Risoluzione dei problemi noti di Microsoft Defender per identità

Questo articolo descrive come risolvere i problemi noti in Microsoft Defender per identità.

Il servizio del sensore non viene avviato

Voci del log dei sensori:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=mdiSvc01]

Causa 1

Al controller di dominio non sono stati concessi diritti per accedere alla password dell'account del servizio gestito del gruppo.

Soluzione 1:

Verificare che al controller di dominio siano stati concessi i diritti di accesso alla password. È necessario avere un gruppo di sicurezza in Active Directory che contiene i controller di dominio, Entra Connect, AD FS/AD CS server/s e gli account computer dei sensori autonomi inclusi. Se questo non esiste, è consigliabile crearne uno.

È possibile usare il comando seguente per verificare se un account computer o un gruppo di sicurezza è stato aggiunto al parametro . Sostituire mdiSvc01 con il nome creato.

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

I risultati dovrebbero avere l'aspetto seguente:

Risultati di PowerShell.

In questo esempio è possibile notare che è stato aggiunto un gruppo denominato mdiSvc01Group . Se il controller di dominio o il gruppo di sicurezza non è stato aggiunto, è possibile usare i comandi seguenti per aggiungerlo. Sostituire mdiSvc01 con il nome dell'account del servizio gestito del gruppo e sostituire DC1 con il nome del controller di dominio o mdiSvc01Group con il nome del gruppo di sicurezza.

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

Se il controller di dominio o il gruppo di sicurezza è già stato aggiunto, ma viene comunque visualizzato l'errore, è possibile provare la procedura seguente:

  • Riavviare il server per sincronizzare le modifiche recenti
  • Eliminare il ticket Kerberos, forzando il server a richiedere un nuovo ticket Kerberos. Da un prompt dei comandi dell'amministratore eseguire il comando seguente klist -li 0x3e7 purge

Causa 2

A causa di uno scenario noto correlato al seeding del tempo protetto, l'attributo gMSA PasswordLastSet può essere impostato su una data futura, causando l'impossibilità di avviare il sensore.

Il comando seguente può essere usato per verificare se l'account del servizio gestito del gruppo rientra nello scenario, quando i valori PasswordLastSet e LastLogonDate mostrano una data futura:

Get-ADServiceAccount mdiSvc01 -Properties PasswordLastSet, LastLogonDate

Soluzione 2:

Come soluzione provvisoria, è possibile creare un nuovo account del servizio gestito del gruppo che avrà la data corretta per l'attributo. È consigliabile aprire una richiesta di supporto con i servizi directory per identificare la causa radice ed esplorare le opzioni per una risoluzione completa.

Errore di comunicazione del sensore

Se viene visualizzato l'errore del sensore seguente:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

Risoluzione:

Assicurarsi che la comunicazione non sia bloccata per localhost, porta TCP 444. Per altre informazioni sui prerequisiti Microsoft Defender per identità, vedere porte.

Percorso del log di distribuzione

I log di distribuzione di Defender per identità si trovano nella directory temporanea dell'utente che ha installato il prodotto. Nel percorso di installazione predefinito è disponibile in: C:\Users\Administrator\AppData\Local\Temp (o una directory sopra %temp%). Per altre informazioni, vedere Risoluzione dei problemi di Defender per identità con i log.

Il problema di autenticazione proxy presenta un errore di licenza

Se durante l'installazione del sensore viene visualizzato l'errore seguente: Il sensore non è riuscito a eseguire la registrazione a causa di problemi di licenza.

Voci del log di distribuzione:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

Causa:

In alcuni casi, durante la comunicazione tramite proxy, durante l'autenticazione potrebbe rispondere al sensore defender per identità con errore 401 o 403 anziché l'errore 407. Il sensore defender per identità interpreta l'errore 401 o 403 come problema di licenza e non come problema di autenticazione proxy.

Risoluzione:

Assicurarsi che il sensore possa passare a *.atp.azure.com tramite il proxy configurato senza autenticazione. Per altre informazioni, vedere Configurare il proxy per abilitare la comunicazione.

Il problema di autenticazione proxy presenta un errore di connessione

Se durante l'installazione del sensore viene visualizzato l'errore seguente: Il sensore non è riuscito a connettersi al servizio.

Causa:

Il problema può essere causato quando mancano i certificati delle autorità di certificazione radice attendibili richieste da Defender per identità.

Risoluzione:

Eseguire il cmdlet di PowerShell seguente per verificare che siano installati i certificati necessari.

Nell'esempio seguente usare il certificato "DigiCert Baltimore Root" per tutti i clienti. Usare inoltre il certificato "DigiCert Global Root G2" per i clienti commerciali o usare il certificato "Ca radice globale DigiCert" per i clienti US Government GCC High, come indicato.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Output per il certificato per tutti i clienti:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Output del certificato per i clienti commerciali:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Output per il certificato per i clienti GCC High del governo degli Stati Uniti:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Se l'output previsto non viene visualizzato, seguire questa procedura:

  1. Scaricare i certificati seguenti nel computer Server Core. Per tutti i clienti, scaricare il certificato radice Baltimore CyberTrust.

    In aggiunta:

  2. Eseguire il cmdlet di PowerShell seguente per installare il certificato.

    # For all customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For commercial customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For US Government GCC High customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
    

Errore di installazione invisibile all'utente quando si tenta di usare PowerShell

Se durante l'installazione del sensore invisibile all'utente si tenta di usare PowerShell e viene visualizzato l'errore seguente:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Causa:

Se non si include il prefisso ./ necessario per l'installazione quando si usa PowerShell, questo errore viene generato.

Risoluzione:

Usare il comando completo per eseguire correttamente l'installazione.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Problema di raggruppamento della scheda di interfaccia di rete del sensore di defender per identità

Quando si installa il sensore Defender per identità in un computer configurato con un adattatore gruppo NIC e il driver Winpcap, viene visualizzato un errore di installazione. Se si vuole installare il sensore Defender per identità in un computer configurato con il gruppo NIC, assicurarsi di sostituire il driver Winpcap con Npcap seguendo le istruzioni riportate qui.

Modalità gruppo multiprocessore

Per i sistemi operativi Windows 2008R2 e 2012, il sensore Defender per identità non è supportato in modalità multiprocessore.

Possibili soluzioni alternative suggerite:

  • Se il threading hyper è attivato, disattivarlo. Ciò può ridurre il numero di core logici sufficienti per evitare la necessità di eseguire in modalità multiprocessore .

  • Se il computer ha meno di 64 core logici ed è in esecuzione in un host HP, è possibile modificare l'impostazione del BIOS di ottimizzazione delle dimensioni del gruppo NUMA dal valore predefinito Clustered a Flat.

Problema del sensore di macchina virtuale VMware

Se si dispone di un sensore defender per identità nelle macchine virtuali VMware, è possibile che venga visualizzato l'avviso di integrità Alcuni traffico di rete non vengono analizzati. Ciò può verificarsi a causa di una mancata corrispondenza della configurazione in VMware.

Per risolvere il problema:

Nel sistema operativo guest impostare quanto segue su Disabilitato nella configurazione della scheda di interfaccia di rete della macchina virtuale: Offload TSO IPv4.

Problema del sensore VMware.

Usare il comando seguente per verificare se LSO (Large Send Offload) è abilitato o disabilitato:

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Controllare lo stato dell'LSO.

Se LSO è abilitato, usare il comando seguente per disabilitarlo:

Disable-NetAdapterLso -Name {name of adapter}

Disabilitare lo stato LSO.

Nota

  • A seconda della configurazione, queste azioni potrebbero causare una breve perdita di connettività di rete.
  • Potrebbe essere necessario riavviare il computer per rendere effettive queste modifiche.
  • Questi passaggi possono variare a seconda della versione di VMWare. Vedere la documentazione di VMWare per informazioni su come disabilitare LSO/TSO per la versione vmWare.

Il sensore non è riuscito a recuperare le credenziali dell'account del servizio gestito del gruppo

Se viene visualizzato l'avviso di integrità seguente: Le credenziali utente dei servizi directory non sono corrette

Voci del log dei sensori:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Voci di log di Sensor Updater:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

Il sensore non è riuscito a recuperare la password dell'account del servizio gestito del gruppo.

Causa 1

Al controller di dominio non è stata concessa l'autorizzazione per recuperare la password dell'account del servizio gestito del gruppo.

Soluzione 1:

Verificare che al computer che esegue il sensore siano state concesse le autorizzazioni per recuperare la password dell'account del servizio gestito del gruppo. Per altre informazioni, vedere Concedere le autorizzazioni per recuperare la password dell'account del servizio gestito del gruppo.

Causa 2

Il servizio sensore viene eseguito come LocalService ed esegue la rappresentazione dell'account del servizio directory.

Se i criteri di assegnazione dei diritti utente Accesso come servizio sono configurati per questo controller di dominio, la rappresentazione non riesce a meno che all'account del servizio gestito del gruppo non venga concessa l'autorizzazione Accesso come servizio .

Soluzione 2:

Configurare l'accesso come servizio per gli account del servizio gestito del gruppo quando il criterio di assegnazione dei diritti utente Accedi come servizio è configurato nel controller di dominio interessato. Per altre informazioni, vedere Verificare che l'account del servizio gestito del gruppo disponga dei diritti necessari.

Causa 3

Se il ticket Kerberos del controller di dominio è stato emesso prima dell'aggiunta del controller di dominio al gruppo di sicurezza con le autorizzazioni appropriate, questo gruppo non farà parte del ticket Kerberos. Non è quindi possibile recuperare la password dell'account del servizio gestito del gruppo.

Soluzione 3:

Eseguire una delle operazioni seguenti per risolvere il problema:

  • Riavviare il controller di dominio.

  • Eliminare il ticket Kerberos, forzando il controller di dominio a richiedere un nuovo ticket Kerberos. Da un prompt dei comandi dell'amministratore nel controller di dominio eseguire il comando seguente:

    klist -li 0x3e7 purge

  • Assegnare l'autorizzazione per recuperare la password dell'account del servizio gestito del gruppo a un gruppo di cui il controller di dominio è già membro, ad esempio il gruppo Controller di dominio.

L'accesso alla chiave del Registro di sistema 'Global' viene negato

L'avvio del servizio sensore non riesce e il log del sensore contiene una voce simile alla seguente:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Causa:

L'account del servizio gestito del gruppo configurato per questo controller di dominio o il server AD FS/AD CS non dispone delle autorizzazioni per le chiavi del Registro di sistema del contatore delle prestazioni.

Risoluzione:

Aggiungere l'account del servizio gestito del gruppo Monitor prestazioni Users nel server.

I download dei report non possono contenere più di 300.000 voci

Defender per identità non supporta i download di report contenenti più di 300.000 voci per ogni report. I report vengono visualizzati come incompleti se vengono incluse più di 300.000 voci.

Causa:

Si tratta di una limitazione di progettazione.

Risoluzione:

Nessuna risoluzione nota.

Il sensore non riesce ad enumerare i registri eventi

Se si osserva un numero limitato o mancanza di avvisi degli eventi di sicurezza o attività logiche all'interno della console di Defender per identità, ma non vengono attivati problemi di integrità.

Voci del log dei sensori:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Causa:

Un elenco di Controllo di accesso discrezionale limita l'accesso ai registri eventi necessari dall'account del servizio locale.

Risoluzione:

Assicurarsi che l'elenco DACL (Discretionary Controllo di accesso List) includa la voce seguente (SID del servizio AATPSensor).

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Controllare se l'elenco DACL per il registro eventi di sicurezza è stato configurato da un oggetto Criteri di gruppo:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

Aggiungere la voce precedente al criterio esistente. Eseguire C:\Windows\System32\wevtutil.exe gl security in seguito per verificare che la voce sia stata aggiunta.

I log locali di Defender per identità dovrebbero ora essere visualizzati:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

ApplyInternal non è riuscito in due modi per la connessione SSL al servizio

Se durante l'installazione del sensore viene visualizzato l'errore seguente: ApplyInternal non è riuscito in due modi per la connessione SSL al servizio e il log del sensore contiene una voce simile a:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal ha avuto esito negativo in due modi per la connessione SSL al servizio. Il problema può essere causato da un proxy con l'ispezione SSL abilitata. [_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]'

Causa:

Il problema può essere causato quando i valori del Registro di sistema SystemDefaultTlsVersions o SchUseStrongCrypto non sono impostati sul valore predefinito 1.

Risoluzione:

Verificare che i valori del Registro di sistema SystemDefaultTlsVersions e SchUseStrongCrypto siano impostati su 1:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Problema durante l'installazione del sensore in Windows Server 2019 con KB5009557 installato o in un server con autorizzazioni EventLog con protezione avanzata

L'installazione del sensore potrebbe non riuscire con il messaggio di errore:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Risoluzione:

Esistono due possibili soluzioni alternative per questo problema:

  1. Installare il sensore con PSExec:

    psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
    
  2. Installare il sensore con un'attività pianificata configurata per l'esecuzione come LocalSystem. La sintassi della riga di comando da usare è menzionata nell'installazione invisibile all'utente del sensore defender per identità.

L'installazione del sensore non riesce a causa del client di gestione dei certificati

Se l'installazione del sensore non riesce e il file Microsoft.Tri.Sensor.Deployment.Deployer.log contiene una voce simile alla seguente:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

Causa:

Il problema può essere causato quando un client di gestione certificati come Entrust Entelligence Security Provider (EESP) impedisce all'installazione del sensore di creare un certificato autofirmato nel computer.

Risoluzione:

Disinstallare il client di gestione dei certificati, installare il sensore Defender per identità e quindi reinstallare il client di gestione dei certificati.

Nota

Il certificato autofirmato viene rinnovato ogni 2 anni e il processo di rinnovo automatico potrebbe non riuscire se il client di gestione certificati impedisce la creazione del certificato autofirmato. In questo modo il sensore smette di comunicare con il back-end, che richiederà una reinstallazione del sensore usando la soluzione alternativa indicata in precedenza.

L'installazione del sensore non riesce a causa di problemi di connettività di rete

Se l'installazione del sensore non riesce con un codice di errore di 0x80070643 e il file di log di installazione contiene una voce simile a:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

Causa:

Il problema può essere causato quando il processo di installazione non può accedere ai servizi cloud defender per identità per la registrazione del sensore.

Risoluzione:

Assicurarsi che il sensore possa passare a *.atp.azure.com direttamente o tramite il proxy configurato. Se necessario, impostare le impostazioni del server proxy per l'installazione usando la riga di comando:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Per altre informazioni, vedere Eseguire un'installazione invisibile all'utente con una configurazione proxy e Installare il sensore Microsoft Defender per identità.

Importante

Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Il flusso di autenticazione descritto in questa procedura richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Si consiglia di usare questo flusso solo quando altri flussi più sicuri, come le identità gestite, non sono validi.

Non è stato possibile eseguire il servizio sensore e rimane in stato di avvio

Gli errori seguenti verranno visualizzati nel Registro di sistema nel Visualizzatore eventi:

  • Procedura Open per il servizio ". NETFramework" nella DLL "C:\Windows\system32\mscoree.dll" non è riuscito con codice di errore Accesso negato. I dati sulle prestazioni per questo servizio non saranno disponibili.
  • Impossibile aprire la procedura per il servizio "Lsa" nella DLL "C:\Windows\System32\Secur32.dll" con codice di errore Accesso negato. I dati sulle prestazioni per questo servizio non saranno disponibili.
  • La procedura open per il servizio "WmiApRpl" nella DLL "C:\Windows\system32\wbem\wmiaprpl.dll" non è riuscita con codice di errore "The device is not ready". I dati sulle prestazioni per questo servizio non saranno disponibili.

Il Microsoft.TriSensorError.log conterrà un errore simile al seguente:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

Causa:

NT Service\All Services non hanno il diritto di accedere come servizio.

Risoluzione:

Aggiungere criteri controller di dominio con l'accesso come servizio. Per altre informazioni, vedere Verificare che l'account del servizio gestito del gruppo disponga dei diritti necessari.

L'area di lavoro non è stata creata perché esiste già un gruppo di sicurezza con lo stesso nome in Microsoft Entra ID

Causa:

Il problema può verificarsi quando una licenza dell'area di lavoro di Defender per identità scade e viene eliminata al termine del periodo di conservazione, ma i gruppi di Microsoft Entra non sono stati eliminati.

Risoluzione:

  1. Passare alla portale di Azure ->Microsoft Entra ID ->Groups
  2. Rinominare i tre gruppi seguenti (dove workspaceName è il nome dell'area di lavoro), aggiungendo loro un suffisso " - old":
    • "Azure ATP workspaceName Administrators" -> "Azure ATP workspaceName Administrators - old"
    • "Azure ATP workspaceName Viewer" -> "Azure ATP workspaceName Viewer - old"
    • "Azure ATP workspaceName Users" -> "Azure ATP workspaceName Users - old"
  3. È quindi possibile tornare al portale di Microsoft Defender nella sezione Impostazioni ->Identità per creare la nuova area di lavoro per Defender per identità.

Passaggi successivi