Risolvere i problemi del servizio di Microsoft Defender XDR
Questo articolo risolve i problemi che potrebbero verificarsi quando si usa il servizio Microsoft Defender XDR. Fornisce soluzioni e soluzioni alternative per risolvere questi problemi. Se si verifica un problema non risolto qui, contattare supporto tecnico Microsoft.
Se nel riquadro di spostamento non vengono visualizzate funzionalità come Eventi imprevisti, Centro notifiche o Ricerca nel portale, è necessario verificare che il tenant disponga delle licenze appropriate.
Per altre informazioni, vedere Prerequisiti.
Microsoft Defender per identità gli avvisi non vengono visualizzati negli eventi imprevisti Microsoft Defender XDR
Se è Microsoft Defender per identità distribuito nell'ambiente, ma non vengono visualizzati avvisi di Defender per identità come parte di eventi imprevisti Microsoft Defender XDR, è necessario assicurarsi che il Microsoft Defender for Cloud Apps e l'integrazione di Defender per identità è abilitata.
Per altre informazioni, vedere integrazione Microsoft Defender per identità.
Per attivare Microsoft Defender XDR, accedere a Impostazioni dal riquadro di spostamento nel portale di Microsoft Defender. Questo elemento di spostamento è visibile solo se si dispone delle autorizzazioni e delle licenze dei prerequisiti.
Un falso positivo è un file o un URL rilevato come dannoso ma non è una minaccia. È possibile creare indicatori e definire esclusioni per sbloccare e consentire determinati file/URL. Vedere Indirizzo di falsi positivi/negativi in Defender per endpoint.
Il connettore Microsoft Defender XDR-ServiceNow non è più disponibile nel portale di Microsoft Defender. Tuttavia, è comunque possibile integrare Microsoft Defender XDR con ServiceNow usando microsoft security API Graph. Per altre informazioni, vedere Integrazioni di soluzioni di sicurezza con microsoft graph API Sicurezza.
L'integrazione Microsoft Defender XDR-ServiceNow era disponibile in precedenza nel portale di Microsoft Defender per l'anteprima e il feedback. Questa integrazione consente di creare eventi imprevisti di ServiceNow da eventi imprevisti Microsoft Defender XDR.
In alcuni casi, un blocco amministratore potrebbe causare problemi di invio quando si tenta di inviare un file potenzialmente infetto al sito Web di Microsoft Security Intelligence per l'analisi . Il processo seguente illustra come risolvere il problema.
Aprire le impostazioni dell'applicazione Azure Enterprise. In Applicazioni> aziendaliGli utenti possono concedere il consenso alle app che accedono ai dati aziendali per loro conto, controllare se è selezionata l'opzione Sì o No.
Se è selezionato No, un amministratore Microsoft Entra per il tenant del cliente deve fornire il consenso per l'organizzazione. A seconda della configurazione con Microsoft Entra ID, gli utenti potrebbero essere in grado di inviare una richiesta direttamente dalla stessa finestra di dialogo. Se non è possibile richiedere il consenso dell'amministratore, gli utenti devono richiedere l'aggiunta di queste autorizzazioni all'amministratore Microsoft Entra. Per altre informazioni, vedere la sezione seguente.
Se si seleziona Sì , verificare che l'impostazione dell'app Windows Defender Security Intelligence Abilitata per l'accesso degli utenti sia impostata su Sìin Azure. Se l'opzione No è selezionata, è necessario richiederne l'abilitazione da parte dell'amministratore Microsoft Entra.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Questo processo richiede un amministratore globale o un amministratore di applicazioni nel tenant.
Selezionare Concedi consenso amministratore per l'organizzazione.
Se è possibile eseguire questa operazione, esaminare le autorizzazioni API necessarie per questa applicazione, come illustrato nell'immagine seguente. Fornire il consenso per il tenant.
Se l'amministratore riceve un errore durante il tentativo di fornire il consenso manualmente, provare l'opzione 1 o l'opzione 2 come possibili soluzioni alternative.
Microsoft Entra gli amministratori devono consentire agli utenti di richiedere il consenso amministratore alle app. Verificare che l'impostazione sia configurata su Sì nelle applicazioni aziendali.
Altre informazioni sono disponibili in Configurare il flusso di lavoro di consenso Amministrazione.
Dopo aver verificato questa impostazione, gli utenti possono passare attraverso l'accesso del cliente aziendale a Microsoft Security Intelligence e inviare una richiesta di consenso amministratore, inclusa la giustificazione.
Gli amministratori possono esaminare e approvare le autorizzazioni dell'applicazione Richieste di consenso dell'amministratore di Azure.
Dopo aver fornito il consenso, tutti gli utenti nel tenant potranno usare l'applicazione.
Questo processo richiede che gli amministratori globali esercino il flusso di accesso dei clienti aziendali all'intelligence per la sicurezza Microsoft.
Gli amministratori esaminano quindi le autorizzazioni e si assicurano di selezionare Consenso per conto dell'organizzazione e quindi selezionare Accetta.
Tutti gli utenti nel tenant possono ora usare questa applicazione.
Se nessuna di queste opzioni risolve il problema, provare la procedura seguente (come amministratore):
Rimuovere le configurazioni precedenti per l'applicazione. Passare a Applicazioni aziendali e selezionare Elimina.
Acquisire
TenantID
da Proprietà.Sostituire
{tenant-id}
con il tenant specifico che deve concedere il consenso a questa applicazione nell'URL seguente. Copiare l'URL seguente nel browser:https://login.microsoftonline.com/{tenant-id}/v2.0/adminconsent?client_id=f0cf43e5-8a9b-451c-b2d5-7285c785684d&state=12345&redirect_uri=https%3a%2f%2fwww.microsoft.com%2fwdsi%2ffilesubmission&scope=openid+profile+email+offline_access
Il resto dei parametri è già stato completato.
Esaminare le autorizzazioni necessarie per l'applicazione e quindi selezionare Accetta.
Verificare che le autorizzazioni siano applicate nel portale di Azure.
Accedere a Microsoft Security Intelligence come utente aziendale con un account non amministratore per verificare se si ha accesso.
Se l'avviso non viene risolto dopo aver seguito questa procedura di risoluzione dei problemi, chiamare il supporto tecnico Microsoft.
Suggerimento
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.