Lire en anglais

Partager via


Mode résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Cet article explique comment activer le mode de résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS afin que les administrateurs puissent résoudre les problèmes temporaires de diverses fonctionnalités antivirus Microsoft Defender, même si les stratégies de l’organisation gèrent les appareils.

Par exemple, si la protection contre les falsifications est activée, certains paramètres ne peuvent pas être modifiés ou désactivés, mais vous pouvez utiliser le mode résolution des problèmes sur l’appareil pour modifier ces paramètres temporairement.

Le mode résolution des problèmes est désactivé par défaut et vous oblige à l’activer pour un appareil (et/ou un groupe d’appareils) pendant une durée limitée. Le mode résolution des problèmes est exclusivement une fonctionnalité d’entreprise et nécessite l’accès à Microsoft Defender portail.

Que devez-vous savoir avant de commencer

Pendant le mode de résolution des problèmes, vous pouvez :

  • Utilisez Microsoft Defender pour point de terminaison sur la résolution des problèmes fonctionnels macOS/compatibilité des applications (faux positifs).

  • Les administrateurs locaux, avec les autorisations appropriées, peuvent modifier les configurations verrouillées de stratégie suivantes sur des points de terminaison individuels :

    Setting Activer Désactiver/supprimer
    protection Real-Time/ mode passif / À la demande mdatp config real-time-protection --value enabled mdatp config real-time-protection --value disabled
    Protection réseau mdatp config network-protection enforcement-level --value block mdatp config network-protection enforcement-level --value disabled
    realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled mdatp config real-time-protection-statistics --value disabled
    étiquettes mdatp edr tag set --name GROUP --value [name] mdatp edr tag remove --tag-name [name]
    groupIds mdatp edr group-ids --group-id [group]
    DLP du point de terminaison mdatp config data_loss_prevention --value enabled mdatp config data_loss_prevention --value disabled

Pendant le mode de résolution des problèmes, vous ne pouvez pas :

  • Désactivez la protection contre les falsifications pour Microsoft Defender pour point de terminaison sur macOS.
  • Désinstallez le Microsoft Defender pour point de terminaison sur macOS.

Configuration requise

  • Version prise en charge de macOS pour Microsoft Defender pour point de terminaison.
  • Microsoft Defender pour point de terminaison devez être inscrit au locataire et actif sur l’appareil.
  • Autorisations pour « Gérer les paramètres de sécurité dans Security Center » dans Microsoft Defender pour point de terminaison.
  • Version de mise à jour de la plateforme : 101.23122.0005 ou ultérieure.

Activer le mode résolution des problèmes sur macOS

  1. Accédez au portail Microsoft Defender et connectez-vous.

  2. Accédez à la page de l’appareil que vous souhaitez activer le mode résolution des problèmes. Ensuite, sélectionnez les points de suspension (...) et sélectionnez Activer le mode résolution des problèmes.

    Capture d’écran montrant la capture d’écran du mode résolution des problèmes sur mac.

    Notes

    L’option Activer le mode de résolution des problèmes est disponible sur tous les appareils, même si l’appareil ne remplit pas les conditions préalables pour le mode résolution des problèmes.

  3. Lisez les informations affichées dans le volet et une fois que vous êtes prêt, sélectionnez Envoyer pour confirmer que vous souhaitez activer le mode résolution des problèmes pour cet appareil.

  4. Vous verrez que l’affichage du texte de la modification peut prendre quelques minutes . Pendant ce temps, lorsque vous sélectionnez à nouveau les points de suspension, vous voyez l’option Activer le mode résolution des problèmes en attente grisée.

  5. Une fois l’opération terminée, la page de l’appareil indique que l’appareil est maintenant en mode résolution des problèmes.

    Si l’utilisateur final est connecté sur l’appareil macOS, le texte suivant s’affiche :

    Le mode résolution des problèmes a démarré. Ce mode vous permet de modifier temporairement les paramètres gérés par votre administrateur. Expire à YEAR-MM-DDTHH :MM :SSZ.

    Sélectionnez OK.

  6. Une fois l’option activée, vous pouvez tester les différentes options de ligne de commande qui peuvent être basculables en mode résolution des problèmes (mode TS).

    Par exemple, lorsque vous utilisez mdatp config real-time-protection --value disabled la commande pour désactiver la protection en temps réel, vous êtes invité à entrer votre mot de passe. Sélectionnez OK après avoir entré votre mot de passe.

    Capture d’écran montrant la capture d’écran de la protection en temps réel désactivée.

    Le rapport de sortie semblable à la capture d’écran suivante s’affiche lors de l’exécution de mdatp Health avec real_time_protection_enabled comme « false » et tamper_protection « block ».

    Capture d’écran affichant la capture d’écran du rapport de sortie de l’intégrité mdatp en cours d’exécution.

Requêtes de repérage avancées pour la détection

Il existe des requêtes de repérage avancées prédéfinies pour vous donner une visibilité sur les événements de résolution des problèmes qui se produisent dans votre environnement. Vous pouvez utiliser ces requêtes pour créer des règles de détection afin de générer des alertes lorsque les appareils sont en mode résolution des problèmes.

Obtenir des événements de résolution des problèmes pour un appareil particulier

Vous pouvez utiliser la requête suivante pour effectuer une recherche par deviceId ou deviceName en commentant les lignes respectives.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Appareils actuellement en mode résolution des problèmes

Vous pouvez trouver les appareils actuellement en mode résolution des problèmes à l’aide de la requête suivante :

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Nombre d’instances de mode de résolution des problèmes par appareil

Vous pouvez trouver le nombre d’instances de mode de résolution des problèmes pour un appareil à l’aide de la requête suivante :

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Nombre total

Vous pouvez connaître le nombre total d’instances de mode de résolution des problèmes à l’aide de la requête suivante :

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.