Felsöka onboarding-problem relaterade till säkerhetshantering för Microsoft Defender för Endpoint

Gäller för:

Säkerhetshantering för Microsoft Defender för Slutpunkt är en funktion för enheter som inte hanteras av en Microsoft Endpoint Manager, antingen Microsoft Intune eller Microsoft Endpoint Configuration Manager om du vill få säkerhetskonfigurationer för Microsoft Defender för Endpoint direkt Endpoint Manager. Mer information om säkerhetshantering för Microsoft Defender för Slutpunkt finns i Hantera Microsoft Defender för slutpunkt på enheter med Microsoft Endpoint Manager.

Instruktioner för säkerhetshantering för Microsoft Defender för slutpunkts onboarding finns i Microsoft Defender för Hantering av säkerhetskonfiguration för slutpunkt

Den här end-to-end-introduktionen är utformad för att vara friktionsfri och kräver inte användarnas input. Men om du stöter på problem under introduktionen kan du visa och felsöka fel i Microsoft Defender för slutpunkt-plattformen.

Anteckning

Om du har problem med introduktionsflödet för nya enheter granskar du förutsättningarna för Microsoft Defender för Slutpunkt och kontrollerar att instruktionerna för onboarding följs.

Mer information om klientanalys finns i Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer.

Registrera domän ansluten till datorer med Azure Active Directory

Om du vill registrera Azure Active Directory måste du kontrollera följande:

Viktigt

Azure AD Connect synkroniserar inte Windows Server 2012 R2-datorobjekt. Om du behöver registrera dem i Azure AD för säkerhetshantering för Microsoft Defender för Endpoint måste du anpassa synkroniseringsregeln för Azure AD Connect så att de omfattar dessa datorobjekt i synkroniseringen. Se Instruktioner för hur du använder regler för datorkoppling i Azure Active Directory Anslut.

Anteckning

Om du vill slutföra introduktionsflödet och oberoende av operativsystemet för en enhet kan Azure Active Directory statusen för en enhet ändras baserat på enheternas ursprungliga tillstånd:


Startenhetstillstånd Status för ny enhet
Redan AADJ eller HAADJ Förblir som den är
Inte AADJ eller Hybrid Azure Active Directory Join (HAADJ) + Domain joined Enheten är HAADJ'd
Inte AADJ eller HAADJ + Not domän ansluten Enheten är AADJ'd

Där AADJ representerar Azure Active Directory och HAADJ representerar Hybrid-Azure Active Directory ansluten.

Felsöka fel från Microsoft Defender för slutpunktsportalen

Via Microsoft Defender för Slutpunktsportalen kan säkerhetsadministratörer nu felsöka säkerhetshantering för Microsoft Defender för slutpunkts onboarding.

I inventeringen av > slutpunkter för enheter har kolumnen Hanterad av lagts till för att filtrera efter hanteringskanal (till exempel MEM).

Bild på sidan för enhetsinventering

Om du vill se en lista över alla enheter som inte har hanterat säkerhetshanteringen för Microsoft Defender för slutpunkts onboarding-processen filtrerar du tabellen med MDE-Error.

I listan väljer du en specifik enhet för att se felsökningsinformation i sidopanelen som pekar på orsaken till felet och motsvarande dokumentation.

Bild på sidan för enhetslager filtrerad

Kör Microsoft Defender för Endpoint Client Analyzer på Windows

Överväg att köra Client Analyzer på slutpunkter som inte kan slutföra säkerhetshanteringen för Microsoft Defender för slutpunktens introduktionsflöde. Mer information om klientanalys finns i Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer.

Utdatafilen Klientanalys (MDE Client Analyzer Results.htm) tillhandahåller viktig felsökningsinformation:

  • Kontrollera att enhetens OPERATIVSYSTEM omfattas av Säkerhetshantering för Microsoft Defender för slutpunktens introduktionsflöde i avsnittet Allmän enhetsinformation

  • Kontrollera att enheten har registrerats på Azure Active Directory i information om hantering av enhetskonfiguration

    Bild av resultat från klientanalys

I avsnittet Detaljerade resultat i rapporten innehåller Klientanalys även användbar vägledning.

Tips

Kontrollera att avsnittet Detaljerade resultat i rapporten inte innehåller några "Fel" och kontrollera att du granskar alla "Varningsmeddelanden".

Som en del av introduktionsflödet för säkerhetshantering krävs till exempel att klientorganisations-ID:t för Azure Active Directory i Microsoft Defender för slutpunktsklientorganisationen matchar SCP-klientorganisations-ID:t som visas i rapportens information om enhetshantering. Om det är relevant rekommenderar rapporten att utföra den här verifieringen.

Bild av detaljerade resultat

Allmän felsökning

Om du inte kunde identifiera den onboarded device i AAD eller MEM och inte fick något fel under registreringen kan du få ytterligare felsökningsinformation om du kontrollerar Computer\\HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SenseCM\\EnrollmentStatus registernyckeln.

Bild på registreringsstatus.

I följande tabell visas fel och instruktioner om vad du kan prova/kontrollera för att åtgärda felet. Observera att listan över fel inte är fullständig och baseras på vanliga/vanliga fel som uppstått hos kunder tidigare:



Felkod Registreringsstatus Administratörsåtgärder
5-9,11-12, 26-33 Allmänt fel Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Det här kan bero på att enheten inte uppfyller kraven för Microsoft Defender för Slutpunktshanteringskanal. Genom att köra Klientanalys på enheten kan du identifiera orsaken till problemet. Kontakta support om detta inte hjälper.
13-14,20,24,25 Anslutningsproblem Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer, vilket kan bero på ett anslutningsproblem. Kontrollera att Azure Active Directory Microsoft Endpoint Manager slutpunkter öppnas i brandväggen.
10,42 Allmänt hybridkopplingsfel Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer och operativsystemet kunde inte utföra hybridkoppling. Använd Felsöka Azure Active Directory-anslutna enheter för felsökning av hybridkopplingsproblem på OS-nivå.
15 Inmatchning av klientorganisation Enheten skickades till Microsoft Defender för Endpoint. Men det uppstod ett fel i flödet för hantering av säkerhetskonfigurationer eftersom ditt Klientorganisations-ID för Microsoft Defender för slutpunkt inte stämmer Azure Active Directory ditt klientorganisations-ID. Kontrollera att klientorganisations-ID:t Azure Active Directory ditt Defender för slutpunktsklientorganisation matchar klientorganisations-ID:t i SCP-posten för domänen. Mer information finns i Felsöka onboarding-problem som rör säkerhetshantering för Microsoft Defender för slutpunkt.
16,17 Hybridfel – Serviceanslutningspunkt Enheten skickades till Microsoft Defender för Endpoint. Men SCP-posten (Service Connection Point) är inte korrekt konfigurerad och enheten kunde inte anslutas till Azure AD. Det kan bero på att SCP konfigureras för att ansluta till DRS för företag. Kontrollera att SCP-posten pekar på AAD och SCP har konfigurerats enligt metodtips. Mer information finns i Konfigurera en tjänstanslutningspunkt.
18 Certifikatfel Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för säkerhetskonfigurationshantering på grund av ett certifikatfel för enheten. Enhetscertifikatet tillhör en annan klientorganisation. Kontrollera att metodtips följs när du skapar betrodda certifikatprofiler.
36 LDAP API-fel Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Verifiera nätverkstopologin och kontrollera att LDAP API är tillgängligt för att slutföra hybridkopplingsbegäranden.
37 Problem med lokal synkronisering Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Försök igen senare. Om det inte hjälper kan du gå till Felsöka objektsynkronisering med Azure AD Anslut synkronisering.
38,41 DNS-fel Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer på grund av ett DNS-fel. Kontrollera internetanslutningen och/eller DNS-inställningarna på enheten. Ogiltiga DNS-inställningar kan finnas på arbetsstationens sida. Active Directory kräver att du använder domän-DNS för att fungera korrekt (och inte routerns adress). Mer information finns i Felsöka onboarding-problem som rör säkerhetshantering för Microsoft Defender för slutpunkt.
40 Problem med klocksynkronisering Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Kontrollera att klockan är korrekt inställd och synkroniseras på den enhet där felet inträffar.

Azure Active Directory Körningsfelsökning

Azure Active Directory Runtime

Huvudmekanismen för att felsöka Azure Active Directory Runtime (AADRT) är att samla in felsökningsspårningar. Azure Active Directory Runtime på Windows använder ETW-provider med ID bd67e65c-9cc2-51d8-7399-0bb9899e75c1. ETW-spårningar måste fångas med kopieringen av felet (till exempel om kopplingsfel uppstår måste spårningarna aktiveras under den tid som de täcker samtal till AADRT-API:er för att utföra koppling).

Nedan visas ett typiskt fel i AADRT-loggen och hur du läser den:

Bild av händelseegenskaper

Utifrån informationen i meddelandet är det i de flesta fall möjligt att förstå vilka fel som har uppstått, vad Win32 API returnerade felet (om tillämpligt), vilken URL (om tillämpligt) som användes och vilka AAD Runtime API-fel som påträffades.

Instruktioner för hur du använder regler för datorkoppling i AAD Anslut

För säkerhetshantering för Microsoft Defender för Slutpunkt på datorer med en Windows Server 2012 R2-domän krävs en uppdatering till Azure AD Anslut-synkroniseringsregeln "In AD-Computer Join" (från AD-Computer Join). Det kan uppnås genom att klona och ändra regeln, vilket inaktiverar den ursprungliga regeln "In från AD – Datorkoppling". Azure AD Anslut standard ger denna upplevelse för att göra ändringar av inbyggda regler.

Anteckning

Dessa ändringar måste tillämpas på den server där AAD Anslut körs. Om du har flera instanser AAD Anslut distribueras måste ändringarna tillämpas på alla instanser.

  1. Öppna programmet Synkroniseringsreglerredigeraren från Start-menyn. I regellistan letar du reda på regeln I från AD – Datorkoppling. Notera värdet i kolumnen Prioritet för den här regeln.

    Bild av redigeraren för synkroniseringsregler

  2. Med regeln In from AD – Computer Join markerad väljer du Redigera. Välj Ja i dialogrutan Redigera reserverad regelbekräftelse.

    Bild av redigera reserverad regelbekräftelse

  3. Regelfönstret Redigera inkommande synkronisering visas. Uppdatera regelbeskrivningen för att observera att Windows Server 2012R2 synkroniseras med den här regeln. Lämna alla andra alternativ oförändrade utom värdet Prioritet. Ange ett värde för Prioritet som är högre än värdet från den ursprungliga regeln (se regellistan).

    Bild på bekräftelse

  4. Välj Nästa tre gånger. Detta navigerar till avsnittet "Transformationer" i regeln. Gör inga ändringar i avsnitten "Scoping filter" och "Join rules" i regeln. Avsnittet "Transformationer" visas nu.

    Bild på inkommande synkroniseringsregel

  5. Rulla längst ned i listan med transformationer. Hitta transformationen för attributet cloudFiltered. Markera all text (Kontroll-A) i kolumnen Källa och ta bort den. Textrutan ska nu vara tom.

  6. Klistra in innehållet för den nya regeln i textrutan.

    IIF(
      IsNullOrEmpty([userCertificate])
      ||
      (
        (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
        &&
        (Left([operatingSystemVersion],2) = "6.")
        &&
        (Left([operatingSystemVersion],3) <> "6.3")
      )
      ||
      (
        (Left([operatingSystemVersion],3) = "6.3")
        &&
        (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
        &&
        With(
          $validCerts,
          Where(
            $c,
            [userCertificate],
            IsCert($c) && CertNotAfter($c) > Now() && RegexIsMatch(CertSubject($c), "CN=[{]*" & StringFromGuid([objectGUID]) & "[}]*", "IgnoreCase")),
          Count($validCerts) = 0)
      ),
      True,
      NULL
    )
    
  7. Spara den nya regeln genom att välja Spara.

Anteckning

När den här regeländringen genomförts krävs en fullständig synkronisering av Active Directory. För stora miljöer rekommenderas att schemalägga denna regeländring och fullständig synkronisering under lokala tysta perioder i Active Directory.