Prise en main du mode résolution des problèmes dans Microsoft Defender pour point de terminaison

Le mode résolution des problèmes dans Microsoft Defender pour point de terminaison permet aux administrateurs de résoudre les problèmes de diverses fonctionnalités antivirus Microsoft Defender, même si les appareils sont gérés par des stratégies d’organisation. Par exemple, si la protection contre les falsifications est activée, certains paramètres ne peuvent pas être modifiés ou désactivés, mais vous pouvez utiliser le mode résolution des problèmes sur un appareil pour modifier ces paramètres temporairement.

Le mode résolution des problèmes est désactivé par défaut et vous oblige à l’activer pour un appareil (et/ou un groupe d’appareils) pendant une durée limitée. Le mode de résolution des problèmes est exclusivement une fonctionnalité d’entreprise et nécessite Microsoft Defender accès au portail.

Cet article décrit le mode de résolution des problèmes pour les appareils Windows. Pour plus d’informations sur le mode de résolution des problèmes sur Mac, consultez Mode résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS.

Conseil

• En mode résolution des problèmes, vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell sur les appareils Windows.
• Pour case activée l’état de la protection contre les falsifications, vous pouvez utiliser l’applet de commande PowerShell Get-MpComputerStatus. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)
• Pour les appareils Mac, consultez Mode résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS.

Ce qu'il faut savoir avant de commencer

Pendant le mode résolution des problèmes, vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell ou, sur les systèmes d’exploitation clients, l’application Security Center pour désactiver temporairement la protection contre les falsifications sur votre appareil et apporter les modifications de configuration nécessaires.

Vous pouvez utiliser le mode résolution des problèmes pour résoudre les problèmes ou case activée la compatibilité des applications avec Microsoft Defender Antivirus, par exemple lorsque des faux positifs se produisent avec des blocs d’application.

Avec les autorisations appropriées, les administrateurs locaux peuvent modifier la configuration sur des appareils individuels qui sont généralement verrouillés par une stratégie. Le fait de disposer d’un appareil en mode résolution des problèmes peut être utile lors du diagnostic Microsoft Defender scénarios de performances et de compatibilité de l’antivirus. Les administrateurs locaux ne peuvent pas désactiver Microsoft Defender Antivirus, ni le désinstaller. Les administrateurs locaux peuvent configurer tous les autres paramètres de sécurité dans la suite antivirus Microsoft Defender (par exemple, protection cloud, protection contre les falsifications).

Les administrateurs doivent disposer des autorisations « Gérer les paramètres de sécurité » pour activer le mode résolution des problèmes.

Defender pour point de terminaison collecte les journaux et les données d’investigation tout au long du processus de résolution des problèmes.

• Une instantané de est effectuée avant le début du MpPreference mode de résolution des problèmes.
• Une deuxième instantané est effectuée juste avant l’expiration du mode de résolution des problèmes.
• Les journaux d’activité opérationnels du mode résolution des problèmes sont également collectés.
• Les journaux et les instantanés sont collectés et peuvent être collectés par un administrateur à l’aide de la fonctionnalité Collecter le package d’investigation sur la page de l’appareil. Microsoft ne supprime pas ces données de l’appareil tant qu’un administrateur ne les a pas collectées.

Les administrateurs peuvent également passer en revue les modifications apportées aux paramètres qui se produisent pendant le mode résolution des problèmes dans observateur d'événements sur l’appareil lui-même.

• Ouvrez observateur d'événements, développez Journaux >des applications et des servicesMicrosoft>Windows>Defender, puis sélectionnez Opérationnel.
• Les événements potentiels peuvent inclure des événements avec les ID 5000, 5001, 5004, 5007 et autres. Pour plus d’informations, consultez Examiner les journaux des événements et les codes d’erreur pour résoudre les problèmes liés à Microsoft Defender Antivirus.

Le mode de résolution des problèmes s’éteint automatiquement après avoir atteint son délai d’expiration (il dure 4 heures). Lorsque le mode de résolution des problèmes a expiré, toutes les configurations gérées par une stratégie redeviennent en lecture seule et reviennent à la configuration de l’appareil avant d’activer le mode de résolution des problèmes.

Remarque

Le mode de résolution des problèmes est limité à 8 heures par jour et par appareil. Cela ne peut pas être modifié. Le quota de 8 heures est réinitialisé 24 heures après l’activation du mode résolution des problèmes pour la première fois.

Cela peut prendre jusqu’à 15 minutes entre le moment où la commande est envoyée à partir de Microsoft Defender XDR et le moment où elle devient active sur l’appareil.

Des notifications sont envoyées à l’utilisateur au début du mode résolution des problèmes et à la fin du mode de résolution des problèmes. Un avertissement est également envoyé pour indiquer que le mode de résolution des problèmes se termine bientôt. Le début et la fin du mode de résolution des problèmes sont également identifiés dans le portail Microsoft Defender, dans la page Chronologie de l’appareil sur l’appareil.

Vous pouvez interroger tous les événements du mode résolution des problèmes dans la chasse avancée.

Remarque

Les modifications de gestion des stratégies sont appliquées à l’appareil lorsqu’il est activement en mode résolution des problèmes. Toutefois, les modifications ne prennent pas effet tant que le mode de résolution des problèmes n’expire pas. En outre, Microsoft Defender mises à jour de la plateforme antivirus ne sont pas appliquées pendant le mode résolution des problèmes. Les mises à jour de plateforme sont appliquées lorsque le mode résolution des problèmes se termine par une mise à jour Windows.

Configuration requise

• Les appareils doivent exécuter un système d’exploitation pris en charge.

  • Windows 10 (version 19044.1618 ou ultérieure)

  • Windows 11

  • Windows Server 2019 et versions ultérieures

  • Système d’exploitation Azure Stack HCI, version 23H2 et ultérieures.

    Semestre/Redstone	Version du système d'exploitation	Version
    21H2/SV1	22000.593 ou version ultérieure	KB5011563 : Catalogue Microsoft Update
    20H1/20H2/21H1	19042.1620 ou version ultérieure 19041.1620 ou version ultérieure 19043.1620 ou version ultérieure	KB5011543 : Catalogue Microsoft Update
    Windows Server 2022 ou version ultérieure	20348.617 ou version ultérieure	KB5011558 : Catalogue Microsoft Update
    Windows Server 2019 (RS5)	17763.2746 ou version ultérieure	KB5011551 : Catalogue Microsoft Update

  • Windows Server 2012 R2 et Windows Server 2016 à l’aide de la solution unifiée moderne, avec tous les composants suivants à jour :

    Composant	Version	Version
    Détecter la version	10.8049.22439.1084 ou version ultérieure	KB5005292 : Catalogue Microsoft Update
    Antivirus Microsoft Defender	Plateforme : 4.18.2207.7 ou version ultérieure	KB4052623 : Catalogue Microsoft Update
    Antivirus Microsoft Defender	Moteur : 1.1.19500.2 ou version ultérieure	KB2267602 : Catalogue Microsoft Update

• Defender pour point de terminaison doit être inscrit au locataire et actif sur l’appareil.

• Les appareils doivent être en cours d’exécution Microsoft Defender Antivirus, version 4.18.2203 or later.

• Pour les appareils macOS, consultez Prérequis pour le mode résolution des problèmes sur Mac.

Activer le mode de résolution des problèmes

1. Accédez au portail Microsoft Defender et connectez-vous.

2. Accédez à la page de l’appareil/de la machine pour l’appareil que vous souhaitez activer le mode résolution des problèmes. Sélectionnez Activer le mode résolution des problèmes. Vous devez disposer des autorisations « Gérer les paramètres de sécurité dans Security Center » pour Microsoft Defender pour point de terminaison.

   

   Remarque

   L’option Activer le mode résolution des problèmes est disponible sur tous les appareils, même si l’appareil ne remplit pas les conditions préalables pour le mode résolution des problèmes.

3. Vérifiez que vous souhaitez activer le mode résolution des problèmes pour l’appareil.

   

4. La page de l’appareil indique que l’appareil est maintenant en mode résolution des problèmes.

   

Requêtes de chasse avancées

Voici quelques requêtes de repérage avancées prédéfinies pour vous donner une visibilité sur les événements de résolution des problèmes qui se produisent dans votre environnement. Vous pouvez également utiliser ces requêtes pour créer des règles de détection afin de générer des alertes lorsque les appareils sont en mode résolution des problèmes.

Obtenir des événements de résolution des problèmes pour un appareil particulier

Recherchez par deviceId ou deviceName en commentant les lignes respectives.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Appareils actuellement en mode résolution des problèmes

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Nombre d’instances de mode de résolution des problèmes par appareil

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Nombre total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Articles connexes

• Mode résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS
• Analyseur de performances pour Microsoft Defender Antivirus.
• Scénarios de mode de dépannage
• Protéger les paramètres de sécurité avec la protection contre la falsifiation

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.