Åtgärda sensorer med feltillstånd i Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Enheter kan kategoriseras som felkonfigurerade eller inaktiva flaggas av olika skäl. Den här artikeln innehåller information om varför en enhet kan kategoriseras som inaktiv eller felkonfigurerad.
Inaktiva enheter
En inaktiv enhet flaggas inte nödvändigtvis på grund av ett problem. Följande åtgärder som vidtas på en enhet kan göra att en enhet kategoriseras som inaktiv:
- Enheten används inte
- Enheten har installerats om eller bytt namn
- Enheten var inte ansluten
- Enheten skickar inte signaler
Enheten används inte
Alla enheter som inte används på mer än sju dagar behåller statusen "Inaktiv" i portalen.
Enheten har installerats om eller bytt namn
En ny enhetsentitet genereras i Microsoft Defender XDR för ominstallerade eller omdöpta enheter. Den tidigare enhetsentiteten finns kvar med statusen "Inaktiv" i portalen. Om du har installerat om en enhet och distribuerat Defender för Endpoint-paketet söker du efter det nya enhetsnamnet för att kontrollera att enheten rapporterar normalt.
Enheten var inte ansluten
Om enheten var okortad visas den fortfarande i enhetslistan. Efter sju dagar bör enhetens hälsotillstånd ändras till inaktivt.
Enheten skickar inte signaler
Om enheten av någon anledning inte skickar några signaler till någon Microsoft Defender för Endpoint kanaler i mer än sju dagar kan en enhet betraktas som inaktiv. Felkonfigurerade enheter kan också betraktas som inaktiva.
Felkonfigurerade enheter
Felkonfigurerade enheter kan ytterligare klassificeras till:
- Nedsatt kommunikation
- Inga sensordata
Nedsatt kommunikation
Den här statusen anger att kommunikationen mellan enheten och tjänsten är begränsad.
Följande föreslagna åtgärder kan hjälpa dig att åtgärda problem som rör en felkonfigurerad enhet med nedsatt kommunikation:
Kontrollera att enheten har Internetanslutning. Den Microsoft Defender för Endpoint sensorn kräver att Microsoft Windows HTTP (WinHTTP) rapporterar sensordata och kommunicerar med Microsoft Defender för Endpoint-tjänsten.
Verifiera klientanslutningen till Microsoft Defender för Endpoint-tjänst-URL:er. Kontrollera att proxykonfigurationen har slutförts, att WinHTTP kan identifiera och kommunicera via proxyservern i din miljö och att proxyservern tillåter trafik till Microsoft Defender för Endpoint-tjänstens URL:er.
Om du vidtog korrigerande åtgärder och enhetsstatusen fortfarande är felkonfigurerad öppnar du ett supportärende.
Inga sensordata
En felkonfigurerad enhet med statusen "Inga sensordata" har kommunikation med tjänsten men kan bara rapportera partiella sensordata.
Följ dessa åtgärder för att åtgärda kända problem som rör en felkonfigurerad enhet med statusen "Inga sensordata":
Kontrollera att enheten har Internetanslutning. Den Microsoft Defender för Endpoint sensorn kräver att Microsoft Windows HTTP (WinHTTP) rapporterar sensordata och kommunicerar med Microsoft Defender för Endpoint-tjänsten.
Verifiera klientanslutningen till Microsoft Defender för Endpoint-tjänst-URL:er. Kontrollera att proxykonfigurationen har slutförts, att WinHTTP kan identifiera och kommunicera via proxyservern i din miljö och att proxyservern tillåter trafik till Microsoft Defender för Endpoint-tjänstens URL:er.
Kontrollera att diagnostikdatatjänsten är aktiverad. Om enheterna inte rapporterar korrekt bör du kontrollera att Windows-diagnostikdatatjänsten är inställd på att starta automatiskt. Kontrollera också att windows-diagnostikdatatjänsten körs på slutpunkten.
Kontrollera att Microsoft Defender Antivirus inte är inaktiverat av principen. Om dina enheter kör en klient mot skadlig kod från tredje part kräver Defender för Endpoint-agenten att drivrutinen Microsoft Defender Antivirus Early Launch anti-malware (ELAM) är aktiverad.
För macOS-enheter som ligger i viloläge i mer än cirka 48 timmar (en helg) skickar Microsoft Defender för Endpoint på macOS fortfarande kommando- och kontrollkanaldata (CnC), men skickar inga Cyber channel-data. När enheterna är aktiverade och används den första arbetsdagen visas enheterna som aktiva.
Om du vidtog korrigerande åtgärder och enhetsstatusen fortfarande är felkonfigurerad öppnar du ett supportärende.
Se även
- Kontrollera sensorhälsotillståndet i Microsoft Defender för Endpoint
- Client analyzer översikt
- Ladda ned och kör client analyzer
- Kör client analyzer i Windows
- Kör client analyzer på macOS eller Linux
- Data-samling för avancerad felsökning i Windows
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.