Problembehandlung für Zugriffs- und Sitzungssteuerung für Endbenutzer
Dieser Artikel gibt Microsoft Defender for Cloud Apps-Administratoren Anleitungen zur Untersuchung und Behebung allgemeiner Zugriffs- und Sitzungssteuerungsprobleme an die Hand, die Endbenutzer erlebt haben.
Überprüfen der Mindestanforderungen
Bevor Sie mit der Problembehandlung beginnen, stellen Sie sicher, dass Ihre Umgebung die folgenden allgemeinen Mindestanforderungen für Zugriffs- und Sitzungssteuerelemente erfüllt.
Anforderung | Beschreibung |
---|---|
Lizenzierung | Stellen Sie sicher, dass Sie über eine gültige Lizenz für Microsoft Defender for Cloud Apps verfügen. |
Single Sign-On (SSO) | Apps müssen mit einer der unterstützten Lösungen für einmaliges Anmelden (Single Sign-On, SSO) konfiguriert werden: – Microsoft Entra-ID mit SAML 2.0 oder OpenID Connect 2.0 - Nicht von Microsoft stammende IdP mit SAML 2.0 |
Browserunterstützung | Sitzungssteuerelemente sind für browserbasierte Sitzungen in den neuesten Versionen der folgenden Browser verfügbar: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Auch für den browserinternen Schutz für Microsoft Edge gelten besondere Anforderungen, einschließlich der Anforderungen des mit seinem Arbeitsprofil angemeldeten Benutzers. Weitere Informationen finden Sie unter Anforderungen für browserinternen Schutz. |
Ausfallzeit | Mit Defender for Cloud Apps können Sie das Standardverhalten definieren, das angewendet werden soll, wenn eine Dienstunterbrechung auftritt, z. B. eine Komponente, die nicht ordnungsgemäß funktioniert. Sie könnten sich beispielsweise dafür entscheiden, Benutzer daran zu hindern (zu blockieren) oder zu verhindern (zuzulassen), dass sie Aktionen für potenziell vertrauliche Inhalte ausführen, wenn die normalen Richtlinienkontrollen nicht durchgesetzt werden können. Um das Standardverhalten während der Systemausfallzeit zu konfigurieren, gehen Sie in Microsoft Defender XDR zu Einstellungen>Zugriffsbedingte Access-App>Standardverhalten>zulassen oder blockieren des Zugriffs. |
Die Benutzerüberwachungsseite wird nicht angezeigt
Wenn Sie einen Benutzer über Defender for Cloud Apps weiterleiten, können Sie den Benutzer darüber informieren, dass seine Sitzung überwacht wird. Standardmäßig ist die Benutzerüberwachungsseite aktiviert.
In diesem Abschnitt werden die Schritte zur Problembehandlung beschrieben, die wir Ihnen empfehlen, wenn die Seite zur Benutzerüberwachung aktiviert ist, aber nicht wie erwartet angezeigt wird.
Empfohlene Schritte
Wählen Sie in Microsoft Defender for Cloud Apps die Option Einstellungen>Cloud-Apps.
Wählen Sie unter App-Steuerung für bedingten Zugriff die OptionBenutzerüberwachung aus. Auf dieser Seite werden die Optionen für die Benutzerüberwachung angezeigt, die in Defender for Cloud Apps verfügbar sind. Zum Beispiel:
Vergewissern Sie sich, dass die OptionBenutzer benachrichtigen, dass ihre Aktivität überwacht wird, ausgewählt ist.
Wählen Sie aus, ob Sie die Standardnachricht verwenden oder eine benutzerdefinierte Nachricht bereitstellen möchten:
Nachrichtentyp Details Standard Header:
Der Zugriff auf [App-Name wird hier angezeigt] wird überwacht.
Text:
Um die Sicherheit zu verbessern, ermöglicht Ihre Organisation den Zugriff auf [App-Name wird hier angezeigt] im Monitormodus. Der Zugriff ist nur über einen Webbrowser verfügbar.Benutzerdefiniert Header:
Verwenden Sie dieses Feld, um eine benutzerdefinierte Überschrift bereitzustellen, um Benutzer zu informieren, die überwacht werden.
Text:
Verwenden Sie dieses Feld, um weitere benutzerdefinierte Informationen für den Benutzer hinzuzufügen, z. B. an wen er sich bei Fragen wenden kann. Die folgenden Eingaben werden unterstützt: Nur-Text, Rich-Text, Hyperlinks.Wählen Sie Vorschau aus, um die Benutzerüberwachungsseite zu überprüfen, die vor dem Zugriff auf eine App angezeigt wird.
Wählen Sie Speichern.
Nicht in der Lage, von einem nicht von Microsoft stammenden Identitätsanbieter auf die App zuzugreifen
Wenn ein Endbenutzer nach der Anmeldung bei einer App von einem Nicht-Microsoft-Identitätsanbieter einen allgemeinen Fehler erhält, überprüfen Sie die Nicht-Microsoft IdP-Konfiguration.
Empfohlene Schritte
Wählen Sie in Microsoft Defender for Cloud Apps die Option Einstellungen>Cloud Apps.
Wählen Sie unter Verbundene Apps die Option App-Steuerung für bedingten Zugriff.
Wählen Sie in der App-Liste in der Zeile mit der von Ihnen bereitgestellten App die drei Punkte am Ende der Zeile aus und anschließend App bearbeiten.
Überprüfen Sie, ob das hochgeladene SAML-Zertifikat korrekt ist.
Stellen Sie sicher, dass in der App-Konfiguration gültige SSO-URLs angegeben sind.
Überprüfen Sie, ob die Attribute und Werte in der benutzerdefinierten App in den Identitätsanbietereinstellungen widergespiegelt werden.
Zum Beispiel:
.
Wenn Sie immer noch nicht auf die App zugreifen können, öffnen Sie ein Supportticket.
Die Seite Nicht geklappt wird angezeigt
Manchmal wird während einer proxizierten Sitzung die Seite "Etwas nicht geklappt " angezeigt. Dies kann passieren, wenn:
- Ein Benutzer sich nach einer Weile im Leerlauf anmeldet.
- Das Aktualisieren des Browsers und der Seitenladevorgang länger dauert als erwartet.
- Die Nicht-Microsoft IdP-App nicht ordnungsgemäß konfiguriert ist.
Empfohlene Schritte
Wenn der Endbenutzer versucht, auf eine App zuzugreifen, die mit einem nicht von Microsoft stammenden IdP konfiguriert ist, lesen SieNicht in der Lage, von einem nicht von Microsoft stammenden IdP auf die App zuzugreifen und App-Status : Setup fortsetzen.
Wenn der Endbenutzer diese Seite unerwartet erreicht hat, gehen Sie wie folgt vor:
- Starten Sie Ihre Browsersitzung neu.
- Löschen Sie den Verlauf, Cookies und Cache aus dem Browser.
Zwischenablageaktionen oder Dateisteuerelemente werden nicht blockiert
Die Möglichkeit, Zwischenablageaktionen wie Ausschneiden, Kopieren, Einfügen und Dateisteuerelemente wie Herunterladen, Hochladen und Drucken zu blockieren, ist erforderlich, um Datenexfiltrations- und Infiltrationsszenarien zu verhindern.
Mit dieser Fähigkeit können Unternehmen für die Endnutzer Sicherheit einerseits und Produktivität andererseits ausgleichen. Wenn Probleme mit diesen Features auftreten, führen Sie die folgenden Schritte aus, um das Problem zu untersuchen.
Empfohlene Schritte
Wenn die Sitzung proxiert wird, führen Sie die folgenden Schritte aus, um die Richtlinie zu überprüfen:
Wählen Sie im Microsoft Defender Portal unter Cloud Apps das Aktivitätsprotokoll aus.
Verwenden Sie den erweiterten Filter, wählen Sie Angewendete Aktion aus, und legen Sie den Wert auf Blockiertfest.
Überprüfen Sie, ob blockierte Dateiaktivitäten vorhanden sind:
Wenn eine Aktivität vorhanden ist, erweitern Sie die Aktivitätsschublade, indem Sie auf die Aktivität klicken.
Wählen Sie auf der Registerkarte "Allgemein" der Aktivitätsschublade den Link "Übereinstimmende Richtlinien" aus, um zu überprüfen, ob die von Ihnen erzwungene Richtlinie vorhanden ist.
Wenn Ihre Richtlinie nicht angezeigt wird, lesen Sie Probleme beim Erstellen von Zugriffs- und Sitzungsrichtlinien.
Wenn Access aufgrund des Standardverhaltens blockiert/zulässig ist, gibt dies an, dass das System ausgefallen ist und das Standardverhalten angewendet wurde.
Um das Standardverhalten zu ändern, wählen Sie im Microsoft Defender Portal Einstellungen aus. Wählen Sie dann Cloud Apps aus. Wählen Sie dann unter App-Steuerung für bedingten Zugriff dasStandardverhalten aus und legen Sie das Standardverhalten auf Zugriff zulassen oder Zugriff blockieren fest.
Wechseln Sie zum Microsoft 365-Verwaltungsportal und überwachen Sie Benachrichtigungen über Systemausfallzeiten.
Wenn Sie weiterhin keine blockierten Aktivitäten sehen können, öffnen Sie ein Supportticket.
Downloads werden nicht geschützt
Als Endbenutzer kann das Herunterladen vertraulicher Daten auf einem nicht verwalteten Gerät erforderlich sein. In diesen Szenarien können Sie Dokumente mit Microsoft Purview Information Protection schützen.
Wenn der Endbenutzer das Dokument nicht erfolgreich verschlüsseln kann, führen Sie die folgenden Schritte aus, um das Problem zu untersuchen.
Empfohlene Schritte
Wählen Sie im Microsoft Defender Portal unter Cloud Apps das Aktivitätsprotokoll aus.
Verwenden Sie den erweiterten Filter, wählen Sie Angewendet aus und legen Sie den Wert auf Geschützt fest.
Überprüfen Sie, ob blockierte Dateiaktivitäten vorhanden sind:
Wenn eine Aktivität vorhanden ist, erweitern Sie die Aktivitätsschublade, indem Sie auf die Aktivität klicken.
Wählen Sie auf der Registerkarte "Allgemein" der Aktivitätsschublade den Link "Übereinstimmende Richtlinien" aus, um zu überprüfen, ob die von Ihnen erzwungene Richtlinie vorhanden ist.
Wenn Ihre Richtlinie nicht angezeigt wird, lesen Sie Probleme beim Erstellen von Zugriffs- und Sitzungsrichtlinien.
Wenn Access aufgrund des Standardverhaltens blockiert/zulässig ist, gibt dies an, dass das System ausgefallen ist und das Standardverhalten angewendet wurde.
Um das Standardverhalten zu ändern, wählen Sie im Microsoft Defender Portal Einstellungen aus. Wählen Sie dann Cloud Apps aus. Wählen Sie dann unter App-Steuerung für bedingten Zugriff das Standardverhaltenaus und legen Sie das Standardverhalten auf Zugriff zulassen oder Zugriff blockieren fest.
Wechseln Sie zum Microsoft 365 Service Health Dashboard und überwachen Sie Benachrichtigungen über Systemausfallzeiten.
Wenn Sie die Datei mit einem Sensitivitätslabel oder benutzerdefinierten Berechtigungen schützen, stellen Sie in der Aktivitätsbeschreibung sicher, dass die Dateierweiterung einem der folgenden unterstützten Dateitypen entspricht:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF , wenn Unified Labeling aktiviert ist
Wenn der Dateityp nicht unterstützt wird, können Sie in der Sitzungsrichtlinie Download aller Dateien blockieren,die von systemeigenem Schutz nicht unterstützt werden, oder wenn der systemeigene Schutz nicht erfolgreich ist auswählen.
Wenn Sie weiterhin keine blockierten Aktivitäten sehen können, öffnen Sie ein Supportticket.
Navigieren zu einer bestimmten URL einer suffixierten App und Landung auf einer generischen Seite
In einigen Szenarien kann die Navigation zu einem Link dazu führen, dass der Benutzer auf der Startseite der App landet und nicht beim vollständigen Pfad des Links.
Tipp
Defender for Cloud Apps Standard enthält eine Liste von Apps, die bekanntermaßen unter Kontextverlusten leiden. Weitere Informationen finden Sie unter Einschränkungen bei Kontextverlusten.
Empfohlene Schritte
Wenn Sie einen anderen Browser als Microsoft Edge verwenden und ein Benutzer auf der Startseite der App statt beim vollständigen Pfad des Links landet, beheben Sie das Problem, indem Sie .mcas.ms
an die ursprüngliche URL anfügen.
Wenn die ursprüngliche URL lautet:
https://www.github.com/organization/threads/threadnumber
, ändern Sie sie in https://www.github.com.mcas.ms/organization/threads/threadnumber
Microsoft Edge-Benutzer profitieren vom browserinternen Schutz, werden nicht zu einem Reverseproxy umgeleitet und sollten das Suffix .mcas.ms
nicht hinzufügen müssen. Öffnen Sie für Apps, die einen Kontextverlust haben, ein Supportticket.
Das Blockieren von Downloads führt dazu, dass PDF-Vorschauen blockiert werden
Wenn Sie PDF-Dateien in der Vorschau anzeigen oder drucken, initiieren Apps gelegentlich einen Download der Datei. Dies führt dazu, dass Defender for Cloud Apps eingreifen kann, um sicherzustellen, dass der Download blockiert wird und dass Daten nicht aus Ihrer Umgebung verloren gehen.
Wenn Sie beispielsweise eine Sitzungsrichtlinie zum Blockieren von Downloads für Outlook Web Access (OWA) erstellt haben, wird möglicherweise eine Vorschau oder das Drucken von PDF-Dateien blockiert, wobei eine Meldung wie folgt angezeigt wird:
Um die Vorschau zuzulassen, sollte ein Exchange-Administrator die folgenden Schritte ausführen:
Installieren Sie das Exchange Online PowerShell-Modul
Stellen Sie die Verbindung zum Modul her. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Nachdem Sie eine Verbindung mit Exchange Online PowerShell hergestellt haben, verwenden Sie das Cmdlet Set-OwaMailboxPolicy, um die Parameter in der Richtlinie zu aktualisieren:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
Hinweis
Die OwaMailboxPolicy-Default-Richtlinie ist der standardmäßige OWA-Richtlinienname in Exchange Online. Einige Kunden haben möglicherweise zusätzliche oder eine benutzerdefinierte OWA-Richtlinie mit einem anderen Namen bereitgestellt. Wenn Sie über mehrere OWA-Richtlinien verfügen, werden sie möglicherweise auf bestimmte Benutzer angewendet. Daher müssen Sie sie auch aktualisieren, um eine vollständige Abdeckung zu erhalten.
Nachdem diese Parameter festgelegt wurden, führen Sie einen Test auf OWA mit einer PDF-Datei und einer Sitzungsrichtlinie durch, die zum Blockieren von Downloads konfiguriert ist. Die OptionHerunterladen sollte aus der Dropdownliste entfernt werden, und Sie können eine Vorschau der Datei anzeigen. Zum Beispiel:
Warnung „Ähnliche Website“ wird angezeigt
Böswillige Akteure können URLs erstellen, die den URLs anderer Websites ähneln, um Benutzer glauben zu machen, dass sie zu einer anderen Website navigieren. Einige Browser versuchen, dieses Verhalten zu erkennen und Benutzer vor dem Zugriff auf die URL zu warnen oder den Zugriff zu blockieren.
In einigen seltenen Fällen erhalten Benutzer unter sitzungssteuerung eine Meldung vom Browser, die verdächtigen Websitezugriff angibt. Der Grund dafür ist, dass der Browser das Suffix do behandelt Standard (z. B. : .mcas.ms
) als verdächtig.
Diese Meldung wird nur für Chrome-Benutzer angezeigt, da Microsoft Edge-Benutzer vom browserinternen Schutz ohne die Reverseproxy-Architektur profitieren. Zum Beispiel:
Wenn Sie eine solche Meldung erhalten, wenden Sie sich an den Support von Microsoft, um die Angelegenheit mit dem entsprechenden Browser-Anbieter zu klären.
Weitere Überlegungen zur Problembehandlung bei Apps
Bei der Problembehandlung von Apps gibt es noch einige weitere Dinge zu beachten:
Die Unterstützung von Sitzungssteuerelementen für moderne Browser Defender for Cloud Apps umfasst jetzt Unterstützung für den neuen Microsoft Edge-Browser, der auf Chromium basiert. Während wir weiterhin die neuesten Versionen von Internet Explorer und die Ältere Version von Microsoft Edge unterstützen, ist die Unterstützung eingeschränkt und wir empfehlen die Verwendung des neuen Microsoft Edge-Browsers.
Einschränkung des Schutzes von Sitzungssteuerungen Die Kennzeichnung der gemeinsamen Dokumenterstellung unter der Aktion "protect" wird nicht von Defender for Cloud Apps-Sitzungssteuerungen unterstützt. Weitere Informationen finden Sie unter Aktivieren der gemeinsamen Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.