Устранение неполадок при подключении, связанных с управлением безопасностью для Microsoft Defender для конечной точки

  • Статья

Область применения:

Примечание.

Клиенты, которые включили предварительные версии функций, получат ранний доступ к управлению политиками безопасности конечных точек, которое не требует Microsoft Entra регистрации для сценариев управления устройствами. Приведенные ниже разделы, которые относятся к Microsoft Entra регистрации, не применяются для клиентов, зарегистрированных в общедоступной предварительной версии.

Управление безопасностью для Microsoft Defender для конечной точки — это возможность получения конфигураций безопасности для устройств, которые не управляются Microsoft Intune или Microsoft Configuration Manager. Microsoft Defender для конечной точки непосредственно из Intune. Дополнительные сведения об управлении безопасностью для Microsoft Defender для конечной точки см. в статье Управление Microsoft Defender для конечной точки на устройствах с помощью Microsoft Intune.

Инструкции по управлению безопасностью для Microsoft Defender для конечной точки подключения см. в статье Управление конфигурацией безопасности Microsoft Defender для конечной точки.

Это комплексное подключение предназначено для того, чтобы обеспечить бесперебойную работу и не требует ввода данных пользователем. Однако при возникновении проблем во время подключения можно просматривать и устранять ошибки на платформе Microsoft Defender для конечной точки.

Примечание.

Если у вас возникли проблемы с потоком подключения для новых устройств, ознакомьтесь с предварительными Microsoft Defender для конечной точки и убедитесь, что выполнены инструкции по подключению.

Дополнительные сведения об анализаторе клиента см. в статье Устранение неполадок с работоспособностью датчика с помощью Microsoft Defender для конечной точки клиентского анализатора.

Регистрация присоединенных к домену компьютеров с идентификатором Microsoft Entra

Чтобы успешно зарегистрировать устройства для Microsoft Entra идентификатора, необходимо убедиться в следующем:

  • Компьютеры могут проходить проверку подлинности с помощью контроллера домена
  • Компьютеры имеют доступ к следующим ресурсам Майкрософт из сети вашей организации:
  • Microsoft Entra Подключение настроено для синхронизации объектов компьютера. По умолчанию компьютерные подразделения находятся в Microsoft Entra Connect Sync область. Если объекты-компьютеры относятся к определенным подразделениям, настройте их для синхронизации в Microsoft Entra Connect. Дополнительные сведения о синхронизации объектов компьютеров с помощью Microsoft Entra Connect см. в статье Фильтрация на основе подразделений.

Важно!

Microsoft Entra Connect не синхронизируется Windows Server 2012 объектами компьютеров R2. Если вам нужно зарегистрировать их с помощью идентификатора Microsoft Entra для управления безопасностью для Microsoft Defender для конечной точки, необходимо настроить правило синхронизации Microsoft Entra Connect, чтобы включить эти объекты-компьютеры в область синхронизации. См. инструкции по применению правила присоединения к компьютеру в Microsoft Entra Connect.

Примечание.

Чтобы успешно завершить процесс подключения и независимо от операционной системы устройства, состояние идентификатора Microsoft Entra устройства может измениться в зависимости от начального состояния устройств:

Состояние запуска устройства Новое состояние устройства
Уже AADJ или HAADJ Остается как есть
Не AADJ или Microsoft Entra гибридное присоединение (HAADJ) и присоединение к домену Устройство HAADJ'd
Не AADJ или HAADJ + Не присоединено к домену Устройство AADJ'd

Где AADJ представляет Microsoft Entra присоединение, а HAADJ — Microsoft Entra гибридное соединение.

Устранение ошибок на портале Microsoft Defender для конечной точки

На портале Microsoft Defender для конечной точки администраторы безопасности теперь могут устранять неполадки управления безопасностью при подключении Microsoft Defender для конечной точки.

В разделе Управление конфигурацией добавлено мини-приложение Onboarded via MDE security management ,чтобы представить разбивку состояния регистрации устройств, управляемых Microsoft Defender для конечной точки.

Чтобы просмотреть список всех устройств, управляемых Microsoft Defender для конечной точки, выберите Просмотреть все устройства, управляемые MDE.

Если состояние регистрации устройства не "Успешно", выберите устройство, чтобы просмотреть сведения об устранении неполадок на боковой панели, указав основную причину ошибки и соответствующую документацию.

Критерии фильтра, примененные на странице инвентаризации устройств

Примечание.

Мы знаем о проблеме, влияющей на точное обнаружение сторонних MDM при попытке использовать функцию управления безопасностью, и работаем над исправлением.

Запуск Microsoft Defender для конечной точки клиентского анализатора в Windows

Рассмотрите возможность запуска клиентского анализатора на конечных точках, которым не удается завершить процесс управления безопасностью для Microsoft Defender для конечной точки подключения. Дополнительные сведения об анализаторе клиента см. в статье Устранение неполадок с работоспособностью датчика с помощью Microsoft Defender для конечной точки клиентского анализатора.

Выходной файл клиентского анализатора (анализатор клиента MDE Results.htm) может предоставить основные сведения об устранении неполадок:

  • Убедитесь, что ОС устройства находится в область для управления безопасностью для потока подключения Microsoft Defender для конечной точки в разделе Общие сведения об устройстве.

  • Убедитесь, что устройство успешно зарегистрировано для Microsoft Entra идентификатора в разделе Сведения об управлении конфигурацией устройств.

    Результаты клиентского анализатора

В разделе Подробные результаты отчета анализатор клиента также предоставляет практические рекомендации.

Совет

Убедитесь, что раздел Подробные результаты отчета не содержит никаких ошибок, и обязательно просмотрите все сообщения с предупреждениями.

Например, в рамках потока подключения управления безопасностью необходимо, чтобы идентификатор клиента Microsoft Entra в клиенте Microsoft Defender для конечной точки соответствовал идентификатору клиента SCP, который отображается в разделе Сведения об управлении конфигурацией устройств. При необходимости выходные данные отчета рекомендуют выполнить эту проверку.

Страница с подробными результатами

Устранение общих неполадок

Если вы не смогли определить подключенное устройство в Microsoft Entra идентификаторе или в Центре администрирования Intune и не получили ошибку во время регистрации, проверка раздела Computer\\HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SenseCM\\EnrollmentStatus реестра может предоставить дополнительные сведения об устранении неполадок.

Страница, отображающая состояние регистрации

В следующей таблице перечислены ошибки и указания по тому, что следует попробовать или проверка, чтобы устранить ошибку. Обратите внимание, что список ошибок не является полным и основан на типичных или распространенных ошибках, с которыми сталкивались клиенты в прошлом:

Код ошибки Состояние регистрации Действия администратора
5-7, 9, 11-12, 26-33 Общая ошибка Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка. Это может быть связано с тем, что устройство не удовлетворяет предварительным требованиям для канала управления Microsoft Defender для конечной точки. Запуск клиентского анализатора на устройстве может помочь определить первопричину проблемы. Если это не поможет, обратитесь в службу поддержки.
8, 44 Проблема с конфигурацией Microsoft Intune Устройство успешно подключено к Microsoft Defender для конечной точки. Однако Microsoft Intune не настроены в Центре Администратор для разрешения Microsoft Defender для конечной точки конфигурации безопасности. Убедитесь, что клиент Microsoft Intune настроен и функция включена.
13-14,20,24,25 Проблема с подключением Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка, которая может быть вызвана проблемой с подключением. Убедитесь, что идентификатор Microsoft Entra и конечные точки Microsoft Intune открыты в брандмауэре.
10,42 Общий сбой гибридного соединения Устройство успешно подключено к Microsoft Defender для конечной точки. Однако произошла ошибка в потоке управления конфигурацией безопасности, и ОС не удалось выполнить гибридное соединение. Используйте устранение неполадок Microsoft Entra устройствах с гибридным присоединением для устранения неполадок гибридного соединения на уровне ОС.
15 Несоответствие клиента Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка, так как идентификатор клиента Microsoft Defender для конечной точки не соответствует идентификатору клиента Microsoft Entra. Убедитесь, что Microsoft Entra идентификатор клиента Defender для конечной точки соответствует идентификатору клиента в записи SCP вашего домена. Дополнительные сведения см. в статье Устранение проблем с подключением, связанных с управлением безопасностью для Microsoft Defender для конечной точки.
16,17 Гибридная ошибка — точка подключения службы Устройство успешно подключено к Microsoft Defender для конечной точки. Однако запись точки подключения службы (SCP) настроена неправильно, и устройство не может быть присоединено к Microsoft Entra идентификатору. Это может быть связано с настройкой SCP для присоединения к корпоративной DRS. Убедитесь, что запись SCP указывает на идентификатор Microsoft Entra, а SCP настроен в соответствии с рекомендациями. Дополнительные сведения см. в разделе Настройка точки подключения службы.
18 Ошибка сертификата Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка из-за ошибки сертификата устройства. Сертификат устройства принадлежит другому клиенту. Убедитесь, что при создании доверенных профилей сертификатов соблюдаются рекомендации.
36 , 37 неправильная настройка Microsoft Entra Connect Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка из-за неправильной настройки в Microsoft Entra Connect. Чтобы определить, что мешает устройству зарегистрировать Microsoft Entra идентификатор, попробуйте запустить средство устранения неполадок регистрации устройства. Для Windows Server 2012 R2 выполните выделенные инструкции по устранению неполадок.
38,41 Ошибка DNS Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка из-за ошибки DNS. Проверьте параметры подключения к Интернету и (или) DNS на устройстве. Недопустимые параметры DNS могут находиться на стороне рабочей станции. Active Directory требует, чтобы вы использовали домен DNS для правильной работы (а не адрес маршрутизатора). Дополнительные сведения см. в статье Устранение неполадок при подключении, связанных с управлением безопасностью для Microsoft Defender для конечной точки.
40 Проблема синхронизации часов Устройство успешно подключено к Microsoft Defender для конечной точки. Однако в потоке управления конфигурацией безопасности произошла ошибка. Убедитесь, что часы настроены правильно и синхронизированы на устройстве, где возникает ошибка.
43 MDE и ConfigMgr Управление устройством осуществляется с помощью Configuration Manager и Microsoft Defender для конечной точки. Управление политиками по обоим каналам может привести к конфликтам и нежелательным результатам. Чтобы избежать этого, политики безопасности конечных точек следует изолировать в одном уровне управления.

Устранение неполадок среды выполнения Microsoft Entra

Механизм main для устранения неполадок в среде выполнения Microsoft Entra (AADRT) — сбор отладочных трассировок. среда выполнения Microsoft Entra в Windows использует поставщик ETW с идентификатором bd67e65c-9cc2-51d8-7399-0bb9899e75c1. Трассировки трассировки windows-событий должны быть записаны с воспроизведением сбоя (например, если происходит сбой соединения, трассировки должны быть включены на время, охватывающее вызовы API AADRT для выполнения соединения).

Ниже приведены типичные ошибки в журнале AADRT и сведения о том, как ее считывать:

Страница свойств события

Из сведений в сообщении в большинстве случаев можно понять, какая ошибка произошла, какой API Win32 вернул ошибку (если применимо), какой URL-адрес (если применимо) был использован и какая ошибка API среды выполнения Microsoft Entra была обнаружена.

Инструкции по применению правила присоединения к компьютеру в Microsoft Entra Connect

Для управления безопасностью для Microsoft Defender для конечной точки на компьютерах, присоединенных к домену R2 Windows Server 2012 R2, необходимо обновить правило синхронизации Microsoft Entra connect "In from AD-Computer Join". Этого можно добиться путем клонирования и изменения правила, которое отключает исходное правило "In from AD - Computer Join". Microsoft Entra Connect по умолчанию предлагает этот интерфейс для внесения изменений во встроенные правила.

Примечание.

Эти изменения необходимо применить на сервере, где работает Microsoft Entra Connect. Если развернуто несколько экземпляров Microsoft Entra Connect, эти изменения необходимо применить ко всем экземплярам.

  1. Откройте приложение Редактор правил синхронизации в меню "Пуск". В списке правил найдите правило с именем In из AD — присоединение к компьютеру. Запишите значение в столбце "Приоритет" для этого правила.

    Редактор правил синхронизации

  2. С выделенным параметром In from AD — Computer Join rule (Вход из AD — правило присоединения к компьютеру ) выберите Изменить. В диалоговом окне Изменение подтверждения зарезервированного правила выберите Да.

    Страница подтверждения изменения зарезервированного правила

  3. Откроется окно Изменение правила синхронизации для входящего трафика. Обновите описание правила, чтобы отметить, что Windows Server 2012R2 будет синхронизироваться с помощью этого правила. Оставьте все остальные параметры без изменений, кроме значения приоритета. Введите значение приоритета, которое больше, чем значение из исходного правила (как показано в списке правил).

    Страница

  4. Нажмите кнопку Далее три раза. Откроется раздел "Преобразования" правила. Не вносите никаких изменений в разделы "Фильтр области" и "Правила присоединения" правила. Теперь должен отобразиться раздел "Преобразования".

    Правило синхронизации для входящего трафика

  5. Прокрутите список преобразований вниз. Найдите преобразование для атрибута cloudFiltered . В текстовом поле в столбце Источник выделите весь текст (Control-A) и удалите его. Теперь текстовое поле должно быть пустым.

  6. Вставьте содержимое нового правила в текстовое поле.

    IIF(
  IsNullOrEmpty([userCertificate])
  ||
  (
    (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
    &&
    (Left([operatingSystemVersion],2) = "6.")
    &&
    (Left([operatingSystemVersion],3) <> "6.3")
  )
  ||
  (
    (Left([operatingSystemVersion],3) = "6.3")
    &&
    (InStr(UCase([operatingSystem]),"WINDOWS") > 0)
    &&
    With(
      $validCerts,
      Where(
        $c,
        [userCertificate],
        IsCert($c) && CertNotAfter($c) > Now() && RegexIsMatch(CertSubject($c), "CN=[{]*" & StringFromGuid([objectGUID]) & "[}]*", "IgnoreCase")),
      Count($validCerts) = 0)
  ),
  True,
  NULL
)

  7. Нажмите кнопку Сохранить , чтобы сохранить новое правило.

Примечание.

После изменения этого правила требуется полная синхронизация Active Directory. Для больших сред рекомендуется запланировать это изменение правила и полную синхронизацию в течение локальная служба Active Directory периодов тишины.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.