Hozzáférés- és munkamenet-vezérlők hibaelhárítása végfelhasználók számára

  • Cikk

Ez a cikk útmutatást nyújt az Felhőhöz készült Microsoft Defender-alkalmazások rendszergazdáinak a végfelhasználók által tapasztalt gyakori hozzáférés- és munkamenet-vezérlési problémák kivizsgálásához és megoldásához.

Minimális követelmények ellenőrzése

A hibaelhárítás megkezdése előtt győződjön meg arról, hogy a környezet megfelel a hozzáférés- és munkamenet-vezérlőkre vonatkozó alábbi minimális általános követelményeknek.

Követelmény Leírás
Licencelés Győződjön meg arról, hogy rendelkezik érvényes licenccel Felhőhöz készült Microsoft Defender-alkalmazásokhoz.
Egyszeri bejelentkezés (SSO) Az alkalmazásokat az egyszeri bejelentkezés (SSO) egyik támogatott megoldásával kell konfigurálni:

- Microsoft Entra-azonosító SAML 2.0 vagy OpenID Csatlakozás 2.0 használatával
- Nem Microsoft idP az SAML 2.0 használatával
Böngészőtámogatás A munkamenet-vezérlők böngészőalapú munkamenetekhez érhetők el a következő böngészők legújabb verzióiban:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A Microsoft Edge böngészőn belüli védelmének speciális követelményei is vannak, beleértve a munkahelyi profillal bejelentkezett felhasználót is. További információ: Böngészőn belüli védelmi követelmények.
Leállás Felhőhöz készült Defender Alkalmazások segítségével meghatározhatja az alapértelmezett viselkedést, amely akkor alkalmazható, ha szolgáltatáskimaradás történik, például egy összetevő nem működik megfelelően.

Dönthet például úgy, hogy megkeményíti (letiltja) vagy megkerüli (engedélyezi) a felhasználókat abban, hogy műveleteket hajtsanak végre a potenciálisan bizalmas tartalmakon, ha a normál szabályzatvezérlők nem kényszeríthetők ki.

A rendszer állásidejének alapértelmezett viselkedésének konfigurálásához a Microsoft Defender XDR-ben lépjen a Gépház> Kondíciós hozzáférés alkalmazásvezérlőjének>alapértelmezett viselkedése>A hozzáférés engedélyezése vagy letiltása parancsra.

A felhasználói figyelési oldal nem jelenik meg

Ha a felhasználót a Felhőhöz készült Defender-alkalmazásokon keresztül irányítja át, értesítheti a felhasználót a munkamenet figyeléséről. Alapértelmezés szerint a felhasználói figyelési oldal engedélyezve van.

Ez a szakasz ismerteti azokat a hibaelhárítási lépéseket, amelyek akkor ajánlottak, ha a felhasználói figyelési oldal engedélyezve van, de nem a várt módon jelenik meg.

Javasolt lépések

  1. A Microsoft Defender portálon válassza a Gépház> Cloud Apps lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza a Felhasználófigyelés lehetőséget. Ezen a lapon az Felhőhöz készült Defender Appsben elérhető felhasználói figyelési lehetőségek láthatók. Exmaple esetén:

    Screenshot of the user monitoring options.

  3. Győződjön meg arról, hogy a felhasználók értesítése a tevékenység figyeléséről jelölőnégyzet be van jelölve .

  4. Válassza ki, hogy az alapértelmezett üzenetet szeretné-e használni, vagy egyéni üzenetet szeretne megadni:

    Üzenettípus Részletek
    Alapértelmezett Fejléc:
    Az [Alkalmazás neve itt jelenik meg] hozzáférése figyelve van
    Törzs:
    A nagyobb biztonság érdekében a szervezet monitorozási módban engedélyezi az [Alkalmazás neve itt jelenik meg] hozzáférést. Az Access csak webböngészőből érhető el.
    Szokás Fejléc:
    Ezzel a mezővel egyéni címsort adhat meg, amely tájékoztatja a figyelt felhasználókat.
    Törzs:
    Ezzel a mezővel további egyéni információkat adhat meg a felhasználó számára, például hogy kivel léphet kapcsolatba a kérdésekkel, és támogatja a következő bemeneteket: egyszerű szöveg, rich text, hiperhivatkozások.

  5. Válassza az Előnézet lehetőséget az alkalmazás elérése előtt megjelenő felhasználói figyelési lap ellenőrzéséhez.

  6. Válassza a Mentés lehetőséget.

Nem microsoftos identitásszolgáltatótól származó alkalmazás nem érhető el

Ha egy végfelhasználó általános hibát kap, miután bejelentkezett egy alkalmazásba egy nem Microsoft-identitásszolgáltatótól, ellenőrizze a nem Microsoft-identitásszolgáltató konfigurációját.

Javasolt lépések

  1. A Microsoft Defender portálon válassza a Gépház> Cloud Apps lehetőséget.

  2. A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  3. Az alkalmazások listájában azon a sorban, amelyen az alkalmazás nem érhető el, jelölje ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.

    1. Ellenőrizze, hogy a feltöltött SAML-tanúsítvány helyes-e.

    2. Ellenőrizze, hogy az alkalmazáskonfigurációban érvényes SSO-URL-címek vannak-e megadva.

    3. Ellenőrizze, hogy az egyéni alkalmazás attribútumai és értékei megjelennek-e az identitásszolgáltató beállításaiban.

    Példa:

    Screenshot of the SAML information page..

  4. Ha továbbra sem fér hozzá az alkalmazáshoz, nyisson meg egy támogatási jegyet.

Valami hibás oldal jelenik meg

Előfordulhat, hogy egy próbaidőszak során a Valami elromlott lap jelenik meg. Ez a következő esetekben fordulhat elő:

  • A felhasználó egy ideig tétlen állapotban jelentkezik be
  • A böngésző és az oldalbetöltés frissítése a vártnál tovább tart
  • A nem Microsoft IdP alkalmazás nincs megfelelően konfigurálva

Javasolt lépések

  1. Ha a végfelhasználó nem Microsoft-identitásszolgáltatóval konfigurált alkalmazást próbál elérni, olvassa el a Nem érhető el alkalmazás nem Microsoft-azonosítóból és alkalmazásállapotból: Folytatás a beállítással.

  2. Ha a végfelhasználó váratlanul elérte ezt a lapot, tegye a következőket:

    1. Indítsa újra a böngésző munkamenetét.
    2. Törölje az előzményeket, a cookie-kat és a gyorsítótárat a böngészőből.

A vágólapműveletek vagy fájlvezérlők nincsenek letiltva

Az adatkiszivárgás és a beszivárgási forgatókönyvek megakadályozása érdekében a vágólap műveleteinek, például a kivágási, másolási, beillesztési és fájlvezérlőknek, például a letöltésnek, a feltöltésnek és a nyomtatásnak a letiltására van szükség.

Ez a képesség lehetővé teszi a vállalatok számára a végfelhasználók biztonságának és termelékenységének egyensúlyát. Ha problémákat tapasztal ezekkel a funkciókkal kapcsolatban, az alábbi lépésekkel vizsgálja meg a problémát.

Feljegyzés

A kivágás, a másolás és a beillesztés nem lesz letiltva az ugyanazon Excel-dokumentumban lévő adatok esetében. Csak a külső helyekre való másolás le van tiltva.

Javasolt lépések

Ha a munkamenetet kivizsgálják, a szabályzat ellenőrzéséhez kövesse az alábbi lépéseket:

  1. A Microsoft Defender portál Cloud Apps területén válassza a Tevékenységnapló lehetőséget.

  2. Használja a speciális szűrőt, válassza az Alkalmazott műveletet , és állítsa be a Letiltott értéknek megfelelő értéket.

  3. Ellenőrizze, hogy vannak-e letiltott fájltevékenységek:

    1. Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva.

    2. A tevékenységfiók Általános lapján válassza a megfeleltethető szabályzatok hivatkozását, és ellenőrizze, hogy az ön által kikényszerített szabályzat megtalálható-e.

    3. Ha nem látja a házirendet, tekintse meg a hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémákat.

    4. Ha az alapértelmezett viselkedés miatt letiltott/engedélyezett hozzáférés jelenik meg, az azt jelzi, hogy a rendszer leállt, és az alapértelmezett viselkedés lett alkalmazva.

      1. Az alapértelmezett viselkedés módosításához a Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása beállításra.

      2. Nyissa meg a Microsoft 365 felügyeleti portálját , és figyelje a rendszer állásidejéről szóló értesítéseket.

  4. Ha továbbra sem látja a letiltott tevékenységet, nyisson meg egy támogatási jegyet.

A letöltések nem védettek

Végfelhasználóként szükség lehet bizalmas adatok letöltésére egy nem felügyelt eszközre. Ezekben a helyzetekben a dokumentumokat Microsoft Purview információvédelem védheti.

Ha a végfelhasználó nem tudja sikeresen titkosítani a dokumentumot, a probléma kivizsgálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. A Microsoft Defender portál Cloud Apps területén válassza a Tevékenységnapló lehetőséget.

  2. Használja a speciális szűrőt, válassza az Alkalmazott műveletet, és állítsa be a védettnek megfelelő értéket.

  3. Ellenőrizze, hogy vannak-e letiltott fájltevékenységek:

    1. Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva

    2. A tevékenységfiók Általános lapján válassza a megfeleltethető szabályzatok hivatkozását, és ellenőrizze, hogy az ön által kikényszerített szabályzat megtalálható-e.

    3. Ha nem látja a házirendet, tekintse meg a hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémákat.

    4. Ha az alapértelmezett viselkedés miatt letiltott/engedélyezett hozzáférés jelenik meg, az azt jelzi, hogy a rendszer leállt, és az alapértelmezett viselkedés lett alkalmazva.

      1. Az alapértelmezett viselkedés módosításához a Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása beállításra.

      2. Nyissa meg a Microsoft 365 Service Health irányítópultját , és figyelje a rendszer állásidejéről szóló értesítéseket.

    5. Ha AIP-címkével vagy egyéni engedélyekkel védi a fájlt, a Tevékenység leírásában győződjön meg arról, hogy a fájlkiterjesztés az alábbi támogatott fájltípusok egyike:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF, ha engedélyezve van az egyesített címkézés

    Ha a fájltípus nem támogatott, a munkamenet-házirendben kiválaszthatja az natív védelem által nem támogatott vagy sikertelen natív védelemmel nem támogatott fájlok letöltésének letiltását.

  4. Ha továbbra sem látja a letiltott tevékenységet, nyisson meg egy támogatási jegyet.

Navigálás egy utótagos alkalmazás adott URL-címére, és egy általános oldalon való leszállás

Bizonyos esetekben a hivatkozásra való navigálás azt eredményezheti, hogy a felhasználó a hivatkozás teljes elérési útja helyett az alkalmazás kezdőlapjára lép.

Tipp.

Felhőhöz készült Defender Az alkalmazások egy listát vezetnek azokról az alkalmazásokról, amelyekről ismert, hogy környezetvesztésben szenvednek. További információkért lásd a környezetveszteség korlátozásait.

Javasolt lépések

Ha a Microsoft Edge-en kívül más böngészőt használ, és egy felhasználó a hivatkozás teljes elérési útja helyett az alkalmazás kezdőlapjára ér, az eredeti URL-címhez fűzve .mcas.ms megoldhatja a problémát.

Ha például az eredeti URL-cím a következő:

https://www.github.com/organization/threads/threadnumberelemet, módosítsa a https://www.github.com.mcas.ms/organization/threads/threadnumber

A Microsoft Edge-felhasználók élvezhetik a böngészőn belüli védelmet, nem irányítják át fordított proxyra, és nem kell hozzá adni az .mcas.ms utótagot. A környezetvesztést tapasztaló alkalmazások esetében nyisson meg egy támogatási jegyet.

A letöltések letiltása miatt a PDF-előnézetek le lesznek tiltva

A PDF-fájlok előnézetének megtekintésekor vagy nyomtatásakor az alkalmazások időnként kezdeményezik a fájl letöltését. Ez Felhőhöz készült Defender alkalmazások beavatkozását eredményezi annak érdekében, hogy a letöltés le legyen tiltva, és hogy az adatok ne szivárogjanak ki a környezetből.

Ha például egy munkamenet-házirendet hozott létre az Outlook Web Access (OWA) letöltéseinek letiltásához, akkor előfordulhat, hogy a PDF-fájlok előnézete vagy nyomtatása le lesz tiltva, és a következőhöz hasonló üzenet jelenik meg:

Screenshot of a Download blocked message.

Az előzetes verzió engedélyezéséhez az Exchange-rendszergazdának a következő lépéseket kell végrehajtania:

  1. Töltse le az Exchange Online PowerShell-modult.

  2. Csatlakozás a modulhoz. További információt az Exchange Online PowerShell Csatlakozás című témakörben talál.

  3. Miután csatlakozott az Exchange Online PowerShellhez, a Set-OwaMailboxPolicy parancsmaggal frissítse a házirend paramétereit:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Feljegyzés

    Az OwaMailboxPolicy-Default szabályzat az Alapértelmezett OWA-házirend neve az Exchange Online-ban. Előfordulhat, hogy egyes ügyfelek további OWA-szabályzatot helyeztek üzembe, vagy más néven hoztak létre egyéni OWA-szabályzatot. Ha több OWA-házirendet használ, azok bizonyos felhasználókra is alkalmazhatók. Ezért frissítenie kell őket is, hogy teljes lefedettséggel rendelkezzenek.

  4. A paraméterek beállítása után futtasson egy tesztet az OWA-n egy PDF-fájllal és egy letöltések letiltására konfigurált munkamenet-szabályzattal. A Letöltés lehetőséget el kell távolítani a legördülő listából, és megtekintheti a fájl előnézetét. Példa:

    Screenshot of a PDF preview not blocked.

Hasonló webhelyre figyelmeztető üzenet jelenik meg

A rosszindulatú szereplők más webhelyek URL-címéhez hasonló URL-címeket hozhatnak létre, hogy megszemélyesíthessék a felhasználókat, és elhitethessék, hogy egy másik webhelyre böngésznek. Egyes böngészők megpróbálják észlelni ezt a viselkedést, és figyelmeztetik a felhasználókat az URL-cím elérése vagy a hozzáférés letiltása előtt.

Bizonyos ritka esetekben a munkamenet-vezérlés alatt álló felhasználók egy üzenetet kapnak a böngészőből, amely gyanús webhely-hozzáférést jelez. Ennek az az oka, hogy a böngésző gyanúsként kezeli az utótagolt tartományt (például: .mcas.ms) .

Ez az üzenet csak a Chrome-felhasználók számára jelenik meg, mivel a Microsoft Edge-felhasználók a fordított proxyarchitektúra nélkül élvezhetik a böngészőn belüli védelmet. Példa:

Screenshot of a similar site warning in Chrome.

Ha ehhez hasonló üzenetet kap, forduljon a Microsoft ügyfélszolgálatához, és forduljon az érintett böngésző gyártójához.

Második bejelentkezés (más néven "második bejelentkezés")

Egyes alkalmazások több mélyhivatkozást is adnak a bejelentkezéshez. Ha nem adja meg a bejelentkezési hivatkozásokat az alkalmazás beállításai között, előfordulhat, hogy a felhasználók egy ismeretlen oldalra lesznek átirányítva, amikor bejelentkeznek, és letiltják a hozzáférésüket.

Az azonosítók( például a Microsoft Entra ID) közötti integráció az alkalmazás bejelentkezésének elfogására és átirányítására épül. Ez azt jelenti, hogy a böngészőbe való bejelentkezések nem vezérelhetők közvetlenül a második bejelentkezés aktiválása nélkül. A második bejelentkezés indításához egy második bejelentkezési URL-címet kell alkalmaznunk, kifejezetten erre a célra.

Ha az alkalmazás nonce-t használ, a második bejelentkezés transzparens lehet a felhasználók számára, vagy a rendszer kérni fogja őket, hogy jelentkezzenek be újra.

Ha nem átlátható a végfelhasználó számára, adja hozzá a második bejelentkezési URL-címet az alkalmazás beállításaihoz:

  1. Lépjen a "settings''Cloud apps''connected apps'''Feltételes hozzáférésű alkalmazásvezérlő alkalmazások' elemre

  2. Válassza ki a megfelelő alkalmazást, majd válassza ki a három elemet.

  3. Válassza az Alkalmazás szerkesztése\Speciális bejelentkezési konfiguráció lehetőséget.

  4. Adja hozzá a második bejelentkezési URL-címet a hibaoldalon leírtak szerint.

Ha biztos abban, hogy az alkalmazás nem használ nonce-t, letilthatja ezt az alkalmazásbeállítások szerkesztésével a Lassú bejelentkezések szakaszban leírtak szerint.

További szempontok az alkalmazások hibaelhárításához

Az alkalmazások hibaelhárítása során további szempontokat is figyelembe kell venni:

  • A munkamenet-vezérlők támogatása a modern böngészőkhöz Felhőhöz készült Defender Alkalmazások munkamenet-vezérlői mostantól támogatják az új, Chromiumon alapuló Microsoft Edge böngészőt. Bár továbbra is támogatjuk az Internet Explorer legújabb verzióit és a Microsoft Edge örökölt verzióját, a támogatás korlátozott, és javasoljuk az új Microsoft Edge böngésző használatát.

  • A munkamenet-vezérlők a "védelem" művelet alatti közös hitelesítésű címkézést nem támogatják Felhőhöz készült Defender Alkalmazások munkamenet-vezérlői. További információ: Bizalmassági címkékkel titkosított fájlok társszerzőségének engedélyezése.

Következő lépések

További információ: Rendszergazdai felhasználók hozzáférés- és munkamenet-vezérlőinek hibaelhárítása.