Correggere i sensori non integri in Microsoft Defender per endpoint

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

I dispositivi possono essere categorizzati come non configurati correttamente o inattivi per motivi diversi. Questo articolo fornisce informazioni sul motivo per cui un dispositivo potrebbe essere classificato come inattivo o non configurato correttamente.

Dispositivi inattivi

Un dispositivo inattivo non è necessariamente contrassegnato a causa di un problema. Le azioni seguenti eseguite in un dispositivo possono causare la categorizzazione di un dispositivo come inattivo:

• Il dispositivo non è in uso
• Il dispositivo è stato reinstallato o rinominato
• Il dispositivo è stato disattivato
• Il dispositivo non invia segnali

Il dispositivo non è in uso

Qualsiasi dispositivo che non è in uso per più di sette giorni mantiene lo stato "Inattivo" nel portale.

Il dispositivo è stato reinstallato o rinominato

Viene generata una nuova entità dispositivo in Microsoft Defender XDR per i dispositivi reinstallati o rinominati. L'entità del dispositivo precedente rimane, con uno stato "Inattivo" nel portale. Se è stato reinstallato un dispositivo e distribuito il pacchetto Defender per endpoint, cercare il nuovo nome del dispositivo per verificare che il dispositivo stia segnalando normalmente.

Il dispositivo è stato disattivato

Se il dispositivo è stato disattivato, viene comunque visualizzato nell'elenco dei dispositivi. Dopo sette giorni, lo stato di integrità del dispositivo deve cambiare in inattivo.

Il dispositivo non invia segnali

Se il dispositivo non invia segnali a nessun canale Microsoft Defender per endpoint per più di sette giorni per qualsiasi motivo, un dispositivo può essere considerato inattivo. Anche i dispositivi non configurati correttamente possono essere considerati inattivi.

Dispositivi non configurati correttamente

I dispositivi non configurati correttamente possono essere ulteriormente classificati in:

• Comunicazioni compromesse
• Nessun dato del sensore

Comunicazioni compromesse

Questo stato indica che la comunicazione tra il dispositivo e il servizio è limitata.

Le azioni suggerite seguenti consentono di risolvere i problemi relativi a un dispositivo non configurato correttamente con comunicazioni con problemi:

• Assicurarsi che il dispositivo disponga di una connessione Internet. Il sensore Microsoft Defender per endpoint richiede che Microsoft Windows HTTP (WinHTTP) segnali dati dei sensori e comunichi con il servizio Microsoft Defender per endpoint.

• Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint. Verificare che la configurazione del proxy sia stata completata correttamente, che WinHTTP possa individuare e comunicare tramite il server proxy nell'ambiente e che il server proxy consenta il traffico verso gli URL del servizio Microsoft Defender per endpoint.

Se sono state eseguite azioni correttive e lo stato del dispositivo non è ancora configurato correttamente, aprire un ticket di supporto.

Nessun dato del sensore

Un dispositivo non configurato correttamente con stato "Nessun dato del sensore" ha comunicazioni con il servizio, ma può segnalare solo dati parziali del sensore.

Seguire queste azioni per correggere i problemi noti relativi a un dispositivo non configurato correttamente con stato "Nessun dato del sensore":

• Assicurarsi che il dispositivo disponga di una connessione Internet. Il sensore Microsoft Defender per endpoint richiede che Microsoft Windows HTTP (WinHTTP) segnali dati dei sensori e comunichi con il servizio Microsoft Defender per endpoint.

• Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint. Verificare che la configurazione del proxy sia stata completata correttamente, che WinHTTP possa individuare e comunicare tramite il server proxy nell'ambiente e che il server proxy consenta il traffico verso gli URL del servizio Microsoft Defender per endpoint.

• Verificare che il servizio dati di diagnostica sia abilitato. Se i dispositivi non segnalano correttamente, è necessario verificare che il servizio dati di diagnostica di Windows sia impostato per l'avvio automatico. Verificare anche che il servizio dati di diagnostica di Windows sia in esecuzione nell'endpoint.

• Assicurarsi che Microsoft Defender Antivirus non sia disabilitato dai criteri. Se i dispositivi eseguono un client antimalware di terze parti, l'agente di Defender per endpoint richiede l'abilitazione del driver antimalware (ELAM) Microsoft Defender Antivirus Early Launch.

• Per i dispositivi macOS in sospensione per più di circa 48 ore (un fine settimana), Microsoft Defender per endpoint in macOS invia comunque i dati del canale CnC (Command and Control), ma non invia dati del canale Cyber. Dopo l'attivazione e l'uso dei dispositivi nel primo giorno lavorativo, i dispositivi verranno visualizzati come attivi.

Se sono state eseguite azioni correttive e lo stato del dispositivo non è ancora configurato correttamente, aprire un ticket di supporto.

Vedere anche

• Controllare lo stato di integrità del sensore in Microsoft Defender per endpoint
• Panoramica dell'analizzatore client
• Scaricare ed eseguire l'analizzatore client
• Eseguire l'analizzatore client in Windows
• Eseguire l'analizzatore client in macOS o Linux
• Raccolta di dati per la risoluzione avanzata dei problemi in Windows

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.