Introduzione alla modalità di risoluzione dei problemi in Microsoft Defender per endpoint

2025-05-02

Si applica a:

La modalità di risoluzione dei problemi in Microsoft Defender per endpoint consente agli amministratori di risolvere i problemi relativi a varie funzionalità antivirus Microsoft Defender, anche se i dispositivi sono gestiti da criteri dell'organizzazione. Ad esempio, se la protezione da manomissione è abilitata, alcune impostazioni non possono essere modificate o disattivate, ma è possibile usare la modalità di risoluzione dei problemi in un dispositivo per modificare temporaneamente tali impostazioni.

La modalità di risoluzione dei problemi è disabilitata per impostazione predefinita e richiede l'attivazione per un dispositivo (e/o un gruppo di dispositivi) per un periodo di tempo limitato. La modalità di risoluzione dei problemi è esclusivamente una funzionalità solo aziendale e richiede Microsoft Defender accesso al portale.

Questo articolo descrive la modalità di risoluzione dei problemi per i dispositivi Windows. Per informazioni sulla modalità di risoluzione dei problemi in Mac, vedere Modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS.

Consiglio

Durante la modalità di risoluzione dei problemi, è possibile usare il comando Set-MPPreference -DisableTamperProtection $true PowerShell nei dispositivi Windows.
Per controllare lo stato di protezione dalle manomissioni, è possibile usare il cmdlet Di PowerShell Get-MpComputerStatus . Nell'elenco dei risultati cercare IsTamperProtected o RealTimeProtectionEnabled. Il valore true indica che la protezione da manomissione è abilitata.
Per i dispositivi Mac, vedere Modalità di risoluzione dei problemi in Microsoft Defender per endpoint in macOS.

Che cosa è necessario sapere prima di iniziare?

Durante la modalità di risoluzione dei problemi, è possibile usare il comando Set-MPPreference -DisableTamperProtection $true di PowerShell o, nei sistemi operativi client, l'app Centro sicurezza per disabilitare temporaneamente la protezione da manomissioni nel dispositivo e apportare le modifiche di configurazione necessarie.

È possibile usare la modalità di risoluzione dei problemi per risolvere o controllare la compatibilità delle applicazioni con Microsoft Defender Antivirus, ad esempio quando si verificano falsi positivi con blocchi di applicazioni.

Con le autorizzazioni appropriate, gli amministratori locali possono modificare la configurazione nei singoli dispositivi in genere bloccati dai criteri. La presenza di un dispositivo in modalità di risoluzione dei problemi può essere utile per diagnosticare Microsoft Defender scenari di compatibilità e prestazioni antivirus. Gli amministratori locali non possono disattivare Microsoft Defender Antivirus o disinstallarlo. Gli amministratori locali possono configurare tutte le altre impostazioni di sicurezza nella suite antivirus Microsoft Defender (ad esempio, protezione dal cloud, protezione da manomissioni).

Gli amministratori devono disporre delle autorizzazioni "Gestisci impostazioni di sicurezza" per attivare la modalità di risoluzione dei problemi.

Defender per endpoint raccoglie i log e i dati di indagine durante il processo di risoluzione dei problemi.

Viene creato uno snapshot di prima dell'avvio della MpPreference modalità di risoluzione dei problemi.
Un secondo snapshot viene creato poco prima della scadenza della modalità di risoluzione dei problemi.
Vengono raccolti anche i log operativi da durante la modalità di risoluzione dei problemi.
I log e gli snapshot vengono raccolti e sono disponibili per la raccolta da parte di un amministratore tramite la funzionalità Raccolta pacchetti di analisi nella pagina del dispositivo. Microsoft non rimuove questi dati dal dispositivo fino a quando un amministratore non lo ha raccolto.

Gli amministratori possono anche esaminare le modifiche apportate alle impostazioni che si verificano durante la modalità di risoluzione dei problemi in Visualizzatore eventi nel dispositivo stesso.

Aprire Visualizzatore eventi, quindi espandere Registri> applicazioni e serviziMicrosoft>Windows>Defender e quindi selezionare Operativo.
I potenziali eventi possono includere eventi con ID 5000, 5001, 5004, 5007 e altri. Per altri dettagli, vedere Esaminare i log eventi e i codici di errore per risolvere i problemi relativi a Microsoft Defender Antivirus.

La modalità di risoluzione dei problemi si disattiva automaticamente dopo aver raggiunto l'ora di scadenza (dura 4 ore). Quando la modalità di risoluzione dei problemi è scaduta, tutte le configurazioni gestite da criteri diventano di nuovo di sola lettura e ripristinano la modalità di configurazione del dispositivo prima di abilitare la modalità di risoluzione dei problemi.

Possono essere necessari fino a 15 minuti dal momento in cui il comando viene inviato da Microsoft Defender XDR a quando diventa attivo nel dispositivo.

Le notifiche vengono inviate all'utente all'avvio della modalità di risoluzione dei problemi e alla fine della modalità di risoluzione dei problemi. Viene inoltre inviato un avviso per indicare che la modalità di risoluzione dei problemi sta terminando a breve. L'inizio e la fine della modalità di risoluzione dei problemi sono identificati anche nel portale di Microsoft Defender, nella sequenza temporale del dispositivo nella pagina del dispositivo.

È possibile eseguire query su tutti gli eventi della modalità di risoluzione dei problemi nella ricerca avanzata.

Nota

Le modifiche alla gestione dei criteri vengono applicate al dispositivo quando è attivamente in modalità di risoluzione dei problemi. Tuttavia, le modifiche non diventano effettive fino alla scadenza della modalità di risoluzione dei problemi. Inoltre, Microsoft Defender gli aggiornamenti della piattaforma antivirus non vengono applicati durante la modalità di risoluzione dei problemi. Gli aggiornamenti della piattaforma vengono applicati quando la modalità di risoluzione dei problemi termina con un aggiornamento di Windows.

Prerequisiti

I dispositivi devono eseguire un sistema operativo supportato.

Windows 10 (versione 19044.1618 o successiva), Windows 11, Windows Server 2019, Windows Server 2022 o Windows Server 2025.

Semestre/Redstone	Versione sistema operativo	Rilascio
21H2/SV1	`22000.593` o versioni successive	KB5011563: Microsoft Update Catalog
20H1/20H2/21H1	`19042.1620` o versioni successive `19041.1620` o versioni successive `19043.1620` o versioni successive	KB5011543: Microsoft Update Catalog
Windows Server 2022 o versione successiva	`20348.617` o versioni successive	KB5011558: Microsoft Update Catalog
Windows Server 2019 (RS5)	`17763.2746` o versioni successive	KB5011551: Microsoft Update Catalog

Windows Server 2012 R2 e Windows Server 2016 usando la soluzione unificata moderna, con tutti i componenti seguenti aggiornati:

Componente	Versione	Rilascio
Versione sense	`10.8049.22439.1084` o versioni successive	KB5005292: Microsoft Update Catalog
Antivirus Microsoft Defender	Piattaforma: `4.18.2207.7` o versione successiva	KB4052623: Microsoft Update Catalog
Antivirus Microsoft Defender	Motore: `1.1.19500.2` o versione successiva	KB2267602: Microsoft Update Catalog

Defender per endpoint deve essere registrato dal tenant e attivo nel dispositivo.
I dispositivi devono eseguire attivamente Microsoft Defender Antivirus, versione 4.18.2203 or later.
Per i dispositivi macOS, vedere Prerequisiti per la modalità di risoluzione dei problemi in Mac.

Abilitare la modalità di risoluzione dei problemi

Passare al portale di Microsoft Defender e accedere.
Passare alla pagina del dispositivo/computer per il dispositivo che si vuole attivare la modalità di risoluzione dei problemi. Selezionare Attiva modalità di risoluzione dei problemi. È necessario disporre delle autorizzazioni "Gestisci impostazioni di sicurezza nel Centro sicurezza" per Microsoft Defender per endpoint.

Nota

L'opzione Attiva modalità di risoluzione dei problemi è disponibile in tutti i dispositivi, anche se il dispositivo non soddisfa i prerequisiti per la modalità di risoluzione dei problemi.
Verificare di voler attivare la modalità di risoluzione dei problemi per il dispositivo.
La pagina del dispositivo mostra che il dispositivo è ora in modalità di risoluzione dei problemi.

Query di ricerca avanzate

Ecco alcune query di ricerca avanzate predefinite per offrire visibilità sugli eventi di risoluzione dei problemi che si verificano nell'ambiente. È anche possibile usare queste query per creare regole di rilevamento per generare avvisi quando i dispositivi sono in modalità di risoluzione dei problemi.

Ottenere gli eventi di risoluzione dei problemi per un dispositivo specifico

Eseguire la ricerca in base a deviceId o deviceName commentando le rispettive righe.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivi attualmente in modalità di risoluzione dei problemi

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Numero di istanze della modalità di risoluzione dei problemi per dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Conteggio totale

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.