Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur macOS

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Échec de l’installation

Pour l’installation manuelle, la page Résumé de l’Assistant Installation indique : « Une erreur s’est produite lors de l’installation. Le programme d’installation a rencontré une erreur qui a provoqué l’échec de l’installation. Contactez l’éditeur du logiciel pour obtenir de l’aide. » Pour les déploiements GPM, il s’affiche également en tant qu’échec d’installation générique.

Bien que nous n’affichions pas d’erreur exacte à l’utilisateur final, nous conservons un fichier journal avec la progression de l’installation dans /Library/Logs/Microsoft/mdatp/install.log. Chaque session d’installation s’ajoute à ce fichier journal. Vous pouvez utiliser sed pour générer la dernière session d’installation uniquement :

sed -n 'H; /^preinstall com.microsoft.wdav begin/h; ${g;p;}' /Library/Logs/Microsoft/mdatp/install.log
preinstall com.microsoft.wdav begin [2020-03-11 13:08:49 -0700] 804
INSTALLER_SECURE_TEMP=/Library/InstallerSandboxes/.PKInstallSandboxManager/CB509765-70FC-4679-866D-8A14AD3F13CC.activeSandbox/89FA879B-971B-42BF-B4EA-7F5BB7CB5695
correlation id=CB509765-70FC-4679-866D-8A14AD3F13CC
[ERROR] Downgrade from 100.88.54 to 100.87.80 is not permitted
preinstall com.microsoft.wdav end [2020-03-11 13:08:49 -0700] 804 => 1

Dans cet exemple, la raison réelle est précédée de [ERROR]. L’installation a échoué, car une rétrogradation entre ces versions n’est pas prise en charge.

Journal d’installation MDATP manquant ou non mis à jour

Dans de rares cas, l’installation ne laisse aucune trace dans le fichier /Library/Logs/Microsoft/mdatp/install.log de MDATP. Tout d’abord, vérifiez qu’une installation a eu lieu. Analysez ensuite les erreurs possibles en interrogeant les journaux macOS. Il est utile de le faire dans les déploiements MDM, lorsqu’il n’y a pas d’interface utilisateur cliente. Nous vous recommandons d’utiliser une fenêtre de temps étroite pour exécuter une requête et filtrer en fonction du nom du processus de journalisation, car il y aura une grande quantité d’informations.

grep '^2020-03-11 13:08' /var/log/install.log
log show --start '2020-03-11 13:00:00' --end '2020-03-11 13:08:50' --info --debug --source --predicate 'processImagePath CONTAINS[C] "install"' --style syslog

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.