Problembehandlung für Zugriffs- und Sitzungssteuerung für Endbenutzer

  • Artikel

Dieser Artikel gibt Microsoft Defender for Cloud Apps-Administratoren Anleitungen zur Untersuchung und Behebung allgemeiner Zugriffs- und Sitzungssteuerungsprobleme an die Hand, die Endbenutzer erlebt haben.

Überprüfen der Mindestanforderungen

Bevor Sie mit der Problembehandlung beginnen, stellen Sie sicher, dass Ihre Umgebung die folgenden allgemeinen Mindestanforderungen für Zugriffs- und Sitzungssteuerelemente erfüllt.

Anforderung Beschreibung
Lizenzierung Stellen Sie sicher, dass Sie über eine gültige Lizenz für Microsoft Defender for Cloud Apps verfügen.
Single Sign-On (SSO) Apps müssen mit einer der unterstützten Lösungen für einmaliges Anmelden (Single Sign-On, SSO) konfiguriert werden:

– Microsoft Entra-ID mit SAML 2.0 oder OpenID Connect 2.0
- Nicht von Microsoft stammende IdP mit SAML 2.0
Browserunterstützung Sitzungssteuerelemente sind für browserbasierte Sitzungen in den neuesten Versionen der folgenden Browser verfügbar:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Auch für den browserinternen Schutz für Microsoft Edge gelten besondere Anforderungen, einschließlich der Anforderungen des mit seinem Arbeitsprofil angemeldeten Benutzers. Weitere Informationen finden Sie unter Anforderungen für browserinternen Schutz.
Ausfallzeit Mit Defender for Cloud Apps können Sie das Standardverhalten definieren, das angewendet werden soll, wenn eine Dienstunterbrechung auftritt, z. B. eine Komponente, die nicht ordnungsgemäß funktioniert.

Sie könnten sich beispielsweise dafür entscheiden, Benutzer daran zu hindern (zu blockieren) oder zu verhindern (zuzulassen), dass sie Aktionen für potenziell vertrauliche Inhalte ausführen, wenn die normalen Richtlinienkontrollen nicht durchgesetzt werden können.

Um das Standardverhalten während der Systemausfallzeit zu konfigurieren, gehen Sie in Microsoft Defender XDR zu Einstellungen>Zugriffsbedingte Access-App>Standardverhalten>zulassen oder blockieren des Zugriffs.

Die Benutzerüberwachungsseite wird nicht angezeigt

Wenn Sie einen Benutzer über Defender for Cloud Apps weiterleiten, können Sie den Benutzer darüber informieren, dass seine Sitzung überwacht wird. Standardmäßig ist die Benutzerüberwachungsseite aktiviert.

In diesem Abschnitt werden die Schritte zur Problembehandlung beschrieben, die wir Ihnen empfehlen, wenn die Seite zur Benutzerüberwachung aktiviert ist, aber nicht wie erwartet angezeigt wird.

Empfohlene Schritte

  1. Wählen Sie in Microsoft Defender for Cloud Apps die Option Einstellungen>Cloud-Apps.

  2. Wählen Sie unter App-Steuerung für bedingten Zugriff die OptionBenutzerüberwachungaus. Auf dieser Seite werden die Optionen für die Benutzerüberwachung angezeigt, die in Defender for Cloud Apps verfügbar sind. Beispiel:

    Screenshot of the user monitoring options.

  3. Vergewissern Sie sich, dass die OptionBenutzer benachrichtigen, dass ihre Aktivität überwacht wird, ausgewählt ist.

  4. Wählen Sie aus, ob Sie die Standardnachricht verwenden oder eine benutzerdefinierte Nachricht bereitstellen möchten:

    Nachrichtentyp Details
    Standard Header:
    Der Zugriff auf [App-Name wird hier angezeigt] wird überwacht.
    Text:
    Um die Sicherheit zu verbessern, ermöglicht Ihre Organisation den Zugriff auf [App-Name wird hier angezeigt] im Monitormodus. Der Zugriff ist nur über einen Webbrowser verfügbar.
    Benutzerdefiniert Header:
    Verwenden Sie dieses Feld, um eine benutzerdefinierte Überschrift bereitzustellen, um Benutzer zu informieren, die überwacht werden.
    Text:
    Verwenden Sie dieses Feld, um weitere benutzerdefinierte Informationen für den Benutzer hinzuzufügen, z. B. an wen er sich bei Fragen wenden kann. Die folgenden Eingaben werden unterstützt: Nur-Text, Rich-Text, Hyperlinks.

  5. Wählen Sie Vorschau aus, um die Benutzerüberwachungsseite zu überprüfen, die vor dem Zugriff auf eine App angezeigt wird.

  6. Wählen Sie Speichern.

Nicht in der Lage, von einem nicht von Microsoft stammenden Identitätsanbieter auf die App zuzugreifen

Wenn ein Endbenutzer nach der Anmeldung bei einer App von einem Nicht-Microsoft-Identitätsanbieter einen allgemeinen Fehler erhält, überprüfen Sie die Nicht-Microsoft IdP-Konfiguration.

Empfohlene Schritte

  1. Wählen Sie in Microsoft Defender for Cloud Apps die Option Einstellungen>Cloud Apps.

  2. Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.

  3. Wählen Sie in der App-Liste in der Zeile mit der von Ihnen bereitgestellten App die drei Punkte am Ende der Zeile aus und anschließend App bearbeiten.

    1. Überprüfen Sie, ob das hochgeladene SAML-Zertifikat korrekt ist.

    2. Stellen Sie sicher, dass in der App-Konfiguration gültige SSO-URLs angegeben sind.

    3. Überprüfen Sie, ob die Attribute und Werte in der benutzerdefinierten App in den Identitätsanbietereinstellungen widergespiegelt werden.

    Beispiel:

    Screenshot of the SAML information page..

  4. Wenn Sie immer noch nicht auf die App zugreifen können, öffnen Sie ein Supportticket.

Die Seite Nicht geklappt wird angezeigt

Manchmal wird während einer proxizierten Sitzung die Seite "Etwas nicht geklappt " angezeigt. Dies kann passieren, wenn:

  • Ein Benutzer sich nach einer Weile im Leerlauf anmeldet.
  • Das Aktualisieren des Browsers und der Seitenladevorgang länger dauert als erwartet.
  • Die Nicht-Microsoft IdP-App nicht ordnungsgemäß konfiguriert ist.

Empfohlene Schritte

  1. Wenn der Endbenutzer versucht, auf eine App zuzugreifen, die mit einem nicht von Microsoft stammenden IdP konfiguriert ist, lesen SieNicht in der Lage, von einem nicht von Microsoft stammenden IdP auf die App zuzugreifen und App-Status : Setup fortsetzen.

  2. Wenn der Endbenutzer diese Seite unerwartet erreicht hat, gehen Sie wie folgt vor:

    1. Starten Sie Ihre Browsersitzung neu.
    2. Löschen Sie den Verlauf, Cookies und Cache aus dem Browser.

Zwischenablageaktionen oder Dateisteuerelemente werden nicht blockiert

Die Möglichkeit, Zwischenablageaktionen wie Ausschneiden, Kopieren, Einfügen und Dateisteuerelemente wie Herunterladen, Hochladen und Drucken zu blockieren, ist erforderlich, um Datenexfiltrations- und Infiltrationsszenarien zu verhindern.

Mit dieser Fähigkeit können Unternehmen für die Endnutzer Sicherheit einerseits und Produktivität andererseits ausgleichen. Wenn Probleme mit diesen Features auftreten, führen Sie die folgenden Schritte aus, um das Problem zu untersuchen.

Hinweis

Ausschneiden, Kopieren und Einfügen werden für Daten innerhalb desselben Excel-Dokuments nicht blockiert. Nur das Kopieren an externe Speicherorte wird blockiert.

Empfohlene Schritte

Wenn die Sitzung proxiert wird, führen Sie die folgenden Schritte aus, um die Richtlinie zu überprüfen:

  1. Wählen Sie im Microsoft Defender Portal unter Cloud Apps das Aktivitätsprotokoll aus.

  2. Verwenden Sie den erweiterten Filter, wählen Sie Angewendete Aktion aus, und legen Sie den Wert auf Blockiertfest.

  3. Überprüfen Sie, ob blockierte Dateiaktivitäten vorhanden sind:

    1. Wenn eine Aktivität vorhanden ist, erweitern Sie die Aktivitätsschublade, indem Sie auf die Aktivität klicken.

    2. Wählen Sie auf der Registerkarte "Allgemein" der Aktivitätsschublade den Link "Übereinstimmende Richtlinien" aus, um zu überprüfen, ob die von Ihnen erzwungene Richtlinie vorhanden ist.

    3. Wenn Ihre Richtlinie nicht angezeigt wird, lesen Sie Probleme beim Erstellen von Zugriffs- und Sitzungsrichtlinien.

    4. Wenn Access aufgrund des Standardverhaltens blockiert/zulässig ist, gibt dies an, dass das System ausgefallen ist und das Standardverhalten angewendet wurde.

      1. Um das Standardverhalten zu ändern, wählen Sie im Microsoft Defender Portal Einstellungen aus. Wählen Sie dann Cloud Apps aus. Wählen Sie dann unter App-Steuerung für bedingten Zugriff dasStandardverhalten aus und legen Sie das Standardverhalten auf Zugriff zulassen oder Zugriff blockieren fest.

      2. Wechseln Sie zum Microsoft 365-Verwaltungsportal und überwachen Sie Benachrichtigungen über Systemausfallzeiten.

  4. Wenn Sie weiterhin keine blockierten Aktivitäten sehen können, öffnen Sie ein Supportticket.

Downloads werden nicht geschützt

Als Endbenutzer kann das Herunterladen vertraulicher Daten auf einem nicht verwalteten Gerät erforderlich sein. In diesen Szenarien können Sie Dokumente mit Microsoft Purview Information Protection schützen.

Wenn der Endbenutzer das Dokument nicht erfolgreich verschlüsseln kann, führen Sie die folgenden Schritte aus, um das Problem zu untersuchen.

Empfohlene Schritte

  1. Wählen Sie im Microsoft Defender Portal unter Cloud Apps das Aktivitätsprotokoll aus.

  2. Verwenden Sie den erweiterten Filter, wählen Sie Angewendet aus und legen Sie den Wert auf Geschützt fest.

  3. Überprüfen Sie, ob blockierte Dateiaktivitäten vorhanden sind:

    1. Wenn eine Aktivität vorhanden ist, erweitern Sie die Aktivitätsschublade, indem Sie auf die Aktivität klicken.

    2. Wählen Sie auf der Registerkarte "Allgemein" der Aktivitätsschublade den Link "Übereinstimmende Richtlinien" aus, um zu überprüfen, ob die von Ihnen erzwungene Richtlinie vorhanden ist.

    3. Wenn Ihre Richtlinie nicht angezeigt wird, lesen Sie Probleme beim Erstellen von Zugriffs- und Sitzungsrichtlinien.

    4. Wenn Access aufgrund des Standardverhaltens blockiert/zulässig ist, gibt dies an, dass das System ausgefallen ist und das Standardverhalten angewendet wurde.

      1. Um das Standardverhalten zu ändern, wählen Sie im Microsoft Defender Portal Einstellungen aus. Wählen Sie dann Cloud Apps aus. Wählen Sie dann unter App-Steuerung für bedingten Zugriff das Standardverhaltenaus und legen Sie das Standardverhalten auf Zugriff zulassen oder Zugriff blockieren fest.

      2. Wechseln Sie zum Microsoft 365 Service Health Dashboard und überwachen Sie Benachrichtigungen über Systemausfallzeiten.

    5. Wenn Sie die Datei mit einer AIP-Bezeichnung oder benutzerdefinierten Berechtigungen schützen, stellen Sie in der Aktivitätsbeschreibung sicher, dass die Dateierweiterung einer der folgenden unterstützten Dateitypen ist:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF , wenn Unified Labeling aktiviert ist

    Wenn der Dateityp nicht unterstützt wird, können Sie in der Sitzungsrichtlinie Download aller Dateien blockieren,die von systemeigenem Schutz nicht unterstützt werden, oder wenn der systemeigene Schutz nicht erfolgreich ist auswählen.

  4. Wenn Sie weiterhin keine blockierten Aktivitäten sehen können, öffnen Sie ein Supportticket.

Navigieren zu einer bestimmten URL einer suffixierten App und Landung auf einer generischen Seite

In einigen Szenarien kann die Navigation zu einem Link dazu führen, dass der Benutzer auf der Startseite der App landet und nicht beim vollständigen Pfad des Links.

Tipp

Defender for Cloud Apps Standard enthält eine Liste von Apps, die bekanntermaßen unter Kontextverlusten leiden. Weitere Informationen finden Sie unter Einschränkungen bei Kontextverlusten.

Empfohlene Schritte

Wenn Sie einen anderen Browser als Microsoft Edge verwenden und ein Benutzer auf der Startseite der App statt beim vollständigen Pfad des Links landet, beheben Sie das Problem, indem Sie .mcas.ms an die ursprüngliche URL anfügen.

Wenn die ursprüngliche URL lautet:

https://www.github.com/organization/threads/threadnumber, ändern Sie sie in https://www.github.com.mcas.ms/organization/threads/threadnumber

Microsoft Edge-Benutzer profitieren vom browserinternen Schutz, werden nicht zu einem Reverseproxy umgeleitet und sollten das Suffix .mcas.ms nicht hinzufügen müssen. Öffnen Sie für Apps, die einen Kontextverlust haben, ein Supportticket.

Das Blockieren von Downloads führt dazu, dass PDF-Vorschauen blockiert werden

Wenn Sie PDF-Dateien in der Vorschau anzeigen oder drucken, initiieren Apps gelegentlich einen Download der Datei. Dies führt dazu, dass Defender for Cloud Apps eingreifen kann, um sicherzustellen, dass der Download blockiert wird und dass Daten nicht aus Ihrer Umgebung verloren gehen.

Wenn Sie beispielsweise eine Sitzungsrichtlinie zum Blockieren von Downloads für Outlook Web Access (OWA) erstellt haben, wird möglicherweise eine Vorschau oder das Drucken von PDF-Dateien blockiert, wobei eine Meldung wie folgt angezeigt wird:

Screenshot of a Download blocked message.

Um die Vorschau zuzulassen, sollte ein Exchange-Administrator die folgenden Schritte ausführen:

  1. Installieren Sie das Exchange Online PowerShell-Modul

  2. Stellen Sie die Verbindung zum Modul her. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  3. Nachdem Sie eine Verbindung mit Exchange Online PowerShell hergestellt haben, verwenden Sie das Cmdlet Set-OwaMailboxPolicy, um die Parameter in der Richtlinie zu aktualisieren:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Hinweis

    Die OwaMailboxPolicy-Default-Richtlinie ist der standardmäßige OWA-Richtlinienname in Exchange Online. Einige Kunden haben möglicherweise zusätzliche oder eine benutzerdefinierte OWA-Richtlinie mit einem anderen Namen bereitgestellt. Wenn Sie über mehrere OWA-Richtlinien verfügen, werden sie möglicherweise auf bestimmte Benutzer angewendet. Daher müssen Sie sie auch aktualisieren, um eine vollständige Abdeckung zu erhalten.

  4. Nachdem diese Parameter festgelegt wurden, führen Sie einen Test auf OWA mit einer PDF-Datei und einer Sitzungsrichtlinie durch, die zum Blockieren von Downloads konfiguriert ist. Die OptionHerunterladen sollte aus der Dropdownliste entfernt werden, und Sie können eine Vorschau der Datei anzeigen. Beispiel:

    Screenshot of a PDF preview not blocked.

Warnung „Ähnliche Website“ wird angezeigt

Böswillige Akteure können URLs erstellen, die den URLs anderer Websites ähneln, um Benutzer glauben zu machen, dass sie zu einer anderen Website navigieren. Einige Browser versuchen, dieses Verhalten zu erkennen und Benutzer vor dem Zugriff auf die URL zu warnen oder den Zugriff zu blockieren.

In einigen seltenen Fällen erhalten Benutzer unter sitzungssteuerung eine Meldung vom Browser, die verdächtigen Websitezugriff angibt. Der Grund dafür ist, dass der Browser das Suffix do behandelt Standard (z. B. : .mcas.ms) als verdächtig.

Diese Meldung wird nur für Chrome-Benutzer angezeigt, da Microsoft Edge-Benutzer vom browserinternen Schutz ohne die Reverseproxy-Architektur profitieren. Beispiel:

Screenshot of a similar site warning in Chrome.

Wenn Sie eine solche Meldung erhalten, wenden Sie sich an den Support von Microsoft, um die Angelegenheit mit dem entsprechenden Browser-Anbieter zu klären.

Zweite Anmeldung (auch „zweite Anmeldung“ genannt)

Einige Anwendungen verfügen über mehr als einen Deep-Link, um sich anzumelden. Sofern Sie die Anmeldelinks nicht in den App-Einstellungen definieren, werden Benutzer bei der Anmeldung möglicherweise auf eine unbekannte Seite umgeleitet, wodurch ihr Zugriff blockiert wird.

Die Integration zwischen IdPs wie Microsoft Entra ID basiert auf dem Abfangen und Umleiten einer App-Anmeldung. Dies bedeutet, dass Browseranmeldungen nicht direkt gesteuert werden können, ohne eine zweite Anmeldung auszulösen. Um eine zweite Anmeldung auszulösen, müssen wir eine zweite Anmelde-URL speziell für diesen Zweck verwenden.

Wenn die App eine Nonce verwendet, ist die zweite Anmeldung für Benutzer möglicherweise transparent, oder sie werden aufgefordert, sich erneut anzumelden.

Wenn sie für den Endbenutzer nicht transparent ist, fügen Sie die zweite Anmelde-URL zu den App-Einstellungen hinzu:

  1. Gehen Sie zu „Einstellungen“, „Cloud-Apps“, „Verbundene Apps“, „App-Steuerung für bedingten Zugriff“.

  2. Wählen Sie die entsprechende App und dann die drei Punkte aus.

  3. Wählen Sie App bearbeiten\Erweiterte Anmeldekonfiguration aus.

  4. Fügen Sie die zweite Anmelde-URL wie auf der Fehlerseite erwähnt hinzu.

Wenn Sie sicher sind, dass die App keine Nonce verwendet, können Sie dies deaktivieren, indem Sie die App-Einstellungen, wie unter Langsame Anmeldungen beschrieben, bearbeiten.

Weitere Überlegungen zur Problembehandlung bei Apps

Bei der Problembehandlung von Apps gibt es noch einige weitere Dinge zu beachten:

  • Die Unterstützung von Sitzungssteuerelementen für moderne Browser Defender for Cloud Apps umfasst jetzt Unterstützung für den neuen Microsoft Edge-Browser, der auf Chromium basiert. Während wir weiterhin die neuesten Versionen von Internet Explorer und die Ältere Version von Microsoft Edge unterstützen, ist die Unterstützung eingeschränkt und wir empfehlen die Verwendung des neuen Microsoft Edge-Browsers.

  • Einschränkung des Schutzes von Sitzungssteuerungen Die Kennzeichnung der gemeinsamen Dokumenterstellung unter der Aktion "protect" wird nicht von Defender for Cloud Apps-Sitzungssteuerungen unterstützt. Weitere Informationen finden Sie unter Aktivieren der gemeinsamen Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.

Nächste Schritte

Weitere Informationen finden Sie unter Problembehandlung füri Zugriffs- und Sitzungssteuerung für Adminbenutzer.