Corriger les capteurs défectueux dans Microsoft Defender pour point de terminaison
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Les appareils peuvent être classés comme mal configurés ou inactifs sont marqués pour différentes raisons. Cet article fournit des informations sur la raison pour laquelle un appareil peut être classé comme inactif ou mal configuré.
Appareils inactifs
Un appareil inactif n’est pas nécessairement marqué en raison d’un problème. Les actions suivantes effectuées sur un appareil peuvent entraîner la catégorisation d’un appareil comme étant inactif :
- L’appareil n’est pas utilisé
- L’appareil a été réinstallé ou renommé
- L’appareil a été désactivé
- L’appareil n’envoie pas de signaux
L’appareil n’est pas utilisé
Tout appareil qui n’est pas utilisé pendant plus de sept jours conserve les status « inactifs » dans le portail.
L’appareil a été réinstallé ou renommé
Une nouvelle entité d’appareil est générée dans Microsoft Defender XDR pour les appareils réinstallés ou renommés. L’entité d’appareil précédente reste, avec un status « Inactif » dans le portail. Si vous avez réinstallé un appareil et déployé le package Defender pour point de terminaison, recherchez le nouveau nom de l’appareil pour vérifier que l’appareil signale normalement.
L’appareil a été désactivé
Si l’appareil était hors-bord, il apparaît toujours dans la liste des appareils. Après sept jours, l’état d’intégrité de l’appareil doit passer à inactif.
L’appareil n’envoie pas de signaux
Si l’appareil n’envoie aucun signal à des canaux Microsoft Defender pour point de terminaison pendant plus de sept jours pour une raison quelconque, un appareil peut être considéré comme inactif. Les appareils mal configurés peuvent également être considérés comme inactifs.
Appareils mal configurés
Les appareils mal configurés peuvent également être classés comme suit :
- Communications altérées
- Aucune donnée de capteur
Communications altérées
Cette status indique que la communication entre l’appareil et le service est limitée.
Les actions suggérées suivantes peuvent aider à résoudre les problèmes liés à un appareil mal configuré avec des communications altérées :
Vérifiez que l’appareil dispose d’une connexion Internet. Le capteur Microsoft Defender pour point de terminaison requiert Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Microsoft Defender pour point de terminaison.
Vérifiez la connectivité du client aux URL de service Microsoft Defender pour point de terminaison. Vérifiez que la configuration du proxy s’est terminée correctement, que WinHTTP peut découvrir et communiquer via le serveur proxy dans votre environnement, et que le serveur proxy autorise le trafic vers les URL du service Microsoft Defender pour point de terminaison.
Si vous avez pris des mesures correctives et que l’appareil status est toujours mal configuré, ouvrez un ticket de support.
Aucune donnée de capteur
Un appareil mal configuré avec status « Aucune donnée de capteur » communique avec le service, mais ne peut signaler que des données de capteur partielles.
Suivez les actions suivantes pour corriger les problèmes connus liés à un appareil mal configuré avec status « Aucune donnée de capteur » :
Vérifiez que l’appareil dispose d’une connexion Internet. Le capteur Microsoft Defender pour point de terminaison requiert Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Microsoft Defender pour point de terminaison.
Vérifiez la connectivité du client aux URL de service Microsoft Defender pour point de terminaison. Vérifiez que la configuration du proxy s’est terminée correctement, que WinHTTP peut découvrir et communiquer via le serveur proxy dans votre environnement, et que le serveur proxy autorise le trafic vers les URL du service Microsoft Defender pour point de terminaison.
Vérifiez que le service de données de diagnostic est activé. Si les appareils ne signalent pas correctement, vous devez vérifier que le service de données de diagnostic Windows est configuré pour démarrer automatiquement. Vérifiez également que le service de données de diagnostic Windows s’exécute sur le point de terminaison.
Vérifiez que Microsoft Defender Antivirus n’est pas désactivé par la stratégie. Si vos appareils exécutent un client anti-programme malveillant tiers, l’agent Defender pour point de terminaison nécessite que le pilote anti-programme malveillant ELAM (Microsoft Defender Antivirus Early Launch) soit activé.
Pour les appareils macOS qui veillent pendant plus de 48 heures environ (par week-end), Microsoft Defender pour point de terminaison sur macOS envoie toujours des données de canal de commande et de contrôle (CnC), mais n’envoie pas de données de canal cyber. Une fois les appareils activés et utilisés le premier jour ouvrable, les appareils apparaissent comme actifs.
Si vous avez pris des mesures correctives et que l’appareil status est toujours mal configuré, ouvrez un ticket de support.
Voir aussi
- Vérifier l’état d’intégrité du capteur dans Microsoft Defender pour point de terminaison
- Vue d’ensemble de l’analyseur client
- Télécharger et exécuter l’analyseur client
- Exécuter l’analyseur client sur Windows
- Exécuter l’analyseur client sur macOS ou Linux
- Collecte de données pour la résolution avancée des problèmes sur Windows
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour