針對適用於端點的 Microsoft Defender 上線問題進行疑難解答

發行項
05/02/2024

適用於：

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

如果您遇到問題，可能需要針對適用於端點的 Microsoft Defender 上線程序進行疑難解答。此頁面提供詳細的步驟，以針對使用其中一個部署工具進行部署時可能發生的上線問題進行疑難解答，以及裝置上可能發生的常見錯誤。

開始針對上線工具問題進行疑難解答之前，請務必檢查是否符合將裝置上線至服務的最低需求。瞭解將裝置上線至服務的授權、硬體和軟體需求。

提示

作為本文的附隨，建議您在登入 Microsoft 365 系統管理中心時使用適用於端點的 Microsoft Defender 自動化設定指南。本指南會根據您的環境自定義您的體驗。若要檢閱最佳做法而不登入和啟用自動化安裝功能，請移至 Microsoft 365 安裝指南。

針對上線工具的問題進行疑難解答

如果您已完成上線程式，且在一小時后未在 [ 裝置] 清單中看到裝置，則可能表示有上線或連線問題。

針對使用群組原則進行部署時上線的疑難解答

使用群組原則部署是在裝置上執行上線腳本來完成。群組原則主控台不會指出部署是否成功。

如果您已完成上線程式，並在一小時后在 [裝置] 清單中看不到裝置，您可以檢查裝置上的腳本輸出。如需詳細資訊，請參閱使用腳本進行部署時的上線疑難解答。

如果腳本順利完成，請參閱針對裝置上的上線問題進行疑難解答，以瞭解可能發生的其他錯誤。

針對使用 Microsoft 端點部署時的上線問題進行疑難解答 Configuration Manager

使用下列版本的 Configuration Manager 將裝置上線時：

Microsoft Endpoint Configuration Manager
System Center 2012 Configuration Manager
System Center 2012 R2 Configuration Manager

使用上述版本的 Configuration Manager 部署是在裝置上執行上線腳本來完成。您可以在 Configuration Manager 控制台中追蹤部署。

如果部署失敗，您可以檢查裝置上的腳本輸出。

如果上線成功完成，但裝置在一小時后未顯示在 [裝置] 清單中，請參閱針對裝置上的上線問題進行疑難解答，以瞭解可能發生的其他錯誤。

針對使用腳本部署時上線進行疑難解答

檢查裝置上文稿的結果：

按兩下 [開始]，輸入 事件檢視器，然後按 Enter。
移至 [Windows 記錄應用程式>]。
從 WDATPOnboarding 事件來源尋找事件。

如果文稿失敗且事件為錯誤，您可以檢查下表中的事件標識符，以協助您針對問題進行疑難解答。

注意事項

下列事件標識碼僅適用於上線腳本。

事件識別碼	錯誤類型	解決步驟
`5`	找到下線數據，但無法刪除	請特別檢查登錄的許可權 `HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection`.
`10`	無法將上線數據寫入登錄	請特別檢查登錄的許可權 `HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection`. 確認文本已以系統管理員身分執行。
`15`	無法啟動 SENSE 服務	檢查服務健康情況 (`sc query sense` 命令) 。請確定它不是處於中繼狀態， (『Pending_Stopped』、『Pending_Running』) ，並嘗試使用系統管理員許可權) 再次 (執行腳本。如果裝置執行 Windows 10,1607 版並執行命令`sc query sense`會傳回 `START_PENDING`，請將裝置重新啟動。如果重新啟動裝置無法解決問題，請升級至 KB4015217，然後再次嘗試上線。
`15`	無法啟動 SENSE 服務	如果錯誤的訊息為：系統錯誤 577 或錯誤 1058 已發生，您必須啟用 Microsoft Defender 防病毒軟體 ELAM 驅動程式，請參閱確定原則未停用 Microsoft Defender 防病毒軟體以取得指示。
`30`	腳本無法等候服務開始執行	服務可能需要更多時間來啟動，或在嘗試啟動時發生錯誤。如需與 SENSE 相關之事件和錯誤的詳細資訊，請參閱使用事件查看器檢閱事件和錯誤。
`35`	腳本找不到所需的上線狀態登錄值	當 SENSE 服務第一次啟動時，它會將上線狀態寫入登錄位置 `HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status`. 腳本在幾秒鐘後就找不到它。您可以手動測試它，並檢查它是否存在。如需與 SENSE 相關之事件和錯誤的詳細資訊，請參閱使用事件查看器檢閱事件和錯誤。
`40`	SENSE 服務上線狀態未設定為 1	SENSE 服務無法正確上線。如需與 SENSE 相關之事件和錯誤的詳細資訊，請參閱使用事件查看器檢閱事件和錯誤。
`65`	許可權不足	以系統管理員許可權再次執行腳本。
`70`	下架腳本適用於不同的組織	為 SENSE 服務上線的正確組織取得下架腳本。

使用 Microsoft Intune 對上線問題進行疑難解答

您可以使用 Microsoft Intune 來檢查錯誤碼，並嘗試針對問題原因進行疑難解答。

如果您已在 Intune 中設定原則，且這些原則未在裝置上傳播，您可能需要設定自動 MDM 註冊。

使用下表來了解上線時問題的可能原因：

Microsoft Intune 錯誤碼和 OMA-URIs 表
不符合規範數據表的已知問題
行動裝置管理 (MDM) 事件記錄數據表

如果沒有任何事件記錄和疑難解答步驟可運作，請從入口網站的 [ 裝置管理 ] 區段下載本機腳本，然後在提升許可權的命令提示字元中執行。

Microsoft Intune 錯誤碼和 OMA-URIs

錯誤碼十六進位	錯誤碼 12 月	Error Description	OMA-URI	可能的原因和疑難解答步驟
0x87D1FDE8	-2016281112	補救失敗	上線下線	可能的原因：在錯誤的 Blob 上線或下架失敗：簽章錯誤或遺失 PreviousOrgIds 字段。疑難解答步驟：檢查裝置事件記錄檔中檢視代理程序上線錯誤一節中的事件標識碼。請檢查下表中的 MDM 事件記錄檔，或遵循在 Windows 中診斷 MDM 失敗中的指示。
			上線下線 SampleSharing	可能的原因：適用於端點的 Microsoft Defender 原則登錄機碼不存在，或 OMA DM 用戶端沒有寫入的許可權。疑難解答步驟：確定下列登入機碼存在： `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection` 如果不存在，請開啟提升許可權的命令並新增密鑰。
			SenseIsRunning OnboardingState OrgId	可能的原因：嘗試以只讀屬性進行補救。上線失敗。疑難解答步驟：請查看針對裝置上的上線問題進行疑難解答中的疑難解答步驟。請檢查下表中的 MDM 事件記錄檔，或遵循在 Windows 中診斷 MDM 失敗中的指示。
			全部	可能的原因：嘗試在不支援的 SKU/平臺上部署適用於端點的 Microsoft Defender，特別是全像攝影 SKU。目前支援的平臺：企業版、教育版和專業版。不支援伺服器。
0x87D101A9	-2016345687	SyncML (425) ：要求的命令失敗，因為寄件者沒有足夠的訪問控制許可權 (收件者上的 ACL) 。	全部	可能的原因：嘗試在不支援的 SKU/平臺上部署適用於端點的 Microsoft Defender，特別是全像攝影 SKU。目前支援的平臺：企業版、教育版和專業版。

不符合規範的已知問題

下表提供不符合規範問題以及如何解決問題的相關信息。

案例	徵狀	可能的原因和疑難解答步驟
`1`	裝置符合 SenseIsRunning OMA-URI 的規範。但 OrgId、Onboarding 和 OnboardingState OMA-URI 不符合規範。	可能的原因：檢查使用者在 Windows 安裝或升級之後已通過 OOBE。在 OOBE 上線期間無法完成，但 SENSE 已在執行中。疑難解答步驟：等候 OOBE 完成。
`2`	裝置符合 OrgId、Onboarding 和 OnboardingState OMA-URI 的規範，但 SenseIsRunning OMA-URI 不符合規範。	可能的原因： Sense 服務的啟動類型設定為「延遲啟動」。有時候，當系統啟動時發生 DM 工作階段時，這會導致 Microsoft Intune 伺服器將裝置回報為不符合 SenseIsRunning 的規範。疑難解答步驟：問題應該會在24小時內自動修正。
`3`	裝置不符合規範	疑難解答步驟：請確定上線和離線原則不會同時部署在相同的裝置上。

行動裝置管理 (MDM) 事件記錄檔

檢視 MDM 事件記錄檔，以針對上線期間可能發生的問題進行疑難解答：

記錄檔名稱：Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

通道名稱：管理員

識別碼	嚴重性	事件說明	疑難排解步驟
1819	錯誤	適用於端點的 Microsoft Defender CSP：無法設定節點的值。 NodeId： (%1) ， TokenName： (%2) ， Result： (%3) 。	下載 Windows 10 1607 的累積更新。

針對裝置上的上線問題進行疑難解答

如果使用的部署工具未指出上線程式發生錯誤，但裝置在一小時內仍未出現在裝置清單中，請流覽下列驗證主題，以檢查適用於端點的 Microsoft Defender 代理程式是否發生錯誤。

在裝置事件記錄檔中檢視代理程序上線錯誤
確定已啟用診斷數據服務
確定服務已設定為啟動
確定裝置具有因特網連線
確定 Microsoft Defender 原則未停用防病毒軟體

在裝置事件記錄檔中檢視代理程序上線錯誤

按兩下 [開始]，輸入 事件檢視器，然後按 Enter。
在 [事件檢視器 (本機) ] 窗格中，展開 [應用程式和服務記錄>][Microsoft>Windows>SENSE]。

注意事項

SENSE 是內部名稱，用來參考支援適用於端點的 Microsoft Defender 的行為感測器。
選 取 [操作] 以載入記錄。
在 [ 動作] 窗格中，按兩下 [篩選目前的記錄]。
在 [ 篩選] 索引 標籤的 [ 事件層級] 下， 選取 [ 重大]、[ 警告] 和 [ 錯誤]，然後按兩下 [ 確定]。

事件，可能表示 操作窗格 中出現問題。您可以嘗試根據下表中的解決方案進行疑難解答：

事件識別碼	郵件	解決步驟
`5`	適用於端點的 Microsoft Defender 服務無法連線到位於變數的伺服器	確定裝置具有因特網存取權。
`6`	適用於端點的 Microsoft Defender 服務未上線，而且找不到上線參數。失敗碼：變數	再次執行上線腳本。
`7`	適用於端點的 Microsoft Defender 服務無法讀取上線參數。失敗碼：變數	請確定裝置具有因特網存取權，然後再次執行整個上線程式。
`9`	適用於端點的 Microsoft Defender 服務無法變更其開始類型。失敗碼：變數	如果事件在上線期間發生，請重新啟動並重新嘗試執行上線腳本。如需詳細資訊，請參閱再次執行上線腳本。如果事件在下架期間發生，請連絡支持人員。
`10`	適用於端點的 Microsoft Defender 服務無法保存上線資訊。失敗碼：變數	如果事件在上線期間發生，請重新嘗試執行上線腳本。如需詳細資訊，請參閱再次執行上線腳本。如果問題持續發生，請連絡支持人員。
`15`	適用於端點的 Microsoft Defender 無法使用URL：變數啟動命令通道	確定裝置具有因特網存取權。
`17`	適用於端點的 Microsoft Defender 服務無法變更已連線的用戶體驗和遙測服務位置。失敗碼：變數	再次執行上線腳本。如果問題持續發生，請連絡支持人員。
`25`	適用於端點的 Microsoft Defender 服務無法重設登錄中的健全狀態。失敗碼：變數	連絡客戶支援。
`27`	無法在 Windows Defender 中啟用適用於端點的 Microsoft Defender 模式。上線程序失敗。失敗碼：變數	連絡客戶支援。
`29`	無法讀取下架參數。錯誤類型： %1，錯誤碼： %2，描述： %3	請確定裝置具有因特網存取權，然後再次執行整個離線程式。
`30`	無法在適用於端點的 Microsoft Defender 中停用 $ (build.sense.productDisplayName) 模式。失敗碼： %1	連絡客戶支援。
`32`	$ (build.sense.productDisplayName) 服務無法要求在下架程序之後停止本身。失敗碼： %1	確認服務啟動類型為手動，並重新啟動裝置。
`55`	無法建立安全 ETW 自動記錄器。失敗碼： %1	重新啟動裝置。
`63`	更新外部服務的開始類型。名稱： %1，實際開始類型： %2，預期的開始類型： %3，結束代碼： %4	識別造成所述服務啟動類型變更的原因。如果結束代碼不是 0，請將開始類型手動修正為預期的開始類型。
`64`	啟動已停止的外部服務。名稱： %1，結束代碼： %2	如果事件持續重新出現，請連絡支持人員。
`68`	服務的開始類型是非預期的。服務名稱： %1，實際開始類型： %2，預期的開始類型： %3	識別造成開始類型變更的原因。修正提及的服務啟動類型。
`69`	服務已停止。服務名稱： %1	啟動所述的服務。如果問題持續發生，請連絡支持人員。

裝置上還有其他元件，適用於端點的 Microsoft Defender 代理程式必須仰賴這些元件才能正常運作。如果適用於端點的 Microsoft Defender 代理程式事件記錄檔中沒有任何上線相關錯誤，請繼續進行下列步驟，以確保已正確設定其他元件。

確定已啟用診斷數據服務

注意事項

在 Windows 10 組建 1809 和更新版本中，適用於端點的 Defender EDR 服務不再直接相依於 DiagTrack 服務。如果此服務未執行，仍可上傳 EDR 網路辨識項。

如果裝置未正確報告，您可能需要檢查 Windows 診斷數據服務是否已設定為自動啟動，且正在裝置上執行。服務可能已由其他程式或使用者組態變更停用。

首先，您應該檢查服務是否設定為在 Windows 啟動時自動啟動，然後您應該檢查服務目前是否正在執行 (，如果未) ，則啟動服務。

確定服務已設定為啟動

使用命令列來檢查 Windows 診斷資料服務啟動類型：

在裝置上開啟提升權限的命令列提示字元：

a. 按兩下 [開始]，輸入 cmd，然後按 Enter。

b. 以滑鼠右鍵按一下 [命令提示字元]，然後選取 [以系統管理員身分執行]。
輸入下列命令，然後按 Enter：
```
sc qc diagtrack
```
如果服務已啟用，則結果看起來應該如下列螢幕快照所示：

START_TYPE如果未設定為 AUTO_START，則您必須將服務設定為自動啟動。

使用命令列將 Windows 診斷資料服務設定為自動啟動：

在裝置上開啟提升權限的命令列提示字元：

a. 按兩下 [開始]，輸入 cmd，然後按 Enter。

b. 以滑鼠右鍵按一下 [命令提示字元]，然後選取 [以系統管理員身分執行]。
輸入下列命令，然後按 Enter：
```
sc config diagtrack start=auto
```
顯示成功訊息。輸入下列命令以確認變更，然後按 Enter：
```
sc qc diagtrack
```
啟動服務。在命令提示字元中，輸入下列命令，然後按 Enter：
```
sc start diagtrack
```

確定裝置具有因特網連線

適用於端點的 Microsoft Defender 感應器需要 Microsoft Windows HTTP (WinHTTP) 回報感應器資料，並與適用於端點的 Microsoft Defender 服務通訊。

WinHTTP 與因特網流覽 Proxy 設定和其他使用者內容應用程式無關，而且必須能夠偵測特定環境中可用的 Proxy 伺服器。

若要確保感測器具有服務連線能力，請遵循驗證用戶端連線至適用於端點的 Microsoft Defender 服務 URL 主題中所述的步驟。

如果驗證失敗，且您的環境使用 Proxy 連線到因特網，請遵循設定 Proxy 和因特網聯機設定主題中所述的步驟。

確定 Microsoft Defender 原則未停用防病毒軟體

重要事項

下列專案僅適用於尚未收到 2020 年 8 月 (版 4.18.2007.8) 更新至 Microsoft Defender 防病毒軟體的裝置。

更新可確保無法透過系統原則在用戶端裝置上關閉 Microsoft Defender 防病毒軟體。

問題：適用於端點的 Microsoft Defender 服務不會在上線之後啟動。

徵兆：上線成功完成，但您在嘗試啟動服務時看到錯誤 577 或錯誤 1058。

解決方案：如果您的裝置執行第三方反惡意代碼用戶端，適用於端點的 Microsoft Defender 代理程式需要啟用「早期啟動反惡意代碼軟體 (ELAM) 驅動程式。您必須確定系統原則不會關閉它。

根據您用來實作原則的工具，您必須確認已清除下列 Windows Defender 原則：
- DisableAntiSpyware
- DisableAntiVirus
例如，在群組原則中應該沒有專案，例如下列值：
- <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
- <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

重要事項

自 disableAntiSpyware 2020 年 8 月 (4.18.2007.8 版) 更新至 Microsoft Defender 防病毒軟體時，所有 Windows 10 裝置上都會停止並忽略此設定。

清除原則之後，請再次執行上線步驟。
您也可以開啟登錄機碼，以檢查先前的登錄 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender機碼值，以確認原則已停用。
注意事項

(、wdfilter、wdnissvcwdnisdrv、和 windefend) wdboot的所有 Windows Defender 服務都應該處於默認狀態。不支援變更這些服務的啟動，而且可能會強制您重新為系統重新安裝映像。和預設組態WdFilter範WdBoot例：
- <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
- <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
如果 Microsoft Defender 防病毒軟體處於被動模式，這些驅動程式會設定為手動 (0) 。

為上線問題疑難排解

注意事項

下列疑難解答指引僅適用於 Windows Server 2016 和舊版 Windows Server。

如果您在上線伺服器時遇到問題，請執行下列驗證步驟來解決可能的問題。

您可能也需要檢查下列專案：

在 [任務管理器] 的 [行程] 索引標籤中，檢查是否有適用於端點的 Microsoft Defender 服務正在執行。例如：
檢查 事件檢視器>應用程式和服務記錄>檔作業管理員，以查看是否有任何錯誤。
在 [服務] 中，檢查 Microsoft Monitoring Agent 是否正在伺服器上執行。例如：
在 Microsoft Monitoring Agent>Azure Log Analytics (OMS) 中，檢查工作區，並確認狀態為執行中。
檢查裝置是否反映在入口網站的 [ 裝置] 清單 中。

確認新建置裝置上線

在新建置的裝置上部署上線但未完成時，可能會有實例。

下列步驟提供下列案例的指引：

上線套件會部署到新建的裝置
感測器不會啟動，因為 OOBE) 或第一個使用者登入 (的全新體驗尚未完成
在使用者執行第一次登入之前，裝置已關閉或重新啟動
在此案例中，即使已部署上線套件，SENSE 服務也不會自動啟動

注意事項

SENSE 服務不再需要 OOBE 之後的使用者登入，即可在下列或更新版本上啟動：Windows 10 版本 1809 或 Windows Server 2019，或 Windows Server 2022 與 2021 年 4 月 22 日更新匯總。 Windows 10 版本 1909 與 2021 年 4 月更新匯總。 Windows 10，版本 2004/20H2 與 2021 年 4 月 28 日更新匯總。

注意事項

下列步驟只有在使用 Microsoft 端點 Configuration Manager 時才相關。如需使用 Microsoft 端點 Configuration Manager 上線的詳細資訊，請參閱適用於端點的 Microsoft Defender。