Mode résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison macOS
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Cet article explique comment activer le mode de résolution des problèmes dans Microsoft Defender pour point de terminaison sur macOS afin que les administrateurs puissent résoudre les problèmes temporaires de diverses fonctionnalités antivirus Microsoft Defender, même si les stratégies de l’organisation gèrent les appareils.
Par exemple, si la protection contre les falsifications est activée, certains paramètres ne peuvent pas être modifiés ou désactivés, mais vous pouvez utiliser le mode résolution des problèmes sur l’appareil pour modifier ces paramètres temporairement.
Le mode résolution des problèmes est désactivé par défaut et vous oblige à l’activer pour un appareil (et/ou un groupe d’appareils) pendant une durée limitée. Le mode résolution des problèmes est exclusivement une fonctionnalité d’entreprise et nécessite l’accès à Microsoft Defender portail.
Pendant le mode de résolution des problèmes, vous pouvez :
Utilisez Microsoft Defender pour point de terminaison sur la résolution des problèmes fonctionnels macOS/compatibilité des applications (faux positifs).
Les administrateurs locaux, avec les autorisations appropriées, peuvent modifier les configurations verrouillées de stratégie suivantes sur des points de terminaison individuels :
Setting Activer Désactiver/supprimer protection Real-Time/ mode passif / À la demande mdatp config real-time-protection --value enabled
mdatp config real-time-protection --value disabled
Protection réseau mdatp config network-protection enforcement-level --value block
mdatp config network-protection enforcement-level --value disabled
realTimeProtectionStatistics mdatp config real-time-protection-statistics --value enabled
mdatp config real-time-protection-statistics --value disabled
étiquettes mdatp edr tag set --name GROUP --value [name]
mdatp edr tag remove --tag-name [name]
groupIds mdatp edr group-ids --group-id [group]
DLP du point de terminaison mdatp config data_loss_prevention --value enabled
mdatp config data_loss_prevention --value disabled
Pendant le mode de résolution des problèmes, vous ne pouvez pas :
- Désactivez la protection contre les falsifications pour Microsoft Defender pour point de terminaison sur macOS.
- Désinstallez le Microsoft Defender pour point de terminaison sur macOS.
- Version prise en charge de macOS pour Microsoft Defender pour point de terminaison.
- Microsoft Defender pour point de terminaison devez être inscrit au locataire et actif sur l’appareil.
- Autorisations pour « Gérer les paramètres de sécurité dans Security Center » dans Microsoft Defender pour point de terminaison.
- Version de mise à jour de la plateforme : 101.23122.0005 ou ultérieure.
Accédez au portail Microsoft Defender et connectez-vous.
Accédez à la page de l’appareil que vous souhaitez activer le mode résolution des problèmes. Ensuite, sélectionnez les points de suspension (...) et sélectionnez Activer le mode résolution des problèmes.
Notes
L’option Activer le mode de résolution des problèmes est disponible sur tous les appareils, même si l’appareil ne remplit pas les conditions préalables pour le mode résolution des problèmes.
Lisez les informations affichées dans le volet et une fois que vous êtes prêt, sélectionnez Envoyer pour confirmer que vous souhaitez activer le mode résolution des problèmes pour cet appareil.
Vous verrez que l’affichage du texte de la modification peut prendre quelques minutes . Pendant ce temps, lorsque vous sélectionnez à nouveau les points de suspension, vous voyez l’option Activer le mode résolution des problèmes en attente grisée.
Une fois l’opération terminée, la page de l’appareil indique que l’appareil est maintenant en mode résolution des problèmes.
Si l’utilisateur final est connecté sur l’appareil macOS, le texte suivant s’affiche :
Le mode résolution des problèmes a démarré. Ce mode vous permet de modifier temporairement les paramètres gérés par votre administrateur. Expire à YEAR-MM-DDTHH :MM :SSZ.
Sélectionnez OK.
Une fois l’option activée, vous pouvez tester les différentes options de ligne de commande qui peuvent être basculables en mode résolution des problèmes (mode TS).
Par exemple, lorsque vous utilisez
mdatp config real-time-protection --value disabled
la commande pour désactiver la protection en temps réel, vous êtes invité à entrer votre mot de passe. Sélectionnez OK après avoir entré votre mot de passe.Le rapport de sortie semblable à la capture d’écran suivante s’affiche lors de l’exécution de mdatp Health avec
real_time_protection_enabled
comme « false » ettamper_protection
« block ».
Il existe des requêtes de repérage avancées prédéfinies pour vous donner une visibilité sur les événements de résolution des problèmes qui se produisent dans votre environnement. Vous pouvez utiliser ces requêtes pour créer des règles de détection afin de générer des alertes lorsque les appareils sont en mode résolution des problèmes.
Vous pouvez utiliser la requête suivante pour effectuer une recherche par deviceId
ou deviceName
en commentant les lignes respectives.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Vous pouvez trouver les appareils actuellement en mode résolution des problèmes à l’aide de la requête suivante :
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Vous pouvez trouver le nombre d’instances de mode de résolution des problèmes pour un appareil à l’aide de la requête suivante :
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Vous pouvez connaître le nombre total d’instances de mode de résolution des problèmes à l’aide de la requête suivante :
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
- Microsoft Defender XDR pour point de terminaison sur Mac
- Microsoft Defender XDR pour l’intégration de point de terminaison à Microsoft Defender XDR for Cloud Apps
- Découvrir les fonctionnalités innovantes de Microsoft Edge
- Protéger votre réseau
- Activer la protection du réseau
- Protection web
- Créer des indicateurs
- Filtrage du contenu web
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.