Probleemoplossingsmodus in Microsoft Defender voor Eindpunt in macOS

In dit artikel wordt beschreven hoe u de probleemoplossingsmodus inschakelt in Microsoft Defender voor Eindpunt op macOS, zodat beheerders tijdelijk problemen kunnen oplossen met verschillende Microsoft Defender Antivirus-functies, zelfs als het bedrijfsbeleid de apparaten beheert.

Als de manipulatiebeveiliging bijvoorbeeld is ingeschakeld, kunnen bepaalde instellingen niet worden gewijzigd of uitgeschakeld, maar kunt u de probleemoplossingsmodus op het apparaat gebruiken om deze instellingen tijdelijk te bewerken.

De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). De probleemoplossingsmodus is uitsluitend een functie voor ondernemingen en vereist toegang tot Microsoft Defender portal.

Wat moet u weten voordat u begint

Tijdens de probleemoplossingsmodus kunt u het volgende doen:

• Gebruik Microsoft Defender voor Eindpunt op macOS functionele probleemoplossing/toepassingscompatibiliteit (fout-positieven).

• Lokale beheerders kunnen met de juiste machtigingen de volgende configuraties voor beleid vergrendeld wijzigen op afzonderlijke eindpunten:

  Instelling	Inschakelen	Uitschakelen/verwijderen
  Real-Time-beveiliging/passieve modus/op aanvraag	mdatp config real-time-protection --value enabled	mdatp config real-time-protection --value disabled
  Netwerkbeveiliging	mdatp config network-protection enforcement-level --value block	mdatp config network-protection enforcement-level --value disabled
  realTimeProtectionStatistics	mdatp config real-time-protection-statistics --value enabled	mdatp config real-time-protection-statistics --value disabled
  Tags	mdatp edr tag set --name GROUP --value [name]	mdatp edr tag remove --tag-name [name]
  groupIds	mdatp edr group-ids --group-id [group]
  Eindpunt-DLP	mdatp config data_loss_prevention --value enabled	mdatp config data_loss_prevention --value disabled

Tijdens de probleemoplossingsmodus kunt u het volgende niet doen:

• Schakel manipulatiebeveiliging uit voor Microsoft Defender voor Eindpunt in macOS.
• Verwijder de Microsoft Defender voor Eindpunt in macOS.

Vereisten

• Ondersteunde versie van macOS voor Microsoft Defender voor Eindpunt.
• Microsoft Defender voor Eindpunt moet door de tenant zijn ingeschreven en actief zijn op het apparaat.
• Machtigingen voor 'Beveiligingsinstellingen beheren in Security Center' in Microsoft Defender voor Eindpunt.
• Platformupdateversie: 101.23122.0005 of hoger.

Probleemoplossingsmodus inschakelen in macOS

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Navigeer naar de apparaatpagina waarop u de probleemoplossingsmodus wilt inschakelen. Selecteer vervolgens het beletselteken(...) en selecteer De probleemoplossingsmodus inschakelen.

   

   Opmerking

   De optie Probleemoplossingsmodus inschakelen is beschikbaar op alle apparaten, zelfs als het apparaat niet voldoet aan de vereisten voor de probleemoplossingsmodus. Zie de sectie Problemen met de probleemoplossingsmodus verderop in dit artikel voor meer informatie.

3. Lees de informatie die in het deelvenster wordt weergegeven en als u klaar bent, selecteert u Verzenden om te bevestigen dat u de probleemoplossingsmodus voor dat apparaat wilt inschakelen.

4. U ziet dat het enkele minuten kan duren voordat de wijziging de tekst van kracht heeft . Wanneer u in deze periode het beletselteken opnieuw selecteert, ziet u dat de optie Probleemoplossingsmodus inschakelen in behandeling is grijs weergegeven.

5. Zodra dit is voltooid, wordt op de apparaatpagina weergegeven dat het apparaat zich nu in de probleemoplossingsmodus bevindt.

   Als de eindgebruiker is aangemeld op het macOS-apparaat, ziet deze de volgende tekst:

   De probleemoplossingsmodus is gestart. Met deze modus kunt u instellingen die worden beheerd door uw beheerder tijdelijk wijzigen. Verloopt op YEAR-MM-DDTHH:MM:SSZ.

   Selecteer OK.

6. Zodra dit is ingeschakeld, kunt u de verschillende opdrachtregelopties testen die in de probleemoplossingsmodus (TS-modus) kunnen worden ingeschakeld.

   Wanneer u bijvoorbeeld de opdracht gebruikt mdatp config real-time-protection --value disabled om realtime-beveiliging uit te schakelen, wordt u gevraagd uw wachtwoord in te voeren. Selecteer OK nadat u uw wachtwoord hebt ingevoerd.

   

   Het uitvoerrapport dat lijkt op de volgende schermopname, wordt weergegeven bij het uitvoeren van de mdatp-status met real_time_protection_enabled als 'false' en tamper_protection als 'block'.

   

Geavanceerde opsporingsquery's voor detectie

Er zijn enkele vooraf gemaakte geavanceerde opsporingsquery's om u inzicht te geven in de probleemoplossingsgebeurtenissen die zich in uw omgeving voordoen. U kunt deze query's gebruiken om detectieregels te maken om waarschuwingen te genereren wanneer apparaten zich in de probleemoplossingsmodus bevinden.

Probleemoplossingsgebeurtenissen voor een bepaald apparaat ophalen

U kunt de volgende query gebruiken om te zoeken deviceId op of deviceName door de betreffende regels uit te voeren.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Apparaten die zich momenteel in de probleemoplossingsmodus bevinden

U kunt de apparaten vinden die zich momenteel in de probleemoplossingsmodus bevinden met behulp van de volgende query:

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Aantal exemplaren van de probleemoplossingsmodus per apparaat

U kunt het aantal exemplaren van de probleemoplossingsmodus voor een apparaat vinden met behulp van de volgende query:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Totaal aantal

U kunt het totale aantal exemplaren van de probleemoplossingsmodus kennen met behulp van de volgende query:

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Problemen met de probleemoplossingsmodus

Als u de probleemoplossingsmodus niet kunt inschakelen, voert u de volgende stappen voor probleemoplossing uit op de doel-Mac:

• Controleer de versie van de app door de volgende opdrachten uit te voeren:

  mdatp health --field app_version
  
  mdatp health --field edr_client_version
  

  Zoals eerder vermeld, hebt u platformupdateversie nodig: 101.23122.0005 of hoger.

• Controleer of het apparaat is ingeschreven en actief is door de volgende opdrachten uit te voeren:

  mdatp health --field edr_machine_id
  
  mdatp connectivity test
  

  Op alle eindpunten moet [OK] worden weergegeven.

• Controleer de configuratiebron door de volgende opdracht uit te voeren:

  mdatp health --field managed_by
  

  MDE geeft aan Microsoft Defender voor Eindpunt Bijvoegen en heeft prioriteit. MEM geeft Microsoft Intune of Apple Jamf aan.

• Valideer de vereiste profielpaden:

  • /Library/Preferences/com.microsoft.mdeattach.plist
  • /Library/Managed Preferences/com.microsoft.wdav*.plist

Als u logboekregistratie wilt verhogen en diagnostische gegevens wilt verzamelen, voert u de volgende opdrachten uit en probeert u de probleemoplossingsmodus opnieuw in te schakelen:

sudo mdatp log level set --level debug

sudo mdatp diagnostic create

sudo mdatp log level set --level info

Aanbevolen inhoud

• Microsoft Defender XDR voor eindpunt op Mac
• Microsoft Defender XDR voor eindpuntintegratie met Microsoft Defender XDR for Cloud Apps
• Maak kennis met de innovatieve functies in Microsoft Edge
• Beveilig uw netwerk
• Netwerkbeveiliging inschakelen
• Webbeveiliging
• Indicatoren maken
• Filteren van webinhoud