Rendszergazdai felhasználók hozzáférés- és munkamenet-vezérlőinek hibaelhárítása

  • Cikk

Ez a cikk útmutatást nyújt Felhőhöz készült Microsoft Defender alkalmazások rendszergazdáinak a rendszergazdák által tapasztalt gyakori hozzáférés- és munkamenet-vezérlési problémák kivizsgálásához és megoldásához.

Feljegyzés

A proxyfunkciókkal kapcsolatos hibaelhárítások csak olyan munkamenetek esetén relevánsak, amelyek nem a Microsoft Edge böngészőn belüli védelmére vannak konfigurálva.

Minimális követelmények ellenőrzése

A hibaelhárítás megkezdése előtt győződjön meg arról, hogy a környezet megfelel a hozzáférés- és munkamenet-vezérlőkre vonatkozó alábbi minimális általános követelményeknek.

Követelmény Leírás
Licencelés Győződjön meg arról, hogy rendelkezik érvényes licenccel Felhőhöz készült Microsoft Defender-alkalmazásokhoz.
Egyszeri bejelentkezés (SSO) Az alkalmazásokat a támogatott egyszeri bejelentkezés egyik megoldásával kell konfigurálni:

- Microsoft Entra-azonosító SAML 2.0 vagy OpenID Csatlakozás 2.0 használatával
- Nem Microsoft idP az SAML 2.0 használatával
Böngészőtámogatás A munkamenet-vezérlők böngészőalapú munkamenetekhez érhetők el a következő böngészők legújabb verzióiban:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A Microsoft Edge böngészőn belüli védelmének speciális követelményei is vannak, beleértve a munkahelyi profillal bejelentkezett felhasználót is. További információ: Böngészőn belüli védelmi követelmények.
Leállás Felhőhöz készült Defender Alkalmazások segítségével meghatározhatja az alapértelmezett viselkedést, amely akkor alkalmazható, ha szolgáltatáskimaradás történik, például egy összetevő nem működik megfelelően.

Ha például a normál házirend-vezérlők nem kényszeríthetők ki, dönthet úgy, hogy megkeményíti (letiltja) vagy megkerüli (engedélyezi) a felhasználókat abban, hogy műveleteket hajtsanak végre a potenciálisan bizalmas tartalmakon.

A rendszer állásidejének alapértelmezett viselkedésének konfigurálásához a Microsoft Defender XDR-ben lépjen a Gépház> Kondíciós hozzáférés alkalmazásvezérlőjének>alapértelmezett viselkedése>A hozzáférés engedélyezése vagy letiltása parancsra.

Böngészőn belüli védelmi követelmények

Ha böngészőn belüli védelmet használ a Microsoft Edge-lel , és a fordított proxy továbbra is kiszolgálja, győződjön meg arról, hogy megfelel a következő további követelményeknek:

  • A funkció be van kapcsolva a Defender XDR beállításaiban. További információ: Böngészőn belüli védelmi beállítások konfigurálása.

  • A Microsoft Edge vállalati verziójában minden olyan szabályzat támogatott, amelyre a felhasználó vonatkozik. Ha egy felhasználót egy másik, a Microsoft Edge Vállalati verzió által nem támogatott szabályzat szolgál ki, akkor mindig a fordított proxy szolgálja ki őket. További információ: Böngészőn belüli védelmi követelmények.

  • Támogatott platformot használ, beleértve a támogatott operációs rendszert, az identitásplatformot és az Edge-verziót. További információ: Böngészőn belüli védelmi követelmények.

A rendszergazdák hibaelhárítási problémáinak ismertetése

A következő táblázat segítségével keresse meg a elhárítani kívánt problémát:

Probléma típusa Problémák
Hálózati feltételekkel kapcsolatos problémák Hálózati hibák böngészőoldalra való navigáláskor

Lassú bejelentkezések

További szempontok a hálózati feltételekhez
Eszközazonosítási problémák Helytelenül konformált Intune-kompatibilis vagy Microsoft Entra hibrid csatlakoztatott eszközök

Az ügyféltanúsítványok nem kérik, ha várható

Az ügyféltanúsítványok nem kérik, ha várható
Az ügyféltanúsítványok minden bejelentkezéskor kérik

További szempontok az eszközazonosításhoz
Alkalmazások előkészítésekor felmerülő problémák Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján

Alkalmazás állapota: A beállításfolytatása Nem konfigurálható vezérlők natív alkalmazásokhoz

Az alkalmazás nem ismeri fel a lapot

Megjelenik a munkamenet-vezérlési beállítás kérése

További szempontok az alkalmazások előkészítéséhez
Hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémák A feltételes hozzáférési szabályzatokban nem látható a feltételes hozzáférésű alkalmazásvezérlési lehetőség

Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás a feltételes hozzáférésű alkalmazásvezérlővel

Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz

Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás

Nem lehet a Művelet: Védelem lehetőséget választani

További szempontok az alkalmazások előkészítéséhez
A Rendszergazda Nézet eszköztár diagnosztizálása és hibaelhárítása Proxy-munkamenet megkerülése

Munkamenet rögzítése

Hálózati feltételekkel kapcsolatos problémák

A hálózati feltételekkel kapcsolatos gyakori problémák a következők lehetnek:

Hálózati hibák böngészőoldalra való navigáláskor

Amikor először állítja be Felhőhöz készült Defender Alkalmazások hozzáférés- és munkamenet-vezérlőit egy alkalmazáshoz, gyakori hálózati hibák léphetnek fel: Ez a webhely nem biztonságos, és nincs internetkapcsolat. Ezek az üzenetek általános hálózati konfigurációs hibát jelezhetnek.

Javasolt lépések

  1. Konfigurálja a tűzfalat úgy, hogy az Felhőhöz készült Defender-alkalmazásokkal működjön a környezet szempontjából releváns Azure IP-címek és DNS-nevek használatával.

    1. Adja hozzá a 443-at a következő IP-címekhez és DNS-nevekhez a Felhőhöz készült Defender Apps adatközpontjához.
    2. Indítsa újra az eszközt és a böngésző munkamenetét
    3. Ellenőrizze, hogy a bejelentkezés a várt módon működik-e

  2. Engedélyezze a TLS 1.2-t a böngésző internetes beállításai között. Példa:

    Böngésző Lépések
    Microsoft Internet Explorer 1. Az Internet Explorer megnyitása
    2. Az Eszközök>internetbeállítások>– Tovább lap kiválasztása
    3. A Biztonság területen válassza a TLS 1.2 lehetőséget
    4. Válassza az Alkalmaz, majd az OK gombot
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Microsoft Edge / Edge Chromium 1. Nyissa meg a keresést a tálcáról, és keressen rá az "Internetbeállítások" kifejezésre
    2. Válassza az Internetbeállítások lehetőséget
    3. A Biztonság területen válassza a TLS 1.2 lehetőséget
    4. Válassza az Alkalmaz, majd az OK gombot
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Google Chrome 1. A Google Chrome megnyitása
    2. A jobb felső sarokban válassza az Egyebek (3 függőleges pont) >Gépház
    3. Alul válassza a Speciális lehetőséget
    4. A Rendszer területen válassza a Proxybeállítások megnyitása lehetőséget
    5. A Speciális lap Biztonság területén válassza a TLS 1.2 lehetőséget
    6. Válassza az OK gombot
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Mozilla Firefox 1. Nyissa meg a Mozilla Firefoxot
    2. A címsorban keresse meg a következőt: "about:config"
    3. A Keresőmezőben keressen rá a "TLS" kifejezésre
    4. Kattintson duplán a security.tls.version.min bejegyzésre
    5. Állítsa az egész szám értékét 3-ra, hogy a TLS 1.2 legyen a minimálisan szükséges verzió
    6. Válassza a Mentés gombot (jelölje be az értékmező jobb oldalán)
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Safari Ha a Safari 7-es vagy újabb verzióját használja, a TLS 1.2 automatikusan engedélyezve van

Felhőhöz készült Defender Alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják az osztályon belüli legjobb titkosítás biztosításához:

  • A TLS 1.2+-t nem támogató natív ügyfélalkalmazások és böngészők nem érhetők el, ha munkamenet-vezérléssel van konfigurálva.
  • A TLS 1.1-et vagy annál alacsonyabb verziót használó SaaS-alkalmazások A TLS 1.2+-t használva jelennek meg a böngészőben, ha az Felhőhöz készült Defender-alkalmazásokkal van konfigurálva.

Tipp.

Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen operációs rendszer bármely fő platformján bármilyen böngészővel működjenek, támogatjuk a Microsoft Edge, a Google Chrome, a Mozilla Firefox vagy az Apple Safari legújabb verzióit. Érdemes lehet letiltani vagy engedélyezni a hozzáférést kifejezetten mobil- vagy asztali alkalmazásokhoz.

Lassú bejelentkezések

A proxyláncolás és a nem-kezelés olyan gyakori problémák egyike, amelyek lassú bejelentkezési teljesítményt eredményezhetnek.

Javasolt lépések

Konfigurálja a környezetet, hogy eltávolítson minden olyan tényezőt, amely lassúságot okozhat a bejelentkezés során. Előfordulhat például, hogy tűzfalak vagy proxyláncolás továbbítása van konfigurálva, amelyek két vagy több proxykiszolgálót csatlakoztatnak a kívánt lapra való navigáláshoz. A lassúságot egyéb külső tényezők is befolyásolhatják.

  1. Azonosítsa, hogy a proxyláncolás a környezetben történik-e.
  2. Ha lehetséges, távolítsa el az esetleges előtűnéseket.

Egyes alkalmazások a hitelesítés során nem érvényes kivonatot használnak a visszajátszási támadások megelőzése érdekében. Alapértelmezés szerint az Felhőhöz készült Defender Apps azt feltételezi, hogy egy alkalmazás nem teljesítést használ. Ha az alkalmazás, amellyel dolgozik, nem használ nem műveletet, tiltsa le az alkalmazás letiltását az Felhőhöz készült Defender-alkalmazásokban:

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget.
  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
  3. Az alkalmazások listájában azon a sorban, amelyben a konfigurálni kívánt alkalmazás megjelenik, jelölje ki a sor végén található három elemet, majd válassza az alkalmazás Szerkesztés elemét .
  4. A Nem kezelés lehetőséget választva bontsa ki a szakaszt, majd törölje a jelet a Nem megfelelő kezelés engedélyezése jelölőnégyzetből.
  5. Jelentkezzen ki az alkalmazásból, és zárja be az összes böngésző munkamenetet.
  6. Indítsa újra a böngészőt, és jelentkezzen be újra az alkalmazásba. Ellenőrizze, hogy a bejelentkezés a várt módon működik-e.

További szempontok a hálózati feltételekhez

A hálózati feltételek hibaelhárítása során vegye figyelembe a következő megjegyzéseket a Felhőhöz készült Defender Apps-proxyval kapcsolatban:

  • Ellenőrizze, hogy a munkamenet egy másik adatközpontba van-e irányítva: Felhőhöz készült Defender Az alkalmazások világszerte azure-adatközpontokat használnak a teljesítmény geolokáción keresztüli optimalizálásához.

    Ez azt jelenti, hogy egy felhasználó munkamenete egy régión kívül is üzemeltethető a forgalmi mintáktól és azok helyétől függően. Az adatvédelem érdekében azonban ezekben az adatközpontokban nem tárol munkamenet-adatokat.

  • Proxyteljesítmény: A teljesítmény-alapkonfiguráció származtatása az Felhőhöz készült Defender Apps-proxyn kívül számos tényezőtől függ, például:

    • Milyen más proxyk vagy átjárók ülnek sorozatban ezzel a proxyval?
    • Honnan származik a felhasználó?
    • A megcélzott erőforrás helye
    • Konkrét kérések az oldalon

    Általánosságban elmondható, hogy minden proxy késést ad. A Felhőhöz készült Defender Apps-proxy előnyei a következők:

    • Az Azure-tartományvezérlők globális rendelkezésre állásának használata a felhasználók legközelebbi csomópontra való geolokációjára és az oda-vissza út távolságának csökkentésére. Az Azure-tartományvezérlők olyan léptékben térhetnek el, amely világszerte kevés szolgáltatással rendelkezik.

    • A Microsoft Entra feltételes hozzáféréssel való integrációval csak a szolgáltatásunkhoz irányítani kívánt munkameneteket irányíthatja, nem pedig az összes felhasználót minden helyzetben.

Eszközazonosítási problémák

Felhőhöz készült Defender Alkalmazások az alábbi lehetőségeket biztosítják az eszköz felügyeleti állapotának azonosításához.

  • Microsoft Intune-megfelelőség
  • Hibrid Microsoft Entra Tartományhoz csatlakoztatva
  • Ügyféltanúsítványok

További információ: Identitás által felügyelt eszközök feltételes hozzáférésű alkalmazásvezérléssel.

Az eszközazonosítással kapcsolatos gyakori problémák a következők lehetnek:

Helytelenül konformált Intune-kompatibilis vagy Microsoft Entra hibrid csatlakoztatott eszközök

A Microsoft Entra feltételes hozzáférés lehetővé teszi az Intune-kompatibilis és a Microsoft Entra hibrid csatlakoztatott eszközinformációk közvetlen átadását az Felhőhöz készült Defender-alkalmazásoknak. Az Felhőhöz készült Defender-alkalmazásokban használja az eszköz állapotát a hozzáférési vagy munkamenet-szabályzatok szűrőjeként.

További információ: Bevezetés az eszközkezelésbe a Microsoft Entra ID-ban.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender Appsben elérhető eszközazonosítási lehetőségek láthatók.

  3. Az Intune-nak megfelelő eszközazonosításhoz és a Microsoft Entra hibrid csatlakoztatott azonosításhoz válassza a Konfiguráció megtekintése lehetőséget, és ellenőrizze, hogy a szolgáltatások be vannak-e állítva. A szolgáltatások automatikusan szinkronizálódnak a Microsoft Entra-azonosítóról és az Intune-ról.

  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot az Eszközcímke szűrővel, amely megegyezik a hibrid Azure AD-hez csatlakoztatott, az Intune-kompatibilis vagy mindkettővel.

  5. A böngészőben jelentkezzen be egy olyan eszközre, amely a Microsoft Entra hibrid csatlakoztatású vagy az Intune-kompatibilis a szabályzatszűrő alapján.

  6. Ellenőrizze, hogy ezekről az eszközökről származó tevékenységek feltöltik-e a naplót. Az Felhőhöz készült Defender-alkalmazások Tevékenységnapló lapján szűrjöna hibrid Azure AD-hez csatlakoztatott eszközcímkére, az Intune-kompatibilisre vagy mindkettőre a szabályzatszűrők alapján.

  7. Ha a tevékenységek nem jelennek meg az Felhőhöz készült Defender-alkalmazások tevékenységnaplójában, lépjen a Microsoft Entra-azonosítóra, és hajtsa végre a következő lépéseket:

    1. A Bejelentkezések figyelése>csoportban ellenőrizze, hogy vannak-e bejelentkezési tevékenységek a naplókban.

    2. Válassza ki a megfelelő naplóbejegyzést a bejelentkezett eszközhöz.

    3. A Részletek panelen, az Eszközadatok lapon ellenőrizze, hogy az eszköz Felügyelt (hibrid Azure AD-csatlakoztatott) vagy Megfelelő (Intune-kompatibilis) állapotú-e.

      Ha egyik állapotot sem tudja ellenőrizni, próbálkozzon egy másik naplóbejegyzéssel, vagy győződjön meg arról, hogy az eszköz adatai megfelelően konfigurálva lesznek a Microsoft Entra-azonosítóban.

    4. Feltételes hozzáférés esetén egyes böngészők további konfigurációt igényelhetnek, például bővítmények telepítését. További információ: Feltételes hozzáférés böngésző támogatása.

    5. Ha továbbra sem látja az eszköz adatait a Bejelentkezések lapon, nyisson meg egy támogatási jegyet a Microsoft Entra-azonosítóhoz.

Az ügyféltanúsítványok nem kérik, ha várható

Az eszközazonosítási mechanizmus ügyféltanúsítványok használatával kérheti a hitelesítést a megfelelő eszközöktől. Feltölthet egy X.509-es főtanúsítványt vagy köztes hitelesítésszolgáltatói (CA) tanúsítványt PEM-tanúsítványformátumban.

A tanúsítványoknak tartalmazniuk kell a hitelesítésszolgáltató nyilvános kulcsát, amelyet aztán a munkamenet során bemutatott ügyféltanúsítványok aláírására használnak. További információ: Eszközkezelés keresése a Microsoft Entra nélkül.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender-alkalmazásokban elérhető eszközazonosítási lehetőségek láthatók.

  3. Ellenőrizze, hogy feltöltött-e egy X.509-es főtanúsítványt vagy köztes hitelesítésszolgáltatói tanúsítványt. Fel kell töltenie a hitelesítésszolgáltatóhoz való aláíráshoz használt hitelesítésszolgáltatói tanúsítványt.

  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot az Érvényes ügyféltanúsítványnak megfelelő eszközcímke szűrővel.

  5. Győződjön meg arról, hogy az ügyféltanúsítvány a következő:

    • PKCS #12 fájlformátummal üzembe helyezve, általában .p12 vagy .pfx fájlkiterjesztéssel
    • A teszteléshez használt eszköz felhasználói tárolójában van telepítve, nem pedig az eszköztárolóban

  6. Indítsa újra a böngésző munkamenetét.

  7. A védett alkalmazásba való bejelentkezéskor:

    • Ellenőrizze, hogy a rendszer átirányítja-e a következő URL-szintaxisra: <https://*.managed.access-control.cas.ms/aad_login>
    • Ha iOS-t használ, győződjön meg arról, hogy a Safari böngészőt használja.
    • Ha Firefoxot használ, a tanúsítványt hozzá kell adnia a Firefox saját tanúsítványtárolójába is. Minden más böngésző ugyanazt az alapértelmezett tanúsítványtárolót használja.

  8. Ellenőrizze, hogy a rendszer kéri-e az ügyféltanúsítványt a böngészőben.

    Ha nem jelenik meg, próbálkozzon egy másik böngészővel. A legtöbb fő böngésző támogatja az ügyféltanúsítvány-ellenőrzés végrehajtását. A mobil- és asztali alkalmazások azonban gyakran olyan beépített böngészőket használnak, amelyek esetleg nem támogatják ezt az ellenőrzést, ezért hatással vannak az alkalmazások hitelesítésére.

  9. Ellenőrizze, hogy ezekről az eszközökről származó tevékenységek feltöltik-e a naplót. Az Felhőhöz készült Defender-alkalmazások Tevékenységnapló lapján adjon hozzá egy szűrőt az Érvényes ügyféltanúsítványnak megfelelő eszközcímkéhez.

  10. Ha továbbra sem látja a kérést, nyisson meg egy támogatási jegyet , és adja meg a következő információkat:

    • Annak a böngészőnek vagy natív alkalmazásnak a részletei, ahol a problémát tapasztalta
    • Az operációs rendszer verziója, például iOS/Android/Windows 10
    • Említse meg, hogy a parancssor működik-e a Microsoft Edge Chromiumon

Az ügyféltanúsítványok minden bejelentkezéskor kérik

Ha azt tapasztalja, hogy az ügyféltanúsítvány megjelenik egy új lap megnyitása után, ennek oka az internetbeállítások között rejtett beállítások lehetnek. Ellenőrizze a beállításokat a böngészőben. Példa:

A Microsoft Internet Explorerben:

  1. Nyissa meg az Internet Explorert, és válassza az Eszközök>internetbeállítások>speciális lapja lehetőséget.
  2. A Biztonság területen válassza a Ne kérje az ügyféltanúsítvány kiválasztását, ha csak egy tanúsítvány létezik>, válassza az OK alkalmazása>lehetőséget.
  3. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül is hozzáfér-e az alkalmazáshoz.

Microsoft Edge/Edge Chromium esetén:

  1. Nyissa meg a keresést a tálcán, és keresse meg az internetbeállításokat.
  2. Válassza az InternetBeállítások>biztonsági>helyi intranet>egyéni szintjét.
  3. Ha csak egy tanúsítvány létezik, ne kérje meg az ügyféltanúsítvány>kiválasztását, válassza a Letiltás lehetőséget.
  4. Kattintson az OK>Gombra, majd az OK>gombra.
  5. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül is hozzáfér-e az alkalmazáshoz.

További szempontok az eszközazonosításhoz

Az eszközazonosítás hibaelhárítása során megkövetelheti az ügyféltanúsítványok tanúsítványának visszavonását.

A hitelesítésszolgáltató által visszavont tanúsítványok már nem megbízhatók. Ha ezt a beállítást választja, az összes tanúsítványnak át kell adnia a CRL protokollt. Ha az ügyféltanúsítvány nem tartalmaz CRL-végpontot, nem tud csatlakozni a felügyelt eszközről.

Alkalmazások előkészítésekor felmerülő problémák

A hozzáférés- és munkamenet-vezérlőkhöz a következő típusú alkalmazásokat készítheti el:

  • Katalógusalkalmazások: Azok az alkalmazások, amelyek a munkamenet-vezérlőkkel együtt érkeznek, a munkamenet-vezérlő címkéje szerint a dobozon kívülre kerülnek.

  • Bármely (egyéni) alkalmazás: Az egyéni üzletági (LOB) vagy a helyszíni alkalmazásokat a rendszergazda előkészítheti a munkamenet-vezérlőkbe.

Példa:

Screenshot of a proxy list showing catalog and any (custom) apps.

Az alkalmazás előkészítésekor győződjön meg arról, hogy gondosan követte a proxy üzembe helyezési útmutatóját. További információkért lásd:

  1. Katalógusalkalmazások üzembe helyezése munkamenet-vezérlőkkel
  2. Egyéni LOB-alkalmazások, nem felügyelt SaaS-alkalmazások és a Microsoft Entra-alkalmazásproxyn keresztül üzemeltetett helyszíni alkalmazások üzembe helyezése munkamenet-vezérlőkkel

Az alkalmazások előkészítése során gyakran előforduló forgatókönyvek a következők:

Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján

Az alkalmazás feltételes hozzáférésű alkalmazásvezérlőbe való előkészítésekor az utolsó üzembe helyezési lépés az, hogy a végfelhasználó navigáljon az alkalmazáshoz. Ha az alkalmazás nem a várt módon jelenik meg, végezze el a szakasz lépéseit.

Javasolt lépések

  1. Győződjön meg arról, hogy az alkalmazás megfelel a következő feltételes hozzáférési alkalmazás előfeltételeinek az identitásszolgáltatójától függően:

    • Microsoft Entra-azonosító:

      1. Győződjön meg arról, hogy rendelkezik érvényes licenccel a P1 Microsoft Entra-azonosítóhoz az Felhőhöz készült Defender Apps-licenc mellett.
      2. Győződjön meg arról, hogy az alkalmazás az SAML 2.0 vagy az OpenID Csatlakozás protokollt használja.
      3. Győződjön meg arról, hogy az alkalmazás egyszeri bejelentkezése a Microsoft Entra-azonosítóban van.

    • Nem Microsoft:

      1. Győződjön meg arról, hogy érvényes Felhőhöz készült Defender Apps-licenccel rendelkezik.
      2. Duplikált alkalmazás létrehozása.
      3. Győződjön meg arról, hogy az alkalmazás az SAML protokollt használja.
      4. Ellenőrizze, hogy teljesen előkészítette-e az alkalmazást, és az alkalmazás állapota Csatlakozás.

  2. A Microsoft Entra-szabályzat munkamenet alatt győződjön meg arról, hogy a munkamenetnek Felhőhöz készült Defender-alkalmazásokhoz kell irányítania. Ez lehetővé teszi, hogy az alkalmazás megjelenjen a Feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján az alábbiak szerint:

    • A feltételes hozzáférésű alkalmazásvezérlő ki van jelölve.
    • A beépített szabályzatok legördülő listában csak a Figyelés lehetőség van kiválasztva

  3. Új inkognitó módban vagy újra bejelentkezve lépjen az alkalmazásra egy új böngésző-munkamenetben.

Alkalmazás állapota: A telepítés folytatása

Az alkalmazások állapota eltérő lehet, és tartalmazhatják a telepítés folytatását, Csatlakozás vagy a Tevékenységek nélkül lehetőséget.

Nem Microsoft-identitásszolgáltatókon (IdP) keresztül csatlakoztatott alkalmazások esetén, ha a telepítés nem fejeződött be, az alkalmazás elérésekor megjelenik egy lap, amelyen a beállítás folytatása látható. Az alábbi lépésekkel fejezze be a telepítést.

Javasolt lépések

  1. Válassza a Telepítés folytatása lehetőséget.

  2. Tekintse át az üzembe helyezési útmutatót , és ellenőrizze, hogy elvégezte-e az összes lépést. Különös figyelmet kell fordítani a következő megjegyzésekre:

    1. Győződjön meg arról, hogy létrehoz egy új egyéni SAML-alkalmazást. Az alkalmazásnak módosítania kell a katalógusalkalmazásokban esetleg nem elérhető URL-címeket és SAML-attribútumokat.
    2. Ha az identitásszolgáltató nem engedélyezi ugyanannak az azonosítónak , más néven entitásazonosítónak vagy célközönségnek az újrafelhasználását, módosítsa az eredeti alkalmazás azonosítóját.

Natív alkalmazások vezérlői nem konfigurálhatók

A natív alkalmazások heurisztikusan észlelhetők, és hozzáférési szabályzatokkal figyelheti vagy letilthatja őket. A natív alkalmazások vezérlőinek konfigurálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Egy hozzáférési szabályzatban adjon hozzá egy ügyfélalkalmazás-szűrőt, és állítsa be a Mobile és az asztali verzióval egyenlőre.

  2. A Műveletek csoportban válassza a Blokk lehetőséget.

  3. Igény szerint testre szabhatja a felhasználók által a fájlok letöltésekor megjelenő blokkoló üzenetet. Ehhez az üzenethez például webböngészőt kell használnia az alkalmazás eléréséhez.

  4. Tesztelje és ellenőrizze, hogy a vezérlő a várt módon működik-e.

Az alkalmazás nem ismeri fel a lapot

Felhőhöz készült Defender Alkalmazások több mint 31 000 alkalmazást ismerhetnek fel a Felhőalapú alkalmazáskatalógus.

Ha olyan egyéni alkalmazást használ, amely a Microsoft Entra SSO-val van konfigurálva, és nem tartozik a támogatott alkalmazások közé, akkor nem ismeri fel az alkalmazást. A probléma megoldásához konfigurálnia kell az alkalmazást a feltételes hozzáférésű alkalmazásvezérlőn.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  2. A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.

  3. Az új alkalmazások listájában keresse meg az előkészítés alatt álló alkalmazást, jelölje ki a jelet, majd válassza a + Hozzáadás lehetőséget.

    1. Válassza ki, hogy az alkalmazás egyéni vagy standard alkalmazás-e.
    2. Folytassa a varázslóval, győződjön meg arról, hogy a megadott felhasználó által megadott tartományok helyesek a konfigurálni kívánt alkalmazáshoz.

  4. Ellenőrizze, hogy az alkalmazás megjelenik-e a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján.

Megjelenik a munkamenet-vezérlési beállítás kérése

Az alkalmazás hozzáadása után előfordulhat, hogy megjelenik a Munkamenet-vezérlés kérése beállítás. Ez azért fordul elő, mert csak a katalógusalkalmazások rendelkeznek beépített munkamenet-vezérlőkkel. Bármely más alkalmazás esetében végig kell haladnia egy önbekészítési folyamaton.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazásba bevezető felhasználók egyszerű nevét vagy e-mail-címét, majd válassza a Mentés lehetőséget.

  4. Nyissa meg az üzembe helyezendő alkalmazást. A megjelenő oldal attól függ, hogy az alkalmazás felismerve van-e. A megjelenő oldaltól függően tegye az alábbiak egyikét:

További szempontok az alkalmazások előkészítéséhez

Az alkalmazások előkészítésének hibaelhárítása során ne feledje, hogy a feltételes hozzáférésű alkalmazások vezérlése nem felel meg a Microsoft Entra-alkalmazásoknak.

A Microsoft Entra-azonosítóban és a Felhőhöz készült Defender-alkalmazásokban szereplő alkalmazásnevek eltérhetnek attól függően, hogy a termékek hogyan azonosítják az alkalmazásokat.

A gyakorlatban ez a különbség azt jelenti, hogy a SharePoint Online kiválasztása a Microsoft Entra-azonosítóban egyenértékű az alkalmazások (például a Word Online és a Teams) Felhőhöz készült Defender-alkalmazásokban való kiválasztásával, mivel az alkalmazások mindegyike a tartományt sharepoint.com használja.

Hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémák

Felhőhöz készült Defender Alkalmazások a következő konfigurálható szabályzatokat biztosítják:

  • Hozzáférési szabályzatok: Böngésző-, mobil- és/vagy asztali alkalmazásokhoz való hozzáférés figyelésére vagy letiltására szolgál.
  • Munkamenet-szabályzatok. Bizonyos műveletek figyelésére, letiltására és végrehajtására szolgál, hogy megakadályozza az adatok beszivárgását és a kiszivárgást a böngészőben.

Ha ezeket a szabályzatokat Felhőhöz készült Defender Appsben szeretné használni, először konfigurálnia kell egy házirendet a Microsoft Entra Feltételes hozzáférésben a munkamenet-vezérlők kiterjesztéséhez:

  1. A Microsoft Entra-szabályzat Hozzáférés-vezérlők területén válassza a Munkamenet>használata feltételes hozzáférésű alkalmazásvezérlőt.

  2. Válasszon ki egy beépített szabályzatot (csak figyelés vagy letöltések letiltása), vagy egyéni szabályzattal állítson be speciális szabályzatot az Felhőhöz készült Defender-alkalmazásokban.

  3. A folytatáshoz válassza a Kiválasztás lehetőséget .

A szabályzatok konfigurálása során gyakran előforduló forgatókönyvek a következők:

A feltételes hozzáférési szabályzatokban nem látható a feltételes hozzáférésű alkalmazásvezérlési lehetőség

A munkamenetek Felhőhöz készült Defender-alkalmazásokhoz való átirányításához a Microsoft Entra feltételes hozzáférési szabályzatait úgy kell konfigurálni, hogy azok tartalmazzák a feltételes hozzáférésű alkalmazásvezérlő munkamenet-vezérlőit.

Javasolt lépések

Ha nem látja a feltételes hozzáférésű alkalmazásvezérlési lehetőséget a feltételes hozzáférési szabályzatban, győződjön meg arról, hogy rendelkezik érvényes licenccel a P1 Microsoft Entra-azonosítóhoz és egy érvényes Felhőhöz készült Defender Apps-licenchez.

Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás a feltételes hozzáférésű alkalmazásvezérlővel

Hozzáférési vagy munkamenet-szabályzat létrehozásakor a következő hibaüzenet jelenhet meg: Nincs üzembe helyezett alkalmazás a feltételes hozzáférésű alkalmazásvezérlővel. Ez a hiba azt jelzi, hogy az alkalmazás nincs üzembe helyezve.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  2. Ha azt az üzenetet látja, hogy nincs csatlakoztatva alkalmazás, az alábbi útmutatók segítségével helyezhet üzembe alkalmazásokat:

Ha problémákba ütközik az alkalmazás üzembe helyezése során, tekintse meg az alkalmazás előkészítésekor felmerülő problémákat.

Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz

Egyéni alkalmazás hozzáadása után a Feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján a következő lehetőség jelenhet meg: Munkamenet-vezérlés kérése.

Feljegyzés

A katalógusalkalmazások beépített munkamenet-vezérlőkkel rendelkeznek. Minden más alkalmazás esetében önbekészítési folyamaton kell végighaladnia. További információ: Előre előkészített alkalmazások.

Javasolt lépések

  1. Helyezze üzembe az alkalmazást a munkamenet-vezérlésben. További információ: Egyéni üzletági alkalmazások, nem felügyelt SaaS-alkalmazások és helyszíni alkalmazások üzembe helyezése a Microsoft Entra alkalmazásproxyn keresztül, munkamenet-vezérlőkkel.

  2. Hozzon létre egy munkamenet-szabályzatot, és válassza ki az alkalmazásszűrőt .

  3. Győződjön meg arról, hogy az alkalmazás szerepel a legördülő listában.

Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás

A munkamenet-szabályzatokban a Control fájlletöltés (ellenőrzéssel) munkamenet-vezérlési típus használatakor az Adatbesorolási szolgáltatás ellenőrzési módszerével valós időben vizsgálhatja a fájlokat, és észlelheti a konfigurált feltételek bármelyikének megfelelő bizalmas tartalmat.

Ha az adatbesorolási szolgáltatás vizsgálati módszere nem érhető el, a probléma kivizsgálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Ellenőrizze, hogy a munkamenet-vezérlés típusa a Fájlletöltés vezérlése (ellenőrzéssel) értékre van-e állítva.

    Feljegyzés

    Az Adatbesorolási szolgáltatás vizsgálati módszere csak a Control fájl letöltéséhez (ellenőrzéssel) érhető el.

  2. Határozza meg, hogy az adatbesorolási szolgáltatás elérhető-e a régióban:

    • Ha a szolgáltatás nem érhető el a régióban, használja a beépített DLP-ellenőrzési módszert.
    • Ha a szolgáltatás elérhető a régióban, de továbbra sem látja az adatbesorolási szolgáltatás ellenőrzési módszerét, nyisson meg egy támogatási jegyet.

Nem lehet a Művelet: Védelem lehetőséget választani

A munkamenet-szabályzatokban a Vezérlőfájl letöltése (ellenőrzéssel) munkamenet-vezérlési típus használata esetén a Figyelési és blokkolási műveletek mellett megadhatja a Védelem műveletet is. Ez a művelet lehetővé teszi a fájlletöltések engedélyezését azzal a lehetőséggel, hogy feltételek, tartalomvizsgálat vagy mindkettő alapján titkosítja vagy alkalmazza az engedélyeket a fájlra.

Ha a Védelem művelet nem érhető el, a probléma kivizsgálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Ha a Védelem művelet nem érhető el, vagy szürkére van szürkítve, ellenőrizze, hogy rendelkezik-e prémium szintű Azure Information Protection (AIP) P1 licenccel. További információ: Microsoft Purview információvédelem integráció.

  2. Ha a Védelem művelet elérhető, de nem látja a megfelelő címkéket.

    1. Az Felhőhöz készült Defender Apps menüsávjában válassza a Beállítások ikont >a Microsoft Information Protectionben, és ellenőrizze, hogy engedélyezve van-e az integráció.

    2. Office-címkék esetén az AIP portálon győződjön meg arról, hogy az Egyesített címkézés ki van jelölve.

További szempontok az alkalmazások előkészítéséhez

Az alkalmazások előkészítésének hibaelhárítása során további szempontokat is figyelembe kell venni.

  • Ismerje meg a Microsoft Entra feltételes hozzáférési szabályzat beállításai közötti különbséget: "Csak figyelés", "Letöltések letiltása" és "Egyéni szabályzat használata"

    A Microsoft Entra feltételes hozzáférési szabályzataiban a következő beépített Felhőhöz készült Defender-alkalmazások vezérlőit konfigurálhatja: Csak figyelés és letöltések letiltása. Ezek a beállítások a Felhőhöz készült Defender Apps proxyszolgáltatást alkalmazzák és érvényesítik a Microsoft Entra ID-ban konfigurált felhőalkalmazásokhoz és feltételekhez.

    Összetettebb szabályzatok esetén válassza az Egyéni szabályzat használata lehetőséget, amely lehetővé teszi a hozzáférési és munkamenet-szabályzatok konfigurálását az Felhőhöz készült Defender Appsben.

  • A "Mobil és asztali" ügyfélalkalmazás-szűrő lehetőség megismerése a hozzáférési szabályzatokban

    Az Felhőhöz készült Defender-alkalmazások hozzáférési szabályzataiban, kivéve, ha az ügyfélalkalmazás-szűrő a Mobile és az asztali verzióra van állítva, az eredményként kapott hozzáférési szabályzat a böngésző munkamenetekre vonatkozik.

    Ennek az az oka, hogy megakadályozza a felhasználói munkamenetek véletlen proxyzását, ami a szűrő használatának mellékterméke lehet.

A Rendszergazda Nézet eszköztár diagnosztizálása és hibaelhárítása

A Rendszergazda Nézet eszköztár a képernyő alján található, és eszközöket biztosít a rendszergazdák számára a feltételes hozzáférésű alkalmazásvezérléssel kapcsolatos problémák diagnosztizálásához és elhárításához.

A Rendszergazda Nézet eszköztár megtekintéséhez a Microsoft Defender XDR beállításai között meg kell adnia bizonyos rendszergazdai felhasználói fiókokat az alkalmazás előkészítési/karbantartási listájához.

Felhasználó hozzáadása az alkalmazás előkészítési/karbantartási listájához:

  1. A Microsoft Defender XDR-ben válassza a Gépház> Cloud Apps lehetőséget.

  2. Görgessen le, és a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg a hozzáadni kívánt rendszergazdai felhasználó egyszerű nevét vagy e-mail-címét.

  4. Válassza ki a Feltételes hozzáférésű alkalmazásvezérlés megkerüléséhez a felhasználók számára kijelölt munkamenet-beállításon belül, majd válassza a Mentés lehetőséget.

    Példa:

    Screenshot of the App onboarding / maintenance settings.

Amikor a következő alkalommal, amikor az egyik felsorolt felhasználó új munkamenetet indít egy olyan támogatott alkalmazásban, amelyben rendszergazda, megjelenik a Rendszergazda Nézet eszköztár a böngésző alján.

Az alábbi képen például a böngészőablak alján látható Rendszergazda Nézet eszköztár látható, amikor a OneNote-ot használja a böngészőben:

Screenshot of the Admin View toolbar.

A következő szakaszok azt ismertetik, hogyan használható a Rendszergazda Nézet eszköztár a teszteléshez és a hibaelhárításhoz.

Tesztelési mód

Rendszergazdai felhasználóként érdemes lehet tesztelni a közelgő proxyhibákat, mielőtt a legújabb kiadás teljes körűen elérhető lenne az összes bérlő számára. Küldjön visszajelzést a hibajavításról a Microsoft támogatási csapatának a kiadási ciklusok felgyorsítása érdekében.

Teszt módban csak a rendszergazdai felhasználók érhetik el a hibajavításokban megadott módosításokat. Nincs hatása a többi felhasználóra.

  • A tesztelési mód bekapcsolásához a Rendszergazda Nézet eszköztáron válassza a Teszt mód lehetőséget.
  • Ha befejezte a tesztelést, válassza a Tesztelés befejezése módot a normál működéshez való visszatéréshez.

Proxy-munkamenet megkerülése

Ha nehézséget okoz az alkalmazás elérése vagy betöltése, érdemes lehet ellenőriznie, hogy a probléma a feltételes hozzáférési proxyval kapcsolatos-e, ha az alkalmazást proxy nélkül futtatja.

A proxy megkerüléséhez a Rendszergazda Nézet eszköztáron válassza a Felület megkerülése lehetőséget. Győződjön meg arról, hogy a munkamenet megkerülve van, és ne feledje, hogy az URL-cím nincs utótagként.

A feltételes hozzáférési proxyt a rendszer a következő munkamenetben ismét használja.

További információ: Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazások vezérlése és böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).

Munkamenet rögzítése

A probléma alapvető okainak elemzésében segíthet, ha munkamenet-felvételt küld a Microsoft támogatási szakembereinek. A munkamenet rögzítéséhez használja a Rendszergazda Nézet eszköztárat.

Feljegyzés

Minden személyes adat törlődik a felvételekről.

Munkamenet rögzítése:

  1. A Rendszergazda Nézet eszköztáron válassza a Rekord munkamenet lehetőséget. Amikor a rendszer kéri, válassza a Folytatás lehetőséget a feltételek elfogadásához. Példa:

    Screenshot of the session recording privacy statement dialog.

  2. Ha szükséges, jelentkezzen be az alkalmazásba a munkamenet szimulálásához.

  3. Amikor befejezte a forgatókönyv rögzítését, válassza a Rögzítés leállítása lehetőséget a Rendszergazda Nézet eszköztáron.

A rögzített munkamenetek megtekintése:

Miután befejezte a felvételt, tekintse meg a rögzített munkameneteket a Rendszergazda Nézet eszköztár munkamenet-felvételeinek kiválasztásával. Megjelenik az előző 48 óra rögzített munkameneteinek listája. Példa:

Screenshot of session recordings.

A felvételek kezeléséhez válasszon ki egy fájlt, majd szükség szerint válassza a Törlés vagy letöltés lehetőséget. Példa:

Screenshot of downloading or deleting a recording.

Következő lépések

További információ: A végfelhasználók hozzáférés- és munkamenet-vezérlőinek hibaelhárítása.