Felsöka problem med Introduktion till Slutpunkt för Microsoft Defender
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Windows Server 2012 R2
- Windows Server 2016
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Du kan behöva felsöka introduktionsprocessen för Microsoft Defender för slutpunkt om du stöter på problem. På den här sidan finns detaljerad information om hur du felsöker onboarding-problem som kan uppstå vid distribution med ett av distributionsverktygen och vanliga fel som kan uppstå på enheterna.
Innan du börjar felsöka problem med onboarding-verktyg är det viktigt att kontrollera om minimikraven uppfylls för onboarding-enheter för tjänsterna. Läs mer om licens-, maskinvaru- och programvarukrav för att introducera enheter till tjänsten.
Felsöka problem med onboarding-verktyg
Om du har slutfört onboarding-processen och inte ser enheterna i listan Enheter efter en timme kan det indikera problem med onboarding eller anslutning.
Felsöka registrering vid distribution med grupprincip
Distribution med grupprincip utförs genom att köra onboarding-skriptet på enheterna. Grupprincipkonsolen anger inte om distributionen har lyckats eller inte.
Om du har slutfört onboarding-processen och inte ser enheterna i listan Enheter efter en timme kan du kontrollera utdata för skriptet på enheterna. Mer information finns i Felsöka registrering när du distribuerar med ett skript.
Om skriptet slutförs korrekt går du till Felsöka onboarding-problem på enheterna för ytterligare fel som kan uppstå.
Felsöka onboarding-problem vid distribution med Microsoft Endpoint Configuration Manager
När du onboarding-enheter med hjälp av följande versioner av Konfigurationshanteraren:
- Microsoft Endpoint Configuration Manager
- System Center 2012 Configuration Manager
- System Center 2012 R2 Configuration Manager
Distribution med de ovan nämnda versionerna av Konfigurationshanteraren utförs genom att köra onboarding-skriptet på enheterna. Du kan spåra distributionen i Konfigurationshanterarens konsol.
Om distributionen misslyckas kan du kontrollera utdata för skriptet på enheterna.
Om onboarding avslutades men enheterna inte visas i listan Enheter efter en timme kan du gå till Felsöka onboarding-problem på enheten för ytterligare fel som kan uppstå.
Felsöka onboarding när du distribuerar med ett skript
Kontrollera resultatet av skriptet på enheten:
Klicka på Start, skriv Loggboken och tryck på Retur.
Gå till Windows loggar > programmet.
Leta efter en händelse från WDATPOnboarding-händelsekällan .
Om skriptet misslyckas och händelsen är ett fel kan du kontrollera händelse-ID:t i följande tabell för att felsöka problemet.
Anteckning
Följande händelse-ID är endast specifika för onboarding-skriptet.
| Händelse-ID | Feltyp | Lösningssteg |
|---|---|---|
5 |
Offboarding-data hittades men kunde inte tas bort | Kontrollera behörigheterna i registret, särskilt |
10 |
Registreringsdata kunde inte skrivas till registret | Kontrollera behörigheterna i registret, särskilt Kontrollera att skriptet har körts som administratör. |
15 |
Det gick inte att starta SENSE-tjänsten | Kontrollera tjänstens hälsa (sc query sense kommando). Kontrollera att den inte är i ett mellanliggande tillstånd ('Pending_Stopped', 'Pending_Running') och försök att köra skriptet igen (med administratörsrättigheter). Om enheten körs på Windows 10, version 1607 och kommandot körs, |
15 |
Det gick inte att starta SENSE-tjänsten | Om felmeddelandet är: Systemfel 577 eller fel 1058 har uppstått måste du aktivera ELAM-drivrutinen för Microsoft Defender Antivirus. Instruktioner finns i Kontrollera att Microsoft Defender Antivirus inte är inaktiverat av en princip. |
30 |
Skriptet kunde inte vänta på att tjänsten ska börja köras | Det kan ta längre tid att starta tjänsten eller så har det uppstått fel när den försöker starta. Mer information om händelser och fel relaterade till SENSE finns i Granska händelser och fel med hjälp av Loggboken. |
35 |
Skriptet kunde inte hitta registerstatusvärdet för onboarding-status | När SENSE-tjänsten startas för första gången skriver den onboarding-status till registerplatsen Skriptet kunde inte hitta det efter flera sekunder. Du kan manuellt testa den och kontrollera om den finns där. Mer information om händelser och fel relaterade till SENSE finns i Granska händelser och fel med hjälp av Loggboken. |
40 |
SENSE-status för tjänst onboarding är inte inställd på 1 | SENSE-tjänsten har inte kunnat introduceras korrekt. Mer information om händelser och fel relaterade till SENSE finns i Granska händelser och fel med hjälp av Loggboken. |
65 |
Otillräckliga behörigheter | Kör skriptet igen med administratörsbehörighet. |
Felsöka onboarding-problem med Microsoft Intune
Du kan Microsoft Intune att kontrollera felkoder och försöka felsöka orsaken till problemet.
Om du har konfigurerat principer i Intune och de inte sprids på enheter kan du behöva konfigurera automatisk MDM-registrering.
Använd följande tabeller för att förstå möjliga orsaker till problem vid registrering:
- Microsoft Intune felkoder och OMA-URIs tabell
- Kända problem med icke-efterlevnadstabell
- Tabellen Händelseloggar för mobil enhetshantering (MDM)
Om ingen av händelseloggarna och felsökningsstegen fungerar laddar du ned det lokala skriptet från avsnittet Enhetshantering i portalen och kör det i en upphöjd kommandotolk.
Microsoft Intune felkoder och OMA-URIs
| Felkod Hex | Felkod dec | Felbeskrivning | OMA-URI | Möjliga orsaker och felsökningssteg |
|---|---|---|---|---|
| 0x87D1FDE8 | -2016281112 | Åtgärd misslyckades | Introduktioner Offboarding |
Möjlig orsak: Onboarding eller offboarding misslyckades i fel blob: fel signatur eller saknar PreviousOrgIds-fält. Felsökningssteg: Kontrollera händelse-IDt i avsnittet Visa registrering av agent i händelseloggen för enheten. Kontrollera MDM-händelseloggarna i följande tabell eller följ instruktionerna i Diagnostisera MDM-fel i Windows. |
| Introduktioner Offboarding Exempelformning |
Möjlig orsak: Registernyckeln Microsoft Defender för slutpunktsprincipen finns inte eller så har OMA DM-klienten inte behörighet att skriva till den. Felsökningssteg: Kontrollera att följande registernyckel finns: Om det inte finns öppnar du ett upphöjd kommando och lägger till nyckeln. |
|||
| SenseIsRunning OnboardingState OrgId |
Möjlig orsak: Ett försök att åtgärda med egenskapen skrivskydd. Onboarding har misslyckats. Felsökningssteg: Kontrollera felsökningsstegen i Felsöka onboarding-problem på enheten. Kontrollera MDM-händelseloggarna i följande tabell eller följ instruktionerna i Diagnostisera MDM-fel i Windows. |
|||
| Alla | Möjlig orsak: Försök att distribuera Microsoft Defender för Endpoint på SKU/Platform som inte stöds, särskilt Holographic SKU. Plattformar som stöds för närvarande: Företag, utbildning och professional. Servern stöds inte. |
|||
| 0x87D101A9 | -2016345687 | SynkroniseraML(425): Det begärda kommandot misslyckades eftersom avsändaren inte har tillräcklig åtkomstkontrollbehörighet (ACL) för mottagaren. | Alla | Möjlig orsak: Försök att distribuera Microsoft Defender för Endpoint på SKU/Platform som inte stöds, särskilt Holographic SKU. Plattformar som stöds för närvarande: Företag, utbildning och professional. |
Kända problem med icke-efterlevnad
Följande tabell innehåller information om problem med icke-efterlevnad och hur du kan åtgärda problemen.
| Ärende | Symptom | Möjliga orsaker och felsökningssteg |
|---|---|---|
1 |
Enheten följer SenseIsRunning OMA-URI. Men är inte kompatibelt av OrgId, Onboarding och OnboardingState OMA-URI:er. | Möjlig orsak: Kontrollera att användaren har passerat OOBE efter Windows installationen eller uppgraderingen. Under OOBE-onboarding kunde inte slutföras men SENSE körs redan. Felsökningssteg: Vänta tills OOBE har slutförts. |
2 |
Enheten följer OrgId, Onboarding och OnboardingState OMA-URI:er, men följer inte av SenseIsRunning OMA-URI. | Möjlig orsak: Sense-tjänstens starttyp anges som "Fördröjd start". Ibland gör det här Microsoft Intune server att rapportera enheten som icke-kompatibel av SenseIsRunning när DM-sessionen startar på systemstarten. Felsökningssteg: Problemet bör åtgärdas automatiskt inom 24 timmar. |
3 |
Enheten följer inte | Felsökningssteg: Se till att principer för onboarding och offboarding inte är distribuerade på samma enhet samtidigt. |
Händelseloggar för hantering av mobil enhet (MDM)
Visa MDM-händelseloggar för att felsöka problem som kan uppstå under registrering:
Loggnamn: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider
Kanalnamn: Admin
| ID | Allvarlighetsgrad | Händelsebeskrivning | Felsökningssteg |
|---|---|---|---|
| 1819 | Fel | Microsoft Defender för slutpunkts-CSP: Det gick inte att ange nodens värde. NodeId: (%1), TokenName: (%2), Resultat: (%3). | Ladda ned den kumulativa uppdateringen för Windows 10, 1607. |
Felsöka onboarding-problem på enheten
Om de distributionsverktyg som används inte anger ett fel i onboarding-processen, men enheter fortfarande inte visas i listan över enheter på en timme, går du igenom följande verifieringsavsnitt för att kontrollera om ett fel uppstod med Microsoft Defender för slutpunktsagenten.
- Visa onboarding-fel för agenten i händelseloggen för enheten
- Kontrollera att diagnostikdatatjänsten är aktiverad
- Kontrollera att tjänsten är inställd på att starta
- Kontrollera att enheten har en Internetanslutning
- Kontrollera att Microsoft Defender Antivirus inaktiveras av en princip
Visa onboarding-fel för agenten i händelseloggen för enheten
Klicka på Start, skriv Loggboken och tryck på Retur.
I fönstret Loggboken (lokal) expanderar du Program- och tjänstloggar > Microsoft > Windows > SENSE.
Anteckning
SENSE är det interna namn som används för att referera till den beteende sensor som driver Microsoft Defender för Endpoint.
Välj Drift för att läsa in loggen.
Klicka på Filtrera aktuell logg i åtgärdsfönstret.
Välj Kritisk , Varning och Fel under Händelsenivå på fliken Filter och klicka på OK.

Händelser som kan indikera problem visas i driftsfönstret . Du kan försöka felsöka dem baserat på lösningarna i följande tabell:
| Händelse-ID | Meddelande | Lösningssteg |
|---|---|---|
5 |
Microsoft Defender för slutpunktstjänsten kunde inte ansluta till servern med variabeln | Kontrollera att enheten har internetåtkomst. |
6 |
Microsoft Defender för Slutpunkt-tjänsten är inte onboarded och inga onboarding-parametrar hittades. Felkod: variabel | Kör onboarding-skriptet igen. |
7 |
Microsoft Defender för slutpunktstjänsten kunde inte läsa onboarding-parametrarna. Felkod: variabel | Kontrollera att enheten har internetanslutning och kör sedan hela onboarding-processen igen. |
9 |
Microsoft Defender för slutpunktstjänsten kunde inte ändra starttypen. Felkod: variabel | Om händelsen inträffade under onboarding startar du om och försöker köra onboarding-skriptet igen. Mer information finns i Kör onboarding-skriptet igen. Kontakta support om händelsen inträffade vid offboarding. |
10 |
Microsoft Defender för slutpunktstjänsten kunde inte spara informationen om introduktionen. Felkod: variabel | Om händelsen inträffade under onboarding försöker du igen med onboarding-skriptet. Mer information finns i Kör onboarding-skriptet igen. Kontakta support om problemet kvarstår. |
15 |
Microsoft Defender för Slutpunkt kan inte starta kommandokanalen med variabeln URL: | Kontrollera att enheten har internetåtkomst. |
17 |
Microsoft Defender för slutpunktstjänsten kunde inte ändra plats för anslutna användarupplevelser och telemetritjänster. Felkod: variabel | Kör onboarding-skriptet igen. Kontakta support om problemet kvarstår. |
25 |
Microsoft Defender för Slutpunkt-tjänsten kunde inte återställa hälsostatus i registret. Felkod: variabel | Kontakta supporten. |
27 |
Det gick inte att aktivera Microsoft Defender för slutpunktsläge i Windows Defender. Onboarding-processen misslyckades. Felkod: variabel | Kontakta supporten. |
29 |
Det gick inte att läsa parametrarna för offboarding. Feltyp: %1, Felkod: %2, Beskrivning: %3 | Kontrollera att enheten har internetanslutning och kör sedan hela offboardingprocessen igen. |
30 |
Det gick inte att inaktivera läget $(build.sense.productDisplayName) i Microsoft Defender för Slutpunkt. Felkod: %1 | Kontakta supporten. |
32 |
$(build.sense.productDisplayName)-tjänsten kunde inte begära att stoppas efter offboarding-processen. Felkod: %1 | Kontrollera att tjänstens starttyp är manuell och starta om enheten. |
55 |
Det gick inte att skapa automatisk ETW-loggare för säker ETW. Felkod: %1 | Starta om enheten. |
63 |
Uppdatera starttypen för extern tjänst. Namn: %1, verklig starttyp: %2, förväntad starttyp: %3, utgångskod: %4 | Identifiera vad som orsakar ändringarna i starttypen för den omnämnda tjänsten. Om utgångskoden inte är 0 korrigerar du starttypen manuellt till förväntad starttyp. |
64 |
Starta den externa tjänsten som stoppas. Namn: %1, utgångskod: %2 | Kontakta support om händelsen fortsätter att visas. |
68 |
Tjänstens starttyp är oväntad. Tjänstnamn: %1, verklig starttyp: %2, förväntad starttyp: %3 | Identifiera vad som orsakar ändringarna i starttypen. Åtgärda den omnämnda tjänstens starttyp. |
69 |
Tjänsten stoppas. Tjänstnamn: %1 | Starta den omnämnda tjänsten. Kontakta support om detta kvarstår. |
Det finns ytterligare komponenter på enheten som Microsoft Defender för slutpunktsagenten är beroende av för att fungera korrekt. Om det inte finns några onboarding-relaterade fel i microsoft Defender för slutpunktsagentens händelselogg går du vidare med följande steg för att säkerställa att de ytterligare komponenterna är konfigurerade på rätt sätt.
Kontrollera att diagnostikdatatjänsten är aktiverad
Om enheterna inte rapporterar korrekt kan du behöva kontrollera att Windows-diagnostikdatatjänsten är inställd på att startas automatiskt och körs på enheten. Tjänsten kan ha inaktiverats av andra program eller ändringar av användarkonfigurationen.
Kontrollera först att tjänsten är inställd på att starta automatiskt när Windows startar. Kontrollera sedan att tjänsten körs (och starta den om den inte är det).
Kontrollera att tjänsten är inställd på att starta
Använd kommandoraden för att kontrollera Windows av tjänstens starttyp för diagnostikdata:
Öppna en upphöjd kommandoradsfråga på enheten:
a. Klicka på Start, skriv cmd och tryck på Retur.
b. Högerklicka på Kommandotolken och välj Kör som administratör.
Ange följande kommando och tryck på Retur:
sc qc diagtrackOm tjänsten är aktiverad bör resultatet se ut som i följande skärmbild:

START_TYPEOm den inte är inställdAUTO_STARTpå måste du ställa in att tjänsten ska startas automatiskt.
Använd kommandoraden för att ställa in Windows för diagnostikdata att starta automatiskt:
Öppna en upphöjd kommandoradsfråga på enheten:
a. Klicka på Start, skriv cmd och tryck på Retur.
b. Högerklicka på Kommandotolken och välj Kör som administratör.
Ange följande kommando och tryck på Retur:
sc config diagtrack start=autoEtt meddelande om att det har lyckats visas. Bekräfta ändringen genom att ange följande kommando och tryck på Retur:
sc qc diagtrackStarta tjänsten. Skriv följande kommando i kommandotolken och tryck på Retur:
sc start diagtrack
Kontrollera att enheten har en Internetanslutning
Microsoft Defender för slutpunkts sensoren kräver Microsoft Windows HTTP (WinHTTP) för att rapportera sensordata och kommunicera med Microsoft Defender för slutpunktstjänsten.
WinHTTP är oberoende av proxyinställningar för surfning och andra användarkontextprogram och måste kunna identifiera de proxyservrar som är tillgängliga i din specifika miljö.
Om du vill säkerställa att sensorn har tjänstanslutning följer du stegen som beskrivs i avsnittet Verifiera klientanslutningen till Microsoft Defender för slutpunktstjänstens URL-adresser .
Om verifieringen misslyckas och miljön använder en proxyserver för att ansluta till Internet följer du anvisningarna i Konfigurera proxy- och Internetanslutningsinställningar .
Kontrollera att Microsoft Defender Antivirus inaktiveras av en princip
Viktigt
Följande gäller endast för enheter som ännu inte fått uppdateringen från augusti 2020 (version 4.18.2007.8) till Microsoft Defender Antivirus.
Uppdateringen säkerställer att Microsoft Defender Antivirus kan inaktiveras på klientenheter via systemprincipen.
Problem: Microsoft Defender för Slutpunkt-tjänsten startar inte efter introduktionen.
Symptom: Onboarding har slutförts, men du ser felet 577 eller felet 1058 när du försöker starta tjänsten.
Lösning: Om dina enheter kör en tredjepartsklient för program mot skadlig programvara måste drivrutinen Early Launch Antimalware (ELAM) aktiveras för Microsoft Defender för slutpunktsagenten. Du måste se till att det inte inaktiveras av en systemprincip.
Beroende på vilket verktyg du använder för att implementera principer måste du verifiera att följande principer Windows Defender rensas:
- DisableAntiSpyware
- DisableAntiVirus
I grupprinciper ska det till exempel inte finnas några poster som följande värden:
<Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key><Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>
Viktigt
Inställningen disableAntiSpyware har utgått och ignoreras på alla Windows 10-enheter från och med augusti 2020 (version 4.18.2007.8) till Microsoft Defender Antivirus.
När du har rensat principen kör du introduktionsstegen igen.
Du kan också kontrollera tidigare registernyckelvärden för att verifiera att principen är inaktiverad genom att öppna registernyckeln
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.
Anteckning
Alla Windows Defender-tjänster (wdboot, wdfilter, wdnisdrv, wdnissvc och windefend) ska vara i standardtillståndet. Det går inte att ändra starten av dessa tjänster och kan tvinga dig att animera systemet.
Exempel på standardkonfigurationer för WdBoot och WdFilter:
<Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key><Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
Felsöka registreringsproblem
Anteckning
Följande felsökningsvägledning gäller endast för Windows Server 2016 och lägre.
Om du stöter på problem vid registrering av en server går du igenom följande verifieringssteg för att åtgärda möjliga problem.
- Kontrollera att Microsoft Monitoring Agent (MMA) är installerat och konfigurerat för att rapportera sensordata till tjänsten
- Kontrollera att serverproxyn och internetanslutningsinställningarna är korrekt konfigurerade
Du kan också behöva kontrollera följande:
Kontrollera att Microsoft Defender för slutpunktstjänsten körs på fliken Processer i Aktivitetshanteraren. Till exempel:

Kontrollera åtgärdshanteraren > för program- och tjänstloggar > i Loggboken för att se om det finns några fel.
I Tjänster kontrollerar du om Microsofts övervakningsagent körs på servern. Ett exempel:

I Microsoft Monitoring Agent > Azure Log Analytics (OMS) kontrollerar du arbetsytorna och kontrollerar att statusen är igång.

Kontrollera att enheter visas i listan Enheter i portalen.
Bekräfta registrering av nyligen skapade enheter
Det kan finnas instanser när onboarding distribueras på en ny enhet men inte slutförd.
Stegen nedan ger vägledning för följande scenario:
- Onboarding-paket har distribuerats till nya enheter
- Sensorn startar inte eftersom den inbe-upplevelsen (OOBE) eller första användarens inloggning inte har slutförts
- Enheten stängs av eller startas om innan slutanvändaren loggar in första gången
- I det här scenariot startar INTE SENSE-tjänsten automatiskt även om onboarding-paketet har distribuerats
Anteckning
Inloggning av användare efter OOBE krävs inte längre för att SENSE-tjänsten ska starta med följande eller nyare Windows-versioner: Windows 10 version 1809 eller Windows Server 2019 eller Windows Server 2022 med den 22 april 2021-uppdateringen. Windows 10, version 1909 med samlad uppdatering i april 2021. Windows 10, version 2004/20H2 med den 28 april 2021 samlad uppdatering.
Anteckning
Följande steg är bara relevanta när du använder Microsoft Endpoint Configuration Manager. Mer information om onboarding med hjälp Microsoft Endpoint Configuration Manager finns i Microsoft Defender för Endpoint.
Skapa ett program i Microsoft Endpoint Configuration Manager.

Välj Ange programinformationen manuellt.

Ange information om programmet och välj sedan Nästa.

Ange information om programcentret och välj Nästa.

Välj Lägg till i Distributionstyper.

Välj Ange information om distributionstyp manuellt och välj sedan Nästa.

Ange information om distributionstyp och välj sedan Nästa.

I programmet > för innehållsinstallation anger du kommandot:
net start sense.
I Identifieringsmetod väljer du Konfigurera regler för att identifiera närvaro av den här distributionstypen och väljer sedan Lägg till sats.

Ange följande information om identifieringsregel och välj sedan OK:

Välj Nästa i Identifieringsmetod.

I Användarupplevelse anger du följande information och väljer sedan Nästa:

I Krav väljer du Nästa.

I Beroenden väljer du Nästa.

Välj Nästa i Sammanfattning.

När den är klar väljer du Stäng.

I Distributionstyper väljer du Nästa.

Välj Nästa i Sammanfattning.

Status visas sedan: Bild på

När den är klar väljer du Stäng.

Nu kan du distribuera programmet genom att högerklicka på programmet och välja Distribuera.

I Allmänt väljer du Distribuera innehåll automatiskt för beroenden och Bläddra.

Välj Nästa i Innehåll.

Välj Nästa i Distributionsinställningar.

Välj Så snart som möjligt efter den tillgängliga tiden i Schemaläggning och välj sedan Nästa.

I Användarupplevelse väljer du Spara ändringar vid tidsgräns eller under ett underhållsfönster (kräver omstarter) och väljer sedan Nästa.

I Aviseringar väljer du Nästa.

Välj Nästa i Sammanfattning.

Statusen visas sedan Bild

När den är klar väljer du Stäng.
