Udostępnij za pośrednictwem


Naprawianie czujników w złej kondycji w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Urządzenia można sklasyfikować jako nieprawidłowo skonfigurowane lub nieaktywne są oflagowane z różnych powodów. Ten artykuł zawiera informacje o tym, dlaczego urządzenie może zostać skategoryzowane jako nieaktywne lub nieprawidłowo skonfigurowane.

Nieaktywne urządzenia

Nieaktywne urządzenie niekoniecznie jest oflagowane z powodu problemu. Następujące akcje wykonywane na urządzeniu mogą spowodować sklasyfikowanie urządzenia jako nieaktywnego:

  • Urządzenie nie jest używane
  • Urządzenie zostało ponownie zainstalowane lub zmieniono jego nazwę
  • Urządzenie zostało wyłączone
  • Urządzenie nie wysyła sygnałów

Urządzenie nie jest używane

Każde urządzenie, które nie jest używane przez więcej niż siedem dni, zachowuje stan "Nieaktywne" w portalu.

Urządzenie zostało ponownie zainstalowane lub zmieniono jego nazwę

Nowa jednostka urządzenia jest generowana w Microsoft Defender XDR dla ponownie zainstalowanych lub zmienionych nazw urządzeń. Poprzednia jednostka urządzenia pozostaje ze stanem "Nieaktywne" w portalu. Jeśli ponownie zainstalowano urządzenie i wdrożono pakiet usługi Defender for Endpoint, wyszukaj nową nazwę urządzenia, aby sprawdzić, czy urządzenie jest raportowane normalnie.

Urządzenie zostało wyłączone

Jeśli urządzenie zostało wyłączone, nadal jest wyświetlane na liście urządzeń. Po siedmiu dniach stan kondycji urządzenia powinien ulec zmianie na nieaktywny.

Urządzenie nie wysyła sygnałów

Jeśli urządzenie nie wysyła żadnych sygnałów do żadnych kanałów Ochrona punktu końcowego w usłudze Microsoft Defender przez więcej niż siedem dni z jakiegokolwiek powodu, urządzenie może zostać uznane za nieaktywne. Błędnie skonfigurowane urządzenia można również uznać za nieaktywne.

Nieprawidłowo skonfigurowane urządzenia

Błędnie skonfigurowane urządzenia można dalej klasyfikować do:

  • Komunikacja z upośledzoną łącznością
  • Brak danych czujnika

Komunikacja z upośledzoną łącznością

Ten stan wskazuje, że komunikacja między urządzeniem a usługą jest ograniczona.

Następujące sugerowane akcje mogą pomóc rozwiązać problemy związane z błędnie skonfigurowanym urządzeniem z ograniczoną komunikacją:

Jeśli akcje naprawcze zostały wykonywane, a stan urządzenia jest nadal nieprawidłowo skonfigurowany, otwórz bilet pomocy technicznej.

Brak danych czujnika

Nieprawidłowo skonfigurowane urządzenie o stanie "Brak danych czujnika" ma komunikację z usługą, ale może zgłaszać tylko częściowe dane czujnika.

Wykonaj następujące czynności, aby rozwiązać znane problemy związane z błędnie skonfigurowanym urządzeniem o stanie "Brak danych czujnika":

  • Upewnij się, że urządzenie ma połączenie z Internetem. Czujnik Ochrona punktu końcowego w usłudze Microsoft Defender wymaga protokołu HTTP (WinHTTP) systemu Microsoft Windows do raportowania danych czujnika i komunikowania się z usługą Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Sprawdź łączność klienta z adresami URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender. Sprawdź, czy konfiguracja serwera proxy została ukończona pomyślnie, czy usługa WinHTTP może odnajdywać i komunikować się za pośrednictwem serwera proxy w danym środowisku oraz czy serwer proxy zezwala na ruch do adresów URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Upewnij się, że usługa danych diagnostycznych jest włączona. Jeśli urządzenia nie są prawidłowo raportowania, należy sprawdzić, czy usługa danych diagnostycznych systemu Windows jest ustawiona na automatyczne uruchamianie. Sprawdź również, czy usługa danych diagnostycznych systemu Windows jest uruchomiona w punkcie końcowym.

  • Upewnij się, że program antywirusowy Microsoft Defender nie jest wyłączony przez zasady. Jeśli na urządzeniach działa klient ochrony przed złośliwym oprogramowaniem innych firm, agent usługi Defender for Endpoint wymaga włączenia sterownika ochrony przed wczesnym uruchamianiem oprogramowania antywirusowego Microsoft Defender (ELAM).

  • W przypadku urządzeń z systemem macOS, które śpią przez ponad 48 godzin (w weekend), Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS nadal wysyła dane kanału Command and Control (CnC), ale nie wysyła żadnych danych kanału Cyber. Po włączeniu i użyciu urządzeń w pierwszym dniu roboczym urządzenia będą wyświetlane jako aktywne.

Jeśli akcje naprawcze zostały wykonywane, a stan urządzenia jest nadal nieprawidłowo skonfigurowany, otwórz bilet pomocy technicznej.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.