Felsöka onboarding-problem relaterade till säkerhetshantering för Microsoft Defender för Endpoint
Gäller för:
- Hantera Microsoft Defender för slutpunkt på enheter med Microsoft Endpoint Manager
- Microsoft Defender för Endpoint
- Microsoft 365 Defender
Säkerhetshantering för Microsoft Defender för Slutpunkt är en funktion för enheter som inte hanteras av en Microsoft Endpoint Manager, antingen Microsoft Intune eller Microsoft Endpoint Configuration Manager om du vill få säkerhetskonfigurationer för Microsoft Defender för Endpoint direkt Endpoint Manager. Mer information om säkerhetshantering för Microsoft Defender för Slutpunkt finns i Hantera Microsoft Defender för slutpunkt på enheter med Microsoft Endpoint Manager.
Instruktioner för säkerhetshantering för Microsoft Defender för slutpunkts onboarding finns i Microsoft Defender för Hantering av säkerhetskonfiguration för slutpunkt
Den här end-to-end-introduktionen är utformad för att vara friktionsfri och kräver inte användarnas input. Men om du stöter på problem under introduktionen kan du visa och felsöka fel i Microsoft Defender för slutpunkt-plattformen.
Anteckning
Om du har problem med introduktionsflödet för nya enheter granskar du förutsättningarna för Microsoft Defender för Slutpunkt och kontrollerar att instruktionerna för onboarding följs.
Mer information om klientanalys finns i Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer.
Registrera domän ansluten till datorer med Azure Active Directory
Om du vill registrera Azure Active Directory måste du kontrollera följande:
- Datorer kan autentiseras med domänkontrollanten
- Datorerna har åtkomst till följande Microsoft-resurser inifrån organisationens nätverk:
- Azure AD Connect är konfigurerat för att synkronisera datorobjekt. Som standard används synkroniseringsomfång för datoranvändare i Azure AD Connect. Om datorobjekten tillhör specifika organisationsenheter (OUs) konfigurerar du OUs att synkronisera i Azure AD Anslut. Mer information om hur du synkroniserar datorobjekt med hjälp av Azure AD Anslut finns i Organisationsenhetsbaserad filtrering.
Viktigt
Azure AD Connect synkroniserar inte Windows Server 2012 R2-datorobjekt. Om du behöver registrera dem i Azure AD för säkerhetshantering för Microsoft Defender för Endpoint måste du anpassa synkroniseringsregeln för Azure AD Connect så att de omfattar dessa datorobjekt i synkroniseringen. Se Instruktioner för hur du använder regler för datorkoppling i Azure Active Directory Anslut.
Anteckning
Om du vill slutföra introduktionsflödet och oberoende av operativsystemet för en enhet kan Azure Active Directory statusen för en enhet ändras baserat på enheternas ursprungliga tillstånd:
| Startenhetstillstånd | Status för ny enhet |
|---|---|
| Redan AADJ eller HAADJ | Förblir som den är |
| Inte AADJ eller Hybrid Azure Active Directory Join (HAADJ) + Domain joined | Enheten är HAADJ'd |
| Inte AADJ eller HAADJ + Not domän ansluten | Enheten är AADJ'd |
Där AADJ representerar Azure Active Directory och HAADJ representerar Hybrid-Azure Active Directory ansluten.
Felsöka fel från Microsoft Defender för slutpunktsportalen
Via Microsoft Defender för Slutpunktsportalen kan säkerhetsadministratörer nu felsöka säkerhetshantering för Microsoft Defender för slutpunkts onboarding.
I inventeringen av > slutpunkter för enheter har kolumnen Hanterad av lagts till för att filtrera efter hanteringskanal (till exempel MEM).
Om du vill se en lista över alla enheter som inte har hanterat säkerhetshanteringen för Microsoft Defender för slutpunkts onboarding-processen filtrerar du tabellen med MDE-Error.
I listan väljer du en specifik enhet för att se felsökningsinformation i sidopanelen som pekar på orsaken till felet och motsvarande dokumentation.
Kör Microsoft Defender för Endpoint Client Analyzer på Windows
Överväg att köra Client Analyzer på slutpunkter som inte kan slutföra säkerhetshanteringen för Microsoft Defender för slutpunktens introduktionsflöde. Mer information om klientanalys finns i Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer.
Utdatafilen Klientanalys (MDE Client Analyzer Results.htm) tillhandahåller viktig felsökningsinformation:
Kontrollera att enhetens OPERATIVSYSTEM omfattas av Säkerhetshantering för Microsoft Defender för slutpunktens introduktionsflöde i avsnittet Allmän enhetsinformation
Kontrollera att enheten har registrerats på Azure Active Directory i information om hantering av enhetskonfiguration

I avsnittet Detaljerade resultat i rapporten innehåller Klientanalys även användbar vägledning.
Tips
Kontrollera att avsnittet Detaljerade resultat i rapporten inte innehåller några "Fel" och kontrollera att du granskar alla "Varningsmeddelanden".
Som en del av introduktionsflödet för säkerhetshantering krävs till exempel att klientorganisations-ID:t för Azure Active Directory i Microsoft Defender för slutpunktsklientorganisationen matchar SCP-klientorganisations-ID:t som visas i rapportens information om enhetshantering. Om det är relevant rekommenderar rapporten att utföra den här verifieringen.

Allmän felsökning
Om du inte kunde identifiera den onboarded device i AAD eller MEM och inte fick något fel under registreringen kan du få ytterligare felsökningsinformation om du kontrollerar Computer\\HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SenseCM\\EnrollmentStatus registernyckeln.
I följande tabell visas fel och instruktioner om vad du kan prova/kontrollera för att åtgärda felet. Observera att listan över fel inte är fullständig och baseras på vanliga/vanliga fel som uppstått hos kunder tidigare:
| Felkod | Registreringsstatus | Administratörsåtgärder |
|---|---|---|
5-9,11-12, 26-33 |
Allmänt fel | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Det här kan bero på att enheten inte uppfyller kraven för Microsoft Defender för Slutpunktshanteringskanal. Genom att köra Klientanalys på enheten kan du identifiera orsaken till problemet. Kontakta support om detta inte hjälper. |
13-14,20,24,25 |
Anslutningsproblem | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer, vilket kan bero på ett anslutningsproblem. Kontrollera att Azure Active Directory Microsoft Endpoint Manager slutpunkter öppnas i brandväggen. |
10,42 |
Allmänt hybridkopplingsfel | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer och operativsystemet kunde inte utföra hybridkoppling. Använd Felsöka Azure Active Directory-anslutna enheter för felsökning av hybridkopplingsproblem på OS-nivå. |
15 |
Inmatchning av klientorganisation | Enheten skickades till Microsoft Defender för Endpoint. Men det uppstod ett fel i flödet för hantering av säkerhetskonfigurationer eftersom ditt Klientorganisations-ID för Microsoft Defender för slutpunkt inte stämmer Azure Active Directory ditt klientorganisations-ID. Kontrollera att klientorganisations-ID:t Azure Active Directory ditt Defender för slutpunktsklientorganisation matchar klientorganisations-ID:t i SCP-posten för domänen. Mer information finns i Felsöka onboarding-problem som rör säkerhetshantering för Microsoft Defender för slutpunkt. |
16,17 |
Hybridfel – Serviceanslutningspunkt | Enheten skickades till Microsoft Defender för Endpoint. Men SCP-posten (Service Connection Point) är inte korrekt konfigurerad och enheten kunde inte anslutas till Azure AD. Det kan bero på att SCP konfigureras för att ansluta till DRS för företag. Kontrollera att SCP-posten pekar på AAD och SCP har konfigurerats enligt metodtips. Mer information finns i Konfigurera en tjänstanslutningspunkt. |
18 |
Certifikatfel | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för säkerhetskonfigurationshantering på grund av ett certifikatfel för enheten. Enhetscertifikatet tillhör en annan klientorganisation. Kontrollera att metodtips följs när du skapar betrodda certifikatprofiler. |
36 |
LDAP API-fel | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Verifiera nätverkstopologin och kontrollera att LDAP API är tillgängligt för att slutföra hybridkopplingsbegäranden. |
37 |
Problem med lokal synkronisering | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Försök igen senare. Om det inte hjälper kan du gå till Felsöka objektsynkronisering med Azure AD Anslut synkronisering. |
38,41 |
DNS-fel | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer på grund av ett DNS-fel. Kontrollera internetanslutningen och/eller DNS-inställningarna på enheten. Ogiltiga DNS-inställningar kan finnas på arbetsstationens sida. Active Directory kräver att du använder domän-DNS för att fungera korrekt (och inte routerns adress). Mer information finns i Felsöka onboarding-problem som rör säkerhetshantering för Microsoft Defender för slutpunkt. |
40 |
Problem med klocksynkronisering | Enheten skickades till Microsoft Defender för Endpoint. Ett fel uppstod dock i flödet för hantering av säkerhetskonfigurationer. Kontrollera att klockan är korrekt inställd och synkroniseras på den enhet där felet inträffar. |
Azure Active Directory Körningsfelsökning
Azure Active Directory Runtime
Huvudmekanismen för att felsöka Azure Active Directory Runtime (AADRT) är att samla in felsökningsspårningar. Azure Active Directory Runtime på Windows använder ETW-provider med ID bd67e65c-9cc2-51d8-7399-0bb9899e75c1. ETW-spårningar måste fångas med kopieringen av felet (till exempel om kopplingsfel uppstår måste spårningarna aktiveras under den tid som de täcker samtal till AADRT-API:er för att utföra koppling).
Nedan visas ett typiskt fel i AADRT-loggen och hur du läser den:

Utifrån informationen i meddelandet är det i de flesta fall möjligt att förstå vilka fel som har uppstått, vad Win32 API returnerade felet (om tillämpligt), vilken URL (om tillämpligt) som användes och vilka AAD Runtime API-fel som påträffades.
Instruktioner för hur du använder regler för datorkoppling i AAD Anslut
För säkerhetshantering för Microsoft Defender för Slutpunkt på datorer med en Windows Server 2012 R2-domän krävs en uppdatering till Azure AD Anslut-synkroniseringsregeln "In AD-Computer Join" (från AD-Computer Join). Det kan uppnås genom att klona och ändra regeln, vilket inaktiverar den ursprungliga regeln "In från AD – Datorkoppling". Azure AD Anslut standard ger denna upplevelse för att göra ändringar av inbyggda regler.
Anteckning
Dessa ändringar måste tillämpas på den server där AAD Anslut körs. Om du har flera instanser AAD Anslut distribueras måste ändringarna tillämpas på alla instanser.
Öppna programmet Synkroniseringsreglerredigeraren från Start-menyn. I regellistan letar du reda på regeln I från AD – Datorkoppling. Notera värdet i kolumnen Prioritet för den här regeln.

Med regeln In from AD – Computer Join markerad väljer du Redigera. Välj Ja i dialogrutan Redigera reserverad regelbekräftelse.

Regelfönstret Redigera inkommande synkronisering visas. Uppdatera regelbeskrivningen för att observera att Windows Server 2012R2 synkroniseras med den här regeln. Lämna alla andra alternativ oförändrade utom värdet Prioritet. Ange ett värde för Prioritet som är högre än värdet från den ursprungliga regeln (se regellistan).

Välj Nästa tre gånger. Detta navigerar till avsnittet "Transformationer" i regeln. Gör inga ändringar i avsnitten "Scoping filter" och "Join rules" i regeln. Avsnittet "Transformationer" visas nu.

Rulla längst ned i listan med transformationer. Hitta transformationen för attributet cloudFiltered. Markera all text (Kontroll-A) i kolumnen Källa och ta bort den. Textrutan ska nu vara tom.
Klistra in innehållet för den nya regeln i textrutan.
IIF( IsNullOrEmpty([userCertificate]) || ( (InStr(UCase([operatingSystem]),"WINDOWS") > 0) && (Left([operatingSystemVersion],2) = "6.") && (Left([operatingSystemVersion],3) <> "6.3") ) || ( (Left([operatingSystemVersion],3) = "6.3") && (InStr(UCase([operatingSystem]),"WINDOWS") > 0) && With( $validCerts, Where( $c, [userCertificate], IsCert($c) && CertNotAfter($c) > Now() && RegexIsMatch(CertSubject($c), "CN=[{]*" & StringFromGuid([objectGUID]) & "[}]*", "IgnoreCase")), Count($validCerts) = 0) ), True, NULL )Spara den nya regeln genom att välja Spara.
Anteckning
När den här regeländringen genomförts krävs en fullständig synkronisering av Active Directory. För stora miljöer rekommenderas att schemalägga denna regeländring och fullständig synkronisering under lokala tysta perioder i Active Directory.