פתרון בעיות גישה ופקדי הפעלה עבור משתמשי קצה

מאמר זה מספק למנהלי יישומי ענן של Microsoft Defender הדרכה לגבי האופן שבו ניתן לחקור ולפתור בעיות נפוצות של בקרת גישה והפעלה, כפי שחווו משתמשי קצה.

בדוק דרישות מינימליות

לפני שתתחיל בפתרון בעיות, ודא שהסביבה שלך עומדת בדרישות המינימליות הכלליות הבאות לפקדי גישה והפעלה.

דרישה תיאור
רישוי ודא שיש לך רשיון חוקי עבור יישומי ענן של Microsoft Defender.
יחיד Sign-On (SSO) יש להגדיר יישומים באמצעות אחד מפתרונות הכניסה ה יחידה (SSO) הנתמכים:

- Microsoft Entra באמצעות SAML 2.0 או OpenID Connect 2.0
- IdP שאינו של Microsoft באמצעות SAML 2.0
תמיכה בדפדפן פקדי הפעלה זמינים עבור הפעלות מבוססות דפדפן בגירסאות העדכניות ביותר של הדפדפנים הבאים:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

הגנה בתוך הדפדפן עבור Microsoft Edge כוללת גם דרישות ספציפיות, כולל המשתמש שנכנס באמצעות פרופיל העבודה שלו. לקבלת מידע נוסף, ראה דרישות הגנה בתוך הדפדפן.
השבתה יישומי ענן של Defender מאפשרת לך להגדיר את אופן הפעולה המהווה ברירת מחדל להחלה אם קיימת הפרעה בשירות, כגון רכיב שאינו פועל כראוי.

לדוגמה, ייתכן שתבחר לקצר (לחסום) או לעקוף (לאפשר) למשתמשים לבצע פעולות בתוכן שעשוי להיות רגיש כאשר לא ניתן לאכוף את פקדי המדיניות הרגילים.

כדי לקבוע את תצורת אופן הפעולה המהווה ברירת מחדל במהלך זמן ההשכבה של המערכת, ב- Microsoft Defender XDR,>>> עבור אל הגדרות גישה מותנית בקרת יישום אופן הפעולה המהווה ברירת מחדלאפשראו חסום גישה.

דף ניטור המשתמשים אינו מופיע

בעת ניתוב משתמש דרך יישומי ענן של Defender, באפשרותך להודיע למשתמש שההפעלה שלו נתונה לפיקוח. כברירת מחדל, דף ניטור המשתמשים זמין.

סעיף זה מתאר את השלבים לפתרון בעיות שאנו ממליצים לך לבצע אם דף הניטור של המשתמשים זמין אך אינו מופיע כצפוי.

שלבים מומלצים

  1. בפורטל Microsoft Defender, בחר הגדרות אפליקציות>ענן.

  2. תחת בקרת יישום גישה מותנית, בחר באפשרות ניטור משתמשים. דף זה מציג את אפשרויות הניטור של המשתמשים הזמינות ב- יישומי ענן של Defender. לדוגמה:

    צילום מסך של אפשרויות הניטור של המשתמשים.

  3. ודא שהאפשרות הודע למשתמשים שהפעילות שלהם נמצאת תחת פיקוח נבחרה.

  4. בחר אם ברצונך להשתמש בה הודעת ברירת המחדל או לספק הודעה מותאמת אישית:

    סוג הודעה פרטים
    ברירת מחדל כותרת עליונה:
    הגישה אל [שם היישום תופיע כאן] תחת פיקוח
    גוף ההודעה:
    לשיפור האבטחה, הארגון שלך מאפשר גישה אל [שם היישום יופיע כאן] במצב צג. Access זמין בדפדפן אינטרנט בלבד.
    מנהג כותרת עליונה:
    השתמש בתיבה זו כדי לספק כותרת מותאמת אישית כדי ליידע את המשתמשים שפיקוח עליהם.
    גוף ההודעה:
    השתמש בתיבה זו כדי להוסיף מידע מותאם אישית אחר עבור המשתמש, כגון עם מי לפנות עם שאלות, ותומך בקלטים הבאים: טקסט רגיל, טקסט עשיר, היפר-קישורים.

  5. בחר תצוגה מקדימה כדי לאמת את דף ניטור המשתמשים שמופיע לפני הגישה ליישום.

  6. לחץ שמור.

לא ניתן לגשת ליישום מספק זהויות שאינו של Microsoft

אם משתמש קצה מקבל כשל כללי לאחר הכניסה ליישום מספק זהויות שאינו של Microsoft, אמת את תצורת IdP שאינה של Microsoft.

שלבים מומלצים

  1. בפורטל Microsoft Defender, בחר הגדרות אפליקציות>ענן.

  2. תחת אפליקציות מחוברות, בחר אפליקציות בקרת יישומים של גישה מותנית.

  3. ברשימת היישומים, בשורה שבה מופיעה האפליקציה שלא ניתן לגשת לה, בחר את שלוש הנקודות בסוף השורה ולאחר מכן בחר ערוך יישום.

  4. ודא שאישור SAML שהועלה נכון.

    1. ודא שכתובות URL חוקיות של SSO מסופקות בתצורה של היישום.

    2. ודא שהתכונות והערכים ביישום המותאם אישית משתקפים בהגדרות ספק הזהויות.

    לדוגמה:

    צילום מסך של דף המידע של SAML .

  5. אם עדיין אינך מצליח לגשת לאפליקציה, פתח כרטיס תמיכה.

הדף 'משהו השתבש' מופיע

לעתים במהלך הפעלה מוקסית, הדף משהו השתבש עשוי להופיע. מצב זה עשוי להתרחש כאשר:

  • משתמש נכנס לאחר שהוא לא פעיל במשך זמן מה
  • רענון הדפדפן וטעינת הדף נמשכת זמן רב מהצפוי
  • תצורת היישום שאינו של Microsoft IdP לא נקבעה כראוי

שלבים מומלצים

  1. אם משתמש הקצה מנסה לגשת ליישום שתצורתו נקבעה באמצעות IdP שאינו של Microsoft, ראה אין אפשרות לגשת ליישום מ- IdP שאינו של Microsoft וממצב יישום : המשך בהתקנה.

  2. אם משתמש הקצה הגיע לדף זה באופן בלתי צפוי, בצע את הפעולות הבאות:

    1. הפעל מחדש את הפעלת הדפדפן.
    2. נקה היסטוריה, קבצי Cookie ומטמון מהדפדפן.

פעולות לוח או פקדי קובץ אינם נחסמים

היכולת לחסום פעולות לוח כגון גזירה, העתקה, הדבקה ופקדי קובץ כגון הורדה, העלאה והדפסה נדרשת כדי למנוע תרחישי סינון נתונים וסתנון נתונים.

יכולת זו מאפשרת לחברות לאזן בין אבטחה לפרודוקטיביות עבור משתמשי קצה. אם אתה נתקל בבעיות בתכונות אלה, השתמש בשלבים הבאים כדי לחקור את הבעיה.

שלבים מומלצים

אם ההפעלה מופעלת כעת, בצע את השלבים הבאים כדי לאמת את המדיניות:

  1. בפורטל Microsoft Defender, תחת אפליקציות ענן, בחר יומן פעילות.

  2. השתמש במסנן המתקדם, בחר הפעולה 'הוחל ' והגדר את הערך שלה כשווה ל'חסום '.

  3. ודא שקיימות פעילויות קבצים חסומות:

    1. אם יש פעילות, הרחב את מגירת הפעילות על-ידי לחיצה על הפעילות.

    2. בכרטיסיה כללי של מגירת הפעילות , בחר בקישור פריטי המדיניות התואמים כדי לוודא שהמדיניות שנאכפת קיימת.

    3. אם אינך רואה את המדיניות שלך, ראה בעיות בעת יצירת מדיניות גישה והפעלה.

    4. אם אתה רואה את האפשרות גישה חסומה/מותרת עקב אופן פעולה המהווה ברירת מחדל, משמעות הדבר היא שהמערכת הייתה במצב לחוץ וההחלה של אופן הפעולה המהווה ברירת מחדל.

      1. כדי לשנות את אופן הפעולה המהווה ברירת מחדל, Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן. לאחר מכן , תחת בקרת יישום גישה מותנית, בחר אופן פעולה המהווה ברירת מחדל והגדר את אופן הפעולה המהווה ברירת מחדל לאפשר או לחסום גישה.

      2. עבור אל פורטל הניהול של Microsoft 365 ונטר הודעות אודות זמן ההשהיות של המערכת.

  4. אם עדיין אינך מצליח לראות פעילות חסומה, פתח כרטיס תמיכה.

הורדות אינן מוגנות

כמשתמש קצה, ייתכן שיהיה צורך בהורדת נתונים רגישים במכשיר לא מנוהל. בתרחישים אלה, באפשרותך להגן על מסמכים באמצעות הגנה על מידע ב- Microsoft Purview.

אם למשתמש הקצה אין אפשרות להצפין בהצלחה את המסמך, בצע את השלבים הבאים כדי לחקור את הבעיה.

שלבים מומלצים

  1. בפורטל Microsoft Defender, תחת אפליקציות ענן, בחר יומן פעילות.

  2. השתמש במסנן המתקדם, בחר הפעולה 'הוחל ' והגדר את הערך שלה כ'מוגן'.

  3. ודא שקיימות פעילויות קבצים חסומות:

    1. אם יש פעילות, הרחב את מגירת הפעילות על-ידי לחיצה על הפעילות

    2. בכרטיסיה כללי של מגירת הפעילות , בחר בקישור פריטי המדיניות התואמים כדי לוודא שהמדיניות שנאכפת קיימת.

    3. אם אינך רואה את המדיניות שלך, ראה בעיות בעת יצירת מדיניות גישה והפעלה.

    4. אם אתה רואה את האפשרות גישה חסומה/מותרת עקב אופן פעולה המהווה ברירת מחדל, משמעות הדבר היא שהמערכת הייתה במצב לחוץ וההחלה של אופן הפעולה המהווה ברירת מחדל.

      1. כדי לשנות את אופן הפעולה המהווה ברירת מחדל, Microsoft Defender, בחר הגדרות. לאחר מכן בחר אפליקציות ענן. לאחר מכן , תחת בקרת יישום גישה מותנית, בחר אופן פעולה המהווה ברירת מחדל והגדר את אופן הפעולה המהווה ברירת מחדל לאפשר או לחסום גישה.

      2. עבור אל לוח המחוונים של תקינות השירות של Microsoft 365 ונטר הודעות אודות זמן ההשהיות של המערכת.

    5. אם אתה מגן על הקובץ באמצעות תווית רגישות או הרשאות מותאמות אישית, בתיאור פעילות, ודא שסיומת הקובץ היא אחד מסוגי הקבצים הנתמכים הבאים:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF אם תיוג מאוחד זמין

    אם סוג הקובץ אינו נתמך, במדיניות ההפעלה, באפשרותך לבחור חסום הורדה של כל קובץ שאינו נתמך על-ידי הגנה מקורית או כאשר ההגנה המקורית אינה הצליחה.

  4. אם עדיין אינך מצליח לראות פעילות חסומה, פתח כרטיס תמיכה.

ניווט אל כתובת URL מסוימת של יישום סיומת ונחיתה בדף כללי

בתרחישים מסוימים, ניווט לקישור עשוי לגרום למשתמש להגיע לדף הבית של האפליקציה במקום לנתיב המלא של הקישור.

עצה

יישומי ענן של Defender שומרת רשימה של יישומים שידוע כי הם סובלים מאובדן הקשר. לקבלת מידע נוסף, ראה מגבלות אובדן הקשר.

שלבים מומלצים

אם אתה משתמש בדפדפן שאינו Microsoft Edge ומשתמש נוחת בדף הבית של האפליקציה במקום בנתיב המלא של הקישור, .mcas.ms פתור את הבעיה על-ידי צירוף אל כתובת ה- URL המקורית.

לדוגמה, אם כתובת ה- URL המקורית היא:

https://www.github.com/organization/threads/threadnumber, שנה אותו ל https://www.github.com.mcas.ms/organization/threads/threadnumber

משתמשי Microsoft Edge נהנים מהגנת דפדפן, אינם מנותב מחדש ל- Proxy הפוך, .mcas.ms ואין צורך להוסיף את הסיומת. עבור אפליקציות שנתקלות בהפסד הקשר, פתח כרטיס תמיכה.

חסימת הורדות עשויות לגרום לחסימה של תצוגות מקדימות של PDF

מדי פעם, כאשר אתה מדפיס קבצי PDF בתצוגה מקדימה או מדפיס אותם, אפליקציות מאתחלות הורדה של הקובץ. פעולה זו יישומי ענן של Defender להתערב כדי להבטיח שההורדה חסומה ושנתונים לא דולפים מהסביבה שלך.

לדוגמה, אם יצרת מדיניות הפעלה לחסימת הורדות עבור Outlook Web Access (OWA), ייתכן שתצוגה מקדימה או הדפסה של קבצי PDF נחסמה, עם הודעה כגון זו:

צילום מסך של הודעת 'הורד הודעות חסומות'.

כדי לאפשר את התצוגה המקדימה, מנהל Exchange צריך לבצע את השלבים הבאים:

  1. הורד את Exchange Online PowerShell.

  2. התחבר למודול. לקבלת מידע נוסף, ראה התחברות Exchange Online PowerShell.

  3. לאחר החיבור ל- Exchange Online PowerShell, השתמש ב- cmdlet Set-OwaMailboxPolicy כדי לעדכן את הפרמטרים במדיניות:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    הערה

    מדיניות OwaMailboxPolicy-Default היא שם ברירת המחדל של מדיניות OWA Exchange Online. ייתכן שלקוחות מסוימים פרוסים מדיניות OWA מותאמת אישית בשם אחר או יצרו מדיניות OWA מותאמת אישית. אם יש לך פריטי מדיניות מרובים של OWA, ייתכן שהם יוחלו על משתמשים ספציפיים. לכן, תצטרך גם לעדכן אותם כדי לקבל כיסוי מלא.

  4. לאחר הגדרת פרמטרים אלה, הפעל בדיקה ב- OWA עם קובץ PDF ומדיניות הפעלה שתצורתה נקבעה לחסום הורדות. יש להסיר את האפשרות הורדה מהרשימה הנפתחת ובאפשרותך להציג את הקובץ בתצוגה מקדימה. לדוגמה:

    צילום מסך של תצוגה מקדימה של PDF לא נחסמה.

מופיעה אזהרת אתר דומה

שחקנים זדוניים יכולים ליצור כתובות URL הדומות לכתובות URL של אתרים אחרים כדי להתחזות למשתמשים ולהערים עליהם להאמין שהם גלוש לאתר אחר. דפדפנים מסוימים מנסים לזהות אופן פעולה זה ולהזהיר את המשתמשים לפני גישה אל כתובת ה- URL או לחסום גישה.

במקרים נדירים, משתמשים תחת בקרת הפעלה מקבלים הודעה מהדפדפן המציינת גישה חשודה לאתר. הסיבה לכך היא שהדפדפן מתייחס לתחום הסיומת (לדוגמה: .mcas.ms) כחשוד.

הודעה זו מופיעה רק עבור משתמשי Chrome, מפני שמשתמשי Microsoft Edge נהנים מההגנה בתוך הדפדפן, ללא ארכיטקטורת Proxy הפוכה. לדוגמה:

צילום מסך של אזהרת אתר דומה ב- Chrome.

אם אתה מקבל הודעה כגון זו, פנה לתמיכה של Microsoft כדי לטפל בה עם ספק הדפדפן הרלוונטי.

תוקפים יכולים ליצור כתובות URL שמופיעות להוביל לתחום מהימן, אך למעשה לנתב מחדש משתמשים לאתרים זדוניים. עבור משתמשים המוגנים באמצעות הפתרון מבוסס ההפעלה/הסיומת, תוקף עשוי לנסות לעקוף פקדים על-ידי צירוף הסיומת mcas.ms לכתובת URL זדונית, ומנצל את ההנחה שכתובות URL אלה בטוחות.

כדי לצמצם זאת, יישומי ענן של Microsoft Defender מחדש כל כתובת mcas.ms URL ללא הקשר הפעלה חוקי ל- מזהה Entra אימות, חוסם ביעילות ניצולים כאלה.

עם זאת, mcas.ms כתובות URL חוקיות ללא הקשר קיימות, לדוגמה, אם משתמש לוחץ על סימניית דפדפן ישנה. במקרים כאלה, המשתמש ינותב מחדש תחילה מזהה Entra. אם ספק הזהויות (IdP) שלו אינו מזהה Entra, עליו להסיר באופן ידני את mcas.ms הסיומת כדי להמשיך.

שיקולים נוספים לפתרון בעיות באפליקציות

בעת פתרון בעיות באפליקציות, יש לשקול כמה דברים נוספים:

  • תמיכה בפקדי הפעלה עבור דפדפנים מודרניים יישומי ענן של Defender ההפעלה כוללת כעת תמיכה בדפדפן Microsoft Edge החדש בהתבסס על Chromium. בעוד שאנו ממשיכים לתמוך בגירסאות העדכניות ביותר של Internet Explorer ובגירסה מדור קודם של Microsoft Edge, התמיכה מוגבלת ואנו ממליצים להשתמש בדפדפן Microsoft Edge החדש.

  • פקדי הפעלה מגנים על Co-Auth תווית תחת פעולת "הגנה" אינה נתמכת על-ידי יישומי ענן של Defender הפעלה. לקבלת מידע נוסף, ראה הפיכת עריכה משותפת לזמינה עבור קבצים מוצפנים באמצעות תוויות רגישות.

תוכן קשור

  • Last updated on