故障排除提示

• 前提条件
• 必须安装 Microsoft .NET 版本 4 和 PowerShell 版本 5.1。
• 无法连接到 Microsoft 365。请检查您的互联网连接。
• 数据库备份失败。
• 不受信任的证书提供者。
• 由于磁盘空间不足（<1 GB），Elasticsearch 已切换为只读模式。请释放一些空间。
• 启用对在 M365 Security Plus 中配置的 Azure AD 应用的访问
• 服务帐户被禁用了远程 PowerShell
• 报告生成和租户配置
• 租户配置错误
• 测试与您的 Microsoft 365 环境的连接。
• 仪表板图表为空
• 访问被拒绝
• 无效帐户
• 密码已过期
• 登录失败
• 打开会话失败/连接错误
• 权限被拒绝
• 身份验证错误
• 操作已停止
• 必须启用统一审核日志才能获取数据
• 审核报告不完整
• 用户报告或邮箱报告不完整
• 此报告的数据当前正在后台生成。
• 缺少 Azure AD 应用范围或权限。
• 频繁弹出 Microsoft 凭据提示。
• 用于运行此操作的服务帐户在指定租户中不再可用
• 其他错误
• 由于无效的私钥，无法更新 Entra 应用
• 此服务帐户由于条件访问策略的限制，无法用于获取数据
• 由于产品文件被阻止，无法建立 Exchange Online 连接
• 创建客户端密钥被租户范围策略阻止。请联系您的租户管理员获取更多信息。
• 监控
• 数据生成失败
• 技术员登录
• 此 Microsoft 365 帐户已被封锁
• 您必须更改 Microsoft 365 帐户密码后才能登录
• 需要 REST API 认证
• 发生意外错误。
• 访问被拒绝
• 应用中未找到重定向 URI。
• 产品中不能使用具有相同 UPN 的多个技术员。请联系产品管理员解决该问题。
• AD 域无法访问进行身份验证。请联系产品管理员。
• 由于域配置过时或无效，身份验证失败。请联系产品管理员。
• 身份验证失败。用于域配置的帐户权限不足，无法验证 AD 凭据。请联系产品管理员。
• 高可用性
• 无法保存更改。
• AD 域配置
• 当我手动添加域时，域控制器（DC）未被解析。为什么？
• 当我添加 DC 时，出现错误提示“服务器不可用/无法连接到域控制器”？
• 当我添加 DC 时，出现错误提示“无法获取域 DNS / FLAT 名称。”这是什么意思？
• 产品配置
• Elasticsearch 已停止
• Microsoft SQL 事务日志已满
• 磁盘空间不足，无法更新到版本 4800。
• 备份错误
• 远程服务器返回错误- (401) 未授权。
• 请求失败，HTTP 状态为 403。
• 不支持产品的 32 位安装进行备份。

• 必须安装 Microsoft .NET 版本 4.8 和 PowerShell 版本 5.1。

Microsoft .NET 版本 4.8 随 Windows 10 2019 年 5 月更新（版本 1903）或 Windows Server 2022 预装。如果您在低于这些版本的系统上安装产品，请确保已安装 Microsoft .NET 版本 4.8 和 PowerShell 版本 5.1。

1. 要检查是否安装了 Microsoft .NET Framework，请打开 命令提示符 从 运行. 输入以下命令：

   reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\full" /v version

   检查显示的版本。如果版本低于 4.8，请从 这里.

2. 安装 Microsoft .NET Framework 版本 4.8。 要检查是否安装了 PowerShell，请输入 从 运行PowerShell

   . 如果已安装 PowerShell，请通过运行以下命令检查其版本号：

   $PSVersionTable 这里.

• 如果版本低于 5.1 或未安装 PowerShell，请从

如果版本低于 5.1 或未安装 PowerShell，请从

安装 PowerShell 版本 5.1。

1. 必须安装 Azure 模块才能执行此操作。请重新启动产品。

2. 必须安装 Azure Active Directory 模块才能生成报告和执行 Azure AD 管理操作。

3. 配置 M365 Security Plus 时会自动安装 Azure AD。

• 要检查是否安装了此模块，请打开 PowerShell 并输入 get-module -Name

1. AzureAD。若已安装，将列出该模块。

2. 即使模块未安装，也请重新启动产品。 网络连接！请检查您的互联网连接。 产品需要活动的互联网连接以进行交互并正常运行。请确保您的互联网连接处于活动和稳定状态。

• 数据库备份失败。

为允许产品与 Microsoft 365 交互，请将以下

端口

1. 和 URL
• 加入您的防火墙允许连接互联网列表。否则将导致某些功能无法正常工作。
2. PostgreSQL
• 备份失败可能由以下原因之一导致。 备份文件大小超过可用空闲空间。 清理产品安装目录中的空间后重试。
3. 用户登录账户没有备份文件夹的写权限
• 授予用户登录账户对
• <product_installation_directory>/Patch/backupDB
• 文件夹的写权限。
• 数据库已关闭。
• 打包的 PostgreSQL 用户，
• 导航到 <product_installation_directory>\bin 文件夹
• 以管理员身份启动命令提示符
• 执行命令 startDB.bat 启动数据库。
• 外部 PostgreSQL 用户，
• 使用 Winkey + R 打开运行窗口
• 输入 services.msc
• 根据安装版本找到 PostgreSQL 服务。
• 右键点击选择启动。
4. 如果未列出外部 PostgreSQL
• 打开命令提示符 导航到 <postgres_installation_directory>\bin 执行 pg_ctl -D "<postgres_installation_directory>\data" start
• <product_installation_directory>\pgsql\bin 文件夹中缺少 pg_dump.exe 文件。

请从 此页面.

根据您的 PostgreSQL 版本下载该文件。要查找 PostgreSQL 版本，请在 <product_installation_directory>\pgsql 文件夹中运行以下命令。

端口

1. 和 URL
• postgres -V
2. PostgreSQL
• 备份失败可能由以下原因之一导致。
  如果问题仍然存在，请联系
  support@m365managerplus.com
3. MSSQL
• 清理产品安装目录和 MSSQL 安装目录中的空间后重试。
4. 用户登录账户没有备份文件夹的写权限
• - <product_installation_directory>/Patch/backupDB 文件夹。
• - <MSSQL_SERVER_installation_directory>/MSSQL/Backup 文件夹。
• 数据库版本不兼容。
• M365 Security Plus 支持 MSSQL 2008 及以上版本。请迁移到兼容的数据库版本。

请从 此页面.

• 启动数据库，

确保在 SQL Server 配置管理器中将 TCP/IP 端口设置为静态。

• 确保 SQL Server 浏览器已启用并运行。
• 以管理员身份打开命令提示符。
• 运行以下命令

  keytool.exe -import -trustcacerts -alias "certAlias" -file "certPath" -keystore

• certAlias - 您选择的名称。
• certPath - 证书的路径。
• 系统将提示您输入密码。默认密码是 changeit输入密码并按回车键。
• 重启产品。

• 由于磁盘空间不足（<1 GB），Elasticsearch 已切换为只读模式。请释放一些空间。

Elasticsearch 是一个分布式搜索引擎，帮助近实时分析海量数据。与传统技术不同，Elasticsearch 速度极快，减少报告生成时间，加快威胁检测等。在 M365 Security Plus 中，我们在以下模块使用 Elasticsearch，

• 报告
• 审计
• 警报
• 内容搜索

建议：

建议 Elasticsearch 至少保留 1 GB 的可用硬盘空间以有效运行。如果磁盘空间不足，Elasticsearch 会切换为只读模式，期间从本地收集的数据将不会被存储在引擎中。要启用 Elasticsearch 写入，

1. 释放硬盘空间以维持建议阈值。
2. 重启产品。

• 启用对在 M365 Security Plus 中配置的 Azure AD 应用的访问

M365 Security Plus 使用 Azure AD 中的应用程序获取数据用于报告生成和其他任务。当管理员禁用对这些应用的访问时，报告生成将失败。此时，用户将遇到此错误。

要解决此错误，必须为所有用户启用应用程序访问权限。

注意：只有管理员或具有适当权限的用户才可启用访问权限。

启用应用程序访问权限的方法：

• 登录到 Azure.
• 从左侧栏选择 Enterprise Applications.
• 从 Application 类型下拉菜单中，选择 All Applications.
• 查找并选择 为 M365 Security Plus 创建的 应用程序。
• 从左侧栏选择 Properties 切换至
• 是 ，对应 “Enable users to sign-in?” 如果您的服务账户被禁用远程 PowerShell 执行权限，请以管理员身份在 PowerShell 中运行以下命令启用：

服务帐户被禁用了远程 PowerShell

Set-User -Identity <service account> -RemotePowerShellEnabled $true

如果租户配置不完整，您将看到以下情况之一。

• 租户配置错误

租户设置中的 REST API Access 列显示“Enable Now”

• 原因

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 解决方案

请按照

• 本文档 中的步骤启用带有所需权限的 REST API 访问。 租户设置中的 REST API Access 列显示“Update Permissions”
• 如果 M365 Security Plus 需要额外权限才能支持新增功能，将显示上述错误。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 以授予所需的 REST API 访问权限。

请按照

• 本文档 中的步骤启用带有所需权限的 REST API 访问。 1. 租户设置中的 Service Account 列显示“Configure”。
• 2. 租户设置中的 Status 列显示“Failed to create a service account”或“Service account is not configured”。
  以上错误之一表示服务账户创建失败。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 请按照以下步骤解决此问题。

请按照

• 创建一个
• Microsoft 365 服务账户 并赋予以下角色：Exchange Admin、Global Reader、Privileged Authentication Admin、Privileged Role Admin、Teams Service Admin 和 User Admin。
• 在 M365 Security Plus 中，点击 Service Account 列下的配置选项。
• 输入您创建的服务账户凭据。
• 点击更新。
• 租户设置中的 Status 列显示“Azure AD Secret Key is invalid”。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 如果应用程序密钥无效或已过期，将显示上述错误。

请按照

• 查看 中的步骤启用带有所需权限的 REST API 访问。 如何获取您的 Azure AD 应用程序密钥。
• 在产品的租户设置中更新密钥。

• 测试您的 Microsoft 365 连接性

1. 要使用 PowerShell 测试 Microsoft 365 环境的连接性，请按照以下步骤操作。 这里.

• 仪表板图表为空

1. 确认与图表对应的报告在指定天数内可以正常生成。

2. 如果报告无法生成，请根据错误原因参考故障排除提示。

3. 如果报告可生成但仪表板图表未反映对应数值，请联系 m365securityplus-support@manageengine.com .

• 访问被拒绝

1. 确认已输入正确的用户名和密码。

2. 检查用户账户是否被阻止。要检查账户是否被阻止，按照下列步骤操作。 这里.

3. 检查服务账户是否已分配所需角色。 点击此处 查看所需角色列表。

4. 运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

• 以管理员身份打开 PowerShell。
• 运行命令 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope.
• 运行以下脚本：
  <install-dir>/bin/Microsoft365Troubleshoot.ps1

注意： <install-dir> 指您安装 M365 Security Plus 应用程序的目录。

• 输入配置好的 Microsoft 365 账号的用户名和密码。
• 如果 Exchange 会话 返回值为 错误发生，则配置的账户存在问题。
  • 如果在配置 Microsoft 365 租户时出现问题，尝试使用专用服务账户配置 M365 Security Plus，具体步骤参见 这里.
  • 。 m365securityplus-support@manageengine.com 如果在其他阶段出现问题，请将错误截图发送至

• 无效账户

1. 确认已输入正确的用户名和密码。

2. 运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

• 以管理员身份打开 PowerShell。
• 运行命令 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope.
• 运行以下脚本：
  <install-dir>/bin/Microsoft365Troubleshoot.ps1

注意： <install-dir> 指您安装 M365 Security Plus 应用程序的目录。

• 输入配置好的 Microsoft 365 账号的用户名和密码。

• 密码已过期

1. 请检查是否能使用该用户账户登录 Microsoft 365 重置账户密码后重试。

2. 登录失败

• 使用用户

1. 请检查是否能使用该用户账户登录 Microsoft 365 检查用户账户是否被阻止。要检查租户是否被阻止，请按照下列步骤操作。

2. 会话打开失败／连接错误 这里.

• 当无法成功打开 PSSession 时，将出现该错误。

1. <install-dir>/bin/M365SecurityPlusTroubleshoot.ps1

2. 运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

• 以管理员身份打开 PowerShell。
• 运行命令 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope.
• 运行以下脚本：
  如果在其他阶段出现问题，错误可能是临时的，请稍后重试。如问题持续，请联系

注意： <install-dir> 指您安装 M365 Security Plus 应用程序的目录。

• 输入配置好的 Microsoft 365 账号的用户名和密码。
• 如果 Exchange 会话 返回值为 错误发生，则配置的账户存在问题。
  • 如果在配置 Microsoft 365 租户时出现问题，尝试使用专用服务账户配置 M365 Security Plus，具体步骤参见 这里.
  • 权限被拒绝 m365securityplus-support@manageengine.com .

• Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope

1. 运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

2. 以管理员身份打开 PowerShell。
3. 运行命令 <install-dir>/bin/M365SecurityPlus.
4. 运行以下脚本：
   <install-dir> 指您安装 M365 Security Plus 应用程序的目录。

注意： ，账户配置存在问题。

5. 输入配置好的 Microsoft 365 账号的用户名和密码。
6. 如果 Exchange 会话 返回值为 错误发生如果在配置 Microsoft 365 租户时出现问题，尝试使用专用服务账户配置 M365 Security Plus，具体步骤参见
   • 。 这里.
   • 。 m365securityplus-support@manageengine.com 并附上错误截图。

• 身份验证错误

1. 确认已输入正确的用户名和密码。

2. Microsoft 365 认证系统可能运行异常，请稍后重试。

• 操作已停止

1. MSOnline 模块可能存在兼容性问题。
   • 运行以下脚本检查模块版本：
     (Get-Item
   • 如果版本高于建议版本，请卸载模块并使用以下命令安装兼容版本。
     1. 以管理员身份打开 PowerShell。
     2. 使用以下命令安装 MSOnline 模块：
        • Install-Module -Name MSOnline -Force
   • 如果版本符合建议，尝试重新安装模块。
2. Microsoft Online Services Sign-in Assistant 可能尚未准备好。重启服务方法如下：
   • 输入 services.msc 并按回车。 运行 查找
   • Microsoft Online Services Sign-in Assistant ，右键点击并选择重启。当产品作为服务安装时，凭据权限不足可能导致此错误。解决方法是尝试使用域用户账户作为服务登录账户，操作步骤如下：
3. 右键点击
   • 输入 services.msc 并按回车。 运行 查找
   • ManageEngine M365 Security Plus 并选择 登录 Properties.
   • 从左侧栏选择 选项卡。 选择“此账户”
   • 从左侧栏选择 并输入有效凭据。 点击
   • 确定 您的租户可能不在默认 Azure 环境中：.
4. 租户设置

   • 确定 选项位于右上角。 从

   • Azure 下拉菜单中选择正确的 Azure 云环境。 如果问题仍然存在，运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

5. If the problem still persists, run the M365SecurityPlusTroubleshoot.ps1 script file a
   • 以管理员身份打开 PowerShell
   • 运行命令 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force.
运行以下脚本：

注意： 此处的 <install-dir> 指的是您安装 M365 Security Plus 应用程序的目录。

• 输入配置好的 Microsoft 365 账号的用户名和密码。
• 联系 m365securityplus-support@manageengine.com 并附上您收到的错误消息截图。

• 必须启用统一审核日志才能获取数据

以下报告需要 启用统一审核日志 ：

• Azure 管理员活动
• SharePoint 管理员活动
• 所有 OneDrive 活动报告 

要启用统一审核日志数据的收集，请按照以下步骤操作。

通过 Microsoft Purview 启用统一审核日志数据收集。

1. 登录 Microsoft Purview 门户。
2. 从左侧栏选择 审计 从侧边栏。
3. 点击 开始记录用户和管理员活动 横幅以开启租户的审核功能。

• 审核报告不完整

要生成所有操作的审核报告，请按照以下步骤操作。

• 以管理员身份打开 PowerShell。
• 运行命令 <install-dir>/bin/M365SecurityPlus.
• 运行以下脚本：
  如果在其他阶段出现问题，错误可能是临时的，请稍后重试。如问题持续，请联系

注意： ，账户配置存在问题。

• 如果 Exchange 会话返回值为“发生错误”，请联系 m365securityplus-support@manageengine.com 以解决此问题。
• 如果 Exchange 会话返回成功值，请按照以下步骤操作：
• 运行以下脚本以启用连接的 Microsoft 365 租户的审核功能。
  Set-AdminAuditLogConfig
• 继续为各个邮箱启用审核功能。
• 为所有邮箱启用完整审核
• 为特定邮箱启用完整审核
• 为所有邮箱启用特定操作的审核
要为所有邮箱启用完整审核

Get-Mailbox -ResultSize unlimited |Set-Mailbox -AuditEnabled $true

要为特定邮箱启用完整审核

Set-Mailbox -Identity abc@microsoft.com -AuditEnabled $true -AuditOwner

要为所有邮箱启用特定操作的审核

Get-Mailbox -ResultSize unlimited |Set-Mailbox -AuditEnabled $true Create,HardDelete,MailboxLogin,Move,MoveToDeletedItems,SoftDelete,Update -AuditAdmin Copy,Create,FolderBind,HardDelete,MessageBind,Move,MoveToDeletedItems, -AuditDelegate Create, FolderBind, SendAs, SendOnBehalf, SoftDelete,

从下划线标记部分识别您希望审核的操作，并从脚本中排除其他操作。

• 用户报告或邮箱报告不完整

如果生成的用户或邮箱部分的任何报告未包含某些个人的信息，请按照以下步骤操作。

• 检查用户信息是否显示在 所有用户 报告中，或 邮箱 报告中。
• 如果用户信息显示在那里，报告中数据不完整的原因是该用户未被 M365 Security Plus 管理。

如需纠正，请购买更多 许可证 或

• 在 M365 Security Plus 中，选择位于右上角的 选项位于右上角。 选项。
• 确定 管理许可证 链接（窗口右上角）。
• 点击 “受管理用户”中的用户总数 列。此操作会打开一个 图标，用于搜索指定用户。 选中相应用户的复选框
• 确定 以保存选择。
• 该报告的数据正在后台生成。
• 确定 您的租户可能不在默认 Azure 环境中： 此消息表示，

• 此报告的数据正在您选择的其他报告后台生成。

或者数据已经被其他用户在后台生成中。

1. 如果上述任何情况中的数据生成成功，它将会自动更新。因此，请尝试切换到其他报告，并稍后检查所需报告。

2. 请选择正确的 Azure 环境。

注意：

Azure 环境

• 更新应用中的

• 确定 选项位于右上角。 从

• Azure 必需权限。 如果问题仍然存在，运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

• 缺少 Azure AD 应用范围或权限。

• 您可以通过导航到租户设置 > Rest API 访问 > 更新权限，检查并更新权限。 该问题可能是由于配置的服务账户密码无效或账户被阻止导致的。 请检查账户是否启用 MFA。若需绕过该账户的 MFA，请
• 阅读此文档

• 频繁弹出 Microsoft 凭据提示。

• 上述更改完成后，关闭弹出窗口，等待几分钟。如果弹窗再次出现，请重启产品。
• 原因： 当用于配置 M365 Security Plus 中租户的服务账户被禁用或从租户中删除时，会发生此错误。.
• 解决方案：
• 用于运行此操作的服务帐户在指定租户中不再可用

如果服务账户被禁用，请启用该服务账户以继续使用 M365 Security Plus。

如果服务账户被删除，请按照以下步骤解决此问题。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

• 在 M365 Security Plus 中，点击
• 配置
1. 选项，位于 服务账户
2. 列下。 更新 此处的 <install-dir> 指的是您安装 M365 Security Plus 应用程序的目录。 ，问题出在 如果配置 Microsoft 365 租户时发生问题，请尝试使用专用服务账户配置 M365 Security Plus，具体步骤如下：
3. 输入您创建的服务账户凭据。
4. 确定 并附上错误截图。.

• 其他错误

1. 运行 M365SecurityPlusTroubleshoot.ps1 脚本文件。

• 以管理员身份打开 PowerShell。
• 运行命令 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope.
• 运行以下脚本：
  如果在其他阶段出现问题，错误可能是临时的，请稍后重试。如问题持续，请联系

注意： 上传新应用程序证书时可能会出现此错误。

• 输入配置好的 Microsoft 365 账号的用户名和密码。
• 如果 Exchange 会话 返回值为 错误发生可能的原因
  • 证书使用非 SHA-256 与 RSA 的加密算法签名。 这里.
  • 。 m365securityplus-support@manageengine.com 上传了损坏的私钥文件。

• 由于无效的私钥，无法更新 Entra 应用

解决方案

M365 Security Plus 仅支持使用 SHA-256 与 RSA 签名的应用程序证书。请使用符合此要求的证书。您也可以按照相关步骤创建新的自签名证书。

• 如果私钥损坏，请使用有效版本的证书并重试。
• 如果为 M365 Security Plus 配置的服务账户不符合条件访问策略的要求，M365 Security Plus 将无法使用该服务账户获取数据，因为登录尝试被中断。

原因

• 您的条件访问策略中可能存在以下限制，阻止服务账户登录 Microsoft Entra ID： 这里.
• 需要多因素认证

• 此服务帐户由于条件访问策略的限制，无法用于获取数据

只能从受信任或合规设备登录

只能从 Microsoft Entra 混合加入设备登录

要查明阻止服务账户登录的条件访问策略，您可以通过以下步骤检查 Microsoft Entra ID 中的账户登录日志：

• 导航至
• 身份
• >

请按照

监控与健康

1. 登录日志 搜索服务账户的登录尝试。 在 用户登录（非交互式） 在 选项卡中应用.
2. 状态：失败
3. 筛选。 点击失败的尝试以查看详情。 选择 条件访问 选项卡以查看应用了哪些策略。
4. 识别出条件访问策略后，您可以做出相应更改，以确保服务账户能够登录 Microsoft Entra ID。
5. 无法建立 Exchange Online 连接，原因是产品文件被阻止。 M365 Security Plus 需要位于 <Installation_dir>\lib\native\ExchangeOnlineManagement



目录中的特定 DLL 文件来连接 Exchange Online 并收集数据。如果这些文件被阻止执行，M365 Security Plus 将无法建立与 Exchange Online 的连接，从而阻止所有 Exchange Online 操作。

• 这些 DLL 文件可能因为来源于外部系统而被您的计算机阻止执行。

您需要解除 DLL 文件的阻止，以便它们可以在服务器上执行。您可以通过以下方式运行脚本以解除阻止： 以管理员身份打开 Windows PowerShell

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

执行以下命令：

请按照

dir "<Installation_dir>\lib\native\ExchangeOnlineManagement" | Unblock-File 您可以通过以下步骤验证文件是否已解除阻止： 右键点击 <Installation_dir>\lib\native\ExchangeOnlineManagement

目录中的任意 DLL 文件。

1. 确认是否勾选了 解除阻止 选项。
2. 确定 Properties
3. M365 Security Plus 使用 Entra 应用通过 GraphAPI 获取管理员任务的权限和令牌。注册 Entra 应用可以授权该工具读取或管理租户资源。您必须创建客户端密钥，以便在 OAuth 2.0 流程中安全认证。没有此密钥，Microsoft 365 无法确认应用身份或授权其操作。 但在某些情况下，由于租户范围策略的限制，您无法在租户中创建客户端密钥。 您的 tenantAppManagementPolicy 可能配置了限制在租户中为 Entra 应用创建新客户端密钥。请参阅此



• 创建客户端密钥被租户范围策略阻止。请联系您的租户管理员获取更多信息。

Microsoft 文档

了解此策略的更多详细信息，

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

您需要使用 Microsoft GraphAPI 编辑 tenantAppManagementPolicy 中的 passwordAddition 属性，以允许在租户中创建客户端密钥。 数据生成失败。在租户设置中更新 REST API 权限。 该错误发生于：

请按照

You will have to edit the passwordAddition attribute in your tenantAppManagementPolicy using Microsoft GraphAPI to allow creation of client secrets in your tenant.

• Data generation failed. Update REST API permissions in Tenant Settings.

  如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

  This error occurs when:

  • 由于REST API权限不足，产品无法从Azure AD获取数据。
  • Azure AD出现内部问题。如果已提供所需权限，请重试。

  请按照：通过以下步骤更新REST API权限。

  • 转到 选项位于右上角。 产品主页右上角的
  • 点击 更新权限 在所需租户的Rest API访问列中。
  • 您将被重定向到Microsoft 365登录页面。输入全局管理员账户的凭据。
  • 点击 接受 以授予读取服务健康权限并成功更新REST API权限。

• 此 Microsoft 365 帐户已被封锁

1. 此账户已被管理员阻止。

2. 请联系您的管理员登录M365 Security Plus。

• 您必须更改Microsoft 365账户密码后才能登录。

1. 管理员已更改您的Microsoft 365账户密码。

2. 登录 Microsoft 365门户 并重置您的密码以登录ManageEngine M365 Security Plus。

• 需要 REST API 认证

1. 必须为启用MFA/联合的服务台技术员账户启用基于Rest API的身份验证。

2. 启用后，启用MFA/联合账户的用户将被重定向到Microsoft 365门户进行身份验证以访问M365 Security Plus。

3. 点击此处 以启用基于Rest API的身份验证

• 发生意外错误。

1. <install-dir>/bin/M365SecurityPlusTroubleshoot.ps1

2. 确认已输入正确的用户名和密码。

3. 如果问题仍然存在，请联系您的管理员。

• 访问被拒绝

1. 确认已输入正确的用户名和密码。

2. 如果问题仍然存在，请联系您的管理员。

• 应用中未找到重定向 URI。

1. 在Azure AD中为M365 Security Plus配置的应用程序的重定向URI中，添加您的机器名或IP地址、端口号，后跟以下路径。(例如：) 了解更多.
• /webclient/VerifyUser
• /webclient/GrantAccess
• /AADAuthCode.do
• /AADAppGrantSuccess.do
2. 确定 添加URI 以在后续行中添加以下重定向URI。请注意，对于M365 Security Plus 4409及更高版本的用户，重定向URI（b）和（c）为可选。
• https://identitymanager.manageengine.com/api/public/v1/oauth/redirect
• https://demo.o365managerplus.com/oauth/redirect
• https://manageengine.com/microsoft-365-management-reporting/redirect.html
3. 如果通过启用了反向代理的AD360或Log360产品访问M365 Security Plus，请通过在重定向URI字段中提供上述路径更新端点。用户应包含访问URI及上述路径，如：
• 基于上下文的反向代理：https://<AD360/Log360主机名>:<反向代理端口>/<反向代理上下文>/webclient/VerifyUser
• 基于端口的反向代理：https://<AD360/Log360主机名>:<反向代理端口>/webclient/VerifyUser。
• 产品中不能使用具有相同 UPN 的多个技术员。请联系产品管理员解决该问题。

Active Directory用户可作为技术员添加到M365 Security Plus，并可分配报告、管理和审核任务的任意组合。当两个具有相同UPN的Active Directory用户被注册为M365 Security Plus的技术员时，登录过程可能出现无法确定登录哪个用户账户的歧义。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

当两个不同用户被分配为M365 Security Plus的技术员角色时，他们必须配置唯一的UPN。一旦添加，如果编辑UPN使其相同，可能会导致错误出现。

请按照

1. 更新其中一个冲突的AD用户账户的UPN，使其唯一。
2. 将该用户从M365 Security Plus的技术员列表中移除。
3. 使用新的UPN重新添加该用户为技术员。
• AD 域无法访问进行身份验证。请联系产品管理员。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

此错误可能由以下任一原因导致：

• Active Directory设置中配置的域控制器已关闭。
• 托管M365 Security Plus的机器上的防火墙阻止了389端口。

请按照

确保托管M365 Security Plus的机器可以连接到域控制器。

• 由于域配置过时或无效，身份验证失败。请联系产品管理员。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

当配置于 Active Directory设置 中的域控制器登录凭据发生更改且不再有效时，会出现此错误。

请按照

按照以下步骤重新配置 Active Directory设置中的域控制器。

• 登录M365 Security Plus并导航至 委派 > 其他设置 > 登录设置 > Active Directory设置。
• 无法建立 Exchange Online 连接，原因是产品文件被阻止。 点击 操作 列中您想编辑的域控制器旁的编辑图标。
• 输入当前 域密码 以配置登录账户。
• 确定 更新。
• 身份验证失败。用于域配置的帐户权限不足，无法验证 AD 凭据。请联系产品管理员。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

当配置于 Active Directory设置 无权读取配置为M365 Security Plus技术员的AD用户。

请按照

按照以下步骤重新配置 Active Directory设置中的域控制器。

• 登录M365 Security Plus并导航至 委派 > 其他设置 > 登录设置 > Active Directory设置。
• 无法建立 Exchange Online 连接，原因是产品文件被阻止。 点击 操作 列中您想编辑的域控制器旁的编辑图标。
• 输入 域名 及 域密码 拥有读取AD技术员详细信息权限的账户。
• 确定 更新。

• 无法保存更改，请稍后重试。

1. 确保产品运行在备用服务器上。

2. 确保产品安装端口的防火墙已禁用。

• 当我手动添加我的域时，域控制器（DC）无法解析，为什么？

1. 当运行M365 Security Plus的机器所使用的DNS不包含必要信息时，会出现此问题。需要手动添加DC。

• 当我添加 DC 时，出现错误提示“服务器不可用/无法连接到域控制器”？

此错误可能由以下原因导致：

• DC已关闭。
• 产品服务器不可用。
• 已启用防火墙，且389端口被阻止。
• 网络繁忙。
• 当我添加DC时，出现错误“无法获取域DNS / FLAT名称”，这是什么意思？

此错误可能由以下原因导致：

• 指定的用户名或密码无效。
• 执行了匿名登录（未提供用户名和密码）。
• DC的IP地址被指定而非其名称。
• Elasticsearch 已停止

当产品捆绑的Elasticsearch意外停止时，会显示此错误消息。

可能由以下任一原因引起：

• 磁盘空间不足
• 堆内存不足
• 防火墙阻止了9300至9400端口

原因1：磁盘空间不足

建议为Elasticsearch至少预留1GB的可用磁盘空间。随着Elasticsearch存储的数据量增加，建议相应释放存储空间，以确保Elasticsearch正常运行。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

1. 登录M365 Security Plus并导航至 设置 在 管理员 在 磁盘空间警报 并点击 使用报告 选项卡。您可以在 Elasticsearch 字段中查看Elasticsearch数据所占用的存储空间。



2. 释放更多磁盘空间以保证Elasticsearch正常运行。

原因2：堆内存不足

Elasticsearch使用文件系统缓存以加快搜索速度。建议服务器至少有30%的RAM空余供Elasticsearch使用。该空闲RAM用于缓存Elasticsearch索引，提高性能。

Elasticsearch初始分配2GB堆内存。随着存储数据量增加，建议相应增加堆内存。每存储60GB数据，至少需要1GB堆内存。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

如果条件允许，可以为Elasticsearch分配更多堆内存（建议每30GB数据分配1GB堆内存以获取更好性能）。

配置分配给Elasticsearch的堆内存，请按以下步骤操作。

1. 登录M365 Security Plus并导航至 设置 在 管理员 在 磁盘空间警报 并点击 使用报告 选项卡以查看应用了哪些策略。
2. 您可以在 Elasticsearch 字段中查看Elasticsearch数据所占用的存储空间。根据存储大小决定分配给Elasticsearch的堆内存。



3. 关闭M365 Security Plus。
   • 如果产品作为应用程序运行，导航至 开始 在 所有程序 在 M365 Security Plus 并点击 停止M365 Security Plus.
   • 如果产品作为Windows服务运行，导航至 开始 在 运行，输入 services.msc，在服务列表中右键点击 M365 Security Plus ，然后点击 停止.
4. 登录日志 <安装目录>\elasticsearch\config 并用您选择的文本编辑器打开 es-additional-wrapper.conf 文件。默认安装目录为 C:\Program Files\ManageEngine\M365 Security Plus.



注意：修改前请务必备份该 es-additional-wrapper.conf 文件，以便在配置Elasticsearch堆内存时遇到问题可恢复。

5. 变量 wrapper.java.initmemory 及 wrapper.java.maxmemory 需设置为相同值。此例中，值为3072，即Elasticsearch内存设为(3072MB/1024)=3GB。



6. 保存修改后关闭文件。
7. 重启M365 Security Plus使新的堆内存配置生效。

注意：

• 分配给Elasticsearch的堆内存不应超过32GB，较大堆内存可能导致垃圾回收暂停时间变长，降低产品运行速度。
• 确保 wrapper.java.initmemory 及 wrapper.java.maxmemory 两个值相同，否则产品将无法正常启动。
• 在 OutOfMemory 及 LowMemory 错误发生时，Elasticsearch堆内存会自动增加1GB。
• 增加堆内存并非提升性能的唯一方案。除堆内存外，存储设备和CPU等因素亦会影响Elasticsearch性能。请确保满足 系统要求。另请注意，增加Elasticsearch堆内存需结合机器可用资源谨慎进行。 原因3：防火墙阻止了9300至9400端口

为允许Elasticsearch与Microsoft 365交互并收集数据，使用了防火墙端口9300至9400。

允许M365 Security Plus使用防火墙端口9300至9400。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

• 如果以上步骤未解决您的问题，请联系支持团队

m365managerplus-support@manageengine.com 寻求帮助。 当Microsoft SQL Server配置为产品数据库时，会出现此错误。数据库中维护一个记录所有操作事务和修改的事务日志。当日志大小达到分配限制时，数据库中的所有事务将停止。

• Microsoft SQL 事务日志已满

如果服务账户被禁用，请启用该服务账户以继续使用 M365 Security Plus。

为解决此问题，请按照本文所述步骤增大事务日志大小或优化日志文件增长。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

M365 Security Plus用户升级到4400版本时，内置PostgreSQL数据库将更新至15.7版本。为继续更新，需释放更多磁盘空间（约为产品数据库占用空间的几倍）。此空间仅用于数据库从旧版本迁移到新版本，更新完成后将释放。 按以下步骤查找产品数据库大小。.

• 磁盘空间不足，无法更新到版本 4800。

如果服务账户被禁用，请启用该服务账户以继续使用 M365 Security Plus。

右键点击1.3 times occupied by your product database) to proceed with the update. This space is only required for migrating the database from the old version to the new version. It will be freed up once the update is complete. Follow the steps mentioned below to find the size of your product database.

• Right-click on the pgsql 位于您的 M365 Security Plus 安装目录中的文件夹 [默认情况下，安装目录的默认路径是 C:\Program Files\ManageEngine\M365 Security Plus].
• 确定 Properties.
• 查看产品数据库占用的磁盘空间 磁盘上的大小 字段中查看Elasticsearch数据所占用的存储空间。



创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

1. 释放安装有 M365 Security Plus 的机器上的所需磁盘空间。
2. 完成后，您现在可以按照以下步骤更新产品 这里.

• 请安装正确版本的 MSOnline 模块。

在租户设置中配置启用 MFA 的账户时需要应用密码，最新版本的 MSOL 不支持该操作。请联系 m365securityplus-support@manageengine.com.

• 检查用户账户是否被阻止登录的步骤：

• 登录 Microsoft 365 门户 .
• 导航至 用户 --> 活跃用户。
• 在筛选器下拉框中，选择 登录被阻止.
• 检查用户账户是否被阻止登录。

• 创建专用服务账户的步骤：

• 登录 Microsoft 365 门户 .
• 导航至 用户 --> 活跃用户 --> 添加用户。
• 填写必填字段显示名称和用户名，创建新用户。
• 在密码部分，选择 让我创建密码 并输入用户账户的密码。
• 取消选中 让用户首次登录时更改密码.
• 在产品许可部分，选择 创建无产品许可的用户.
• 确定 下一步.
• 在角色选项中，选择管理中心访问并选择所需的角色（Exchange 管理员角色为必选）。 点击此处 查看所需角色列表。点击 下一步.
• 确定 保存.
• 使用此账户在 M365 Security Plus 中配置您的 Microsoft 365 租户。

如果问题仍然存在，请联系 m365securityplus-support@manageengine.com .

• 远程服务器返回错误- (401) 未授权。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 凭据无效。
• 客户端密钥已过期。
• 应用注册已被删除。

解决方案

• 检查已配置服务账户的凭据。
• 确保您的客户端密钥未过期或被删除。
• 确保您的应用注册存在。

• 请求失败，HTTP 状态为 403。

如果您在配置租户时未授予 M365 Security Plus 所需的所有权限，将显示上述错误。

• 当应用未被授予必要的 API 权限时，会发生此问题。

解决方案

• 登录 Azure AD 门户。
• 确定 Azure Active Directory 切换至
• 选择 应用注册 位于 管理 部分下。
• 无法建立 Exchange Online 连接，原因是产品文件被阻止。 所有应用 选项卡以查看应用了哪些策略。
• 点击 M365 Security Plus 的 Azure AD 应用。
• 在 API 权限 页面，检查是否已为 full_access_as_app 权限授予管理员同意，如下图所示。



• 如果不存在该权限，请执行以下步骤：
  • 在 API 权限 页面，点击 添加权限 并选择 我们组织使用的 API 选项卡以查看应用了哪些策略。
  • 搜索 Office 365 Exchange Online 并选择它。

  

  • 选择 应用权限 并选择 full_access_as_app 复选框。

  注意：API 权限 full_access_as_app 使用 Exchange Web Services 来备份和恢复邮箱。

  • 点击 添加权限 按钮。

  

  • 在 已配置权限 部分，点击 授予.
  • 确定 ，对应 管理员同意弹出窗口中的按钮。

• 不支持产品的 32 位安装进行备份。

创建一个具有以下角色的 Microsoft 365 服务账户：Exchange 管理员、全局阅读者、特权身份验证管理员、特权角色管理员、Teams 服务管理员和用户管理员。

如果您使用的是 32 位版本的 M365 Security Plus，无法使用插件进行数据备份。请安装 64 位版本以启用备份。

安装 64 位版本 M365 Security Plus 的步骤

注意：备份 M365 Security Plus 数据库 卸载 32 位版本的 M365 Security Plus。

• 下载并安装
• M365 Security Plus，使用 此链接.
• 启动应用程序。

上一主题 下一主题