פתרון בעיות גישה ופקדי הפעלה עבור משתמשי ניהול

מאמר זה מספק למנהלי יישומי ענן של Microsoft Defender הדרכה כיצד לחקור ולפתור בעיות נפוצות של בקרת גישה והפעלה, כפי שמנהלי מערכת חווים.

הערה

כל פתרון בעיות הקשור לפונקציונליות ה- Proxy רלוונטי רק עבור הפעלות שתצורתן לא נקבעה להגנה בתוך הדפדפן באמצעות Microsoft Edge.

בדוק דרישות מינימליות

לפני שתתחיל בפתרון בעיות, ודא שהסביבה שלך עומדת בדרישות המינימליות הכלליות הבאות לפקדי גישה והפעלה.

דרישה	תיאור
רישוי	ודא שיש לך רשיון חוקי עבור יישומי ענן של Microsoft Defender.
יחיד Sign-On (SSO)	יש לקבוע את התצורה של יישומים עם אחד מפתרונות ה- SSO הנתמכים: - Microsoft Entra באמצעות SAML 2.0 או OpenID Connect 2.0 - IdP שאינו של Microsoft באמצעות SAML 2.0
תמיכה בדפדפן	פקדי הפעלה זמינים עבור הפעלות מבוססות דפדפן בגירסאות העדכניות ביותר של הדפדפנים הבאים: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari הגנה בתוך הדפדפן עבור Microsoft Edge כוללת גם דרישות ספציפיות, כולל המשתמש שנכנס באמצעות פרופיל העבודה שלו. לקבלת מידע נוסף, ראה דרישות הגנה בתוך הדפדפן.
השבתה	יישומי ענן של Defender מאפשרת לך להגדיר את אופן הפעולה המהווה ברירת מחדל להחלה אם קיימת הפרעה בשירות, כגון רכיב שאינו פועל כראוי. לדוגמה, כאשר לא ניתן לאכוף את פקדי המדיניות הרגילים, ייתכן שתבחר הקשה (חסימה) או לעקוף (לאפשר) ממשתמשים לבצע פעולות בתוכן שעשוי להיות רגיש. כדי לקבוע את תצורת אופן הפעולה המהווה ברירת מחדל במהלך זמן ההשכבה של המערכת, ב- Microsoft Defender XDR,>>> עבור אל הגדרות גישה מותנית בקרת יישום אופן הפעולה המהווה ברירת מחדלאפשראו חסום גישה.

דרישות הגנה בתוך הדפדפן

אם אתה משתמש בהגנה בתוך הדפדפן עם Microsoft Edge ואתה עדיין מקבל שירות באמצעות Proxy הפוך, הקפד לעמוד בדרישות הנו נוספות הבאות:

• התכונה מופעלת בהגדרות Defender XDR שלך. לקבלת מידע נוסף, ראה קביעת תצורה של הגדרות הגנה בתוך הדפדפן.

• כל פריטי המדיניות שהמשתמש מכוסה על-ידים נתמכים עבור Microsoft Edge לעסקים. אם משתמש מקבל מדיניות אחרת אינן נתמכות על-ידי Microsoft Edge לעסקים, הוא תמיד מוגש על-ידי ה- Proxy ההפוך. לקבלת מידע נוסף, ראה דרישות הגנה בתוך הדפדפן.

• אתה משתמש בפלטפורמה נתמכת, כולל מערכת הפעלה נתמכת, פלטפורמת זהות וגירסת Edge. לקבלת מידע נוסף, ראה דרישות הגנה בתוך הדפדפן.

חומר עזר בנושא פתרון בעיות עבור מנהלי מערכת

השתמש בטבלה הבאה כדי למצוא את הבעיה שאתה מנסה לפתור:

סוג בעיה	בעיות
בעיות במצב רשת	שגיאות רשת בעת ניווט לדף דפדפן כניסה איטית שיקולים נוספים לגבי תנאי הרשת
בעיות זיהוי מכשיר	תואם Intune לא מזוהה או Microsoft Entra מחוברים היברידיים אישורי לקוח אינם מוצגים בעת הצפוי אישורי לקוח אינם מוצגים בעת הצפוי אישורי לקוח מתבקשים בכל כניסה שיקולים נוספים לגבי זיהוי מכשיר
בעיות בעת צירוף אפליקציה	האפליקציה אינה מופיעה בדף היישומים לבקרה של יישום הגישה המותנה מצב יישום: להמשך ההתקנהאין אפשרות לקבוע תצורה של פקדים עבור אפליקציות מקוריות האפשרות 'בקש בקרת הפעלה' מופיעה
בעיות בעת יצירת מדיניות גישה והפעלה	במדיניות גישה מותנית, לא ניתן לראות את אפשרות הבקרה של יישום הגישה המותנה הודעת שגיאה בעת יצירת מדיניות: אין לך יישומים שנפרסו באמצעות בקרת יישום גישה מותנית אין אפשרות ליצור מדיניות הפעלה עבור יישום אין אפשרות לבחור את שיטת הבדיקה: שירות סיווג הנתונים אין אפשרות לבחור פעולה: הגנה שיקולים נוספים לגבי צירוף אפליקציות
אבחון ופתרון בעיות באמצעות סרגל הכלים מרכז הניהול התצוגה'	עקוף הפעלת Proxy הקלטת הפעלה הוספת תחומים עבור היישום שלך

בעיות במצב רשת

בעיות נפוצות של מצב רשת שאתה עשוי להיתקל בהן כוללות:

• שגיאות רשת בעת ניווט לדף דפדפן
• כניסה איטית
• שיקולים נוספים

שגיאות רשת בעת ניווט לדף דפדפן

כאשר אתה מגדיר לראשונה את יישומי ענן של Defender גישה ופקדי הפעלה עבור יישום, שגיאות רשת נפוצות שעשויות להתעורר כוללות: אתר זה אינו מאובטח ולא קיים חיבור לאינטרנט. הודעות אלה יכולות לציין שגיאת תצורה כללית של הרשת.

שלבים מומלצים

1. קבע את תצורת חומת האש שלך כך יישומי ענן של Defender באמצעות Azure IP ושמות DNS הרלוונטיים לסביבה שלך.

   1. הוסף יציאה יוצאת 443 עבור כתובות ה- IP ושמות ה- DNS הבאים עבור יישומי ענן של Defender הנתונים שלך.
   2. הפעל מחדש את המכשיר והפעלת הדפדפן
   3. ודא שהכניסה פועלת כצפוי

2. הפוך את TLS 1.2 לזמין באפשרויות האינטרנט של הדפדפן שלך. לדוגמה:

   דפדפן	שלבים
   Microsoft Internet Explorer	1. פתח את Internet Explorer 2. בחירת הכרטיסיה 'אפשרויות>אינטרנט מתקדמות'>של 'כלים ' 3. תחת אבטחה, בחר TLS 1.2 4. בחר החל ולאחר מכן בחר אישור 5. הפעל מחדש את הדפדפן וודא שבאפשרותך לגשת ליישום
   Microsoft Edge / Edge Chromium	1. פתח את החיפוש משורת המשימות וחפש את 'אפשרויות אינטרנט' 2. בחר אפשרויות אינטרנט 3. תחת אבטחה, בחר TLS 1.2 4. בחר החל ולאחר מכן בחר אישור 5. הפעל מחדש את הדפדפן וודא שבאפשרותך לגשת ליישום
   Google Chrome	1. פתח את Google Chrome 2. בפינה השמאלית העליונה, בחר עוד (3 נקודות אנכיות) >הגדרות 3. בחלק התחתון, בחר מתקדם 4. תחת מערכת, בחר פתח הגדרות Proxy 5. בכרטיסיה מתקדם , תחת אבטחה, בחר TLS 1.2 6. בחר אישור 7. הפעל מחדש את הדפדפן וודא שאתה מצליח לגשת ליישום
   Mozilla Firefox	1. פתח את Mozilla Firefox 2. בשורת הכתובת וחפש את "about:config" 3. בתיבת החיפוש, חפש את "TLS" 4. לחץ פעמיים על הערך עבור security.tls.version.min 5. הגדר את ערך המספר השלם ל- 3 כדי לכפות על TLS 1.2 כגירסה המינימלית הנדרשת 6. בחר שמור (סימן ביקורת משמאל לתיבת הערך) 7. הפעל מחדש את הדפדפן וודא שאתה מצליח לגשת ליישום
   Safari	אם אתה משתמש ב- Safari גירסה 7 ואילך, TLS 1.2 זמין באופן אוטומטי

יישומי ענן של Defender בפרוטוקולים Transport Layer Security (TLS) 1.2+ כדי לספק הצפנה הטובה ביותר מסוגה:

• אפליקציות לקוח מקוריות ודפדפנים שאינם תומכים ב- TLS 1.2+ אינם נגישים כאשר הם מוגדרים עם בקרת הפעלה.
• אפליקציות SaaS המשתמשות ב- TLS 1.1 ואילך מופיעות בדפדפן כשימוש ב- TLS 1.2+ כאשר הוא מוגדר עם יישומי ענן של Defender.

עצה

למרות שפקדי הפעלה מיועדים לפעול עם כל דפדפן בכל פלטפורמה ראשית בכל מערכת הפעלה, אנו תומכים בגירסאות העדכניות ביותר של Microsoft Edge, Google Chrome, Mozilla Firefox או Apple Safari. ייתכן שתרצה לחסום או לאפשר גישה באופן ספציפי לאפליקציות למכשירים ניידים או לאפליקציות שולחן עבודה.

כניסה איטית

שרשרות Proxy וטיפול נוניוני הן כמה מהבעיות הנפוצות שעלולות לגרום לביצועי כניסה איטיים.

שלבים מומלצים

קבע את תצורת הסביבה שלך כדי להסיר גורמים שעלולים לגרום להאטות במהלך הכניסה. לדוגמה, ייתכן שיש לך חומות אש או שרשרות Proxy מוגדרות, אשר מחברות שני שרתי Proxy או יותר כדי לנווט לדף המיועד. ייתכן גם שגורמים חיצוניים אחרים משפיעים על האיטיות.

1. זהה אם שרשרת Proxy מתרחשת בסביבה שלך.
2. הסר שרתי Proxy קדימה כאשר הדבר אפשרי.

אפליקציות מסוימות משתמשות ב- Hash תקופתי במהלך אימות כדי למנוע תקיפות הפעלה חוזרת. כברירת מחדל, יישומי ענן של Defender מניחה כי אפליקציה משתמשת ב- Nonce. אם האפליקציה שבה אתה עובד אינה משתמשת מאז, הפוך את הטיפול הנונצי ללא זמין עבור יישום זה ב- יישומי ענן של Defender:

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן.
2. תחת אפליקציות מחוברות, בחר אפליקציות בקרת יישומים של גישה מותנית.
3. ברשימת היישומים, בשורה שבה מופיעה האפליקציה שאתה קובע את תצורתה, בחר את שלוש הנקודות בסוף השורה ולאחר מכן בחר ערוך עבור היישום שלך.
4. בחר טיפול Nonce כדי להרחיב את המקטע ולאחר מכן נקה את הפוך טיפול Nonce לזמין.
5. צא מהיישום וסגור את כל הפעלות הדפדפן.
6. הפעל מחדש את הדפדפן והיכנס שוב לאפליקציה. ודא שהכניסה פועלת כצפוי.

שיקולים נוספים לגבי תנאי הרשת

בעת פתרון בעיות של תנאי רשת, שקול גם את ההערות הבאות לגבי יישומי ענן של Defender ה- Proxy:

• בדוק אם ההפעלה מנותבת למרכז נתונים אחר: יישומי ענן של Defender ב Azure מרכזי נתונים ברחבי העולם כדי למטב את הביצועים באמצעות מיקום גיאוגרפי.

  משמעות הדבר היא שייתכן שהפעלת משתמש מתארחת מחוץ לאזור, בהתאם לדפוסי התעבורה ולמיקום שלו. עם זאת, כדי להגן על הפרטיות שלך, לא מאוחסנים נתוני הפעלה במרכזי נתונים אלה.

• ביצועי Proxy: ההפקה של תוכנית בסיסית לביצוע תלויה בגורמים רבים מחוץ יישומי ענן של Defender ה- Proxy, כגון:

  • אילו שרתי Proxy או שערים אחרים מופיעים בסדרה עם Proxy זה
  • מהיכן מגיע המשתמש
  • היכן ש מתגורר המשאב הייעד
  • בקשות ספציפיות בדף

  באופן כללי, כל Proxy מוסיף השהיה. היתרונות של שרת יישומי ענן של Defender ה- Proxy הם:

  • שימוש בזמינות הכללית של בקרי Azure תחום כדי לאתר משתמשים לצומת הקרוב ביותר ולהפחית את מרחק הלוך ושוב שלהם. Azure תחומים יכולים לבצע הגהה בקנה מידה שהשירותים ה מעטים ברחבי העולם כוללים.

  • שימוש בשילוב עם Microsoft Entra מותנה כדי לנתב רק את ההפעלות שברצונך להעביר ל- Proxy לשירות שלנו, במקום לכל המשתמשים בכל המצבים.

בעיות זיהוי מכשיר

יישומי ענן של Defender מספק את האפשרויות הבאות לזיהוי מצב ניהול של מכשיר.

• תאימות ל- Microsoft Intune
• צירוף Microsoft Entra תחום היברידי
• אישורי לקוח

לקבלת מידע נוסף, ראה מכשירים המנוהליים על-ידי זהות עם בקרת יישום גישה מותנית.

בעיות נפוצות של זיהוי מכשירים שאתה עשוי להיתקל בהן כוללות:

• תואם Intune לא מזוהה או Microsoft Entra מחוברים היברידיים
• אישורי לקוח אינם מוצגים בעת הצפוי
• אישורי לקוח מתבקשים בכל כניסה
• שיקולים נוספים

תואם Intune לא מזוהה או Microsoft Entra מחוברים היברידיים

Microsoft Entra מותנה מאפשרת העברה ישירה של מידע Microsoft Entra למכשירים מצורפים היברידיים תואמי Intune להעברה ישירה יישומי ענן של Defender. ב יישומי ענן של Defender, השתמש במצב המכשיר כמסנן עבור מדיניות גישה או הפעלה.

לקבלת מידע נוסף, ראה מבוא לניהול מכשירים Microsoft Entra זהה.

שלבים מומלצים

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן.

2. תחת בקרת אפליקציות גישה מותנית, בחר זיהוי מכשיר. דף זה מציג את אפשרויות הזיהוי של המכשיר הזמינות יישומי ענן של Defender.

3. עבור זיהוי מכשיר תואם Intuneוזיהוי Microsoft Entra משולבים בהתאמה, בחר הצג תצורה וודא שהשירותים מוגדרים. שירותים מסונכרנים באופן אוטומטי Microsoft Entra מ- Intune ומ- Intune בהתאמה.

4. צור מדיניות גישה או הפעלה באמצעות מסנן תגי המכשיר השווה למדיניות היברידית Azure AD, תואם ל- Intune או לשניהם.

5. בדפדפן, היכנס למכשיר שתואם Microsoft Entra היברידי או תואם Intune בהתבסס על מסנן המדיניות שלך.

6. ודא שהפעילויות ממכשירים אלה מאכלסות את יומן הרישום. ב יישומי ענן של Defender, בדף יומן פעילות, סנן לפי תגית מכשיר שווה ל- Hybrid Azure AD join, Intune compliant או את שניהם בהתבסס על מסנני המדיניות שלך.

7. אם פעילויות אינן מאוכלסות ביומן הפעילות יישומי ענן של Defender, עבור אל מזהה Microsoft Entra שלך ובצע את השלבים הבאים:

   1. > תחתניטור כניסה, ודא כי קיימות פעילויות כניסה ביומני רישום.

   2. בחר את ערך יומן הרישום הרלוונטי עבור המכשיר שבו התחברת.

   3. בחלונית פרטים, בכרטיסיה פרטי מכשיר, ודא שהמכשיר מנוהל (מערכת Azure AD מצורפת) או תואם (תואם ל- Intune).

      אם אינך מצליח לאמת את המצב, נסה ערך יומן רישום אחר או ודא שתצורת נתוני המכשיר שלך נקבעה כראוי Microsoft Entra זהה.

   4. עבור גישה מותנית, דפדפנים מסוימים עשויים לדרוש קביעת תצורה נוספת, כגון התקנת הרחבה. לקבלת מידע נוסף, ראה תמיכה בדפדפן גישה מותנית.

   5. אם עדיין אינך רואה את פרטי המכשיר בדף 'כניסה', פתח כרטיס תמיכה לקבלת Microsoft Entra זהה.

אישורי לקוח אינם מוצגים בעת הצפוי

מנגנון הזיהוי של המכשיר יכול לבקש אימות ממכשירים רלוונטיים באמצעות אישורי לקוח. באפשרותך להעלות אישור בסיס X.509 או רשות אישורים בינונית (CA), המעוצב בתבנית אישור PEM.

אישורים חייבים להכיל את המפתח הציבורי של רשות האישורים, אשר משמש לאחר מכן כדי לחתום על אישורי הלקוח המוצגים במהלך הפעלה. לקבלת מידע נוסף, ראה בדיקת ניהול מכשירים ללא Microsoft Entra.

שלבים מומלצים

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן.

2. תחת בקרת אפליקציות גישה מותנית, בחר זיהוי מכשיר. דף זה מציג את אפשרויות הזיהוי של המכשיר הזמינות עם יישומי ענן של Defender.

3. ודא שהעלית אישור בסיס או אישור ביניים של רשות אישורים (CA) X.509. עליך להעלות את אישור רשות האישורים המשמש לצורך חתימה עבור רשות האישורים שלך.

4. צור מדיניות גישה או הפעלה עם המסנן 'תג התקן' השווה לאישור לקוח חוקי.

5. ודא שאישור הלקוח שלך הוא:

   • נפרס באמצעות תבנית הקובץ PKCS #12, בדרך כלל סיומת קובץ .p12או .pfx
   • מותקן בחנות המשתמשים, לא בחנות המכשירים, של המכשיר שבו אתה משתמש לבדיקה

6. הפעל מחדש את הפעלת הדפדפן.

7. בעת כניסה לאפליקציה המוגנת:

   • ודא שאתה מנותב מחדש לתחביר כתובת ה- URL הבא: <https://*.managed.access-control.cas.ms/aad_login>
   • אם אתה משתמש ב- iOS, ודא שאתה משתמש בדפדפן Safari.
   • אם אתה משתמש ב- Firefox, עליך להוסיף את האישור גם אל מאגר האישורים של Firefox. כל הדפדפנים האחרים משתמשים באותו מאגר אישורים המוגדר כברירת מחדל.

8. ודא שאישור הלקוח מתבקש בדפדפן שלך.

   אם הוא אינו מופיע, נסה דפדפן אחר. רוב הדפדפנים העיקריים תומכים בביצוע בדיקת אישור לקוח. עם זאת, אפליקציות למכשירים ניידים ושולחנות עבודה משתמשות לעתים קרובות בדפדפנים מוכללים שייתכן שאינם תומכים בבדיקת בדיקה זו ולכן משפיעים על האימות עבור אפליקציות אלה.

9. ודא שהפעילויות ממכשירים אלה מאכלסות את יומן הרישום. ב יישומי ענן של Defender, בדף יומן פעילות, הוסף מסנן בתג מכשיר השווה לאישור לקוח חוקי.

10. אם עדיין אינך רואה את הבקשה, פתח כרטיס תמיכה וכלול את המידע הבא:

    • פרטי הדפדפן או האפליקציה המקורית שבהם נתקלת בבעיה
    • גירסת מערכת ההפעלה, כגון iOS/Android/Windows 10
    • ציין אם הבקשה פועלת ב- Microsoft Edge Chromium

אישורי לקוח מתבקשים בכל כניסה

אם אתה נתקל באישור הלקוח שצץ לאחר פתיחת כרטיסיה חדשה, ייתכן שהבעיה נובעת מהגדרות המוסתרות בתוך אפשרויות אינטרנט. אמת את ההגדרות שלך בדפדפן. לדוגמה:

ב- Microsoft Internet Explorer:

1. פתח את Internet Explorer ובחר כלים>אפשרויות אינטרנט הכרטיסיה> מתקדם.
2. תחת אבטחה, בחר אל תבקש לבחור אישור לקוח כאשר קיים אישור אחד בלבד, בחר>החל>אישור.
3. הפעל מחדש את הדפדפן וודא שבאפשרותך לגשת ליישום ללא ההנחיות הנו נוספות.

ב- Microsoft Edge / Edge Chromium:

1. פתח את החיפוש משורת המשימות וחפש אחר אפשרויות אינטרנט.
2. בחר אפשרויות אינטרנט רמת>אינטרא-נט>מותאמת אישית של>אבטחה מקומית.
3. תחת שונות אל>תבקש לבחור אישור לקוח כאשר קיים אישור אחד בלבד, בחר הפוך ללא זמין.
4. בחר אישור החל>>אישור.
5. הפעל מחדש את הדפדפן וודא שבאפשרותך לגשת ליישום ללא ההנחיות הנו נוספות.

שיקולים נוספים לגבי זיהוי מכשיר

במהלך פתרון בעיות של זיהוי מכשיר, באפשרותך לדרוש ביטול אישור עבור אישורי לקוח.

אישורים מבוטלים על-ידי רשות האישורים אינם מהימנים עוד. בחירה באפשרות זו מחייבת שכל האישורים יעבירו את פרוטוקול CRL. אם אישור הלקוח שלך אינו מכיל נקודת קצה של CRL, לא תוכל להתחבר מהמכשיר המנוהל.

בעיות בעת צירוף אפליקציה

Microsoft Entra זהות אלה מחוברים באופן אוטומטי כדי יישומי ענן של Defender עבור גישה מותנית ופקדי הפעלה. עליך להקלוט באופן ידני יישומים שאינם של Microsoft IdP, כולל קטלוג ויישומים מותאמים אישית.

לקבלת מידע נוסף, ראה:

• פריסת בקרת יישום גישה מותנית עבור יישומי קטלוג עם מזהים שאינם של Microsoft
• פריסת בקרת יישום גישה מותנית עבור יישומים מותאמים אישית עם מזהים שאינם של Microsoft

תרחישים נפוצים שאתה עשוי להיתקל בהם בעת צירוף אפליקציה כוללים:

• האפליקציה אינה מופיעה בדף יישומי בקרת יישומים של גישה מותנית
• מצב יישום: המשך בהתקנה
• אין אפשרות לקבוע תצורה של פקדים עבור יישומים מוכללים
• האפשרות 'בקש בקרת הפעלה' מופיעה

האפליקציה אינה מופיעה בדף היישומים לבקרה של יישום הגישה המותנה

בעת צירוף אפליקציה שאינה של Microsoft IdP לבקרת יישום גישה מותנית, שלב הפריסה הסופי הוא שמשתמש הקצה ינווט אל היישום. בצע את השלבים בסעיף זה אם >>> האפליקציה אינה מופיעה בדף אפליקציות ענן הגדרות אפליקציות מחוברות גישה מותנית יישומי בקרת יישומים צפוי.

שלבים מומלצים

1. ודא כי היישום שלך עומד בדרישות המוקדמות הבאות של בקרת יישום גישה מותנית:

   • ודא שיש לך רשיון יישומי ענן של Defender חוקי.
   • צור יישום כפול.
   • ודא כי האפליקציה משתמשת בפרוטוקול SAML.
   • ודא שקלוטת את היישום במלואו ומצב היישום מחובר.

2. הקפד לנווט אל היישום בהפעלת דפדפן חדשה באמצעות מצב גלישה בסתר חדש או על-ידי כניסה שוב.

הערה

מזהה Entra אלה מופיעות רק בדף יישומים של בקרת יישומים של גישה מותנית לאחר קביעת התצורה שלהם במדיניות אחת לפחות, או אם יש לך מדיניות ללא מפרט יישום ומשתמש נכנס ליישום.

מצב יישום: המשך בהתקנה

מצב האפליקציה עשוי להשתנות, והוא יכול לכלול המשך בהתקנה, מחובר או ללא פעילויות.

עבור אפליקציות המחוברות דרך ספקי זהויות (IdP) שאינם של Microsoft, אם ההגדרה לא הושלמה, בעת הגישה לאפליקציה, אתה רואה דף במצב 'המשך בהתקנה '. השתמש בשלבים הבאים כדי להשלים את ההגדרה.

שלבים מומלצים

1. בחר המשך בהגדרה.

2. סקור את המאמרים הבאים וודא שהשלמת את כל השלבים הדרושים:

   • פריסת בקרת יישום גישה מותנית עבור יישומי קטלוג עם מזהים שאינם של Microsoft
   • פריסת בקרת יישום גישה מותנית עבור יישומים מותאמים אישית עם מזהים שאינם של Microsoft

   שים לב מיוחדת לשלבים הבאים:

   1. הקפד ליצור יישום SAML מותאם אישית חדש. אתה זקוק ליישום זה כדי לשנות את כתובות ה- URL והתכונות של SAML שייתכן שלא יהיו זמינות ביישומי גלריה.
   2. אם ספק הזהויות שלך אינו מאפשר שימוש חוזר באותו מזהה, הידוע גם כמזהה ישות או קהל, שנה את המזהה של היישום המקורי.

אין אפשרות לקבוע תצורה של פקדים עבור יישומים מוכללים

ניתן לזהות אפליקציות מוכללות באופן דרסטי ובאפשרותך להשתמש במדיניות גישה כדי לנטר או לחסום אותן. השתמש בשלבים הבאים כדי לקבוע תצורה של פקדים עבור יישומים מקוריים.

שלבים מומלצים

1. במדיניות גישה , הוסף מסנן יישום לקוח והגדר אותו כ'נייד' ו'שולחן עבודה'.

2. תחת פעולות, בחר חסום.

3. באופן אופציונלי, התאם אישית את הודעת החסימה שהמשתמשים שלך מקבלים כאשר הם אינם יכולים להוריד קבצים. לדוגמה, התאם אישית הודעה זו אל עליך להשתמש בדפדפן אינטרנט כדי לגשת ליישום זה.

4. בדוק ואמת שהפקד פועל כצפוי.

הדף 'היישום אינו מזוהה ' מופיע

יישומי ענן של Defender לזהות יותר מ- 31,000 יישומים באמצעות קטלוג היישומים בענן.

אם אתה משתמש ביישום מותאם אישית שתצורתו נקבעה באמצעות Microsoft Entra SSO, והוא אינו אחד מהיישומים הנתמכים, אתה נתקל בדף יישום שאינו מזוהה. כדי לפתור את הבעיה, עליך לקבוע את תצורת היישום באמצעות בקרת יישום גישה מותנית.

שלבים מומלצים

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן. תחת אפליקציות מחוברות, בחר אפליקציות בקרת יישומים של גישה מותנית.

2. בכרזת, בחר הצג יישומים חדשים.

3. ברשימת היישומים החדשים, אתר את היישום שאתה מוסיף, בחר + את הסימן ולאחר מכן בחר הוסף.

   1. בחר אם האפליקציה היא אפליקציה מותאמת אישיתאו אפליקציה רגילה .
   2. המשך באשף, ודא כי התחומים המוגדרים על-ידי המשתמש שצוינו נכונים עבור היישום שאתה קובע את תצורתו.

4. ודא כי האפליקציה מופיעה בדף יישומי בקרת יישומים של גישה מותנית.

האפשרות 'בקש בקרת הפעלה' מופיעה

לאחר קליטת אפליקציה שאינה של Microsoft IdP, ייתכן שתראה את האפשרות בקש בקרת הפעלה. בעיה זו מתרחשת מכיוון שרק לייישומים של קטלוג יש פקדי הפעלה מו מראש. עבור כל אפליקציה אחרת, עליך לעבור תהליך צירוף עצמי.

בצע את ההוראות בפקד היישום Deploy Conditional Access עבור יישומים מותאמים אישית עם מזהים שאינם של Microsoft.

שלבים מומלצים

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן.

2. תחת בקרת יישום גישה מותנית, בחר צירוף/תחזוקה של יישום.

3. הזן את השם הראשי או את הדואר האלקטרוני של המשתמש שיקלוט את היישום ולאחר מכן בחר שמור.

4. עבור אל האפליקציה שאתה פורס. הדף שאתה רואה תלוי בשאלה אם היישום מזוהה. בצע אחת מהפעולות הבאות, בהתאם לדף שאתה רואה:

   • לא זוהה. אתה רואה דף לא מזוהה של יישום שמבדר אותך לקבוע את תצורת היישום שלך. בצע את השלבים הבאים:

     1. קלוט את היישום עבור בקרת יישום גישה מותנית.
     2. הוסף את התחומים עבור היישום.
     3. התקן את אישורי האפליקציה.

   • זוהה. אם היישום שלך מזוהה, תראה דף צירוף המבקש ממך להמשיך בתהליך קביעת התצורה של היישום.

     ודא כי תצורת היישום נקבעה עם כל התחומים הדרושים כדי שהיישום יפעל כראוי ולאחר מכן חזור לדף האפליקציה.

שיקולים נוספים לגבי צירוף אפליקציות

במהלך פתרון בעיות עבור צירוף אפליקציות, יש כמה דברים נוספים שכדאי לשקול.

• הבנת ההבדל בין הגדרות מדיניות הגישה המותנה של Microsoft Entra: "צג בלבד", "חסום הורדות" ו"השתמש במדיניות מותאמת אישית"

  ב Microsoft Entra מדיניות גישה מותנית, באפשרותך לקבוע את התצורה של פקדי הגישה יישומי ענן של Defender הבאים: צגים בלבדוחסימת הורדות. הגדרות אלה חלות ולאכוף את יישומי ענן של Defender ה- Proxy של הענן עבור אפליקציות ותנאים בענן שתצורתם נקבעה Microsoft Entra זהה.

  עבור פריטי מדיניות מורכבים יותר, בחר השתמש במדיניות מותאמת אישית, המאפשרת לך לקבוע את תצורת מדיניות הגישה וההפעלה ב- יישומי ענן של Defender.

• הבנת אפשרות הסינון של יישום הלקוח 'נייד ושולחן העבודה' במדיניות גישה

  במדיניות יישומי ענן של Defender, אלא אם מסנן יישומי הלקוח מוגדר לנייד ולשולחן העבודה, מדיניות הגישה המתבצעת חלה על הפעלות דפדפן.

  הסיבה לכך היא למנוע הפעלות משתמש של Proxying שלא במתן, שעשויות להיות תוקף של שימוש במסנן זה.

בעיות בעת יצירת מדיניות גישה והפעלה

יישומי ענן של Defender מספק את פריטי המדיניות הבאים הניתנים להגדרה:

• פריטי מדיניות של Access: משמשים לניטור או לחסימה של גישה לאפליקציות דפדפן, מכשירים ניידים ו/או אפליקציות שולחן עבודה.
• מדיניות הפעלה. משמש לניטור, לחסימה ולביצוע פעולות ספציפיות כדי למנוע תרחישי סינון נתונים והרחבה בדפדפן.

כדי להשתמש במדיניות זו ב- יישומי ענן של Defender, עליך להגדיר תחילה מדיניות ב- Microsoft Entra מותנה כדי להרחיב פקדי הפעלה:

1. במדיניות של Microsoft Entra, תחת פקדי Access, בחר הפעלההשתמש בפקד >יישום גישה מותנית.

2. בחר מדיניות מוכללת (צג בלבד או חסום הורדות) או השתמש במדיניות מותאמת אישית כדי להגדיר מדיניות מתקדמת ב- יישומי ענן של Defender.

3. בחר בחר כדי להמשיך.

תרחישים נפוצים שאתה עשוי להיתקל בהם בעת קביעת התצורה של פריטי מדיניות אלה כוללים:

• במדיניות גישה מותנית, לא ניתן לראות את אפשרות הבקרה של יישום הגישה המותנה
• הודעת שגיאה בעת יצירת מדיניות: אין לך יישומים שנפרסו באמצעות בקרת יישום גישה מותנית
• אין אפשרות ליצור מדיניות הפעלה עבור יישום
• אין אפשרות לבחור את שיטת הבדיקה: שירות סיווג הנתונים
• אין אפשרות לבחור פעולה:הגנה

במדיניות גישה מותנית, לא ניתן לראות את אפשרות הבקרה של יישום הגישה המותנה

כדי לנתב הפעלות ל- יישומי ענן של Defender, Microsoft Entra מדיניות גישה מותנית חייבת להיות מוגדרת כך שתכלול פקדי הפעלה של בקרת יישום גישה מותנית.

שלבים מומלצים

אם אינך רואה את האפשרות בקרת יישום גישה מותנית במדיניות הגישה המותנה שלך, ודא שיש לך רשיון חוקי עבור Microsoft Entra ID P1 ורשיון חוקי יישומי ענן של Defender חוקי.

הודעת שגיאה בעת יצירת מדיניות: אין לך יישומים שנפרסו באמצעות בקרת יישום גישה מותנית

בעת יצירת מדיניות גישה או הפעלה, ייתכן שתראה את הודעת השגיאה הבאה: אין לך יישומים פרוסים עם בקרת יישום גישה מותנית. שגיאה זו מציינת כי היישום הוא יישום IdP שאינו של Microsoft שלא צרף עבור בקרת יישום גישה מותנית.

שלבים מומלצים

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן. תחת אפליקציות מחוברות, בחר אפליקציות בקרת יישומים של גישה מותנית.

2. אם אתה רואה את ההודעה אין יישומים מחוברים, השתמש במדריכים הבאים כדי לפרוס אפליקציות:

   • קלוט יישומי קטלוג IdP שאינם של Microsoft עבור בקרת יישום גישה מותנית
   • קלוט יישומים מותאמים אישית שאינם של Microsoft IdP עבור בקרת יישום גישה מותנית

אם אתה נתקל בבעיות במהלך פריסת היישום, ראה בעיות בעת צירוף יישום.

אין אפשרות ליצור מדיניות הפעלה עבור יישום

לאחר צירוף יישום IdP שאינו של Microsoft עבור בקרת יישום גישה מותנית, בדף יישומים בקרת יישומים של גישה מותנית, ייתכן שתראה את האפשרות: בקש בקרת הפעלה.

הערה

יישומי קטלוג כוללים פקדי הפעלה מו מראש. עבור אפליקציות אחרות שאינן של Microsoft IdP, עליך לעבור תהליך צירוף עצמי. שלבים מומלצים

1. פרוס את היישום שלך בפקד הפעלה. לקבלת מידע נוסף, ראה צירוף יישומים מותאמים אישית שאינם של Microsoft IdP עבור בקרת יישום גישה מותנית.

2. צור מדיניות הפעלה ובחר את מסנן היישומים .

3. ודא כי האפליקציה שלך מופיעה כעת ברשימה הנפתחת.

אין אפשרות לבחור את שיטת הבדיקה: שירות סיווג הנתונים

במדיניות הפעלה, בעת שימוש בסוג בקרת ההפעלה של הורדת קובץ הבקרה (עם בדיקה ), באפשרותך להשתמש בפעולת הבדיקה של שירות סיווג הנתונים כדי לסרוק את הקבצים שלך בזמן אמת ולאתר תוכן רגיש התואם לקריטריונים שתצורתם נקבעה.

אם שיטת הבדיקה של שירות סיווג הנתונים אינה זמינה, בצע את השלבים הבאים כדי לחקור את הבעיה.

שלבים מומלצים

1. ודא שסוג פקד ההפעלה מוגדר להורדת קובץ פקד (בבדיקה).

   הערה

   שיטת הבדיקה של שירות סיווג הנתונים זמינה רק עבור האפשרות של הורדת קובץ בקרה (בבדיקה ).

2. קבע אם התכונה 'שירות סיווג הנתונים ' זמינה באזור שלך:

   • אם התכונה אינה זמינה באזור שלך, השתמש בפעולת הבדיקה המוכללת של DLP .
   • אם התכונה זמינה באזור שלך, אך עדיין אינך רואה את שיטת הבדיקה של שירות סיווג הנתונים, פתח כרטיס תמיכה.

אין אפשרות לבחור פעולה: הגנה

בפריטי מדיניות הפעלה, בעת שימוש בסוג בקרת ההפעלה של הורדת קובץ פקד (עם בדיקה), בנוסף לפעולות צג וחסום, באפשרותך לציין את הפעולה הגן. פעולה זו מאפשרת לך להתיר הורדות קבצים באמצעות האפשרות להצפין או להחיל הרשאות על הקובץ בהתבסס על תנאים, בדיקת תוכן או שניהם.

אם הפעולה הגנה אינה זמינה, בצע את השלבים הבאים כדי לחקור את הבעיה.

שלבים מומלצים

1. אם הפעולה הגנה אינה זמינה או מופיעה באפור, ודא שיש לך רשיון Microsoft Purview. לקבלת מידע נוסף, ראה הגנה על מידע ב- Microsoft Purview שלך.

2. אם הפעולה הגן זמינה, אך אינך רואה את התוויות המתאימות.

   1. בשורת יישומי ענן של Defender, בשורת התפריטים, > בחר את סמל ההגדרות Microsoft Information Protection, וודא שהשילוב זמין.

   2. עבור תוויות Office, בפורטל Microsoft Purview, ודא שהאפשרות תיוג מאוחד נבחרה.

אבחון ופתרון בעיות באמצעות סרגל הכלים מרכז הניהול התצוגה'

סרגל הכלים מרכז הניהול התצוגה נמצא בחלק התחתון של המסך ומספק למשתמשים של מנהלי מערכת כלים לאבחון ופתרון בעיות בפקד אפליקציית גישה מותנית.

כדי להציג את מרכז הניהול התצוגה, עליך לוודא להוסיף חשבונות משתמשי מנהל מערכת ספציפיים לרשימה צירוף /תחזוקה של אפליקציות בהגדרות Microsoft Defender XDR האפליקציות.

כדי להוסיף משתמש לרשימת הצירוף/התחזוקה של היישום:

1. בתיבת Microsoft Defender XDR, בחר הגדרות>אפליקציות ענן.

2. גלול מטה ותחת בקרת יישום גישה מותנית, בחר צירוף/תחזוקה של יישום.

3. הזן את השם הראשי או את כתובת הדואר האלקטרוני של משתמש מנהל המערכת שברצונך להוסיף.

4. בחר באפשרות אפשר למשתמשים אלה לעקוף בקרת יישום גישה מותנית מתוך הפעלה מוגבלת ולאחר מכן בחר שמור.

   לדוגמה:

   

בפעם הבאה שבה אחד מהמשתמשים המפורטים יתחיל הפעלה חדשה ביישום נתמך שבו הוא מנהל מערכת, סרגל הכלים תצוגת מרכז הניהול יוצג בחלק התחתון של הדפדפן.

לדוגמה, התמונה הבאה מציגה את מרכז הניהול התצוגה המוצג בתחתית חלון דפדפן, בעת שימוש ב- OneNote בדפדפן:

הסעיפים הבאים מתארים כיצד להשתמש בסרגל הכלים מרכז הניהול תצוגה כדי לבדוק ולפתור בעיות.

מצב בדיקה

כמשתמש מנהל מערכת, ייתכן שתרצה לבדוק תיקוני באגים עתידיים של Proxy לפני שהמהדורה האחרונה תפרס במלואה לכל הדיירים. ספק את המשוב שלך לגבי תיקון הבאג לצוות התמיכה של Microsoft כדי לעזור להאיץ את מחזורי ההפצה.

במצב בדיקה, רק משתמשי מנהל המערכת חשופים לשינויים שסופקו תיקוני הבאג. אין השפעה על משתמשים אחרים.

• כדי להפעיל מצב בדיקה, בסרגל הכלים מרכז הניהול, בחר מצב בדיקה.
• לאחר שתסיים את הבדיקה, בחר סיים מצב בדיקה כדי לחזור לפונקציונליות הרגילה.

עקוף הפעלת Proxy

אם אתה משתמש בדפדפן שאינו של Microsoft Edge ואתה מתקשה לגשת ליישום או לטעון אותו, מומלץ לבדוק אם הבעיה היא ב- Proxy של גישה מותנית על-ידי הפעלת היישום ללא ה- Proxy.

כדי לעקוף את ה- Proxy, בסרגל הכלים מרכז הניהול, בחר עקיפת חוויה. ודא שההפעלה מועברת על-ידי ציון שכתובת ה- URL אינה מסו סיומת.

ה- Proxy של הגישה המותנה נמצא בשימוש שוב בהפעלה הבאה שלך.

לקבלת מידע נוסף, ראה יישומי ענן של Microsoft Defender היישום 'גישה מותנית' והגנה בתוך הדפדפן באמצעות Microsoft Edge לעסקים (תצוגה מקדימה).

כניסה שנייה (נקראת גם 'כניסה שניה')

אפליקציות מסוימות כוללות יותר מקישור עמוק אחד לכניסה. אם לא תגדיר את קישורי הכניסה בהגדרות היישום, ייתכן שהמשתמשים ינותבו מחדש לדף לא מזוהה בעת הכניסה, וחוסמים את הגישה שלהם.

השילוב בין מזהי IdPs כגון Microsoft Entra מבוסס על יירוט כניסה ליישום ולניתוב מחדש שלו. משמעות הדבר היא שלא ניתן לשלוט ישירות בכניסה בדפדפן מבלי להפעיל כניסה שנייה. כדי להפעיל כניסה נוספת, עלינו להשתמש בכתובת URL נוספת של כניסה במיוחד למטרה זו.

אם האפליקציה משתמשת בפעם האחרונה, הכניסה השניה עשויה להיות שקופה למשתמשים, או שהם יתבקשו להיכנס שוב.

אם הוא אינו שקוף למשתמש הקצה, הוסף את כתובת ה- URL השניה של הכניסה להגדרות היישום:

עבור אל הגדרות אפליקציות ענן > מחוברות > אפליקציות מחוברות > אפליקציות בקרת אפליקציות גישה מותנית אפליקציות

בחר את האפליקציה הרלוונטית ולאחר מכן בחר את שלוש הנקודות.

בחר ערוך יישום\תצורת כניסה מתקדמת.

הוסף את כתובת ה- URL של הכניסה השניה כפי שצוין בדף השגיאה.

אם אתה בטוח שהיישום אינו משתמש בה מאז, באפשרותך להפוך זאת ללא זמין על-ידי עריכת הגדרות האפליקציות כמתואר ב'כניסה איטית'.

הקלטת הפעלה

ייתכן שתרצה לעזור בניתוח סיבת הבסיס של בעיה על-ידי שליחת הקלטת הפעלה למהנדסי התמיכה של Microsoft. השתמש בסרגל הכלים מרכז הניהול התצוגה כדי להקליט את ההפעלה.

הערה

כל הנתונים האישיים מוסרים מההקלטות.

כדי להקליט הפעלה:

1. בסרגל הכלים מרכז הניהול, בחר הקלט הפעלה. כאשר תתבקש, בחר המשך כדי לקבל את התנאים. לדוגמה:

   

2. היכנס לאפליקציה שלך במידת הצורך כדי להתחיל לדמות את ההפעלה.

3. לאחר שתסיים להקליט את התרחיש, הקפד לבחור הפסק הקלטה בסרגל הכלים מרכז הניהול התצוגה.

כדי להציג את ההפעלות המוקלטות שלך:

לאחר שתסיים להקליט, הצג את ההפעלות המוקלטות על-ידי בחירת הקלטות הפעלהמסרגל הכלים מרכז הניהול תצוגה. רשימה של הפעלות מוקלטות מ- 48 השעות האחרונות מופיעה. לדוגמה:

כדי לנהל את ההקלטות שלך, בחר קובץ ולאחר מכן בחר מחק אוהורד לפי הצורך. לדוגמה:

הוספת תחומים עבור היישום שלך

שיוך התחומים הנכונים ליישום מאפשר יישומי ענן של Defender לאכוף פעילויות של מדיניות וביקורת.

לדוגמה, אם קבעת תצורה של מדיניות החוסמת הורדת קבצים עבור תחום משויך, הורדות קבצים של היישום מתחום זה ייחסמו. עם זאת, הורדות קבצים על-ידי היישום מהתחום שאינו משויך לאפליקציה לא ייחסמו והפעולה לא תיכלל ביומן הפעילות.

אם מנהל מערכת גולש באפליקציה מוגבלת לתחום לא מזוהה, יישומי ענן של Defender אינו מחשיב חלק מאותה אפליקציה או יישום אחר, מופיעה ההודעה תחום לא מזוהה המבקשת ממנהל המערכת להוסיף את התחום כך שהוא יהיה מוגן בפעם הבאה. במקרים כאלה, אם מנהל המערכת אינו מעוניין להוסיף את התחום, לא נדרשת כל פעולה.

הערה

יישומי ענן של Defender עדיין מוסיפה סיומת לתחום שאינו משויך לאפליקציה כדי להבטיח חוויית משתמש חלקה.

כדי להוסיף תחומים עבור היישום שלך:

1. פתח את היישום בדפדפן, כאשר סרגל הכלים יישומי ענן של Defender מרכז הניהול תצוגה גלוי על המסך.

2. בסרגל הכלים של תצוגת מרכז הניהול, בחר תחומים שהתגלו.

3. בחלונית תחומים שהתגלו , רשום לעצמך את שמות התחומים המפורטים, או יצא את הרשימה כקובץ .csv אחר.

   החלונית תחומים שהתגלו מציגה רשימה של כל התחומים שאינם משויכים ליישום. שמות התחומים עומדים בדרישות מלאות.

4. במסך Microsoft Defender XDR, בחר הגדרות אפליקציות>ענן מחוברות>אפליקציות מחוברות>אפליקציות בקרת יישומים של גישה מותנית.

5. אתר את היישום בטבלה. בחר את תפריט האפשרויות בצד שמאל ולאחר מכן בחר ערוך יישום.

6. בשדה תחומים המוגדרים על-ידי המשתמש , הזן את התחומים שברצונך לשייך ליישום זה.

   • כדי להציג את רשימת התחומים שתצורתם כבר נקבעה ביישום, בחר את הקישור הצג תחומים של יישום .

   • בעת הוספת תחומים, שקול אם ברצונך להוסיף תחומים ספציפיים, או להשתמש בכוכבית (***** כתו כללי כדי להשתמש בכמה תחומים בו-זמנית.

     לדוגמה, sub1.contoso.com,sub2.contoso.com הן דוגמאות של תחומים ספציפיים. כדי להוסיף את שני התחומים בבת אחת, וכן תחומי אח אחרים, השתמש ב- *.contoso.com.

לקבלת מידע נוסף, ראה הגנה על יישומים באמצעות יישומי ענן של Microsoft Defender יישום גישה מותנית.

תוכן קשור

• הגנה על יישומים באמצעות יישומי ענן של Microsoft Defender בקרת יישומים של גישה מותנית
• פתרון בעיות גישה ופקדי הפעלה עבור משתמשי קצה
• פתרון בעיות - מהו *.mcas.ms, *.mcas-gov.us, או *.mcas-gov.ms?