Microsoft Defender för Endpoint.
Välj Drift för att läsa in loggen.
I åtgärdsfönstret klickar du på Filtrera aktuell logg.
På fliken Filter går du till Händelsenivå: väljer Kritisk, Varning och Fel och klickar på OK.

Händelser som kan tyda på problem visas i fönstret Drift . Du kan försöka felsöka dem baserat på lösningarna i följande tabell:

Händelse-ID	Meddelande	Lösningssteg
`5`	Microsoft Defender för Endpoint-tjänsten kunde inte ansluta till servern vid variabeln	Kontrollera att enheten har Internetåtkomst.
`6`	Microsoft Defender för Endpoint tjänsten har inte registrerats och inga registreringsparametrar hittades. Felkod: variabel	Kör registreringsskriptet igen.
`7`	Microsoft Defender för Endpoint-tjänsten kunde inte läsa registreringsparametrarna. Felkod: variabel	Kontrollera att enheten har Internetåtkomst och kör sedan hela registreringsprocessen igen.
`9`	Microsoft Defender för Endpoint-tjänsten kunde inte ändra sin starttyp. Felkod: variabel	Om händelsen inträffade under registrering startar du om och försöker köra onboarding-skriptet igen. Mer information finns i Kör registreringsskriptet igen. Kontakta supporten om händelsen inträffade under avregistreringen.
`10`	Microsoft Defender för Endpoint-tjänsten kunde inte spara registreringsinformationen. Felkod: variabel	Om händelsen inträffade under registreringen försöker du köra onboarding-skriptet igen. Mer information finns i Kör registreringsskriptet igen. Kontakta supporten om problemet kvarstår.
`15`	Microsoft Defender för Endpoint kan inte starta kommandokanalen med URL: variabel	Kontrollera att enheten har Internetåtkomst.
`17`	Microsoft Defender för Endpoint-tjänsten kunde inte ändra platsen för anslutna användarupplevelser och telemetritjänster. Felkod: variabel	Kör registreringsskriptet igen. Kontakta supporten om problemet kvarstår.
`25`	Microsoft Defender för Endpoint-tjänsten kunde inte återställa hälsostatusen i registret. Felkod: variabel	Kontakta supporten.
`27`	Det gick inte att aktivera Microsoft Defender för Endpoint läge i Windows Defender. Registreringsprocessen misslyckades. Felkod: variabel	Kontakta supporten.
`29`	Det gick inte att läsa av avregistreringsparametrarna. Feltyp: %1, Felkod: %2, Beskrivning: %3	Kontrollera att enheten har Internetåtkomst och kör sedan hela avregistreringsprocessen igen.
`30`	Det gick inte att inaktivera läget $(build.sense.productDisplayName) i Microsoft Defender för Endpoint. Felkod: %1	Kontakta supporten.
`32`	Tjänsten $(build.sense.productDisplayName) kunde inte begära att stoppa sig själv efter avregistreringsprocessen. Felkod: %1	Kontrollera att tjänstens starttyp är manuell och starta om enheten.
`55`	Det gick inte att skapa den säkra ETW-autologgaren. Felkod: %1	Starta om enheten.
`63`	Uppdaterar starttypen för den externa tjänsten. Namn: %1, faktisk starttyp: %2, förväntad starttyp: %3, slutkod: %4	Identifiera vad som orsakar ändringar i starttypen för den nämnda tjänsten. Om slutkoden inte är 0 korrigerar du starttypen manuellt till förväntad starttyp.
`64`	Startar stoppad extern tjänst. Namn: %1, slutkod: %2	Kontakta supporten om händelsen fortsätter att visas igen.
`68`	Starttypen för tjänsten är oväntad. Tjänstnamn: %1, faktisk starttyp: %2, förväntad starttyp: %3	Identifiera vad som orsakar ändringar i starttypen. Åtgärda den nämnda tjänststarttypen.
`69`	Tjänsten har stoppats. Tjänstnamn: %1	Starta den nämnda tjänsten. Kontakta supporten om problemet kvarstår.

Det finns ytterligare komponenter på enheten som Microsoft Defender för Endpoint agenten är beroende av för att fungera korrekt. Om det inte finns några registreringsrelaterade fel i händelseloggen för Microsoft Defender för Endpoint agent fortsätter du med följande steg för att se till att de ytterligare komponenterna är korrekt konfigurerade.

Kontrollera att diagnostikdatatjänsten är aktiverad

Obs!

I Windows 10 version 1809 och senare har Defender för Endpoint EDR-tjänsten inte längre ett direkt beroende av DiagTrack-tjänsten. EDR-cyberbevis kan fortfarande laddas upp om den här tjänsten inte körs.

Om enheterna inte rapporterar korrekt kan du behöva kontrollera att Tjänsten Windows-diagnostikdata är inställd på att starta automatiskt och körs på enheten. Tjänsten kan ha inaktiverats av andra program eller ändringar i användarkonfigurationen.

Först bör du kontrollera att tjänsten är inställd på att starta automatiskt när Windows startar, sedan bör du kontrollera att tjänsten körs för närvarande (och starta den om den inte är det).

Kontrollera att tjänsten är inställd på att starta

Använd kommandoraden för att kontrollera starttypen för Windows-diagnostikdatatjänsten:

Öppna en upphöjd kommandotolk på enheten:

a. Klicka på Start, skriv cmd och tryck på Retur.

b. Högerklicka på Kommandotolken och välj Kör som administratör.
Ange följande kommando och tryck på Retur:
```
sc qc diagtrack
```
Om tjänsten är aktiverad bör resultatet se ut som på följande skärmbild:

START_TYPE Om inte är inställt på AUTO_STARTmåste du ange att tjänsten ska starta automatiskt.

Använd kommandoraden för att ställa in windows-diagnostikdatatjänsten så att den startar automatiskt:

Öppna en upphöjd kommandotolk på enheten:

a. Klicka på Start, skriv cmd och tryck på Retur.

b. Högerklicka på Kommandotolken och välj Kör som administratör.
Ange följande kommando och tryck på Retur:
```
sc config diagtrack start=auto
```
Ett meddelande visas. Kontrollera ändringen genom att ange följande kommando och tryck på Retur:
```
sc qc diagtrack
```
Starta tjänsten. I kommandotolken skriver du följande kommando och trycker på Retur:
```
sc start diagtrack
```

Kontrollera att enheten har en Internetanslutning

Den Microsoft Defender för Endpoint sensorn kräver att Microsoft Windows HTTP (WinHTTP) rapporterar sensordata och kommunicerar med Microsoft Defender för Endpoint-tjänsten.

WinHTTP är oberoende av proxyinställningarna för Internetbläddring och andra program för användarkontext och måste kunna identifiera de proxyservrar som är tillgängliga i din miljö.

För att säkerställa att sensorn har tjänstanslutning följer du stegen som beskrivs i avsnittet Verifiera klientanslutning till Microsoft Defender för Endpoint-tjänst-URL:er.

Om verifieringen misslyckas och din miljö använder en proxy för att ansluta till Internet följer du stegen som beskrivs i avsnittet Konfigurera inställningar för proxy och Internetanslutning .

Kontrollera att Microsoft Defender Antivirus inte är inaktiverat av en princip

Viktigt

Följande gäller endast enheter som ännu inte har tagit emot augusti 2020-uppdateringen (version 4.18.2007.8) av Microsoft Defender Antivirus.

Uppdateringen säkerställer att Microsoft Defender Antivirus inte kan inaktiveras på klientenheter via systemprincip.

Problem: Tjänsten Microsoft Defender för Endpoint startar inte efter registrering.

Symptom: Registreringen har slutförts, men du ser fel 577 eller fel 1058 när du försöker starta tjänsten.

Lösning: Om dina enheter kör en tredjepartsklient för program mot skadlig kod måste Microsoft Defender för Endpoint-agenten ha ELAM-drivrutinen (Early Launch Antimalware) aktiverad. Du måste se till att den inte är inaktiverad av en systemprincip.

Beroende på vilket verktyg du använder för att implementera principer måste du kontrollera att följande Windows Defender principer har rensats:
- DisableAntiSpyware
- DisableAntiVirus
I grupprincip ska det till exempel inte finnas några poster, till exempel följande värden:
- <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
- <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

Viktigt

Inställningen disableAntiSpyware avbryts och ignoreras på alla Windows 10 enheter från och med augusti 2020 (version 4.18.2007.8) för att Microsoft Defender Antivirus.

När du har rensat principen kör du registreringsstegen igen.
Du kan också kontrollera de tidigare registernyckelvärdena för att kontrollera att principen är inaktiverad genom att öppna registernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.
Obs!

Alla Windows Defender tjänster (wdboot, , wdfilterwdnisdrv, wdnissvcoch windefend) ska vara i sitt standardtillstånd. Det går inte att ändra start av dessa tjänster och kan tvinga dig att återskapa systemet. Exempel på standardkonfigurationer för WdBoot och WdFilter:
- <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
- <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
Om Microsoft Defender Antivirus är i passivt läge är dessa drivrutiner inställda på manuell (0).

Felsöka registreringsproblem

Obs!

Följande felsökningsvägledning gäller endast för Windows Server 2016 och tidigare versioner av Windows Server.

Om du stöter på problem när du registrerar en server går du igenom följande verifieringssteg för att åtgärda eventuella problem.

Du kan också behöva kontrollera följande:

Kontrollera att det finns en Microsoft Defender för Endpoint-tjänst som körs på fliken Processer i Aktivitetshanteraren. Till exempel:
Kontrollera Loggboken>Applications and Services Logs>Operation Manager för att se om det finns några fel.
I Tjänster kontrollerar du om Microsoft Monitoring Agent körs på servern. Ett exempel:
I Microsoft Monitoring Agent>Azure Log Analytics (OMS) kontrollerar du arbetsytorna och kontrollerar att statusen körs.
Kontrollera att enheterna visas i listan Enheter i portalen.

Bekräfta registrering av nybyggda enheter

Det kan finnas instanser när registrering distribueras på en nybyggd enhet men inte har slutförts.

Stegen nedan ger vägledning för följande scenario:

Onboarding-paketet distribueras till nyligen byggda enheter
Sensorn startar inte eftersom den färdiga upplevelsen (OOBE) eller den första användarens inloggning inte har slutförts
Enheten stängs av eller startas om innan slutanvändaren utför en första inloggning
I det här scenariot startar inte SENSE-tjänsten automatiskt trots att onboarding-paketet har distribuerats

Obs!

Användarinloggning efter att OOBE inte längre krävs för att SENSE-tjänsten ska starta på följande eller senare Windows-versioner: Windows 10 version 1809 eller Windows Server 2019 eller Windows Server 2022 med samlad uppdatering den 22 april 2021. Windows 10 version 1909 med samlad uppdatering i april 2021. Windows 10 version 2004/20H2 med samlad uppdatering den 28 april 2021.

Obs!

Följande steg är bara relevanta när du använder Microsoft Endpoint Configuration Manager. Mer information om registrering med hjälp av Microsoft Endpoint Configuration Manager finns i Microsoft Defender för Endpoint.

Skapa ett program i Microsoft Endpoint Configuration Manager.
Välj Ange programinformationen manuellt.
Ange information om programmet och välj sedan Nästa.
Ange information om programvarucentret och välj sedan Nästa.
I Distributionstyper väljer du Lägg till.
Välj Ange information om distributionstyp manuellt och välj sedan Nästa.
Ange information om distributionstypen och välj sedan Nästa.
I Programmet för innehållsinstallation> anger du kommandot: .net start sense
I Identifieringsmetod väljer du Konfigurera regler för att identifiera förekomsten av den här distributionstypen och väljer sedan Lägg till sats.
Ange följande information om identifieringsregeln och välj sedan OK:
I Identifieringsmetod väljer du Nästa.
I Användarupplevelse anger du följande information och väljer sedan Nästa:
I Krav väljer du Nästa.
I Beroenden väljer du Nästa.
I Sammanfattning väljer du Nästa.
I Slutförande väljer du Stäng.
I Distributionstyper väljer du Nästa.
I Sammanfattning väljer du Nästa.

Statusen visas sedan:
I Slutförande väljer du Stäng.
Nu kan du distribuera programmet genom att högerklicka på appen och välja Distribuera.
I Allmänt väljer du Distribuera innehåll automatiskt för beroenden och Bläddra.
I Innehåll väljer du Nästa.
I Distributionsinställningar väljer du Nästa.
I Schemaläggning väljer du Så snart som möjligt efter den tillgängliga tiden och väljer sedan Nästa.
I Användarupplevelse väljer du Checka in ändringar vid tidsgränsen eller under en underhållsperiod (kräver omstarter)och väljer sedan Nästa.
I Aviseringar väljer du Nästa.
I Sammanfattning väljer du Nästa.

Statusen visas sedan
I Slutförande väljer du Stäng.