Řešení potíží s řízením přístupu a relací pro uživatele s oprávněními správce
Tento článek poskytuje správcům Microsoft Defenderu pro Cloud Apps pokyny k prozkoumání a řešení běžných problémů s řízením přístupu a relací, které mají správci.
Poznámka:
Veškeré řešení potíží souvisejících s funkcemi proxy serveru je relevantní jenom pro relace, které nejsou nakonfigurované pro ochranu v prohlížeči pomocí Microsoft Edge.
Kontrola minimálních požadavků
Než začnete řešit potíže, ujistěte se, že vaše prostředí splňuje následující minimální obecné požadavky na řízení přístupu a relací.
| Požadavek | Popis |
|---|---|
| Licencování | Ujistěte se, že máte platnou licenci pro Microsoft Defender for Cloud Apps. |
| Jednotné přihlašování (SSO) | Aplikace musí být nakonfigurované s jedním z podporovaných řešení jednotného přihlašování: – ID Microsoft Entra pomocí SAML 2.0 nebo OpenID Connect 2.0 – Ne microsoft idP pomocí SAML 2.0 |
| Podpora prohlížeče | Ovládací prvky relace jsou k dispozici pro relace založené na prohlížeči v nejnovějších verzích následujících prohlížečů: – Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Ochrana v prohlížeči pro Microsoft Edge má také specifické požadavky, včetně uživatele přihlášeného pomocí svého pracovního profilu. Další informace najdete v tématu Požadavky na ochranu v prohlížeči. |
| Prostoj | Defender for Cloud Apps umožňuje definovat výchozí chování, které se má použít, pokud dojde k přerušení služby, jako je například to, že komponenta nefunguje správně. Pokud například nelze vynutit normální řízení zásad, můžete se rozhodnout posílit (blokovat) nebo obejít (povolit) uživatelům provádět akce s potenciálně citlivým obsahem. Pokud chcete nakonfigurovat výchozí chování během výpadku systému, přejděte v XDR v programu Microsoft Defender do nastavení>řízení výchozího>chování>Povolit nebo Blokovat přístup. |
Požadavky na ochranu v prohlížeči
Pokud používáte ochranu v prohlížeči s Microsoft Edgem a stále je obsluhuje reverzní proxy server, ujistěte se, že splňujete následující další požadavky:
Tato funkce je zapnutá v nastavení XDR v programu Defender. Další informace najdete v tématu Konfigurace nastavení ochrany v prohlížeči.
Všechny zásady, na které se uživatel vztahuje, se podporují pro Microsoft Edge pro firmy. Pokud je uživatel obsluhován jinou zásadou, kterou Microsoft Edge pro firmy nepodporuje , bude ho vždy obsluhovat reverzní proxy server. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.
Používáte podporovanou platformu, včetně podporovaného operačního systému, platformy identit a verze Edge. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.
Referenční informace o řešení potíží pro správce
Pomocí následující tabulky najděte problém, který se pokoušíte vyřešit:
Problémy se stavem sítě
Mezi běžné problémy se síťovým stavem, se kterými se můžete setkat, patří:
Chyby sítě při přechodu na stránku prohlížeče
Při prvním nastavování řízení přístupu k Defenderu pro Cloud Apps a řízení relací pro aplikaci můžou nastat běžné chyby sítě: Tento web není zabezpečený a připojení k internetu neexistuje. Tyto zprávy můžou znamenat obecnou chybu konfigurace sítě.
Doporučené kroky
Nakonfigurujte bránu firewall tak, aby fungovala s Defenderem for Cloud Apps pomocí IP adres Azure a názvů DNS relevantních pro vaše prostředí.
- Přidejte odchozí port 443 pro následující IP adresy a názvy DNS pro datové centrum Defenderu for Cloud Apps.
- Restartujte zařízení a relaci prohlížeče.
- Ověřte, že přihlášení funguje podle očekávání.
Povolte protokol TLS 1.2 v možnostech internetu v prohlížeči. Příklad:
Prohlížeč Kroky Microsoft Internet Explorer 1. Otevřete Internet Explorer
2. Vyberte Nástroje>Možnosti internetu>v části Upřesnit
3. V části Zabezpečení vyberte PROTOKOL TLS 1.2.
4. Vyberte Použít a pak vyberte OK.
5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.Microsoft Edge / Edge Chromium 1. Otevřete hledání z hlavního panelu a vyhledejte "Možnosti internetu"
2. Vyberte Možnosti internetu.
3. V části Zabezpečení vyberte PROTOKOL TLS 1.2.
4. Vyberte Použít a pak vyberte OK.
5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.Google Chrome 1. Otevřete Google Chrome
2. V pravém horním rohu vyberte Další (3 svislé tečky) >Nastavení
3. Dole vyberte Upřesnit.
4. V části Systém vyberte Otevřít nastavení proxy serveru.
5. Na kartě Upřesnit vyberte v části Zabezpečení protokol TLS 1.2.
6. Vyberte OK.
7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.Mozilla Firefox 1. Otevřete Mozilla Firefox
2. Na panelu Adresa a vyhledejte "about:config"
3. Do vyhledávacího pole vyhledejte "TLS".
4. Poklikejte na položku security.tls.version.min.
5. Nastavte celočíselnou hodnotu na 3, aby se vynutil minimální požadovaná verze protokolu TLS 1.2.
6. Vyberte Uložit (zaškrtnutí vpravo od pole hodnoty)
7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.Safari Pokud používáte Safari verze 7 nebo novější, je protokol TLS 1.2 automaticky povolený.
Defender for Cloud Apps používá protokoly TLS (Transport Layer Security) 1.2 nebo novější k zajištění nejlepšího šifrování v rámci třídy:
- Nativní klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nejsou při konfiguraci s řízením relací přístupné.
- Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se v prohlížeči zobrazují jako protokol TLS 1.2 nebo novější, když jsou nakonfigurované v programu Defender for Cloud Apps.
Tip
I když jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na libovolné hlavní platformě v jakémkoli operačním systému, podporujeme nejnovější verze Microsoft Edge, Google Chrome, Mozilla Firefox nebo Apple Safari. Možná budete chtít blokovat nebo povolit přístup konkrétně k mobilním nebo desktopovým aplikacím.
Pomalé přihlášení
Zřetězování proxy serveru a zpracování nesouvisejí s některými běžnými problémy, které můžou vést k pomalému výkonu přihlašování.
Doporučené kroky
Nakonfigurujte prostředí tak, aby při přihlašování odebralo všechny faktory, které můžou způsobovat zpomalení. Můžete mít například nakonfigurované brány firewall nebo přesměrování řetězení proxy serveru, které propojí dva nebo více proxy serverů a přejde na zamýšlenou stránku. Můžete mít také další externí faktory, které ovlivňují zpomalení.
- Určete, jestli se ve vašem prostředí vyskytuje řetězení proxy serveru.
- Pokud je to možné, odeberte všechny předávané proxy servery.
Některé aplikace používají během ověřování nonce hash, aby se zabránilo opakovaným útokům. Defender for Cloud Apps ve výchozím nastavení předpokládá, že aplikace používá nece. Pokud aplikace, se kterou pracujete, nepoužívá nic, zakažte pro tuto aplikaci v Defenderu pro Cloud Apps jiné zpracování:
- V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací.
- V části Připojené aplikace vyberte aplikace řízení podmíněného přístupu.
- V seznamu aplikací vyberte na řádku, ve kterém konfigurujete aplikaci, kterou konfigurujete, tři tečky na konci řádku a pak vyberte Upravit pro vaši aplikaci.
- Výběrem možnosti Zpracování nesouvisecích rozbalte oddíl a zrušte zaškrtnutí políčka Povolit zpracování nesouvisecích.
- Odhlaste se z aplikace a zavřete všechny relace prohlížeče.
- Restartujte prohlížeč a znovu se přihlaste k aplikaci. Ověřte, že přihlášení funguje podle očekávání.
Další aspekty podmínek sítě
Při řešení potíží se síťovými podmínkami zvažte také následující poznámky o proxy serveru Defender for Cloud Apps:
Ověřte, jestli se relace směruje do jiného datového centra: Defender for Cloud Apps používá datacentra Azure po celém světě k optimalizaci výkonu prostřednictvím geografické polohy.
To znamená, že relace uživatele může být hostována mimo oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.
Výkon proxy serveru: Odvozování standardních hodnot výkonu závisí na mnoha faktorech mimo proxy server Defenderu pro Cloud Apps, například:
- Jaké další proxy servery nebo brány jsou v řadě s tímto proxy serverem
- Odkud uživatel pochází
- Kde se nachází cílový prostředek
- Konkrétní požadavky na stránce
Obecně platí, že všechny proxy servery přidávají latenci. Výhody proxy služby Defender for Cloud Apps jsou:
Globální dostupnost řadičů domény Azure k geografickému přidělení uživatelů k nejbližšímu uzlu a snížení jejich vzdálenosti odezvy. Řadiče domény Azure můžou geolokovat ve velkém měřítku, který má několik služeb po celém světě.
Integrace s podmíněným přístupem Microsoft Entra umožňuje směrovat pouze relace, které chcete na naši službu proxy, a ne všechny uživatele ve všech situacích.
Problémy s identifikací zařízení
Defender for Cloud Apps poskytuje následující možnosti pro identifikaci stavu správy zařízení.
- Dodržování předpisů v Microsoft Intune
- Hybridní připojení k doméně Microsoft Entra
- Klientské certifikáty
Další informace najdete v tématu Zařízení spravovaná identitou pomocí řízení podmíněného přístupu k aplikacím.
Mezi běžné problémy s identifikací zařízení, se kterými se můžete setkat, patří:
- Chybně identifikovaná zařízení kompatibilní s Intune nebo hybridní zařízení připojená k Microsoft Entra
- Klientské certifikáty se nezobrazují při očekávání.
- Klientské certifikáty se zobrazují při každém přihlášení.
- Další důležité informace
Chybně identifikovaná zařízení kompatibilní s Intune nebo hybridní zařízení připojená k Microsoft Entra
Podmíněný přístup Microsoft Entra umožňuje předávat informace o zařízeních kompatibilních s Intune a Microsoft Entra, které jsou připojené k hybridnímu zařízení, přímo do Defenderu for Cloud Apps. V Programu Defender for Cloud Apps použijte stav zařízení jako filtr pro zásady přístupu nebo relací.
Další informace naleznete v tématu Úvod do správy zařízení v Microsoft Entra ID.
Doporučené kroky
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací.
V části Řízení podmíněného přístupu k aplikacím vyberte identifikaci zařízení. Tato stránka zobrazuje možnosti identifikace zařízení dostupné v Defenderu pro Cloud Apps.
V případě identifikace zařízení kompatibilního s Intune a identifikací hybridního připojení Microsoft Entra vyberte Zobrazit konfiguraci a ověřte, že jsou služby nastavené. Služby se automaticky synchronizují z MICROSOFT Entra ID a Intune.
Vytvořte zásadu přístupu nebo relace s filtrem značek zařízení, který se rovná hybridní službě Azure AD, kompatibilní s Intune nebo obojímu.
V prohlížeči se přihlaste k zařízení, které je hybridním připojeným k Microsoft Entra nebo kompatibilním s Intune na základě filtru zásad.
Ověřte, že aktivity z těchto zařízení naplňují protokol. V Programu Defender for Cloud Apps na stránce protokolu aktivit vyfiltrujte značku zařízení, která se rovná hybridní službě Azure AD, kompatibilní s Intune nebo obojí na základě filtrů zásad.
Pokud se aktivity nenaplňují v protokolu aktivit Defenderu for Cloud Apps, přejděte na ID Microsoft Entra a proveďte následující kroky:
V části Monitorování>přihlášení ověřte, že protokoly obsahují přihlašovací aktivity.
Vyberte příslušnou položku protokolu pro zařízení, ke které jste se přihlásili.
V podokně Podrobnosti na kartě Informace o zařízení ověřte, že je zařízení Spravované (zařízení připojené službou Hybrid Azure AD Join) nebo Dodržující předpisy (zařízení dodržující předpisy Intune).
Pokud nemůžete ověřit ani jeden stav, zkuste jinou položku protokolu nebo se ujistěte, že jsou data vašeho zařízení správně nakonfigurovaná v Microsoft Entra ID.
U podmíněného přístupu můžou některé prohlížeče vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.
Pokud se na přihlašovací stránce stále nezobrazují informace o zařízení, otevřete lístek podpory pro MICROSOFT Entra ID.
Klientské certifikáty se nezobrazují při očekávání.
Identifikační mechanismus zařízení může požadovat ověření z příslušných zařízení pomocí klientských certifikátů. Můžete nahrát kořenový nebo zprostředkující certifikát certifikační autority (CA) X.509 formátovaný ve formátu certifikátu PEM.
Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů prezentovaných během relace. Další informace naleznete v tématu Kontrola správy zařízení bez Microsoft Entra.
Doporučené kroky
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací.
V části Řízení podmíněného přístupu k aplikacím vyberte identifikaci zařízení. Na této stránce se zobrazují možnosti identifikace zařízení dostupné v Programu Defender for Cloud Apps.
Ověřte, že jste nahráli kořenový nebo zprostředkující certifikát certifikační autority X.509. Musíte nahrát certifikát certifikační autority, který se používá k podepsání vaší certifikační autority.
Vytvořte zásadu přístupu nebo relace s filtrem značky zařízení, který se rovná platnému klientskému certifikátu.
Ujistěte se, že váš klientský certifikát je:
- Nasazené pomocí formátu souboru PKCS #12, obvykle přípony souboru .p12 nebo .pfx
- Nainstalované v uživatelském úložišti, ne v úložišti zařízení, které používáte k testování
Restartujte relaci prohlížeče.
Při přihlašování k chráněné aplikaci:
- Ověřte, že jste přesměrováni na následující syntaxi adresy URL:
<https://*.managed.access-control.cas.ms/aad_login> - Pokud používáte iOS, ujistěte se, že používáte prohlížeč Safari.
- Pokud používáte Firefox, musíte ho také přidat do vlastního úložiště certifikátů Firefoxu. Všechny ostatní prohlížeče používají stejné výchozí úložiště certifikátů.
- Ověřte, že jste přesměrováni na následující syntaxi adresy URL:
Ověřte, že se v prohlížeči zobrazí výzva k zadání klientského certifikátu.
Pokud se nezobrazí, zkuste jiný prohlížeč. Většina hlavních prohlížečů podporuje kontrolu klientského certifikátu. Mobilní a desktopové aplikace ale často používají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto ovlivňují ověřování těchto aplikací.
Ověřte, že aktivity z těchto zařízení naplňují protokol. V programu Defender for Cloud Apps na stránce protokolu aktivit přidejte filtr na značku zařízení, která se rovná platnému klientskému certifikátu.
Pokud se výzva pořád nezobrazuje, otevřete lístek podpory a uveďte následující informace:
- Podrobnosti o prohlížeči nebo nativní aplikaci, u které došlo k problému
- Verze operačního systému, jako je iOS/Android/Windows 10
- Zmínka o tom, jestli na příkazovém řádku pracuje Microsoft Edge Chromium
Klientské certifikáty se zobrazují při každém přihlášení.
Pokud se po otevření nové karty zobrazí klientský certifikát, může to být způsobené nastavením skrytým v možnostech internetu. Ověřte nastavení v prohlížeči. Příklad:
V Aplikaci Microsoft Internet Explorer:
- Otevřete Internet Explorer a vyberte Kartu Nástroje>>Možnosti internetu Upřesnit.
- V části Zabezpečení vyberte Možnost Nevybídejte výzvu k výběru klientského certifikátu, pokud existuje> pouze jeden certifikát, vyberte Použít>OK.
- Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.
Microsoft Edge / Edge Chromium:
- Otevřete hledání z hlavního panelu a vyhledejte možnosti internetu.
- Vyberte Vlastní úroveň zabezpečení místního intranetu v>možnostech internetu.>>
- V části Různé>nevybírejte výzvu k výběru klientského certifikátu, pokud existuje jenom jeden certifikát, vyberte Zakázat.
- Vyberte OK>Použít>OK.
- Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.
Další aspekty identifikace zařízení
Při řešení potíží s identifikací zařízení můžete vyžadovat odvolání certifikátu pro klientské certifikáty.
Certifikáty odvolané certifikační autoritou už nejsou důvěryhodné. Výběr této možnosti vyžaduje, aby všechny certifikáty předávaly protokol CRL. Pokud váš klientský certifikát neobsahuje koncový bod seznamu CRL, nemůžete se připojit ze spravovaného zařízení.
Problémy při onboardingu aplikace
Aplikace Microsoft Entra ID se automaticky nasadí do programu Defender for Cloud Apps pro podmíněný přístup a řízení relací. Musíte ručně připojit aplikace jiného typu než Microsoft IdP, včetně katalogu i vlastních aplikací.
Další informace naleznete v tématu:
- Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu s poskytovateli identity jiných společností než Microsoft
- Nasazení řízení podmíněného přístupu pro vlastní aplikace s poskytovateli identity jiných společností než Microsoft
Mezi běžné scénáře, se kterými se můžete setkat při onboardingu aplikace, patří:
- Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu k aplikacím
- Stav aplikace: Pokračovat v instalaci
- Nejde konfigurovat ovládací prvky pro předdefinované aplikace
- Zobrazí se možnost řízení relace žádosti.
Aplikace se nezobrazuje na stránce aplikací pro řízení podmíněného přístupu
Při onboardingu aplikace jiného než Microsoftu pro řízení podmíněného přístupu k aplikaci pro podmíněný přístup je posledním krokem nasazení, aby koncový uživatel přecházení do aplikace. Postupujte podle kroků v této části, pokud se aplikace nezobrazuje na očekávané stránce Nastavení > cloudových aplikací Připojené aplikace > > pro podmíněný přístup k aplikacím Řízení přístupu.
Doporučené kroky
Ujistěte se, že vaše aplikace splňuje následující požadavky řízení podmíněného přístupu:
- Ujistěte se, že máte platnou licenci Defender for Cloud Apps.
- Vytvořte duplicitní aplikaci.
- Ujistěte se, že aplikace používá protokol SAML.
- Ověřte, že jste aplikaci plně připojili a že je aplikace připojená.
Nezapomeňte přejít do aplikace v nové relaci prohlížeče pomocí nového anonymního režimu nebo opětovným přihlášením.
Poznámka:
Aplikace Entra ID se zobrazí jenom na stránce aplikací řízení podmíněného přístupu po jejich konfiguraci v alespoň jedné zásadě nebo pokud máte zásady bez jakékoli specifikace aplikace a uživatel se k aplikaci přihlásil.
Stav aplikace: Pokračovat v instalaci
Stav aplikace se může lišit a může obsahovat možnost Pokračovat v nastavení, Připojeno nebo Žádné aktivity.
U aplikací připojených prostřednictvím zprostředkovatelů identity jiných společností než Microsoft (IdP), pokud nastavení není dokončené, při přístupu k aplikaci se zobrazí stránka se stavem Pokračovat v instalaci. K dokončení instalace použijte následující kroky.
Doporučené kroky
Vyberte Pokračovat v instalaci.
Projděte si následující články a ověřte, že jste dokončili všechny požadované kroky:
- Nasazení řízení podmíněného přístupu aplikací pro aplikace katalogu s poskytovateli identity jiných společností než Microsoft
- Nasazení řízení podmíněného přístupu pro vlastní aplikace s poskytovateli identity jiných společností než Microsoft
Věnujte zvláštní pozornost následujícím krokům:
- Ujistěte se, že vytvoříte novou vlastní aplikaci SAML. Tuto aplikaci potřebujete ke změně adres URL a atributů SAML, které nemusí být dostupné v aplikacích galerie.
- Pokud váš zprostředkovatel identity nepovoluje opakované použití stejného identifikátoru, označovaného také jako ID entity nebo cílová skupina, změňte identifikátor původní aplikace.
Nejde konfigurovat ovládací prvky pro předdefinované aplikace
Integrované aplikace se dají rozpoznat heristicky a pomocí zásad přístupu je můžete monitorovat nebo blokovat. Ke konfiguraci ovládacích prvků pro nativní aplikace použijte následující postup.
Doporučené kroky
V zásadách přístupu přidejte filtr klientské aplikace a nastavte ho na Mobile a Desktop.
V části Akce vyberte Blokovat.
Volitelně můžete přizpůsobit blokující zprávu, kterou uživatelé dostanou, když nemůžou stahovat soubory. Pokud chcete získat přístup k této aplikaci, musíte například tuto zprávu přizpůsobit webovému prohlížeči.
Otestujte a ověřte, že ovládací prvek funguje podle očekávání.
Zobrazí se stránka aplikace, která není rozpoznána .
Defender for Cloud Apps dokáže prostřednictvím katalogu cloudových aplikací rozpoznat více než 31 000 aplikací.
Pokud používáte vlastní aplikaci nakonfigurovanou prostřednictvím jednotného přihlašování Microsoft Entra a není jednou z podporovaných aplikací, narazíte na stránku aplikace, která není rozpoznána . Pokud chcete tento problém vyřešit, musíte nakonfigurovat aplikaci pomocí řízení podmíněného přístupu.
Doporučené kroky
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací. V části Připojené aplikace vyberte aplikace řízení podmíněného přístupu.
V banneru vyberte Zobrazit nové aplikace.
V seznamu nových aplikací vyhledejte aplikaci, kterou zprovozníte, vyberte + znaménko a pak vyberte Přidat.
- Vyberte, jestli je aplikace vlastní nebo standardní .
- Pokračujte v průvodci a ujistěte se, že jsou pro aplikaci, kterou konfigurujete, správné zadané uživatelem definované domény .
Ověřte, že se aplikace zobrazí na stránce aplikace řízení podmíněného přístupu.
Zobrazí se možnost řízení relace žádosti.
Po připojení aplikace jiného zprostředkovatele identity než Microsoftu se může zobrazit možnost řízení relace žádosti. K tomu dochází, protože pouze aplikace katalogu mají předběžné ovládací prvky relace. U jakékoli jiné aplikace musíte projít procesem samoobslužného onboardingu.
Postupujte podle pokynů v tématu Nasazení řízení podmíněného přístupu pro vlastní aplikace s poskytovateli identity jiných společností než Microsoft.
Doporučené kroky
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací.
V části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikace.
Zadejte hlavní název nebo e-mail uživatele, který bude aplikaci připojovat, a pak vyberte Uložit.
Přejděte do aplikace, kterou nasazujete. Zobrazená stránka závisí na tom, jestli je aplikace rozpoznána. V závislosti na stránce, kterou vidíte, udělejte jednu z těchto věcí:
Nerozpoznalo se. Zobrazí se nerozpoznaná stránka aplikace, která vás vyzve ke konfiguraci aplikace. Proveďte následující kroky:
- Připojení aplikace pro řízení podmíněného přístupu
- Přidejte domény aplikace.
- Nainstalujte certifikáty aplikace.
Rozpoznaný. Pokud je vaše aplikace rozpoznána, zobrazí se stránka onboardingu s výzvou k pokračování procesu konfigurace aplikace.
Ujistěte se, že je aplikace nakonfigurovaná se všemi doménami požadovanými k tomu, aby aplikace fungovala správně, a pak se vraťte na stránku aplikace.
Další důležité informace o onboardingu aplikací
Při řešení potíží s onboardingem aplikací je potřeba zvážit několik dalších věcí.
Seznamte se s rozdílem mezi nastavením zásad podmíněného přístupu Microsoft Entra: "Pouze monitorování", "Blokovat stahování" a "Použít vlastní zásady".
V zásadách podmíněného přístupu Microsoft Entra můžete nakonfigurovat následující předdefinované ovládací prvky Defenderu pro Cloud Apps: Monitorování pouze a blokování stahování. Tato nastavení platí a vynucují funkci proxy serveru Defender for Cloud Apps pro cloudové aplikace a podmínky nakonfigurované v Microsoft Entra ID.
Pokud chcete složitější zásady, vyberte Použít vlastní zásady, které vám umožní nakonfigurovat zásady přístupu a relací v defenderu pro Cloud Apps.
Vysvětlení možnosti filtrování klientských aplikací Pro mobilní a desktopové aplikace v zásadách přístupu
V programu Defender for Cloud Apps se zásady přístupu, pokud není filtr klientské aplikace nastavený na Mobilní a desktopové prostředí, platí výsledné zásady přístupu pro relace prohlížeče.
Důvodem je zabránit neúmyslným proxy relacím uživatelů, což může být vedlejším produktem použití tohoto filtru.
Problémy při vytváření zásad přístupu a relací
Defender for Cloud Apps poskytuje následující konfigurovatelné zásady:
- Zásady přístupu: Slouží k monitorování nebo blokování přístupu k prohlížeči, mobilním nebo desktopovým aplikacím.
- Zásady relací. Používá se k monitorování, blokování a provádění konkrétních akcí, které brání infiltraci dat a scénářům exfiltrace v prohlížeči.
Pokud chcete tyto zásady použít v programu Defender for Cloud Apps, musíte nejprve nakonfigurovat zásadu v podmíněném přístupu Microsoft Entra, abyste rozšířili řízení relací:
V zásadách Microsoft Entra v části Řízení přístupu vyberte >Řízení podmíněného přístupu aplikace relace.
Vyberte předdefinované zásady (jenom monitorování nebo blokování stahování) nebo použijte vlastní zásady k nastavení rozšířených zásad v Defenderu pro Cloud Apps.
Pokračujte výběrem možnosti Vybrat .
Mezi běžné scénáře, se kterými se můžete setkat při konfiguraci těchto zásad, patří:
- V zásadách podmíněného přístupu nevidíte možnost řízení podmíněného přístupu aplikace.
- Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s podmíněným řízením aplikací pro přístup
- Nejde vytvořit zásady relace pro aplikaci
- Nelze zvolit metodu kontroly: Služba klasifikace dat
- Nejde zvolit akci: Chránit
V zásadách podmíněného přístupu nevidíte možnost řízení podmíněného přístupu aplikace.
Pokud chcete směrovat relace do Programu Defender for Cloud Apps, musí být zásady podmíněného přístupu Microsoftu nakonfigurované tak, aby zahrnovaly řízení relací podmíněného přístupu k aplikacím.
Doporučené kroky
Pokud v zásadách podmíněného přístupu nevidíte možnost Řízení podmíněného přístupu aplikací, ujistěte se, že máte platnou licenci pro Microsoft Entra ID P1 a platnou licenci Defenderu for Cloud Apps.
Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s podmíněným řízením aplikací pro přístup
Při vytváření zásad přístupu nebo relací se může zobrazit následující chybová zpráva: Nemáte nasazené žádné aplikace s řízením podmíněného přístupu k aplikacím. Tato chyba značí, že aplikace je aplikace bez microsoftu, která nebyla onboardována pro řízení podmíněného přístupu.
Doporučené kroky
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací. V části Připojené aplikace vyberte aplikace řízení podmíněného přístupu.
Pokud se zobrazí zpráva , že nejsou připojené žádné aplikace, nasaďte aplikace pomocí následujících příruček:
Pokud při nasazování aplikace narazíte na nějaké problémy, podívejte se na problémy při onboardingu aplikace.
Nejde vytvořit zásady relace pro aplikaci
Po onboardingu aplikace jiného než Microsoftu pro řízení podmíněného přístupu k aplikacím se na stránce aplikace Řízení podmíněného přístupu může zobrazit možnost: Požádat o řízení relace.
Poznámka:
Aplikace katalogu mají předběžné ovládací prvky relace. Pro všechny ostatní aplikace, které nejsou zprostředkovatele identity Od Microsoftu, musíte projít procesem samoobslužného onboardingu. Doporučené kroky
Nasaďte aplikaci do řízení relace. Další informace najdete v tématu Onboarding vlastních aplikací jiných než Microsoft IdP pro řízení aplikací podmíněného přístupu.
Vytvořte zásadu relace a vyberte filtr aplikace .
Ujistěte se, že je vaše aplikace teď uvedená v rozevíracím seznamu.
Nelze zvolit metodu kontroly: Služba klasifikace dat
V zásadách relace můžete při použití typu řízení stahování souboru (s kontrolou) použít metodu kontroly služby klasifikace dat ke kontrole souborů v reálném čase a zjišťovat citlivý obsah, který odpovídá některému z nakonfigurovaných kritérií.
Pokud není metoda kontroly služby klasifikace dat dostupná, prošetřete problém pomocí následujících kroků.
Doporučené kroky
Ověřte, zda je typ ovládacího prvku Relace nastaven na Možnost Řízení stahování souborů (s kontrolou).
Poznámka:
Metoda kontroly služby klasifikace dat je k dispozici pouze pro možnost Stažení kontrolního souboru (s kontrolou).
Určete, jestli je funkce Služby klasifikace dat dostupná ve vaší oblasti:
- Pokud tato funkce není ve vaší oblasti dostupná, použijte metodu kontroly integrované ochrany před únikem informací .
- Pokud je funkce dostupná ve vaší oblasti, ale stále nevidíte metodu kontroly služby klasifikace dat, otevřete lístek podpory.
Nejde zvolit akci: Chránit
Při použití typu řízení stahování souborů (s kontrolou) v zásadách relace můžete kromě akcí Monitorování a blokování zadat i akci Chránit . Tato akce umožňuje povolit stahování souborů s možností šifrování nebo použití oprávnění k souboru na základě podmínek, kontroly obsahu nebo obojího.
Pokud není akce Chránit dostupná, prošetřete problém pomocí následujících kroků.
Doporučené kroky
Pokud akce Chránit není dostupná nebo je neaktivní, ověřte, že máte licenci Microsoft Purview. Další informace najdete v tématu Integrace služby Microsoft Purview Information Protection.
Pokud je akce Chránit dostupná, ale nezobrazují se příslušné popisky.
V programu Defender for Cloud Apps na řádku nabídek vyberte ikonu >nastavení Microsoft Information Protection a ověřte, že je integrace povolená.
U popisků Office se na portálu Microsoft Purview ujistěte, že je vybráno sjednocené popisování .
Diagnostika a řešení potíží pomocí panelu nástrojů Zobrazení pro správu
Panel nástrojů Zobrazení pro správu se nachází v dolní části obrazovky a poskytuje nástrojům pro uživatele s oprávněními správce k diagnostice a řešení potíží s řízením podmíněného přístupu k aplikacím.
Pokud chcete zobrazit panel nástrojů Zobrazení správce, musíte v nastavení XDR v programu Microsoft Defender přidat konkrétní uživatelské účty správce do seznamu onboardingu a údržby aplikace.
Přidání uživatele do seznamu onboardingu a údržby aplikace:
V XDR v programu Microsoft Defender vyberte Nastavení>cloudových aplikací.
Posuňte se dolů a v části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikace.
Zadejte hlavní název nebo e-mailovou adresu správce, kterého chcete přidat.
Vyberte možnost Povolit těmto uživatelům obejít řízení podmíněného přístupu k aplikacím v rámci možnosti proxied session a pak vyberte Uložit.
Příklad:
Při příštím spuštění nové relace v podporované aplikaci, kde je správcem, se v dolní části prohlížeče zobrazí panel nástrojů Zobrazení správce.
Například na následujícím obrázku je panel nástrojů Zobrazení pro správu, který se zobrazuje v dolní části okna prohlížeče při použití OneNotu v prohlížeči:
Následující části popisují, jak pomocí panelu nástrojů Zobrazení pro správu otestovat a řešit potíže.
Testovací režim
Jako uživatel s rolí správce můžete chtít otestovat opravy nadcházejících chyb proxy serveru, než se plně nasadí nejnovější verze pro všechny tenanty. Poskytněte svůj názor na opravu chyb týmu podpory Microsoftu, který vám pomůže zrychlit cykly vydávání verzí.
V testovacím režimu se ke změnám v opravách chyb zobrazí jenom uživatelé s oprávněními správce. Na ostatní uživatele to nemá žádný vliv.
- Pokud chcete zapnout testovací režim, vyberte na panelu nástrojů Zobrazení správce testovací režim.
- Po dokončení testování se výběrem možnosti Ukončit testovací režim vraťte k běžným funkcím.
Obejít relaci proxy serveru
Pokud používáte prohlížeč mimo Edge a máte potíže s přístupem k aplikaci nebo ji načítáte, můžete zkontrolovat, jestli se jedná o problém s proxy serverem podmíněného přístupu spuštěním aplikace bez proxy serveru.
Pokud chcete proxy obejít, vyberte na panelu nástrojů Zobrazení správce možnost Vynechat prostředí. Ověřte, že se relace vynechá, a to tak, že si povedete, že adresa URL není přípona.
Proxy podmíněný přístup se použije znovu v další relaci.
Další informace najdete v tématu Řízení podmíněného přístupu aplikací v programu Microsoft Defender for Cloud Apps a ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).
Druhé přihlášení (označované také jako "druhé přihlášení"))
Některé aplikace mají více než jeden přímý odkaz pro přihlášení. Pokud nedefinujete přihlašovací odkazy v nastavení aplikace, můžou být uživatelé při přihlášení přesměrováni na nerozpoznanou stránku, která blokuje přístup.
Integrace mezi zprostředkovatele identity, jako je Id Microsoft Entra, je založená na zachycení přihlášení aplikace a jeho přesměrování. To znamená, že přihlášení v prohlížeči nejde ovládat přímo bez aktivace druhého přihlášení. Abychom mohli aktivovat druhé přihlášení, musíme pro tento účel použít druhou přihlašovací adresu URL.
Pokud aplikace používá jiné, může být druhé přihlášení pro uživatele transparentní nebo se jim zobrazí výzva k opětovnému přihlášení.
Pokud není pro koncového uživatele transparentní, přidejte do nastavení aplikace druhou přihlašovací adresu URL:
Přechod na Nastavení > cloudových aplikací Připojených > aplikací > pro podmíněný přístup k aplikacím pro řízení aplikací
Vyberte příslušnou aplikaci a pak vyberte tři tečky.
Vyberte Upravit aplikaci\Rozšířená konfigurace přihlášení.
Přidejte druhou přihlašovací adresu URL uvedenou na chybové stránce.
Pokud jste si jistí, že aplikace nepoužívá nic jiného, můžete ji zakázat úpravou nastavení aplikací, jak je popsáno v části Pomalé přihlášení.
Záznam relace
Možná budete chtít pomoct s analýzou původní příčiny problému odesláním záznamu relace technikům podpory Microsoftu. K záznamu relace použijte panel nástrojů Zobrazení správce.
Poznámka:
Ze záznamů se odeberou všechny osobní údaje.
Záznam relace:
Na panelu nástrojů Zobrazení správce vyberte Záznam relace. Po zobrazení výzvy vyberte Pokračovat a přijměte podmínky. Příklad:
Pokud je potřeba začít simulovat relaci, přihlaste se k aplikaci.
Po dokončení nahrávání scénáře nezapomeňte na panelu nástrojů Zobrazení pro správu vybrat možnost Zastavit nahrávání.
Zobrazení zaznamenaných relací:
Po dokončení nahrávání zobrazte zaznamenané relace tak, že na panelu nástrojů Zobrazení správce vyberete záznamy relací. Zobrazí se seznam zaznamenaných relací z předchozích 48 hodin. Příklad:
Pokud chcete spravovat nahrávky, vyberte soubor a pak podle potřeby vyberte Odstranit nebo Stáhnout . Příklad:
Přidání domén pro aplikaci
Přidružení správných domén k aplikaci umožňuje Defenderu for Cloud Apps vynucovat zásady a aktivity auditu.
Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, zablokuje se stahování souborů aplikací z této domény. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, ale nebudou blokovány a akce se nebude auditovat v protokolu aktivit.
Pokud správce přejde v aplikaci proxid do nerozpoznané domény, nástroj Defender for Cloud Apps nebere v úvahu část stejné aplikace nebo jiné aplikace, zobrazí se zpráva Nerozpoznaná doména s výzvou správce k přidání domény, aby ji příště chránil. V takových případech, pokud správce nechce přidat doménu, není potřeba žádná akce.
Poznámka:
Defender for Cloud Apps stále přidává příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.
Přidání domén pro aplikaci:
Otevřete aplikaci v prohlížeči a na obrazovce se zobrazí panel nástrojů Zobrazení správce Defenderu for Cloud Apps.
Na panelu nástrojů Zobrazení pro správu vyberte Zjištěné domény.
V podokně Zjištěné domény si poznamenejte uvedené názvy domén nebo seznam exportujte jako .csv soubor.
Podokno Zjištěné domény zobrazuje seznam všech domén, které nejsou přidružené k aplikaci. Názvy domén jsou plně kvalifikované.
V XDR v programu Microsoft Defender vyberte Nastavení>aplikací připojených ke cloudovým>aplikacím>podmíněné řízení přístupu k aplikacím.
Vyhledejte aplikaci v tabulce. Vyberte nabídku možností napravo a pak vyberte Upravit aplikaci.
Do pole Uživatelem definované domény zadejte domény, které chcete přidružit k této aplikaci.
Pokud chcete zobrazit seznam domén, které už jsou v aplikaci nakonfigurované, vyberte odkaz Zobrazit domény aplikace.
Při přidávání domén zvažte, jestli chcete přidat konkrétní domény, nebo použít hvězdičku (*****as zástupný znak pro použití více domén najednou.
Například jsou
sub2.contoso.compříkladysub1.contoso.comkonkrétních domén. Pokud chcete přidat obě tyto domény najednou i jiné domény na stejné úrovni, použijte*.contoso.com.
Další informace najdete v tématu Ochrana aplikací pomocí Řízení podmíněného přístupu aplikací v programu Microsoft Defender for Cloud Apps.