次の方法で共有


Microsoft Defender for Endpoint で問題が発生したセンサーの修正

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

デバイスは、誤って構成されているか、非アクティブとして分類され、さまざまな理由でフラグが設定される可能性があります。 この記事では、デバイスが非アクティブまたは正しく構成されていないと分類される理由について説明します。

非アクティブ デバイス

非アクティブなデバイスは、問題のためにフラグが設定されるとは限りません。 デバイスで次のアクションを実行すると、デバイスが非アクティブとして分類される可能性があります。

  • デバイスが使用されていない
  • デバイスの再インストールまたは名前の変更
  • デバイスがオンボードされていませんでした
  • デバイスがシグナルを送信していない

デバイスが使用されていない

7 日を超える間使用されていないデバイスは、ポータルで "非アクティブ" 状態を保持します。

デバイスの再インストールまたは名前の変更

再インストールまたは名前変更されたデバイスのMicrosoft Defender XDRに新しいデバイス エンティティが生成されます。 前のデバイス エンティティは引き続き残り、ポータルで "非アクティブ" 状態になります。 デバイスを再インストールして Defender for Endpoint パッケージを展開した場合は、新しいデバイス名を検索して、デバイスが正常に報告されていることを確認します。

デバイスがオンボードされていませんでした

デバイスがオフボードの場合は、デバイスの一覧に引き続き表示されます。 7 日後に、デバイスの正常性状態が非アクティブに変更されます。

デバイスがシグナルを送信していない

デバイスが何らかの理由で 7 日を超えてMicrosoft Defender for Endpoint チャネルに信号を送信していない場合、デバイスは非アクティブと見なすことができます。 正しく構成されていないデバイスは、非アクティブと見なすこともできます。

誤って構成されたデバイス

正しく構成されていないデバイスは、さらに次のように分類できます。

  • 通信の障穣
  • センサー データなし

通信の障穣

この状態は、デバイスとサービス間の通信が制限されていることを示します。

次の推奨されるアクションは、通信が損なわれるデバイスの正しく構成されていない問題を解決するのに役立ちます。

修正アクションを実行してもデバイスの状態が正しく構成されていない場合は、 サポート チケットを開きます

センサー データなし

状態 "センサー データなし" の正しく構成されていないデバイスは、サービスとの通信を持っていますが、部分的なセンサー データのみを報告できます。

次の手順に従って、状態が "センサー データなし" のデバイスが正しく構成されていない場合に関連する既知の問題を修正します。

  • デバイスにインターネット接続があることを確認します。 Microsoft Defender ATP センサーでは、センサー データをレポートし、Microsoft Defender for Endpoint service サービスと通信するために、Microsoft Windows HTTP (WinHTTP) が必要になります。

  • Microsoft Defender for Endpointサービス URL へのクライアント接続を確認します。 プロキシ構成が正常に完了したことを確認し、WinHTTP が環境内のプロキシ サーバーを介して検出して通信できること、およびプロキシ サーバーがMicrosoft Defender for Endpoint サービス URL へのトラフィックを許可していることを確認します。

  • 診断データ サービスが有効になっていることを確認してください。 デバイスが正しく報告されていない場合は、Windows 診断データ サービスが自動的に開始するように設定されていることを確認する必要があります。 また、Windows 診断データ サービスがエンドポイントで実行されていることを確認します。

  • Microsoft Defenderウイルス対策がポリシーによって無効になっていないことを確認します。 デバイスがサード パーティのマルウェア対策クライアントを実行している場合、Defender for Endpoint エージェントでは、Microsoft Defender ウイルス対策早期起動マルウェア対策 (ELAM) ドライバーが有効になっている必要があります。

  • 約 48 時間 (週末) を超えるスリープ状態の macOS デバイスの場合、macOS のMicrosoft Defender for Endpointは引き続き Command and Control (CnC) チャネル データを送信しますが、サイバー チャネル データは送信しません。 デバイスがオンになり、最初の営業日に使用されると、デバイスはアクティブとして表示されます。

修正アクションを実行してもデバイスの状態が正しく構成されていない場合は、 サポート チケットを開きます

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。