Lire en anglais

Partager via


Résoudre les problèmes liés au service Microsoft Defender XDR

Cet article traite des problèmes qui peuvent survenir lorsque vous utilisez le service Microsoft Defender XDR. Il fournit des solutions et des solutions de contournement pour vous aider à résoudre ces problèmes. Si vous rencontrez un problème qui n’est pas résolu ici, contactez Support Microsoft.

Je ne vois pas Microsoft Defender XDR contenu

Si vous ne voyez pas de fonctionnalités dans le volet de navigation, telles que les incidents, le centre de notifications ou la chasse dans votre portail, vous devez vérifier que votre locataire dispose des licences appropriées.

Si vous souhaitez en savoir plus, consultez la pageConditions préalables.

Microsoft Defender pour Identity alertes ne s’affichent pas dans les incidents Microsoft Defender XDR

Si vous avez Microsoft Defender pour Identity déployé dans votre environnement, mais que vous ne voyez pas d’alertes Defender pour Identity dans le cadre d’incidents Microsoft Defender XDR, vous devez vous assurer que le Microsoft Defender for Cloud Apps et l’intégration de Defender pour Identity est activée.

Pour plus d’informations, consultez intégration Microsoft Defender pour Identity.

Comment faire activer Microsoft Defender XDR ??

Pour activer Microsoft Defender XDR, accédez à Paramètres à partir du volet de navigation du portail Microsoft Defender. Cet élément de navigation n’est visible que si vous disposez des autorisations et licences requises.

Comment faire créer une exception pour mon fichier/URL ?

Un faux positif est un fichier ou une URL détecté comme malveillant, mais qui n’est pas une menace. Vous pouvez créer des indicateurs et définir des exclusions pour débloquer et autoriser certains fichiers/URL. Consultez Résoudre les faux positifs/négatifs dans Defender pour point de terminaison.

Comment puis-je intégrer des tickets ServiceNow dans le portail Microsoft Defender ?

Le connecteur Microsoft Defender XDR-ServiceNow n’est plus disponible dans le portail Microsoft Defender. Toutefois, vous pouvez toujours intégrer Microsoft Defender XDR à ServiceNow à l’aide de microsoft security API Graph. Pour plus d’informations, consultez Intégrations de solutions de sécurité à l’aide de l’API de sécurité Microsoft Graph.

L’intégration Microsoft Defender XDR-ServiceNow était auparavant disponible dans le portail Microsoft Defender pour la préversion et les commentaires. Cette intégration vous a permis de créer des incidents ServiceNow à partir de Microsoft Defender XDR incidents.

Pourquoi ne puis-je pas envoyer de fichiers ?

Dans certains cas, un bloc administrateur peut entraîner des problèmes de soumission lorsque vous essayez d’envoyer un fichier potentiellement infecté au site web Microsoft Security Intelligence pour analyse. Le processus suivant montre comment résoudre ce problème.

Vérifiez vos paramètres

Ouvrez les paramètres de votre application Azure Enterprise. Sous Applications >d’entreprise, les utilisateurs peuvent donner leur consentement aux applications qui accèdent aux données de l’entreprise en leur nom, case activée si oui ou non est sélectionné.

  • Si l’option Non est sélectionnée, un administrateur Microsoft Entra pour le locataire client doit donner son consentement pour l’organization. Selon la configuration avec Microsoft Entra ID, les utilisateurs peuvent envoyer une demande directement à partir de la même boîte de dialogue. S’il n’existe aucune option pour demander le consentement de l’administrateur, les utilisateurs doivent demander que ces autorisations soient ajoutées à leur administrateur Microsoft Entra. Pour plus d’informations, consultez la section suivante.

  • Si oui est sélectionné, vérifiez que le paramètre d’application Windows Defender Security Intelligence Activé pour que les utilisateurs se connectent ? est défini sur Ouidans Azure. Si l’option Non est sélectionnée, vous devez demander une Microsoft Entra l’administrateur l’activer.

Implémenter les autorisations d’application d’entreprise requises

Important

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Ce processus nécessite un administrateur général ou un administrateur d’application dans le locataire.

  1. Ouvrez Paramètres de l’application d’entreprise.

  2. Sélectionnez Accorder le consentement administrateur pour organization.

  3. Si vous pouvez le faire, passez en revue les autorisations d’API requises pour cette application, comme le montre l’image suivante. Donnez votre consentement au locataire.

    accorder une image de consentement.

  4. Si l’administrateur reçoit une erreur lors d’une tentative de consentement manuellement, essayez l’option 1 ou l’option 2 comme solutions de contournement possibles.

Option 1 : Approuver les autorisations d’application d’entreprise par demande utilisateur

Microsoft Entra Les administrateurs doivent autoriser les utilisateurs à demander le consentement administrateur aux applications. Vérifiez que le paramètre est configuré sur Oui dans les applications d’entreprise.

Paramètres utilisateur des applications d’entreprise.

Pour plus d’informations, consultez Configurer Administration workflow de consentement.

Une fois ce paramètre vérifié, les utilisateurs peuvent passer par la connexion du client d’entreprise à Microsoft Security Intelligence et envoyer une demande de consentement administrateur, y compris une justification.

Flux de connexion à Contoso.

Les administrateurs peuvent examiner et approuver les demandes de consentement d’administrateur Azure des autorisations d’application.

Après avoir donné leur consentement, tous les utilisateurs du locataire pourront utiliser l’application.

Ce processus nécessite que les administrateurs généraux passent par le flux de connexion client Entreprise à Microsoft Security Intelligence.

Flux de connexion de consentement.

Ensuite, les administrateurs passent en revue les autorisations et veillent à sélectionner Consentement au nom de votre organization, puis à sélectionner Accepter.

Tous les utilisateurs du locataire peuvent désormais utiliser cette application.

Option 3 : Supprimer et lire les autorisations d’application

Si aucune de ces options ne résout le problème, essayez les étapes suivantes (en tant qu’administrateur) :

  1. Supprimez les configurations précédentes de l’application. Accédez à Applications d’entreprise et sélectionnez Supprimer.

    Supprimer les autorisations d’application.

  2. Capture à TenantID partir de Propriétés.

  3. Remplacez par {tenant-id} le locataire spécifique qui doit accorder son consentement à cette application dans l’URL ci-dessous. Copiez l’URL suivante dans le navigateur : https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access

    Les autres paramètres sont déjà terminés.

    Autorisations nécessaires.

  4. Passez en revue les autorisations requises par l’application, puis sélectionnez Accepter.

  5. Vérifiez que les autorisations sont appliquées dans le Portail Azure.

    Vérifiez que les autorisations sont appliquées.

  6. Connectez-vous à Microsoft Security Intelligence en tant qu’utilisateur d’entreprise avec un compte non administrateur pour voir si vous y avez accès.

Si l’avertissement n’est pas résolu après avoir suivi ces étapes de dépannage, appelez le support Microsoft.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.