Megosztás a következőn keresztül:

Rendszergazdai felhasználók hozzáférés- és munkamenet-vezérlőinek hibaelhárítása

  • Cikk

Ez a cikk útmutatást nyújt Felhőhöz készült Microsoft Defender alkalmazások rendszergazdáinak a rendszergazdák által tapasztalt gyakori hozzáférés- és munkamenet-vezérlési problémák kivizsgálásához és megoldásához.

Feljegyzés

A proxyfunkciókkal kapcsolatos hibaelhárítások csak olyan munkamenetek esetén relevánsak, amelyek nem a Microsoft Edge böngészőn belüli védelmére vannak konfigurálva.

Minimális követelmények ellenőrzése

A hibaelhárítás megkezdése előtt győződjön meg arról, hogy a környezet megfelel a hozzáférés- és munkamenet-vezérlőkre vonatkozó alábbi minimális általános követelményeknek.

Követelmény Leírás
Licencelés Győződjön meg arról, hogy rendelkezik érvényes licenccel Felhőhöz készült Microsoft Defender-alkalmazásokhoz.
Egyszeri bejelentkezés (SSO) Az alkalmazásokat a támogatott egyszeri bejelentkezés egyik megoldásával kell konfigurálni:

- Microsoft Entra-azonosító SAML 2.0 vagy OpenID Connect 2.0 használatával
- Nem Microsoft idP az SAML 2.0 használatával
Böngészőtámogatás A munkamenet-vezérlők böngészőalapú munkamenetekhez érhetők el a következő böngészők legújabb verzióiban:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A Microsoft Edge böngészőn belüli védelmének speciális követelményei is vannak, beleértve a munkahelyi profillal bejelentkezett felhasználót is. További információ: Böngészőn belüli védelmi követelmények.
Leállás Felhőhöz készült Defender Alkalmazások segítségével meghatározhatja az alapértelmezett viselkedést, amely akkor alkalmazható, ha szolgáltatáskimaradás történik, például egy összetevő nem működik megfelelően.

Ha például a normál házirend-vezérlők nem kényszeríthetők ki, dönthet úgy, hogy megkeményíti (letiltja) vagy megkerüli (engedélyezi) a felhasználókat abban, hogy műveleteket hajtsanak végre a potenciálisan bizalmas tartalmakon.

A rendszer állásidejének alapértelmezett viselkedésének konfigurálásához a Microsoft Defender XDR-ben válassza a Beállítások>feltételes hozzáférés alkalmazásvezérlő>alapértelmezett viselkedése>A hozzáférés engedélyezése vagy letiltása lehetőséget.

Böngészőn belüli védelmi követelmények

Ha böngészőn belüli védelmet használ a Microsoft Edge-lel , és a fordított proxy továbbra is kiszolgálja, győződjön meg arról, hogy megfelel a következő további követelményeknek:

  • A funkció be van kapcsolva a Defender XDR beállításaiban. További információ: Böngészőn belüli védelmi beállítások konfigurálása.

  • A Microsoft Edge vállalati verziójában minden olyan szabályzat támogatott, amelyre a felhasználó vonatkozik. Ha egy felhasználót egy másik, a Microsoft Edge Vállalati verzió által nem támogatott szabályzat szolgál ki, akkor mindig a fordított proxy szolgálja ki őket. További információ: Böngészőn belüli védelmi követelmények.

  • Támogatott platformot használ, beleértve a támogatott operációs rendszert, az identitásplatformot és az Edge-verziót. További információ: Böngészőn belüli védelmi követelmények.

A rendszergazdák hibaelhárítási problémáinak ismertetése

A következő táblázat segítségével keresse meg a elhárítani kívánt problémát:

Probléma típusa Problémák
Hálózati feltételekkel kapcsolatos problémák Hálózati hibák böngészőoldalra való navigáláskor

Lassú bejelentkezések

További szempontok a hálózati feltételekhez
Eszközazonosítási problémák Helytelenül konformált Intune-kompatibilis vagy Microsoft Entra hibrid csatlakoztatott eszközök

Az ügyféltanúsítványok nem kérik, ha várható

Az ügyféltanúsítványok nem kérik, ha várható
Az ügyféltanúsítványok minden bejelentkezéskor kérik

További szempontok az eszközazonosításhoz
Alkalmazások előkészítésekor felmerülő problémák Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján

Alkalmazás állapota: A beállítás folytatása Nem konfigurálható vezérlők natív alkalmazásokhoz

Megjelenik a munkamenet-vezérlési beállítás kérése
Hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémák A feltételes hozzáférési szabályzatokban nem jelenik meg a feltételes hozzáférésű alkalmazások vezérlési lehetősége

Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás feltételes hozzáférésű alkalmazásvezérlővel

Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz

Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás

Nem lehet a Művelet: Védelem lehetőséget választani

További szempontok az alkalmazások előkészítéséhez
A Rendszergazdai nézet eszköztár diagnosztizálása és hibaelhárítása Proxy-munkamenet megkerülése

Munkamenet rögzítése

Tartományok hozzáadása az alkalmazáshoz

Hálózati feltételekkel kapcsolatos problémák

A hálózati feltételekkel kapcsolatos gyakori problémák a következők lehetnek:

Hálózati hibák böngészőoldalra való navigáláskor

Amikor először állítja be Felhőhöz készült Defender Alkalmazások hozzáférés- és munkamenet-vezérlőit egy alkalmazáshoz, gyakori hálózati hibák léphetnek fel: Ez a webhely nem biztonságos, és nincs internetkapcsolat. Ezek az üzenetek általános hálózati konfigurációs hibát jelezhetnek.

Javasolt lépések

  1. Konfigurálja a tűzfalat úgy, hogy az Felhőhöz készült Defender-alkalmazásokkal működjön a környezet szempontjából releváns Azure IP-címek és DNS-nevek használatával.

    1. Adja hozzá a 443-at a következő IP-címekhez és DNS-nevekhez a Felhőhöz készült Defender Apps adatközpontjához.
    2. Indítsa újra az eszközt és a böngésző munkamenetét
    3. Ellenőrizze, hogy a bejelentkezés a várt módon működik-e

  2. Engedélyezze a TLS 1.2-t a böngésző internetes beállításai között. Példa:

    Böngésző Lépések
    Microsoft Internet Explorer 1. Az Internet Explorer megnyitása
    2. Az Eszközök>internetbeállítások>– Tovább lap kiválasztása
    3. A Biztonság területen válassza a TLS 1.2 lehetőséget
    4. Válassza az Alkalmaz, majd az OK gombot
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Microsoft Edge / Edge Chromium 1. Nyissa meg a keresést a tálcáról, és keressen rá az "Internetbeállítások" kifejezésre
    2. Válassza az Internetbeállítások lehetőséget
    3. A Biztonság területen válassza a TLS 1.2 lehetőséget
    4. Válassza az Alkalmaz, majd az OK gombot
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Google Chrome 1. A Google Chrome megnyitása
    2. A jobb felső sarokban válassza az Egyebek (3 függőleges pont) >beállításokat
    3. Alul válassza a Speciális lehetőséget
    4. A Rendszer területen válassza a Proxybeállítások megnyitása lehetőséget
    5. A Speciális lap Biztonság területén válassza a TLS 1.2 lehetőséget
    6. Válassza az OK gombot
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Mozilla Firefox 1. Nyissa meg a Mozilla Firefoxot
    2. A címsorban keresse meg a következőt: "about:config"
    3. A Keresőmezőben keressen rá a "TLS" kifejezésre
    4. Kattintson duplán a security.tls.version.min bejegyzésre
    5. Állítsa az egész szám értékét 3-ra, hogy a TLS 1.2 legyen a minimálisan szükséges verzió
    6. Válassza a Mentés gombot (jelölje be az értékmező jobb oldalán)
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Szafari Ha a Safari 7-es vagy újabb verzióját használja, a TLS 1.2 automatikusan engedélyezve van

Felhőhöz készült Defender Alkalmazások a Transport Layer Security (TLS) 1.2+ protokollt használják az osztályon belüli legjobb titkosítás biztosításához:

  • A TLS 1.2+-t nem támogató natív ügyfélalkalmazások és böngészők nem érhetők el, ha munkamenet-vezérléssel van konfigurálva.
  • A TLS 1.1-et vagy annál alacsonyabb verziót használó SaaS-alkalmazások A TLS 1.2+-t használva jelennek meg a böngészőben, ha az Felhőhöz készült Defender-alkalmazásokkal van konfigurálva.

Tipp.

Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen operációs rendszer bármely fő platformján bármilyen böngészővel működjenek, támogatjuk a Microsoft Edge, a Google Chrome, a Mozilla Firefox vagy az Apple Safari legújabb verzióit. Érdemes lehet letiltani vagy engedélyezni a hozzáférést kifejezetten mobil- vagy asztali alkalmazásokhoz.

Lassú bejelentkezések

A proxyláncolás és a nem-kezelés olyan gyakori problémák egyike, amelyek lassú bejelentkezési teljesítményt eredményezhetnek.

Javasolt lépések

Konfigurálja a környezetet, hogy eltávolítson minden olyan tényezőt, amely lassúságot okozhat a bejelentkezés során. Előfordulhat például, hogy tűzfalak vagy proxyláncolás továbbítása van konfigurálva, amelyek két vagy több proxykiszolgálót csatlakoztatnak a kívánt lapra való navigáláshoz. A lassúságot egyéb külső tényezők is befolyásolhatják.

  1. Azonosítsa, hogy a proxyláncolás a környezetben történik-e.
  2. Ha lehetséges, távolítsa el az esetleges előtűnéseket.

Egyes alkalmazások a hitelesítés során nem érvényes kivonatot használnak a visszajátszási támadások megelőzése érdekében. Alapértelmezés szerint az Felhőhöz készült Defender Apps azt feltételezi, hogy egy alkalmazás nem teljesítést használ. Ha az alkalmazás, amellyel dolgozik, nem használ nem műveletet, tiltsa le az alkalmazás letiltását az Felhőhöz készült Defender-alkalmazásokban:

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>.
  2. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
  3. Az alkalmazások listájában azon a sorban, amelyben a konfigurálni kívánt alkalmazás megjelenik, jelölje ki a sor végén található három elemet, majd válassza az alkalmazás Szerkesztés elemét .
  4. A Nem kezelés lehetőséget választva bontsa ki a szakaszt, majd törölje a jelet a Nem megfelelő kezelés engedélyezése jelölőnégyzetből.
  5. Jelentkezzen ki az alkalmazásból, és zárja be az összes böngésző munkamenetet.
  6. Indítsa újra a böngészőt, és jelentkezzen be újra az alkalmazásba. Ellenőrizze, hogy a bejelentkezés a várt módon működik-e.

További szempontok a hálózati feltételekhez

A hálózati feltételek hibaelhárítása során vegye figyelembe a következő megjegyzéseket a Felhőhöz készült Defender Apps-proxyval kapcsolatban:

  • Ellenőrizze, hogy a munkamenet egy másik adatközpontba van-e irányítva: Felhőhöz készült Defender Az alkalmazások világszerte azure-adatközpontokat használnak a teljesítmény geolokáción keresztüli optimalizálásához.

    Ez azt jelenti, hogy egy felhasználó munkamenete egy régión kívül is üzemeltethető a forgalmi mintáktól és azok helyétől függően. Az adatvédelem érdekében azonban ezekben az adatközpontokban nem tárol munkamenet-adatokat.

  • Proxyteljesítmény: A teljesítmény-alapkonfiguráció származtatása az Felhőhöz készült Defender Apps-proxyn kívül számos tényezőtől függ, például:

    • Milyen más proxyk vagy átjárók ülnek sorozatban ezzel a proxyval?
    • Honnan származik a felhasználó?
    • A megcélzott erőforrás helye
    • Konkrét kérések az oldalon

    Általánosságban elmondható, hogy minden proxy késést ad. A Felhőhöz készült Defender Apps-proxy előnyei a következők:

    • Az Azure-tartományvezérlők globális rendelkezésre állásának használata a felhasználók legközelebbi csomópontra való geolokációjára és az oda-vissza út távolságának csökkentésére. Az Azure-tartományvezérlők olyan léptékben térhetnek el, amely világszerte kevés szolgáltatással rendelkezik.

    • A Microsoft Entra feltételes hozzáféréssel való integrációval csak a szolgáltatásunkhoz irányítani kívánt munkameneteket irányíthatja, nem pedig az összes felhasználót minden helyzetben.

Eszközazonosítási problémák

Felhőhöz készült Defender Alkalmazások az alábbi lehetőségeket biztosítják az eszköz felügyeleti állapotának azonosításához.

  • Microsoft Intune-megfelelőség
  • Hibrid Microsoft Entra Tartományhoz csatlakoztatva
  • Ügyféltanúsítványok

További információ: Identitás által felügyelt eszközök feltételes hozzáférésű alkalmazásvezérléssel.

Az eszközazonosítással kapcsolatos gyakori problémák a következők lehetnek:

Helytelenül konformált Intune-kompatibilis vagy Microsoft Entra hibrid csatlakoztatott eszközök

A Microsoft Entra feltételes hozzáférés lehetővé teszi az Intune-kompatibilis és a Microsoft Entra hibrid csatlakoztatott eszközinformációk közvetlen átadását az Felhőhöz készült Defender-alkalmazásoknak. Az Felhőhöz készült Defender-alkalmazásokban használja az eszköz állapotát a hozzáférési vagy munkamenet-szabályzatok szűrőjeként.

További információ: Bevezetés az eszközkezelésbe a Microsoft Entra ID-ban.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender Appsben elérhető eszközazonosítási lehetőségek láthatók.

  3. Az Intune-nak megfelelő eszközazonosításhoz és a Microsoft Entra hibrid csatlakoztatott azonosításhoz válassza a Konfiguráció megtekintése lehetőséget, és ellenőrizze, hogy a szolgáltatások be vannak-e állítva. A szolgáltatások automatikusan szinkronizálódnak a Microsoft Entra-azonosítóról és az Intune-ról.

  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot az Eszközcímke szűrővel, amely megegyezik a hibrid Azure AD-hez csatlakoztatott, az Intune-kompatibilis vagy mindkettővel.

  5. A böngészőben jelentkezzen be egy olyan eszközre, amely a Microsoft Entra hibrid csatlakoztatású vagy az Intune-kompatibilis a szabályzatszűrő alapján.

  6. Ellenőrizze, hogy ezekről az eszközökről származó tevékenységek feltöltik-e a naplót. Az Felhőhöz készült Defender-alkalmazások Tevékenységnapló lapján szűrjön a hibrid Azure AD-hez csatlakoztatott eszközcímkére, az Intune-kompatibilisre vagy mindkettőre a szabályzatszűrők alapján.

  7. Ha a tevékenységek nem jelennek meg az Felhőhöz készült Defender-alkalmazások tevékenységnaplójában, lépjen a Microsoft Entra-azonosítóra, és hajtsa végre a következő lépéseket:

    1. A Bejelentkezések figyelése>csoportban ellenőrizze, hogy vannak-e bejelentkezési tevékenységek a naplókban.

    2. Válassza ki a megfelelő naplóbejegyzést a bejelentkezett eszközhöz.

    3. A Részletek panelen, az Eszközadatok lapon ellenőrizze, hogy az eszköz Felügyelt (hibrid Azure AD-csatlakoztatott) vagy Megfelelő (Intune-kompatibilis) állapotú-e.

      Ha egyik állapotot sem tudja ellenőrizni, próbálkozzon egy másik naplóbejegyzéssel, vagy győződjön meg arról, hogy az eszköz adatai megfelelően konfigurálva lesznek a Microsoft Entra-azonosítóban.

    4. Feltételes hozzáférés esetén egyes böngészők további konfigurációt igényelhetnek, például bővítmények telepítését. További információ: Feltételes hozzáférés böngésző támogatása.

    5. Ha továbbra sem látja az eszköz adatait a Bejelentkezések lapon, nyisson meg egy támogatási jegyet a Microsoft Entra-azonosítóhoz.

Az ügyféltanúsítványok nem kérik, ha várható

Az eszközazonosítási mechanizmus ügyféltanúsítványok használatával kérheti a hitelesítést a megfelelő eszközöktől. Feltölthet egy X.509-es főtanúsítványt vagy köztes hitelesítésszolgáltatói (CA) tanúsítványt PEM-tanúsítványformátumban.

A tanúsítványoknak tartalmazniuk kell a hitelesítésszolgáltató nyilvános kulcsát, amelyet aztán a munkamenet során bemutatott ügyféltanúsítványok aláírására használnak. További információ: Eszközkezelés keresése a Microsoft Entra nélkül.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender-alkalmazásokban elérhető eszközazonosítási lehetőségek láthatók.

  3. Ellenőrizze, hogy feltöltött-e egy X.509-es főtanúsítványt vagy köztes hitelesítésszolgáltatói tanúsítványt. Fel kell töltenie a hitelesítésszolgáltatóhoz való aláíráshoz használt hitelesítésszolgáltatói tanúsítványt.

  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot az Érvényes ügyféltanúsítványnak megfelelő eszközcímke szűrővel.

  5. Győződjön meg arról, hogy az ügyféltanúsítvány a következő:

    • PKCS #12 fájlformátummal üzembe helyezve, általában .p12 vagy .pfx fájlkiterjesztéssel
    • A teszteléshez használt eszköz felhasználói tárolójában van telepítve, nem pedig az eszköztárolóban

  6. Indítsa újra a böngésző munkamenetét.

  7. A védett alkalmazásba való bejelentkezéskor:

    • Ellenőrizze, hogy a rendszer átirányítja-e a következő URL-szintaxisra: <https://*.managed.access-control.cas.ms/aad_login>
    • Ha iOS-t használ, győződjön meg arról, hogy a Safari böngészőt használja.
    • Ha Firefoxot használ, a tanúsítványt hozzá kell adnia a Firefox saját tanúsítványtárolójába is. Minden más böngésző ugyanazt az alapértelmezett tanúsítványtárolót használja.

  8. Ellenőrizze, hogy a rendszer kéri-e az ügyféltanúsítványt a böngészőben.

    Ha nem jelenik meg, próbálkozzon egy másik böngészővel. A legtöbb fő böngésző támogatja az ügyféltanúsítvány-ellenőrzés végrehajtását. A mobil- és asztali alkalmazások azonban gyakran olyan beépített böngészőket használnak, amelyek esetleg nem támogatják ezt az ellenőrzést, ezért hatással vannak az alkalmazások hitelesítésére.

  9. Ellenőrizze, hogy ezekről az eszközökről származó tevékenységek feltöltik-e a naplót. Az Felhőhöz készült Defender-alkalmazások Tevékenységnapló lapján adjon hozzá egy szűrőt az Érvényes ügyféltanúsítványnak megfelelő eszközcímkéhez.

  10. Ha továbbra sem látja a kérést, nyisson meg egy támogatási jegyet , és adja meg a következő információkat:

    • Annak a böngészőnek vagy natív alkalmazásnak a részletei, ahol a problémát tapasztalta
    • Az operációs rendszer verziója, például iOS/Android/Windows 10
    • Említse meg, hogy a parancssor működik-e a Microsoft Edge Chromiumon

Az ügyféltanúsítványok minden bejelentkezéskor kérik

Ha azt tapasztalja, hogy az ügyféltanúsítvány megjelenik egy új lap megnyitása után, ennek oka az internetbeállítások között rejtett beállítások lehetnek. Ellenőrizze a beállításokat a böngészőben. Példa:

A Microsoft Internet Explorerben:

  1. Nyissa meg az Internet Explorert, és válassza az Eszközök>internetbeállítások>speciális lapja lehetőséget.
  2. A Biztonság területen válassza a Ne kérje az ügyféltanúsítvány kiválasztását, ha csak egy tanúsítvány létezik>, válassza az OK alkalmazása>lehetőséget.
  3. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül is hozzáfér-e az alkalmazáshoz.

Microsoft Edge/Edge Chromium esetén:

  1. Nyissa meg a keresést a tálcán, és keresse meg az internetbeállításokat.
  2. Válassza az InternetBeállítások>biztonsági>helyi intranet>egyéni szintjét.
  3. Ha csak egy tanúsítvány létezik, ne kérje meg az ügyféltanúsítvány>kiválasztását, válassza a Letiltás lehetőséget.
  4. Kattintson az OK>Gombra, majd az OK>gombra.
  5. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül is hozzáfér-e az alkalmazáshoz.

További szempontok az eszközazonosításhoz

Az eszközazonosítás hibaelhárítása során megkövetelheti az ügyféltanúsítványok tanúsítványának visszavonását.

A hitelesítésszolgáltató által visszavont tanúsítványok már nem megbízhatók. Ha ezt a beállítást választja, az összes tanúsítványnak át kell adnia a CRL protokollt. Ha az ügyféltanúsítvány nem tartalmaz CRL-végpontot, nem tud csatlakozni a felügyelt eszközről.

Alkalmazások előkészítésekor felmerülő problémák

A Microsoft Entra ID-alkalmazásokat a rendszer automatikusan előkészíti a feltételes hozzáférésű alkalmazások és a munkamenet-vezérlők Felhőhöz készült Defender. Manuálisan kell előkészítenie a nem Microsoft idP-alkalmazásokat, beleértve a katalógust és az egyéni alkalmazásokat is.

További információk:

Az alkalmazások előkészítése során gyakran előforduló forgatókönyvek a következők:

Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján

Ha nem Microsoft IdP-alkalmazást készít elő feltételes hozzáférésű alkalmazásvezérlésre, az utolsó üzembe helyezési lépés az, hogy a végfelhasználó navigáljon az alkalmazáshoz. Hajtsa végre az ebben a szakaszban leírt lépéseket, ha az alkalmazás nem jelenik meg a Beállítások > felhőalkalmazások csatlakoztatott alkalmazások > > feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján.

Javasolt lépések

  1. Győződjön meg arról, hogy az alkalmazás megfelel a következő feltételes hozzáférésű alkalmazásvezérlési előfeltételeknek:

    • Győződjön meg arról, hogy érvényes Felhőhöz készült Defender Apps-licenccel rendelkezik.
    • Duplikált alkalmazás létrehozása.
    • Győződjön meg arról, hogy az alkalmazás az SAML protokollt használja.
    • Ellenőrizze, hogy teljesen előkészítette-e az alkalmazást, és hogy az alkalmazás állapota csatlakoztatva van-e.

  2. Új inkognitó módban vagy újra bejelentkezve lépjen az alkalmazásra egy új böngésző-munkamenetben.

Feljegyzés

Az Entra ID-alkalmazások csak akkor jelennek meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján, ha legalább egy szabályzatban vannak konfigurálva, vagy ha rendelkezik alkalmazásspecifikáció nélküli szabályzattal, és egy felhasználó bejelentkezett az alkalmazásba.

Alkalmazás állapota: A telepítés folytatása

Az alkalmazások állapota eltérő lehet, és tartalmazhatják a telepítés folytatását, a csatlakoztatott vagy a nincs tevékenységet.

Nem Microsoft-identitásszolgáltatókon (IdP) keresztül csatlakoztatott alkalmazások esetén, ha a telepítés nem fejeződött be, az alkalmazás elérésekor megjelenik egy lap, amelyen a beállítás folytatása látható. A beállítás végrehajtásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Válassza a Telepítés folytatása lehetőséget.

  2. Tekintse át a következő cikkeket, és ellenőrizze, hogy elvégezte-e az összes szükséges lépést:

    Különös figyelmet kell fordítani a következő lépésekre:

    1. Győződjön meg arról, hogy létrehoz egy új egyéni SAML-alkalmazást. Az alkalmazásnak módosítania kell a katalógusalkalmazásokban esetleg nem elérhető URL-címeket és SAML-attribútumokat.
    2. Ha az identitásszolgáltató nem engedélyezi ugyanannak az azonosítónak , más néven entitásazonosítónak vagy célközönségnek az újrafelhasználását, módosítsa az eredeti alkalmazás azonosítóját.

A beépített alkalmazások vezérlői nem konfigurálhatók

A beépített alkalmazások heurisztikusan észlelhetők, és hozzáférési szabályzatokkal figyelheti vagy letilthatja őket. A natív alkalmazások vezérlőinek konfigurálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Egy hozzáférési szabályzatban adjon hozzá egy ügyfélalkalmazás-szűrőt, és állítsa be a Mobile és az asztali verzióval egyenlőre.

  2. A Műveletek csoportban válassza a Blokk lehetőséget.

  3. Igény szerint testre szabhatja a felhasználók által a fájlok letöltésekor megjelenő blokkoló üzenetet. Ehhez az üzenethez például webböngészőt kell használnia az alkalmazás eléréséhez.

  4. Tesztelje és ellenőrizze, hogy a vezérlő a várt módon működik-e.

Az alkalmazás nem ismeri fel a lapot

Felhőhöz készült Defender Alkalmazások több mint 31 000 alkalmazást ismerhetnek fel a felhőalapú alkalmazáskatalóguson keresztül.

Ha olyan egyéni alkalmazást használ, amely a Microsoft Entra SSO-val van konfigurálva, és nem tartozik a támogatott alkalmazások közé, akkor nem ismeri fel az alkalmazást. A probléma megoldásához konfigurálnia kell az alkalmazást feltételes hozzáférésű alkalmazásvezérlővel.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  2. A szalagcímen válassza az Új alkalmazások megtekintése lehetőséget.

  3. Az új alkalmazások listájában keresse meg az előkészítés alatt álló alkalmazást, jelölje ki a jelet, majd válassza a + Hozzáadás lehetőséget.

    1. Válassza ki, hogy az alkalmazás egyéni vagy standard alkalmazás-e.
    2. Folytassa a varázslóval, győződjön meg arról, hogy a megadott felhasználó által megadott tartományok helyesek a konfigurálni kívánt alkalmazáshoz.

  4. Ellenőrizze, hogy az alkalmazás megjelenik-e a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján.

Megjelenik a munkamenet-vezérlési beállítás kérése

A nem Microsoft IdP-alkalmazás előkészítése után megjelenhet a Munkamenet-vezérlés kérése lehetőség. Ez azért fordul elő, mert csak a katalógusalkalmazások rendelkeznek beépített munkamenet-vezérlőkkel. Bármely más alkalmazás esetében végig kell haladnia egy önbekészítési folyamaton.

Kövesse a Feltételes hozzáférésű alkalmazások központi telepítése alkalmazásvezérlő nem Microsoft-azonosítókkal rendelkező egyéni alkalmazásokra vonatkozó utasításait.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg annak a felhasználónak az egyszerű nevét vagy e-mail-címét, aki az alkalmazást előkészíti, majd válassza a Mentés lehetőséget.

  4. Nyissa meg az üzembe helyezendő alkalmazást. A megjelenő oldal attól függ, hogy az alkalmazás felismerve van-e. A megjelenő oldaltól függően tegye az alábbiak egyikét:

    • Nincs felismerve. Megjelenik egy nem felismert alkalmazáslap, amely az alkalmazás konfigurálását kéri. Hajtsa végre a következő lépéseket:

      1. Az alkalmazás előkészítése feltételes hozzáférésű alkalmazásvezérlőhöz.
      2. Adja hozzá az alkalmazás tartományait.
      3. Telepítse az alkalmazás tanúsítványait.

    • Felismerve. Ha az alkalmazás felismerve van, megjelenik egy előkészítési oldal, amely arra kéri, hogy folytassa az alkalmazáskonfigurációs folyamatot.

      Győződjön meg arról, hogy az alkalmazás konfigurálva van az alkalmazás megfelelő működéséhez szükséges összes tartománysal, majd térjen vissza az alkalmazás lapjára.

További szempontok az alkalmazások előkészítéséhez

Az alkalmazások előkészítésének hibaelhárítása során további szempontokat is figyelembe kell venni.

  • Ismerje meg a Microsoft Entra feltételes hozzáférési szabályzat beállításai közötti különbséget: "Csak figyelés", "Letöltések letiltása" és "Egyéni szabályzat használata"

    A Microsoft Entra feltételes hozzáférési szabályzataiban a következő beépített Felhőhöz készült Defender-alkalmazások vezérlőit konfigurálhatja: Csak figyelés és letöltések letiltása. Ezek a beállítások a Felhőhöz készült Defender Apps proxyszolgáltatást alkalmazzák és érvényesítik a Microsoft Entra ID-ban konfigurált felhőalkalmazásokhoz és feltételekhez.

    Összetettebb szabályzatok esetén válassza az Egyéni szabályzat használata lehetőséget, amely lehetővé teszi a hozzáférési és munkamenet-szabályzatok konfigurálását az Felhőhöz készült Defender Appsben.

  • A "Mobil és asztali" ügyfélalkalmazás-szűrő lehetőség megismerése a hozzáférési szabályzatokban

    Az Felhőhöz készült Defender-alkalmazások hozzáférési szabályzataiban, kivéve, ha az ügyfélalkalmazás-szűrő a Mobile és az asztali verzióra van állítva, az eredményként kapott hozzáférési szabályzat a böngésző munkamenetekre vonatkozik.

    Ennek az az oka, hogy megakadályozza a felhasználói munkamenetek véletlen proxyzását, ami a szűrő használatának mellékterméke lehet.

Hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémák

Felhőhöz készült Defender Alkalmazások a következő konfigurálható szabályzatokat biztosítják:

  • Hozzáférési szabályzatok: Böngésző-, mobil- és/vagy asztali alkalmazásokhoz való hozzáférés figyelésére vagy letiltására szolgál.
  • Munkamenet-szabályzatok. Bizonyos műveletek figyelésére, letiltására és végrehajtására szolgál, hogy megakadályozza az adatok beszivárgását és a kiszivárgást a böngészőben.

Ha ezeket a szabályzatokat Felhőhöz készült Defender Appsben szeretné használni, először konfigurálnia kell egy házirendet a Microsoft Entra Feltételes hozzáférésben a munkamenet-vezérlők kiterjesztéséhez:

  1. A Microsoft Entra-szabályzat Hozzáférés-vezérlők területén válassza a Munkamenet>használata feltételes hozzáférésű alkalmazásvezérlőt.

  2. Válasszon ki egy beépített szabályzatot (csak figyelés vagy letöltések letiltása), vagy egyéni szabályzattal állítson be speciális szabályzatot az Felhőhöz készült Defender-alkalmazásokban.

  3. A folytatáshoz válassza a Kiválasztás lehetőséget .

A szabályzatok konfigurálása során gyakran előforduló forgatókönyvek a következők:

A feltételes hozzáférési szabályzatokban nem jelenik meg a feltételes hozzáférésű alkalmazások vezérlési lehetősége

A munkamenetek Felhőhöz készült Defender-alkalmazásokhoz való átirányításához a Microsoft Entra feltételes hozzáférési szabályzatait úgy kell konfigurálni, hogy a feltételes hozzáférésű alkalmazásvezérlő munkamenet-vezérlőit is tartalmazzák.

Javasolt lépések

Ha nem látja a feltételes hozzáférésű alkalmazásvezérlési lehetőséget a feltételes hozzáférési szabályzatban, győződjön meg arról, hogy rendelkezik érvényes licenccel a P1 Microsoft Entra-azonosítóhoz és egy érvényes Felhőhöz készült Defender Apps-licenchez.

Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás feltételes hozzáférésű alkalmazásvezérlővel

Hozzáférési vagy munkamenet-szabályzat létrehozásakor a következő hibaüzenet jelenhet meg: Nincsenek feltételes hozzáférésű alkalmazásvezérlővel rendelkező alkalmazások. Ez a hiba azt jelzi, hogy az alkalmazás nem Microsoft IdP-alkalmazás, amely nem lett előkészítve a feltételes hozzáférésű alkalmazások vezérléséhez.

Javasolt lépések

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>. A Csatlakoztatott alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.

  2. Ha azt az üzenetet látja, hogy nincs csatlakoztatva alkalmazás, az alábbi útmutatók segítségével helyezhet üzembe alkalmazásokat:

Ha problémákba ütközik az alkalmazás üzembe helyezése során, tekintse meg az alkalmazás előkészítésekor felmerülő problémákat.

Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz

A feltételes hozzáférésű alkalmazások vezérléséhez nem Microsoft IdP-alkalmazás előkészítése után a Feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján a következő lehetőség jelenhet meg: Munkamenet-vezérlés kérése.

Feljegyzés

A katalógusalkalmazások beépített munkamenet-vezérlőkkel rendelkeznek. Minden más, nem Microsoft-alapú idP-alkalmazás esetében önbeléptetési folyamaton kell átmennie. Javasolt lépések

  1. Helyezze üzembe az alkalmazást a munkamenet-vezérlésben. További információ: Nem Microsoft-alapú egyéni egyéni alkalmazások előkészítése feltételes hozzáférésű alkalmazások vezérléséhez.

  2. Hozzon létre egy munkamenet-szabályzatot, és válassza ki az alkalmazásszűrőt .

  3. Győződjön meg arról, hogy az alkalmazás szerepel a legördülő listában.

Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás

A munkamenet-szabályzatokban a Control fájlletöltés (ellenőrzéssel) munkamenet-vezérlési típus használatakor az Adatbesorolási szolgáltatás ellenőrzési módszerével valós időben vizsgálhatja a fájlokat, és észlelheti a konfigurált feltételek bármelyikének megfelelő bizalmas tartalmat.

Ha az adatbesorolási szolgáltatás vizsgálati módszere nem érhető el, a probléma kivizsgálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Ellenőrizze, hogy a munkamenet-vezérlés típusa a Fájlletöltés vezérlése (ellenőrzéssel) értékre van-e állítva.

    Feljegyzés

    Az Adatbesorolási szolgáltatás vizsgálati módszere csak a Control fájl letöltéséhez (ellenőrzéssel) érhető el.

  2. Határozza meg, hogy az adatbesorolási szolgáltatás elérhető-e a régióban:

    • Ha a szolgáltatás nem érhető el a régióban, használja a beépített DLP-ellenőrzési módszert.
    • Ha a szolgáltatás elérhető a régióban, de továbbra sem látja az adatbesorolási szolgáltatás ellenőrzési módszerét, nyisson meg egy támogatási jegyet.

Nem lehet a Művelet: Védelem lehetőséget választani

A munkamenet-szabályzatokban a Vezérlőfájl letöltése (ellenőrzéssel) munkamenet-vezérlési típus használata esetén a Figyelési és blokkolási műveletek mellett megadhatja a Védelem műveletet is. Ez a művelet lehetővé teszi a fájlletöltések engedélyezését azzal a lehetőséggel, hogy feltételek, tartalomvizsgálat vagy mindkettő alapján titkosítja vagy alkalmazza az engedélyeket a fájlra.

Ha a Védelem művelet nem érhető el, a probléma kivizsgálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Ha a Védelem művelet nem érhető el, vagy szürkére van szürkítve, ellenőrizze, hogy rendelkezik-e Microsoft Purview-licenccel. További információ: Microsoft Purview információvédelem integráció.

  2. Ha a Védelem művelet elérhető, de nem látja a megfelelő címkéket.

    1. Az Felhőhöz készült Defender Apps menüsávjában válassza a Beállítások ikont >a Microsoft Information Protectionben, és ellenőrizze, hogy engedélyezve van-e az integráció.

    2. Office-címkék esetén a Microsoft Purview portálon győződjön meg arról, hogy az Egyesített címkézés ki van jelölve.

A Rendszergazdai nézet eszköztár diagnosztizálása és hibaelhárítása

A Felügyeleti nézet eszköztár a képernyő alján található, és eszközöket biztosít a rendszergazdák számára a feltételes hozzáférésű alkalmazások vezérlésével kapcsolatos problémák diagnosztizálásához és elhárításához.

A Rendszergazdai nézet eszköztár megtekintéséhez a Microsoft Defender XDR beállításai között meg kell adnia bizonyos rendszergazdai felhasználói fiókokat az alkalmazás előkészítési/karbantartási listájához.

Felhasználó hozzáadása az alkalmazás előkészítési/karbantartási listájához:

  1. A Microsoft Defender XDR-ben válassza a Beállítások felhőalkalmazások lehetőséget>.

  2. Görgessen le, és a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg a hozzáadni kívánt rendszergazdai felhasználó egyszerű nevét vagy e-mail-címét.

  4. Válassza ki a Feltételes hozzáférésű alkalmazásvezérlés megkerüléséhez a felhasználók számára kijelölt munkamenet-beállításon belül, majd válassza a Mentés lehetőséget.

    Példa:

    Képernyőkép az alkalmazás előkészítési/karbantartási beállításairól.

Amikor a következő alkalommal, amikor az egyik felsorolt felhasználó új munkamenetet indít egy olyan támogatott alkalmazásban, amelyben rendszergazda, megjelenik a Rendszergazdai nézet eszköztár a böngésző alján.

Az alábbi képen például a böngészőablak alján látható Rendszergazdai nézet eszköztár látható, amikor a OneNote-ot használja a böngészőben:

Képernyőkép a Felügyeleti nézet eszköztárról.

A következő szakaszok bemutatják, hogyan használható a Felügyeleti nézet eszköztár a teszteléshez és a hibaelhárításhoz.

Tesztelési mód

Rendszergazdai felhasználóként érdemes lehet tesztelni a közelgő proxyhibákat, mielőtt a legújabb kiadás teljes körűen elérhető lenne az összes bérlő számára. Küldjön visszajelzést a hibajavításról a Microsoft támogatási csapatának a kiadási ciklusok felgyorsítása érdekében.

Teszt módban csak a rendszergazdai felhasználók érhetik el a hibajavításokban megadott módosításokat. Nincs hatása a többi felhasználóra.

  • A tesztelési mód bekapcsolásához a Felügyeleti nézet eszköztáron válassza a Teszt mód lehetőséget.
  • Ha befejezte a tesztelést, válassza a Tesztelés befejezése módot a normál működéshez való visszatéréshez.

Proxy-munkamenet megkerülése

Ha nem Edge böngészőt használ, és nehézséget okoz az alkalmazás elérése vagy betöltése, érdemes ellenőriznie, hogy a probléma a feltételes hozzáférési proxyval kapcsolatos-e, ha az alkalmazást proxy nélkül futtatja.

A proxy megkerüléséhez a Felügyeleti nézet eszköztáron válassza a Felhasználói élmény mellőzése lehetőséget. Győződjön meg arról, hogy a munkamenet megkerülve van, és ne feledje, hogy az URL-cím nincs utótagként.

A feltételes hozzáférési proxyt a rendszer ismét használja a következő munkamenetben.

További információ: Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlése és böngészőn belüli védelem a Microsoft Edge Vállalati verzióval (előzetes verzió).

Második bejelentkezés (más néven "második bejelentkezés")

Egyes alkalmazások több mélyhivatkozást is adnak a bejelentkezéshez. Ha nem adja meg a bejelentkezési hivatkozásokat az alkalmazás beállításai között, előfordulhat, hogy a felhasználók egy ismeretlen oldalra lesznek átirányítva, amikor bejelentkeznek, és letiltják a hozzáférésüket.

Az azonosítók( például a Microsoft Entra ID) közötti integráció az alkalmazás bejelentkezésének elfogására és átirányítására épül. Ez azt jelenti, hogy a böngészőbe való bejelentkezések nem vezérelhetők közvetlenül a második bejelentkezés aktiválása nélkül. A második bejelentkezés indításához egy második bejelentkezési URL-címet kell alkalmaznunk, kifejezetten erre a célra.

Ha az alkalmazás nonce-t használ, a második bejelentkezés transzparens lehet a felhasználók számára, vagy a rendszer kérni fogja őket, hogy jelentkezzenek be újra.

Ha nem átlátható a végfelhasználó számára, adja hozzá a második bejelentkezési URL-címet az alkalmazás beállításaihoz:

Ugrás a Beállítások > felhőalkalmazások > szolgáltatáshoz csatlakoztatott alkalmazások > feltételes hozzáférésű alkalmazásvezérlő alkalmazásaira

Válassza ki a megfelelő alkalmazást, majd válassza ki a három elemet.

Válassza az Alkalmazás szerkesztése\Speciális bejelentkezési konfiguráció lehetőséget.

Adja hozzá a második bejelentkezési URL-címet a hibaoldalon leírtak szerint.

Ha biztos abban, hogy az alkalmazás nem használ nonce-t, letilthatja ezt az alkalmazásbeállítások szerkesztésével a Lassú bejelentkezések szakaszban leírtak szerint.

Munkamenet rögzítése

A probléma alapvető okainak elemzésében segíthet, ha munkamenet-felvételt küld a Microsoft támogatási szakembereinek. A munkamenet rögzítéséhez használja a Rendszergazdai nézet eszköztárat.

Feljegyzés

Minden személyes adat törlődik a felvételekről.

Munkamenet rögzítése:

  1. A Felügyeleti nézet eszköztáron válassza a Rekord munkamenet lehetőséget. Amikor a rendszer kéri, válassza a Folytatás lehetőséget a feltételek elfogadásához. Példa:

    Képernyőkép a munkamenet-rögzítés adatvédelmi nyilatkozatának párbeszédpaneléről.

  2. Ha szükséges, jelentkezzen be az alkalmazásba a munkamenet szimulálásához.

  3. Amikor befejezte a forgatókönyv rögzítését, válassza a Rögzítés leállítása lehetőséget a Felügyeleti nézet eszköztáron.

A rögzített munkamenetek megtekintése:

Miután befejezte a felvételt, tekintse meg a rögzített munkameneteket a munkamenet-felvételek kiválasztásával a Felügyeleti nézet eszköztáron. Megjelenik az előző 48 óra rögzített munkameneteinek listája. Példa:

Képernyőkép a munkamenet-felvételekről.

A felvételek kezeléséhez válasszon ki egy fájlt, majd szükség szerint válassza a Törlés vagy letöltés lehetőséget. Példa:

Képernyőkép egy felvétel letöltéséről vagy törléséről.

Tartományok hozzáadása az alkalmazáshoz

A megfelelő tartományok alkalmazáshoz való társítása lehetővé teszi Felhőhöz készült Defender alkalmazások számára a szabályzatok és a naplózási tevékenységek kikényszerítését.

Ha például olyan szabályzatot konfigurált, amely letiltja egy társított tartomány fájljainak letöltését, az alkalmazás által az adott tartományból származó fájlletöltések le lesznek tiltva. Az alkalmazás által az alkalmazás által az alkalmazáshoz nem társított tartományokból származó fájlletöltések azonban nem lesznek blokkolva, és a művelet nem lesz naplózva a tevékenységnaplóban.

Ha egy rendszergazda nem felismert tartományba tallózik egy előre felismert alkalmazásban, akkor az Felhőhöz készült Defender Alkalmazások nem veszi figyelembe ugyanannak az alkalmazásnak vagy bármely más alkalmazásnak egy részét, megjelenik a Nem felismert tartomány üzenet, amely arra kéri a rendszergazdát, hogy adja hozzá a tartományt, hogy a következő alkalommal védve legyen. Ilyen esetekben, ha a rendszergazda nem szeretné hozzáadni a tartományt, nincs szükség műveletre.

Feljegyzés

Felhőhöz készült Defender Alkalmazások továbbra is hozzáad egy utótagot az alkalmazáshoz nem társított tartományokhoz a zökkenőmentes felhasználói élmény biztosítása érdekében.

Tartományok hozzáadása az alkalmazáshoz:

  1. Nyissa meg az alkalmazást egy böngészőben, és az Felhőhöz készült Defender Alkalmazások felügyeleti nézet eszköztára látható a képernyőn.

  2. A Felügyeleti nézet eszköztáron válassza a Felderített tartományok lehetőséget.

  3. A Felderített tartományok panelen jegyezze fel a felsorolt tartományneveket, vagy exportálja a listát .csv fájlként.

    A Felderített tartományok panel az alkalmazáshoz nem társított összes tartomány listáját jeleníti meg. A tartománynevek teljes mértékben minősítettek.

  4. A Microsoft Defender XDR-ben válassza a Beállítások>Cloud Apps>Csatlakoztatott alkalmazások>feltételes hozzáférésű alkalmazásvezérlő alkalmazások lehetőséget.

  5. Keresse meg az alkalmazást a táblában. Válassza a jobb oldali beállítások menüt, majd az Alkalmazás szerkesztése lehetőséget.

  6. A Felhasználó által definiált tartományok mezőben adja meg az alkalmazáshoz társítani kívánt tartományokat.

    • Az alkalmazásban már konfigurált tartományok listájának megtekintéséhez válassza az Alkalmazástartományok megtekintése hivatkozást.

    • Tartományok hozzáadásakor fontolja meg, hogy adott tartományokat szeretne-e hozzáadni, vagy csillagot szeretne használni (***** helyettesítő karaktereket használva egyszerre több tartományt is használhat.

      Például sub1.contoso.comsub2.contoso.com konkrét tartományokra mutatunk be példákat. Ha egyszerre szeretné hozzáadni mindkét tartományt, valamint a többi testvértartományt, használja a következőt *.contoso.com: .

További információ: Alkalmazások védelme Felhőhöz készült Microsoft Defender Alkalmazások feltételes hozzáférésű alkalmazásvezérlőjével.

Kapcsolódó tartalom