Pemecahan masalah akses dan kontrol sesi untuk pengguna admin
Artikel ini menyediakan panduan kepada admin Aplikasi Microsoft Defender untuk Cloud tentang cara menyelidiki dan mengatasi masalah akses umum dan kontrol sesi seperti yang dialami oleh admin.
Catatan
Pemecahan masalah apa pun yang terkait dengan fungsionalitas proksi hanya relevan untuk sesi yang tidak dikonfigurasi untuk perlindungan dalam browser dengan Microsoft Edge.
Periksa persyaratan minimum
Sebelum Anda mulai memecahkan masalah, pastikan lingkungan Anda memenuhi persyaratan umum minimum berikut untuk kontrol akses dan sesi.
Persyaratan | Deskripsi |
---|---|
Pelisensian | Pastikan Anda memiliki lisensi yang valid untuk aplikasi Microsoft Defender untuk Cloud. |
Akses Menyeluruh (SSO) | Aplikasi harus dikonfigurasi dengan salah satu solusi SSO yang didukung: - MICROSOFT Entra ID menggunakan SAML 2.0 atau OpenID Connect 2.0 - IdP non-Microsoft menggunakan SAML 2.0 |
Dukungan browser | Kontrol sesi tersedia untuk sesi berbasis browser pada versi terbaru browser berikut: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Perlindungan dalam browser untuk Microsoft Edge juga memiliki persyaratan khusus, termasuk pengguna yang masuk dengan profil kerja mereka. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser. |
Waktu henti | Defender untuk Cloud Apps memungkinkan Anda menentukan perilaku default yang akan diterapkan jika ada gangguan layanan, seperti komponen yang tidak berfungsi dengan benar. Misalnya, ketika kontrol kebijakan normal tidak dapat diberlakukan, Anda dapat memilih untuk mengeraskan (memblokir) atau melewati (memungkinkan) pengguna mengambil tindakan pada konten yang berpotensi sensitif. Untuk mengonfigurasi perilaku default selama waktu henti sistem, di Microsoft Defender XDR, buka Pengaturan>Akses Bersyariah Kontrol>Aplikasi Perilaku>default Izinkan atau Blokir akses. |
Persyaratan perlindungan dalam browser
Jika Anda menggunakan perlindungan dalam browser dengan Microsoft Edge dan masih dilayani oleh proksi terbalik, pastikan Anda memenuhi persyaratan tambahan berikut:
Fitur ini diaktifkan di pengaturan Defender XDR Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan perlindungan dalam browser.
Semua kebijakan yang dicakup pengguna didukung untuk Microsoft Edge for Business. Jika pengguna dilayani oleh kebijakan lain yang tidak didukung oleh Microsoft Edge for Business, mereka selalu dilayani oleh proksi terbalik. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser.
Anda menggunakan platform yang didukung, termasuk sistem operasi, platform identitas, dan versi Edge yang didukung. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser.
Referensi masalah pemecahan masalah untuk admin
Gunakan tabel berikut untuk menemukan masalah yang coba Anda pecahkan masalahnya:
Masalah kondisi jaringan
Masalah kondisi jaringan umum yang mungkin Anda temui meliputi:
Kesalahan jaringan saat menavigasi ke halaman browser
Saat pertama kali menyiapkan akses Defender untuk Cloud Apps dan kontrol sesi untuk aplikasi, kesalahan jaringan umum yang mungkin timbul meliputi: Situs ini tidak aman dan Tidak ada koneksi internet. Pesan ini dapat menunjukkan kesalahan konfigurasi jaringan umum.
Langkah-langkah yang disarankan
Konfigurasikan firewall Anda untuk bekerja dengan Defender untuk Cloud Apps menggunakan alamat IP Azure dan nama DNS yang relevan dengan lingkungan Anda.
- Tambahkan port keluar 443 untuk alamat IP dan nama DNS berikut untuk pusat data Defender untuk Cloud Apps Anda.
- Mulai ulang perangkat dan sesi browser Anda
- Verifikasi bahwa rincian masuk berfungsi seperti yang diharapkan
Aktifkan TLS 1.2 di opsi internet browser Anda. Contohnya:
Browser Langkah-langkah Microsoft Internet Explorer 1. Buka Internet Explorer
2. Pilih tab Lanjutan Opsi>Internet Alat>
3. Di bawah Keamanan, pilih TLS 1.2
4. Pilih Terapkan, lalu pilih OK
5. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasiMicrosoft Edge / Edge Chromium 1. Buka pencarian dari taskbar dan cari "Opsi Internet"
2. Pilih Opsi Internet
3. Di bawah Keamanan, pilih TLS 1.2
4. Pilih Terapkan, lalu pilih OK
5. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasiGoogle Chrome 1. Buka Google Chrome
2. Di kanan atas, pilih Pengaturan Lainnya (3 titik vertikal) >
3. Di bagian bawah, pilih Tingkat Lanjut
4. Di bawah Sistem, pilih Buka pengaturan proksi
5. Pada tab Tingkat Lanjut , di bawah Keamanan, pilih TLS 1.2
6. Pilih OK
7. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasiMozilla Firefox 1. Buka Mozilla Firefox
2. Di bilah alamat dan cari "about:config"
3. Di kotak Pencarian, cari "TLS"
4. Klik dua kali entri untuk security.tls.version.min
5. Atur nilai bilangan bulat ke 3 untuk memaksa TLS 1.2 sebagai versi minimum yang diperlukan
6. Pilih Simpan (tanda centang di sebelah kanan kotak nilai)
7. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasiSafari Jika Anda menggunakan Safari versi 7 atau yang lebih baru, TLS 1.2 akan diaktifkan secara otomatis
Defender untuk Cloud Apps menggunakan protokol Keamanan Lapisan Transportasi (TLS) 1.2+ untuk menyediakan enkripsi terbaik di kelasnya:
- Aplikasi klien asli dan browser yang tidak mendukung TLS 1.2+ tidak dapat diakses saat dikonfigurasi dengan kontrol sesi.
- Aplikasi SaaS yang menggunakan TLS 1.1 atau yang lebih rendah muncul di browser seperti menggunakan TLS 1.2+ saat dikonfigurasi dengan Defender untuk Cloud Apps.
Tip
Meskipun kontrol sesi dibuat untuk bekerja dengan browser apa pun di platform utama apa pun pada sistem operasi apa pun, kami mendukung versi terbaru Microsoft Edge, Google Chrome, Mozilla Firefox, atau Apple Safari. Anda mungkin ingin memblokir atau mengizinkan akses khusus ke aplikasi seluler atau desktop.
Rincian masuk lambat
Penautan proksi dan penanganan nonce adalah beberapa masalah umum yang dapat mengakibatkan performa masuk yang lambat.
Langkah-langkah yang disarankan
Konfigurasikan lingkungan Anda untuk menghapus faktor apa pun yang mungkin menyebabkan perlambatan selama masuk. Misalnya, Anda mungkin memiliki firewall atau meneruskan rantai proksi yang dikonfigurasi, yang menghubungkan dua atau beberapa server proksi untuk menavigasi ke halaman yang dimaksudkan. Anda mungkin juga memiliki faktor eksternal lain yang memengaruhi kelambatan.
- Identifikasi apakah penautan proksi terjadi di lingkungan Anda.
- Hapus proksi penerusan jika memungkinkan.
Beberapa aplikasi menggunakan hash nonce selama autentikasi untuk mencegah serangan pemutaran ulang. Secara default, Defender untuk Cloud Apps mengasumsikan bahwa aplikasi menggunakan nonce. Jika aplikasi yang anda kerjakan tidak menggunakan nonce, nonaktifkan nonce-handling untuk aplikasi ini di Defender untuk Cloud Apps:
- Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud.
- Di bawah Aplikasi tersambung, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
- Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda konfigurasi muncul, pilih tiga titik di akhir baris, lalu pilih Edit untuk aplikasi Anda.
- Pilih Nonce-handling untuk memperluas bagian lalu kosongkan Aktifkan penanganan nonce.
- Keluar dari aplikasi dan tutup semua sesi browser.
- Mulai ulang browser Anda dan masuk lagi ke aplikasi. Verifikasi bahwa rincian masuk berfungsi seperti yang diharapkan.
Pertimbangan lainnya untuk kondisi jaringan
Saat memecahkan masalah kondisi jaringan, pertimbangkan juga catatan berikut tentang proksi Defender untuk Cloud Apps:
Verifikasi apakah sesi Anda sedang dirutekan ke pusat data lain: Defender untuk Cloud Apps menggunakan Azure Data Centers di seluruh dunia untuk mengoptimalkan performa melalui geolokasi.
Ini berarti bahwa sesi pengguna mungkin dihosting di luar wilayah, tergantung pada pola lalu lintas dan lokasinya. Namun, untuk melindungi privasi Anda, tidak ada data sesi yang disimpan di pusat data ini.
Performa proksi: Mendapatkan garis besar performa tergantung pada banyak faktor di luar proksi Defender untuk Cloud Apps, seperti:
- Proksi atau gateway lain apa yang berada dalam serial dengan proksi ini
- Dari mana pengguna berasal
- Tempat sumber daya yang ditargetkan berada
- Permintaan tertentu di halaman
Secara umum, proksi apa pun menambahkan latensi. Keuntungan dari proksi aplikasi Defender untuk Cloud adalah:
Menggunakan ketersediaan global pengontrol domain Azure untuk melakukan geolokasi pengguna ke simpul terdekat dan mengurangi jarak pulang pergi mereka. Pengontrol domain Azure dapat melakukan geolokasi pada skala yang dimiliki beberapa layanan di seluruh dunia.
Menggunakan integrasi dengan Microsoft Entra Conditional Access untuk hanya merutekan sesi yang ingin Anda proksi ke layanan kami, alih-alih semua pengguna dalam semua situasi.
Masalah identifikasi perangkat
Defender untuk Cloud Apps menyediakan opsi berikut untuk mengidentifikasi status manajemen perangkat.
- Kepatuhan Microsoft Intune
- Microsoft Entra Domain hibrid bergabung
- Sertifikat klien
Untuk informasi selengkapnya, lihat Perangkat yang dikelola identitas dengan kontrol aplikasi Akses Bersyar.
Masalah identifikasi perangkat umum yang mungkin Anda temui meliputi:
- Perangkat yang mematuhi Intune yang Salah Identitas atau gabungan hibrid Microsoft Entra
- Sertifikat klien tidak meminta ketika diharapkan
- Sertifikat klien meminta setiap rincian masuk
- Pertimbangan tambahan
Perangkat yang mematuhi Intune yang Salah Identitas atau gabungan hibrid Microsoft Entra
Microsoft Entra Conditional Access memungkinkan informasi perangkat yang bergabung dengan hibrid Intune dan Microsoft Entra untuk diteruskan langsung ke Defender untuk Cloud Apps. Di Defender untuk Cloud Apps, gunakan status perangkat sebagai filter untuk kebijakan akses atau sesi.
Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat di ID Microsoft Entra.
Langkah-langkah yang disarankan
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud.
Di bawah Kontrol Aplikasi Akses Bersyar, pilih Identifikasi perangkat. Halaman ini memperlihatkan opsi identifikasi perangkat yang tersedia di Defender untuk Cloud Apps.
Untuk identifikasi perangkat yang sesuai dengan Intune dan identifikasi gabungan hibrid Microsoft Entra masing-masing, pilih Lihat konfigurasi dan verifikasi bahwa layanan telah disiapkan. Layanan secara otomatis disinkronkan dari ID Microsoft Entra dan Intune masing-masing.
Buat kebijakan akses atau sesi dengan filter Tag Perangkat yang sama dengan Gabungan Hybrid Azure AD, sesuai dengan Intune, atau keduanya.
Di browser, masuk ke perangkat yang bergabung dengan hibrid Microsoft Entra atau sesuai dengan Intune berdasarkan filter kebijakan Anda.
Verifikasi bahwa aktivitas dari perangkat ini mengisi log. Di aplikasi Defender untuk Cloud, pada halaman Log aktivitas, filter pada Tag Perangkat yang sama dengan Gabungan Hybrid Azure AD, Sesuai dengan Intune, atau keduanya berdasarkan filter kebijakan Anda.
Jika aktivitas tidak terisi di log aktivitas Defender untuk Cloud Apps, buka ID Microsoft Entra dan lakukan langkah-langkah berikut:
Di bawah Pemantauan>Masuk, verifikasi bahwa ada aktivitas masuk dalam log.
Pilih entri log yang relevan untuk perangkat yang Anda masuki.
Di panel Rincian, pada tab Info perangkat, memverifikasi bahwa perangkat Dikelola (Gabungan Azure Hibrid AD) atau Sesuai (sesuai dengan Intune).
Jika Anda tidak dapat memverifikasi salah satu status, coba entri log lain atau pastikan bahwa data perangkat Anda dikonfigurasi dengan benar di ID Microsoft Entra.
Untuk Akses Bersyarat, beberapa browser mungkin memerlukan konfigurasi tambahan seperti menginstal ekstensi. Untuk informasi selengkapnya, lihat Dukungan browser Akses Bersyar.
Jika Anda masih tidak melihat informasi perangkat di halaman Masuk , buka tiket dukungan untuk ID Microsoft Entra.
Sertifikat klien tidak meminta ketika diharapkan
Mekanisme identifikasi perangkat dapat meminta autentikasi dari perangkat yang relevan menggunakan sertifikat klien. Anda dapat mengunggah sertifikat otoritas sertifikat akar atau menengah (CA) X.509, yang diformat dalam format sertifikat PEM.
Sertifikat harus berisi kunci umum CA, yang kemudian digunakan untuk menandatangani sertifikat klien yang disajikan selama sesi. Untuk informasi selengkapnya, lihat Memeriksa manajemen perangkat tanpa Microsoft Entra.
Langkah-langkah yang disarankan
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud.
Di bawah Kontrol Aplikasi Akses Bersyar, pilih Identifikasi perangkat. Halaman ini memperlihatkan opsi identifikasi perangkat yang tersedia dengan aplikasi Defender untuk Cloud.
Verifikasi bahwa Anda mengunggah sertifikat OS akar atau menengah X.509. Anda harus mengunggah sertifikat CA yang digunakan untuk menandatangani otoritas sertifikat Anda.
Buat kebijakan akses atau sesi dengan filter Tag Perangkat sama dengan sertifikat klien Valid.
Pastikan sertifikat klien Anda adalah:
- Disebarkan menggunakan format file PKCS #12, biasanya ekstensi file .p12 atau .pfx
- Diinstal di penyimpanan pengguna, bukan penyimpanan perangkat, dari perangkat yang Anda gunakan untuk pengujian
Mulai ulang sesi browser Anda.
Saat masuk ke aplikasi yang dilindungi:
- Verifikasi bahwa Anda dialihkan ke sintaks URL berikut:
<https://*.managed.access-control.cas.ms/aad_login>
- Jika Anda menggunakan iOS, pastikan Anda menggunakan browser Safari.
- Jika Anda menggunakan Firefox, Anda juga harus menambahkan sertifikat ke penyimpanan sertifikat Firefox sendiri. Semua browser lain menggunakan penyimpanan sertifikat default yang sama.
- Verifikasi bahwa Anda dialihkan ke sintaks URL berikut:
Validasi bahwa sertifikat klien diminta di browser Anda.
Jika tidak muncul, coba browser lain. Sebagian besar browser utama mendukung pemeriksaan sertifikat klien. Namun, aplikasi seluler dan desktop sering menggunakan browser bawaan yang mungkin tidak mendukung pemeriksaan ini dan karenanya memengaruhi autentikasi untuk aplikasi ini.
Verifikasi bahwa aktivitas dari perangkat ini mengisi log. Di Defender untuk Cloud Apps, pada halaman Log aktivitas, tambahkan filter pada Tag Perangkat yang sama dengan sertifikat klien Valid.
Jika Anda masih tidak melihat perintah, buka tiket dukungan dan sertakan informasi berikut:
- Detail browser atau aplikasi asli tempat Anda mengalami masalah
- Versi sistem operasi, seperti iOS/Android/Windows 10
- Sebutkan apakah perintah berfungsi di Microsoft Edge Chromium
Sertifikat klien meminta setiap rincian masuk
Jika Anda mengalami sertifikat klien muncul setelah membuka tab baru, ini mungkin karena pengaturan tersembunyi dalam Opsi Internet. Verifikasi pengaturan Anda di browser Anda. Contohnya:
Di Microsoft Internet Explorer:
- Buka Internet Explorer dan pilih >tab Alat Opsi>Internet Tingkat Lanjut.
- Di bawah Keamanan, pilih Jangan minta pemilihan Sertifikat Klien saat hanya satu sertifikat yang> ada Pilih Terapkan>OK.
- Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi tanpa perintah tambahan.
Di Microsoft Edge / Edge Chromium:
- Buka pencarian dari bilah tugas dan cari Opsi Internet.
- Pilih Opsi>Internet Keamanan>Tingkat Kustom intranet>lokal.
- Di bawah Lain-lain>Jangan minta pemilihan Sertifikat Klien saat hanya ada satu sertifikat, pilih Nonaktifkan.
- Pilih OK>Terapkan>OK.
- Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi tanpa perintah tambahan.
Pertimbangan lainnya untuk identifikasi perangkat
Saat memecahkan masalah identifikasi perangkat, Anda dapat memerlukan pencabutan sertifikat untuk Sertifikat Klien.
Sertifikat yang dicabut oleh CA tidak lagi dipercaya. Memilih opsi ini mengharuskan semua sertifikat melewati protokol CRL. Jika sertifikat klien Anda tidak berisi titik akhir CRL, Anda tidak dapat tersambung dari perangkat terkelola.
Masalah saat onboarding aplikasi
Aplikasi ID Microsoft Entra secara otomatis di-onboarding ke aplikasi Defender untuk Cloud untuk Akses Bersyar dan kontrol sesi. Anda harus melakukan onboarding aplikasi IdP non-Microsoft secara manual, termasuk katalog dan aplikasi kustom.
Untuk informasi selengkapnya, lihat:
- Menyebarkan kontrol aplikasi Akses Bersyar untuk aplikasi katalog dengan IDP non-Microsoft
- Menyebarkan kontrol aplikasi Akses Bersyar untuk aplikasi kustom dengan IDP non-Microsoft
Skenario umum yang mungkin Anda temui saat onboarding aplikasi meliputi:
- Aplikasi tidak muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyarkat
- Status aplikasi: Lanjutkan Penyetelan
- Tidak dapat mengonfigurasi kontrol untuk aplikasi bawaan
- Opsi kontrol sesi permintaan muncul
Aplikasi tidak muncul di halaman aplikasi kontrol aplikasi akses bersyarkat
Saat melakukan onboarding aplikasi IdP non-Microsoft ke kontrol aplikasi akses bersyarah, langkah penyebaran akhir adalah meminta pengguna akhir menavigasi ke aplikasi. Lakukan langkah-langkah di bagian ini jika aplikasi tidak muncul di halaman Pengaturan > Aplikasi > > cloud Aplikasi terhubung Akses Bersyar aplikasi Kontrol Aplikasi yang diharapkan.
Langkah-langkah yang disarankan
Pastikan aplikasi Anda memenuhi prasyarat kontrol aplikasi Akses Bersyarat berikut:
- Pastikan Anda memiliki lisensi Defender untuk Cloud Apps yang valid.
- Membuat aplikasi duplikat.
- Pastikan aplikasi menggunakan protokol SAML.
- Validasi bahwa Anda telah sepenuhnya melakukan onboarding aplikasi dan status aplikasi tersambung.
Pastikan untuk menavigasi ke aplikasi di sesi browser baru dengan menggunakan mode penyamaran baru atau dengan masuk lagi.
Catatan
Aplikasi ID Entra hanya muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyarat setelah dikonfigurasi dalam setidaknya satu kebijakan, atau jika Anda memiliki kebijakan tanpa spesifikasi aplikasi apa pun dan pengguna telah masuk ke aplikasi.
Status aplikasi: Lanjutkan Penyetelan
Status aplikasi dapat bervariasi, dan dapat menyertakan Lanjutkan Penyiapan, Tersambung, atau Tidak Ada Aktivitas.
Untuk aplikasi yang terhubung melalui penyedia identitas (IdP) non-Microsoft, jika penyiapan belum selesai, saat mengakses aplikasi, Anda akan melihat halaman dengan status Lanjutkan Penyiapan. Gunakan langkah-langkah berikut untuk menyelesaikan penyiapan.
Langkah-langkah yang disarankan
Pilih Lanjutkan Penyetelan.
Tinjau artikel berikut dan verifikasi bahwa Anda telah menyelesaikan semua langkah yang diperlukan:
- Menyebarkan kontrol aplikasi Akses Bersyar untuk aplikasi katalog dengan IDP non-Microsoft
- Menyebarkan kontrol aplikasi Akses Bersyar untuk aplikasi kustom dengan IDP non-Microsoft
Perhatikan langkah-langkah berikut:
- Pastikan Anda membuat aplikasi SAML kustom baru. Anda memerlukan aplikasi ini untuk mengubah URL dan atribut SAML yang mungkin tidak tersedia di aplikasi galeri.
- Jika penyedia identitas Anda tidak mengizinkan penggunaan kembali pengidentifikasi yang sama, juga dikenal sebagai ID Entitas atau Audiens, ubah pengidentifikasi aplikasi asli.
Tidak dapat mengonfigurasi kontrol untuk aplikasi bawaan
Aplikasi bawaan dapat dideteksi secara heuristik dan Anda dapat menggunakan kebijakan akses untuk memantau atau memblokirnya. Gunakan langkah-langkah berikut untuk mengonfigurasi kontrol untuk aplikasi asli.
Langkah-langkah yang disarankan
Dalam kebijakan akses, tambahkan filter aplikasi Klien, dan atur sama dengan Seluler dan desktop.
Di bawah Tindakan, pilih Blokir.
Secara opsional, sesuaikan pesan pemblokiran yang didapat pengguna Anda saat mereka tidak dapat mengunduh file. Misalnya, kustomisasi pesan ini ke Anda harus menggunakan browser web untuk mengakses aplikasi ini.
Uji dan validasi bahwa kontrol berfungsi seperti yang diharapkan.
Halaman aplikasi tidak dikenali muncul
Defender untuk Cloud Apps dapat mengenali lebih dari 31.000 aplikasi melalui katalog aplikasi cloud.
Jika Anda menggunakan aplikasi kustom yang dikonfigurasi melalui Microsoft Entra SSO, dan bukan salah satu aplikasi yang didukung, Anda menemukan halaman Aplikasi tidak dikenali . Untuk mengatasi masalah ini, Anda harus mengonfigurasi aplikasi dengan kontrol aplikasi Akses Bersyar.
Langkah-langkah yang disarankan
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud. Di bawah Aplikasi tersambung, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
Di banner, pilih Tampilkan aplikasi baru.
Dalam daftar aplikasi baru, temukan aplikasi yang Anda onboarding, pilih + tanda, lalu pilih Tambahkan.
- Pilih apakah aplikasi adalah aplikasi kustom atau standar .
- Lanjutkan melalui wizard, pastikan bahwa domain yang ditentukan pengguna yang ditentukan sudah benar untuk aplikasi yang Anda konfigurasi.
Verifikasi bahwa aplikasi muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyar.
Opsi kontrol sesi permintaan muncul
Setelah onboarding aplikasi IdP non-Microsoft, Anda mungkin melihat opsi Minta kontrol sesi. Ini terjadi karena hanya aplikasi katalog yang memiliki kontrol sesi di luar kotak. Untuk aplikasi lain, Anda harus melalui proses onboarding mandiri.
Ikuti instruksi di Menyebarkan kontrol aplikasi Akses Bersyar untuk aplikasi kustom dengan IDP non-Microsoft.
Langkah-langkah yang disarankan
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud.
Di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.
Masukkan nama utama atau email untuk pengguna yang akan melakukan onboarding aplikasi, lalu pilih Simpan.
Buka aplikasi yang Anda sebarkan. Halaman yang Anda lihat bergantung pada apakah aplikasi dikenali. Lakukan salah satu hal berikut ini, bergantung pada halaman yang Anda lihat:
Tidak dikenali. Anda melihat halaman Aplikasi yang tidak dikenali yang meminta Anda untuk mengonfigurasi aplikasi Anda. Lakukan langkah-langkah berikut:
- Onboarding aplikasi untuk kontrol aplikasi Akses Bersyar.
- Tambahkan domain untuk aplikasi.
- Instal sertifikat aplikasi.
Diakui. Jika aplikasi Anda dikenali, Anda akan melihat halaman onboarding yang meminta Anda untuk melanjutkan proses konfigurasi aplikasi.
Pastikan aplikasi dikonfigurasi dengan semua domain yang diperlukan agar aplikasi berfungsi dengan benar, lalu kembali ke halaman aplikasi.
Pertimbangan lainnya untuk aplikasi onboarding
Saat memecahkan masalah untuk aplikasi onboarding, ada beberapa hal tambahan yang perlu dipertimbangkan.
Pahami perbedaan antara pengaturan kebijakan Microsoft Entra Conditional Access: "Pantau saja", "Blokir unduhan", dan "Gunakan kebijakan kustom"
Dalam kebijakan Akses Bersyar Microsoft Entra, Anda dapat mengonfigurasi kontrol aplikasi Defender untuk Cloud bawaan berikut: Memantau saja dan Memblokir unduhan. Pengaturan ini menerapkan dan menerapkan fitur proksi aplikasi Defender untuk Cloud untuk aplikasi cloud dan kondisi yang dikonfigurasi di ID Microsoft Entra.
Untuk kebijakan yang lebih kompleks, pilih Gunakan kebijakan kustom, yang memungkinkan Anda mengonfigurasi kebijakan akses dan sesi di aplikasi Defender untuk Cloud.
Memahami opsi filter aplikasi klien "Seluler dan desktop" dalam kebijakan akses
Dalam kebijakan akses aplikasi Defender untuk Cloud, kecuali filter aplikasi Klien diatur ke Seluler dan desktop, kebijakan akses yang dihasilkan berlaku untuk sesi browser.
Alasan untuk ini adalah untuk mencegah secara tidak sengaja memproksi sesi pengguna, yang mungkin merupakan produk sampingan menggunakan filter ini.
Masalah saat membuat kebijakan akses dan sesi
Defender untuk Cloud Apps menyediakan kebijakan yang dapat dikonfigurasi berikut:
- Kebijakan akses: Digunakan untuk memantau atau memblokir akses ke browser, seluler, dan/atau aplikasi desktop.
- Kebijakan sesi. Digunakan untuk memantau, memblokir, dan melakukan tindakan tertentu untuk mencegah skenario infiltrasi dan eksfiltrasi data di browser.
Untuk menggunakan kebijakan ini di Defender untuk Cloud Apps, Anda harus terlebih dahulu mengonfigurasi kebijakan di Microsoft Entra Conditional Access untuk memperluas kontrol sesi:
Dalam kebijakan Microsoft Entra, di bawah Kontrol akses, pilih Sesi>Gunakan Kontrol Aplikasi Akses Bersyar.
Pilih kebijakan bawaan (Hanya pantau atau Blokir unduhan) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di Defender untuk Cloud Apps.
Pilih tombol Pilih untuk melanjutkan.
Skenario umum yang mungkin Anda temui saat mengonfigurasi kebijakan ini meliputi:
- Dalam kebijakan Akses Bersyar, Anda tidak dapat melihat opsi kontrol aplikasi akses bersyar
- Pesan kesalahan saat membuat kebijakan: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan kontrol aplikasi akses bersyarah
- Tidak dapat membuat kebijakan sesi untuk aplikasi
- Tidak dapat memilih Metode Inspeksi: Layanan Klasifikasi Data
- Tidak dapat memilih Tindakan: Lindungi
Dalam kebijakan Akses Bersyar, Anda tidak dapat melihat opsi kontrol aplikasi akses bersyar
Untuk merutekan sesi ke aplikasi Defender untuk Cloud, kebijakan Akses Bersyar Microsoft Entra harus dikonfigurasi untuk menyertakan kontrol sesi kontrol aplikasi akses bersyar.
Langkah-langkah yang disarankan
Jika Anda tidak melihat opsi Kontrol Aplikasi Akses Bersyarah dalam kebijakan Akses Bersyar, pastikan Anda memiliki lisensi yang valid untuk Microsoft Entra ID P1 dan lisensi aplikasi Defender untuk Cloud yang valid.
Pesan kesalahan saat membuat kebijakan: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan kontrol aplikasi akses bersyarah
Saat membuat kebijakan akses atau sesi, Anda mungkin melihat pesan kesalahan berikut: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan kontrol aplikasi akses bersyarah. Kesalahan ini menunjukkan bahwa aplikasi adalah aplikasi IdP non-Microsoft yang belum di-onboard untuk kontrol aplikasi Akses Bersyar.
Langkah-langkah yang disarankan
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud. Di bawah Aplikasi tersambung, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
Jika Anda melihat pesan Tidak ada aplikasi yang tersambung, gunakan panduan berikut untuk menyebarkan aplikasi:
Jika Anda mengalami masalah saat menyebarkan aplikasi, lihat Masalah saat onboarding aplikasi.
Tidak dapat membuat kebijakan sesi untuk aplikasi
Setelah onboarding aplikasi IdP non-Microsoft untuk kontrol aplikasi Akses Bersyar, di halaman aplikasi Kontrol Aplikasi Akses Bersyar, Anda mungkin melihat opsi: Meminta kontrol sesi.
Catatan
Aplikasi katalog memiliki kontrol sesi di luar kotak. Untuk aplikasi IdP non-Microsoft lainnya, Anda harus melalui proses onboarding mandiri. Langkah-langkah yang disarankan
Sebarkan aplikasi Anda ke kontrol sesi. Untuk informasi selengkapnya, lihat Onboard aplikasi kustom non-Microsoft IdP untuk kontrol aplikasi Akses Bersyar.
Buat kebijakan sesi dan pilih Filter aplikasi.
Pastikan aplikasi Anda sekarang tercantum di daftar dropdown.
Tidak dapat memilih Metode Inspeksi: Layanan Klasifikasi Data
Dalam kebijakan sesi, saat menggunakan jenis kontrol sesi unduhan file Kontrol (dengan inspeksi), Anda dapat menggunakan metode inspeksi Layanan Klasifikasi Data untuk memindai file Anda secara real time dan mendeteksi konten sensitif yang cocok dengan salah satu kriteria yang telah Anda konfigurasi.
Jika metode inspeksi Layanan Klasifikasi Data tidak tersedia, gunakan langkah-langkah berikut untuk menyelidiki masalah tersebut.
Langkah-langkah yang disarankan
Verifikasi bahwa jenis kontrol Sesi diatur ke Kontrol unduhan file (dengan inspeksi).
Catatan
Metode inspeksi Layanan Klasifikasi Data hanya tersedia untuk opsi Unduh file kontrol (dengan inspeksi).
Tentukan apakah fitur Layanan Klasifikasi Data tersedia di wilayah Anda:
- Jika fitur tidak tersedia di wilayah Anda, gunakan metode inspeksi DLP bawaan.
- Jika fitur tersedia di wilayah Anda tetapi Anda masih tidak dapat melihat metode inspeksi Layanan Klasifikasi Data, buka tiket dukungan.
Tidak dapat memilih Tindakan: Lindungi
Dalam kebijakan sesi, saat menggunakan jenis kontrol sesi Pengunduhan file kontrol (dengan inspeksi), selain tindakan Pantau dan Blokir, Anda dapat menentukan tindakan Lindungi. Tindakan ini memungkinkan Anda mengizinkan pengunduhan file dengan opsi untuk mengenkripsi atau menerapkan izin ke file berdasarkan kondisi, inspeksi konten, atau keduanya.
Jika tindakan Lindungi tidak tersedia, gunakan langkah-langkah berikut untuk menyelidiki masalah.
Langkah-langkah yang disarankan
Jika tindakan Lindungi tidak tersedia atau berwarna abu-abu, verifikasi bahwa Anda memiliki lisensi Microsoft Purview. Untuk informasi selengkapnya, lihat integrasi Perlindungan Informasi Microsoft Purview.
Jika tindakan Lindungi tersedia, tetapi tidak melihat label yang sesuai.
Di Defender untuk Cloud Apps, di bilah menu, pilih ikon >pengaturan Microsoft Information Protection, dan verifikasi bahwa integrasi diaktifkan.
Untuk label Office, di portal Microsoft Purview, pastikan Pelabelan Terpadu dipilih.
Mendiagnosis dan memecahkan masalah dengan toolbar Tampilan Admin
Toolbar Tampilan Admin berada di bagian bawah layar Anda dan menyediakan alat bagi pengguna admin untuk mendiagnosis dan memecahkan masalah dengan kontrol aplikasi akses bersyarah.
Untuk melihat toolbar Tampilan Admin, Anda harus memastikan untuk menambahkan akun pengguna admin tertentu ke daftar Onboarding/pemeliharaan Aplikasi di pengaturan Microsoft Defender XDR.
Untuk menambahkan pengguna ke daftar onboarding /pemeliharaan Aplikasi:
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud.
Gulir ke bawah, dan di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.
Masukkan nama utama atau alamat email untuk pengguna admin yang ingin Anda tambahkan.
Pilih opsi Aktifkan pengguna ini untuk melewati Kontrol Aplikasi Akses Bersyar dari dalam sesi yang diproksi, lalu pilih Simpan.
Contohnya:
Saat berikutnya salah satu pengguna yang terdaftar memulai sesi baru di aplikasi yang didukung di mana mereka adalah admin, toolbar Tampilan Admin ditampilkan di bagian bawah browser.
Misalnya, gambar berikut ini memperlihatkan toolbar Tampilan Admin yang diperlihatkan di bagian bawah jendela browser, saat menggunakan OneNote di browser:
Bagian berikut ini menjelaskan cara menggunakan toolbar Tampilan Admin untuk menguji dan memecahkan masalah.
Mode pengujian
Sebagai pengguna admin, Anda mungkin ingin menguji perbaikan bug proksi yang akan datang sebelum rilis terbaru sepenuhnya diluncurkan ke semua penyewa. Berikan umpan balik Anda tentang perbaikan bug ke tim dukungan Microsoft untuk membantu mempercepat siklus rilis.
Saat dalam mode pengujian, hanya pengguna admin yang terkena perubahan apa pun yang disediakan dalam perbaikan bug. Tidak ada efek pada pengguna lain.
- Untuk mengaktifkan mode pengujian, di toolbar Tampilan Admin, pilih Mode Uji.
- Setelah selesai menguji, pilih Akhiri Mode Pengujian untuk kembali ke fungsionalitas reguler.
Melewati sesi proksi
Jika Anda menggunakan browser non-Edge dan mengalami kesulitan mengakses atau memuat aplikasi, Anda mungkin ingin memverifikasi apakah masalahnya ada pada proksi Akses Bersyar dengan menjalankan aplikasi tanpa proksi.
Untuk melewati proksi, di toolbar Tampilan Admin, pilih Lewati pengalaman. Konfirmasikan bahwa sesi dilewati dengan mencatat bahwa URL tidak ditangguhkan.
Proksi Akses Bersyarah digunakan lagi di sesi Anda berikutnya.
Untuk informasi selengkapnya, lihat kontrol aplikasi Akses Bersyar aplikasi Microsoft Defender untuk Cloud Apps dan Perlindungan dalam browser dengan Microsoft Edge for Business (Pratinjau).
Rincian masuk kedua (juga dikenal sebagai 'login kedua')
Beberapa aplikasi memiliki lebih dari satu tautan mendalam untuk masuk. Kecuali Anda menentukan tautan masuk di pengaturan aplikasi, pengguna mungkin dialihkan ke halaman yang tidak dikenali saat mereka masuk, memblokir akses mereka.
Integrasi antara IdP seperti ID Microsoft Entra didasarkan pada penyadapan masuk aplikasi dan mengalihkannya. Ini berarti bahwa rincian masuk browser tidak dapat dikontrol secara langsung tanpa memicu proses masuk kedua. Untuk memicu masuk kedua, kita perlu menggunakan URL masuk kedua khusus untuk tujuan tersebut.
Jika aplikasi menggunakan nonce, rincian masuk kedua mungkin transparan bagi pengguna, atau mereka diminta untuk masuk lagi.
Jika tidak transparan bagi pengguna akhir, tambahkan URL masuk kedua ke pengaturan aplikasi:
Buka Pengaturan > Aplikasi > cloud Aplikasi tersambung Aplikasi > Kontrol Aplikasi Akses Bersyar
Pilih aplikasi yang relevan lalu pilih tiga titik.
Pilih Edit aplikasi\Konfigurasi masuk tingkat lanjut.
Tambahkan URL masuk kedua seperti yang disebutkan di halaman kesalahan.
Jika Yakin aplikasi tidak menggunakan nonce, Anda dapat menonaktifkannya dengan mengedit pengaturan aplikasi seperti yang dijelaskan dalam Rincian masuk Lambat.
Merekam sesi
Anda mungkin ingin membantu analisis akar penyebab masalah dengan mengirim rekaman sesi ke teknisi dukungan Microsoft. Gunakan toolbar Tampilan Admin untuk merekam sesi Anda.
Catatan
Semua data pribadi dihapus dari rekaman.
Untuk merekam sesi:
Di toolbar Tampilan Admin, pilih Rekam sesi. Saat diminta, pilih Lanjutkan untuk menerima persyaratan. Contohnya:
Masuk ke aplikasi Anda jika diperlukan untuk mulai mensimulasikan sesi.
Saat Anda selesai merekam skenario, pastikan untuk memilih Hentikan perekaman di toolbar Tampilan Admin.
Untuk melihat sesi yang direkam:
Setelah Anda selesai merekam, lihat sesi yang direkam dengan memilih Rekaman sesi dari toolbar Tampilan Admin. Daftar sesi yang direkam dari 48 jam sebelumnya muncul. Contohnya:
Untuk mengelola rekaman Anda, pilih file lalu pilih Hapus atau Unduh sesuai kebutuhan. Contohnya:
Menambahkan domain untuk aplikasi Anda
Mengaitkan domain yang benar ke aplikasi memungkinkan aplikasi Defender untuk Cloud menerapkan kebijakan dan aktivitas audit.
Misalnya, jika Anda telah mengonfigurasi kebijakan yang memblokir pengunduhan file untuk domain terkait, unduhan file oleh aplikasi dari domain tersebut akan diblokir. Namun, unduhan file oleh aplikasi dari domain yang tidak terkait dengan aplikasi tidak akan diblokir dan tindakan tidak akan diaudit di log aktivitas.
Jika admin menelusuri aplikasi yang diproksi ke domain yang tidak dikenal, yang Defender untuk Cloud Apps tidak mempertimbangkan untuk bagian dari aplikasi yang sama atau aplikasi lain, pesan Domain yang tidak dikenal muncul, meminta admin untuk menambahkan domain sehingga terlindungi di lain waktu. Dalam kasus seperti itu, jika admin tidak ingin menambahkan domain, tidak ada tindakan yang diperlukan.
Catatan
Defender untuk Cloud Apps masih menambahkan akhiran ke domain yang tidak terkait dengan aplikasi untuk memastikan pengalaman pengguna yang mulus.
Untuk menambahkan domain untuk aplikasi Anda:
Buka aplikasi Anda di browser, dengan toolbar Tampilan Admin Aplikasi Defender untuk Cloud terlihat di layar Anda.
Di toolbar Tampilan Admin, pilih Domain yang ditemukan.
Di panel Domain yang ditemukan, catat nama domain yang tercantum, atau ekspor daftar sebagai file .csv.
Panel Domain yang ditemukan memperlihatkan daftar semua domain yang tidak terkait dengan aplikasi. Nama domain sepenuhnya memenuhi syarat.
Di Microsoft Defender XDR, pilih Pengaturan>Aplikasi Cloud Yang>Terhubung Aplikasi>Akses Bersyar aplikasi Kontrol Aplikasi.
Temukan aplikasi Anda di tabel. Pilih menu opsi di sebelah kanan lalu pilih Edit aplikasi.
Di bidang Domain yang ditentukan pengguna, masukkan domain yang ingin Anda kaitkan dengan aplikasi ini.
Untuk melihat daftar domain yang sudah dikonfigurasi di aplikasi, pilih tautan Tampilkan domain aplikasi.
Saat menambahkan domain, pertimbangkan apakah Anda ingin menambahkan domain tertentu, atau menggunakan tanda bintang (*****bebas kartubebas untuk menggunakan beberapa domain sekaligus.
Misalnya,
sub1.contoso.com
,sub2.contoso.com
adalah contoh domain tertentu. Untuk menambahkan kedua domain ini sekaligus, serta domain saudara lainnya, gunakan*.contoso.com
.
Untuk informasi selengkapnya, lihat Melindungi aplikasi dengan kontrol aplikasi Akses Bersyar aplikasi Microsoft Defender untuk Cloud Apps.