Pemecahan masalah akses dan kontrol sesi untuk pengguna admin

  • Artikel

Artikel ini menyediakan panduan kepada admin Aplikasi Microsoft Defender untuk Cloud tentang cara menyelidiki dan mengatasi masalah akses umum dan kontrol sesi seperti yang dialami oleh admin.

Catatan

Pemecahan masalah apa pun yang terkait dengan fungsionalitas proksi hanya relevan untuk sesi yang tidak dikonfigurasi untuk perlindungan dalam browser dengan Microsoft Edge.

Periksa persyaratan minimum

Sebelum Anda mulai memecahkan masalah, pastikan lingkungan Anda memenuhi persyaratan umum minimum berikut untuk kontrol akses dan sesi.

Persyaratan Deskripsi
Pelisensian Pastikan Anda memiliki lisensi yang valid untuk aplikasi Microsoft Defender untuk Cloud.
Akses Menyeluruh (SSO) Aplikasi harus dikonfigurasi dengan salah satu solusi SSO yang didukung:

- MICROSOFT Entra ID menggunakan SAML 2.0 atau OpenID Koneksi 2.0
- IdP non-Microsoft menggunakan SAML 2.0
Dukungan browser Kontrol sesi tersedia untuk sesi berbasis browser pada versi terbaru browser berikut:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Perlindungan dalam browser untuk Microsoft Edge juga memiliki persyaratan khusus, termasuk pengguna yang masuk dengan profil kerja mereka. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser.
Waktu henti Defender untuk Cloud Apps memungkinkan Anda menentukan perilaku default yang akan diterapkan jika ada gangguan layanan, seperti komponen yang tidak berfungsi dengan benar.

Misalnya, ketika kontrol kebijakan normal tidak dapat diberlakukan, Anda dapat memilih untuk mengeraskan (memblokir) atau melewati (memungkinkan) pengguna mengambil tindakan pada konten yang berpotensi sensitif.

Untuk mengonfigurasi perilaku default selama waktu henti sistem, di Microsoft Defender XDR, buka Pengaturan> Kelakuan>Default Kontrol>Aplikasi Akses Bersyarat Izinkan atau Blokir akses.

Persyaratan perlindungan dalam browser

Jika Anda menggunakan perlindungan dalam browser dengan Microsoft Edge dan masih dilayani oleh proksi terbalik, pastikan Anda memenuhi persyaratan tambahan berikut:

  • Fitur ini diaktifkan di pengaturan Defender XDR Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan perlindungan dalam browser.

  • Semua kebijakan yang dicakup pengguna didukung untuk Microsoft Edge for Business. Jika pengguna dilayani oleh kebijakan lain yang tidak didukung oleh Microsoft Edge for Business, mereka selalu dilayani oleh proksi terbalik. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser.

  • Anda menggunakan platform yang didukung, termasuk sistem operasi, platform identitas, dan versi Edge yang didukung. Untuk informasi selengkapnya, lihat Persyaratan perlindungan dalam browser.

Referensi masalah pemecahan masalah untuk admin

Gunakan tabel berikut untuk menemukan masalah yang coba Anda pecahkan masalahnya:

Tipe masalah Terbitan
Masalah kondisi jaringan Kesalahan jaringan saat menavigasi ke halaman browser

Rincian masuk lambat

Pertimbangan lainnya untuk kondisi jaringan
Masalah identifikasi perangkat Perangkat yang mematuhi Intune yang Salah Identitas atau gabungan hibrid Microsoft Entra

Sertifikat klien tidak meminta ketika diharapkan

Sertifikat klien tidak meminta ketika diharapkan
Sertifikat klien meminta setiap rincian masuk

Pertimbangan lainnya untuk identifikasi perangkat
Masalah saat onboarding aplikasi Aplikasi tidak muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyarkat

Status aplikasi: Lanjutkan PenyiapanTidak dapat mengonfigurasi kontrol untuk aplikasi asli

Halaman aplikasi tidak dikenali muncul

Opsi kontrol sesi permintaan muncul

Pertimbangan lainnya untuk aplikasi onboarding
Masalah saat membuat kebijakan akses dan sesi Dalam kebijakan Akses Bersyar, Anda tidak dapat melihat opsi Kontrol Aplikasi Akses Bersyar

Pesan kesalahan saat membuat kebijakan: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan Kontrol Aplikasi Akses Bersyarah

Tidak dapat membuat kebijakan sesi untuk aplikasi

Tidak dapat memilih Metode Inspeksi: Layanan Klasifikasi Data

Tidak dapat memilih Tindakan: Lindungi

Pertimbangan lainnya untuk aplikasi onboarding
Mendiagnosis dan memecahkan masalah dengan toolbar Tampilan Admin Melewati sesi proksi

Merekam sesi

Masalah kondisi jaringan

Masalah kondisi jaringan umum yang mungkin Anda temui meliputi:

Kesalahan jaringan saat menavigasi ke halaman browser

Saat pertama kali menyiapkan akses Defender untuk Cloud Apps dan kontrol sesi untuk aplikasi, kesalahan jaringan umum yang mungkin timbul meliputi: Situs ini tidak aman dan Tidak ada koneksi internet. Pesan ini dapat menunjukkan kesalahan konfigurasi jaringan umum.

Langkah-langkah yang disarankan

  1. Konfigurasikan firewall Anda untuk bekerja dengan Defender untuk Cloud Apps menggunakan alamat IP Azure dan nama DNS yang relevan dengan lingkungan Anda.

    1. Tambahkan port keluar 443 untuk alamat IP dan nama DNS berikut untuk pusat data Defender untuk Cloud Apps Anda.
    2. Mulai ulang perangkat dan sesi browser Anda
    3. Verifikasi bahwa rincian masuk berfungsi seperti yang diharapkan

  2. Aktifkan TLS 1.2 di opsi internet browser Anda. Contohnya:

    Browser Langkah-langkah
    Microsoft Internet Explorer 1. Buka Internet Explorer
    2. Pilih tab Lanjutan Opsi>Internet Alat>
    3. Di bawah Keamanan, pilih TLS 1.2
    4. Pilih Terapkan, lalu pilih OK
    5. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi
    Microsoft Edge / Edge Chromium 1. Buka pencarian dari taskbar dan cari "Opsi Internet"
    2. Pilih Opsi Internet
    3. Di bawah Keamanan, pilih TLS 1.2
    4. Pilih Terapkan, lalu pilih OK
    5. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi
    Google Chrome 1. Buka Google Chrome
    2. Di kanan atas, pilih Lainnya (3 titik vertikal)> Pengaturan
    3. Di bagian bawah, pilih Tingkat Lanjut
    4. Di bawah Sistem, pilih Buka pengaturan proksi
    5. Pada tab Tingkat Lanjut , di bawah Keamanan, pilih TLS 1.2
    6. Pilih OK
    7. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi
    Mozilla Firefox 1. Buka Mozilla Firefox
    2. Di bilah alamat dan cari "about:config"
    3. Di kotak Pencarian, cari "TLS"
    4. Klik dua kali entri untuk security.tls.version.min
    5. Atur nilai bilangan bulat ke 3 untuk memaksa TLS 1.2 sebagai versi minimum yang diperlukan
    6. Pilih Simpan (tanda centang di sebelah kanan kotak nilai)
    7. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi
    Safari Jika Anda menggunakan Safari versi 7 atau yang lebih baru, TLS 1.2 akan diaktifkan secara otomatis

Defender untuk Cloud Apps menggunakan protokol Keamanan Lapisan Transportasi (TLS) 1.2+ untuk menyediakan enkripsi terbaik di kelasnya:

  • Aplikasi klien asli dan browser yang tidak mendukung TLS 1.2+ tidak dapat diakses saat dikonfigurasi dengan kontrol sesi.
  • Aplikasi SaaS yang menggunakan TLS 1.1 atau yang lebih rendah muncul di browser seperti menggunakan TLS 1.2+ saat dikonfigurasi dengan Defender untuk Cloud Apps.

Tip

Meskipun kontrol sesi dibuat untuk bekerja dengan browser apa pun di platform utama apa pun pada sistem operasi apa pun, kami mendukung versi terbaru Microsoft Edge, Google Chrome, Mozilla Firefox, atau Apple Safari. Anda mungkin ingin memblokir atau mengizinkan akses khusus ke aplikasi seluler atau desktop.

Rincian masuk lambat

Penautan proksi dan penanganan nonce adalah beberapa masalah umum yang dapat mengakibatkan performa masuk yang lambat.

Langkah-langkah yang disarankan

Konfigurasikan lingkungan Anda untuk menghapus faktor apa pun yang mungkin menyebabkan perlambatan selama masuk. Misalnya, Anda mungkin memiliki firewall atau meneruskan rantai proksi yang dikonfigurasi, yang menghubungkan dua atau beberapa server proksi untuk menavigasi ke halaman yang dimaksudkan. Anda mungkin juga memiliki faktor eksternal lain yang memengaruhi kelambatan.

  1. Identifikasi apakah penautan proksi terjadi di lingkungan Anda.
  2. Hapus proksi penerusan jika memungkinkan.

Beberapa aplikasi menggunakan hash nonce selama autentikasi untuk mencegah serangan pemutaran ulang. Secara default, Defender untuk Cloud Apps mengasumsikan bahwa aplikasi menggunakan nonce. Jika aplikasi yang anda kerjakan tidak menggunakan nonce, nonaktifkan nonce-handling untuk aplikasi ini di Defender untuk Cloud Apps:

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps.
  2. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.
  3. Dalam daftar aplikasi, pada baris tempat aplikasi yang Anda konfigurasi muncul, pilih tiga titik di akhir baris, lalu pilih Edit untuk aplikasi Anda.
  4. Pilih Nonce-handling untuk memperluas bagian lalu kosongkan Aktifkan penanganan nonce.
  5. Keluar dari aplikasi dan tutup semua sesi browser.
  6. Mulai ulang browser Anda dan masuk lagi ke aplikasi. Verifikasi bahwa rincian masuk berfungsi seperti yang diharapkan.

Pertimbangan lainnya untuk kondisi jaringan

Saat memecahkan masalah kondisi jaringan, pertimbangkan juga catatan berikut tentang proksi Defender untuk Cloud Apps:

  • Verifikasi apakah sesi Anda sedang dirutekan ke pusat data lain: Defender untuk Cloud Apps menggunakan Azure Data Centers di seluruh dunia untuk mengoptimalkan performa melalui geolokasi.

    Ini berarti bahwa sesi pengguna mungkin dihosting di luar wilayah, tergantung pada pola lalu lintas dan lokasinya. Namun, untuk melindungi privasi Anda, tidak ada data sesi yang disimpan di pusat data ini.

  • Performa proksi: Mendapatkan garis besar performa tergantung pada banyak faktor di luar proksi Defender untuk Cloud Apps, seperti:

    • Proksi atau gateway lain apa yang berada dalam serial dengan proksi ini
    • Dari mana pengguna berasal
    • Tempat sumber daya yang ditargetkan berada
    • Permintaan tertentu di halaman

    Secara umum, proksi apa pun menambahkan latensi. Keuntungan dari proksi aplikasi Defender untuk Cloud adalah:

    • Menggunakan ketersediaan global pengontrol domain Azure untuk melakukan geolokasi pengguna ke simpul terdekat dan mengurangi jarak pulang pergi mereka. Pengontrol domain Azure dapat melakukan geolokasi pada skala yang dimiliki beberapa layanan di seluruh dunia.

    • Menggunakan integrasi dengan Microsoft Entra Conditional Access untuk hanya merutekan sesi yang ingin Anda proksi ke layanan kami, alih-alih semua pengguna dalam semua situasi.

Masalah identifikasi perangkat

Defender untuk Cloud Apps menyediakan opsi berikut untuk mengidentifikasi status manajemen perangkat.

  • Kepatuhan Microsoft Intune
  • Microsoft Entra Domain hibrid bergabung
  • Sertifikat klien

Untuk informasi selengkapnya, lihat Perangkat yang dikelola identitas dengan kontrol aplikasi akses bersyar.

Masalah identifikasi perangkat umum yang mungkin Anda temui meliputi:

Perangkat yang mematuhi Intune yang Salah Identitas atau gabungan hibrid Microsoft Entra

Microsoft Entra Conditional Access memungkinkan informasi perangkat yang bergabung dengan hibrid Intune dan Microsoft Entra untuk diteruskan langsung ke Defender untuk Cloud Apps. Di Defender untuk Cloud Apps, gunakan status perangkat sebagai filter untuk kebijakan akses atau sesi.

Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat di ID Microsoft Entra.

Langkah-langkah yang disarankan

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps.

  2. Di bawah Kontrol Aplikasi Akses Bersyar, pilih Identifikasi perangkat. Halaman ini memperlihatkan opsi identifikasi perangkat yang tersedia di Defender untuk Cloud Apps.

  3. Untuk identifikasi perangkat yang sesuai dengan Intune dan identifikasi gabungan hibrid Microsoft Entra masing-masing, pilih Lihat konfigurasi dan verifikasi bahwa layanan telah disiapkan. Layanan secara otomatis disinkronkan dari ID Microsoft Entra dan Intune masing-masing.

  4. Buat kebijakan akses atau sesi dengan filter Tag Perangkat yang sama dengan Gabungan Hybrid Azure AD, sesuai dengan Intune, atau keduanya.

  5. Di browser, masuk ke perangkat yang bergabung dengan hibrid Microsoft Entra atau sesuai dengan Intune berdasarkan filter kebijakan Anda.

  6. Verifikasi bahwa aktivitas dari perangkat ini mengisi log. Di aplikasi Defender untuk Cloud, pada halaman Log aktivitas, filter pada Tag Perangkat yang sama dengan Gabungan Hybrid Azure AD, Sesuai dengan Intune, atau keduanya berdasarkan filter kebijakan Anda.

  7. Jika aktivitas tidak terisi di log aktivitas Defender untuk Cloud Apps, buka ID Microsoft Entra dan lakukan langkah-langkah berikut:

    1. Di bawah Pemantauan>Masuk, verifikasi bahwa ada aktivitas masuk dalam log.

    2. Pilih entri log yang relevan untuk perangkat yang Anda masuki.

    3. Di panel Rincian, pada tab Info perangkat, memverifikasi bahwa perangkat Dikelola (Gabungan Azure Hibrid AD) atau Sesuai (sesuai dengan Intune).

      Jika Anda tidak dapat memverifikasi salah satu status, coba entri log lain atau pastikan bahwa data perangkat Anda dikonfigurasi dengan benar di ID Microsoft Entra.

    4. Untuk Akses Bersyarat, beberapa browser mungkin memerlukan konfigurasi tambahan seperti menginstal ekstensi. Untuk informasi selengkapnya, lihat Dukungan browser Akses Bersyar.

    5. Jika Anda masih tidak melihat informasi perangkat di halaman Masuk , buka tiket dukungan untuk ID Microsoft Entra.

Sertifikat klien tidak meminta ketika diharapkan

Mekanisme identifikasi perangkat dapat meminta autentikasi dari perangkat yang relevan menggunakan sertifikat klien. Anda dapat mengunggah sertifikat otoritas sertifikat akar atau menengah (CA) X.509, yang diformat dalam format sertifikat PEM.

Sertifikat harus berisi kunci umum CA, yang kemudian digunakan untuk menandatangani sertifikat klien yang disajikan selama sesi. Untuk informasi selengkapnya, lihat Memeriksa manajemen perangkat tanpa Microsoft Entra.

Langkah-langkah yang disarankan

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps.

  2. Di bawah Kontrol Aplikasi Akses Bersyar, pilih Identifikasi perangkat. Halaman ini memperlihatkan opsi identifikasi perangkat yang tersedia dengan aplikasi Defender untuk Cloud.

  3. Verifikasi bahwa Anda mengunggah sertifikat OS akar atau menengah X.509. Anda harus mengunggah sertifikat CA yang digunakan untuk menandatangani otoritas sertifikat Anda.

  4. Buat kebijakan akses atau sesi dengan filter Tag Perangkat sama dengan sertifikat klien Valid.

  5. Pastikan sertifikat klien Anda adalah:

    • Disebarkan menggunakan format file PKCS #12, biasanya ekstensi file .p12 atau .pfx
    • Diinstal di penyimpanan pengguna, bukan penyimpanan perangkat, dari perangkat yang Anda gunakan untuk pengujian

  6. Mulai ulang sesi browser Anda.

  7. Saat masuk ke aplikasi yang dilindungi:

    • Verifikasi bahwa Anda dialihkan ke sintaks URL berikut: <https://*.managed.access-control.cas.ms/aad_login>
    • Jika Anda menggunakan iOS, pastikan Anda menggunakan browser Safari.
    • Jika Anda menggunakan Firefox, Anda juga harus menambahkan sertifikat ke penyimpanan sertifikat Firefox sendiri. Semua browser lain menggunakan penyimpanan sertifikat default yang sama.

  8. Validasi bahwa sertifikat klien diminta di browser Anda.

    Jika tidak muncul, coba browser lain. Sebagian besar browser utama mendukung pemeriksaan sertifikat klien. Namun, aplikasi seluler dan desktop sering menggunakan browser bawaan yang mungkin tidak mendukung pemeriksaan ini dan karenanya memengaruhi autentikasi untuk aplikasi ini.

  9. Verifikasi bahwa aktivitas dari perangkat ini mengisi log. Di Defender untuk Cloud Apps, pada halaman Log aktivitas, tambahkan filter pada Tag Perangkat yang sama dengan sertifikat klien Valid.

  10. Jika Anda masih tidak melihat perintah, buka tiket dukungan dan sertakan informasi berikut:

    • Detail browser atau aplikasi asli tempat Anda mengalami masalah
    • Versi sistem operasi, seperti iOS/Android/Windows 10
    • Sebutkan apakah perintah berfungsi di Microsoft Edge Chromium

Sertifikat klien meminta setiap rincian masuk

Jika Anda mengalami sertifikat klien muncul setelah membuka tab baru, ini mungkin karena pengaturan tersembunyi dalam Opsi Internet. Verifikasi pengaturan Anda di browser Anda. Contohnya:

Di Microsoft Internet Explorer:

  1. Buka Internet Explorer dan pilih >tab Alat Opsi>Internet Tingkat Lanjut.
  2. Di bawah Keamanan, pilih Jangan minta pemilihan Sertifikat Klien saat hanya satu sertifikat yang> ada Pilih Terapkan>OK.
  3. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi tanpa perintah tambahan.

Di Microsoft Edge / Edge Chromium:

  1. Buka pencarian dari bilah tugas dan cari Opsi Internet.
  2. Pilih Opsi>Internet Keamanan>Tingkat Kustom intranet>lokal.
  3. Di bawah Lain-lain>Jangan minta pemilihan Sertifikat Klien saat hanya ada satu sertifikat, pilih Nonaktifkan.
  4. Pilih OK>Terapkan>OK.
  5. Hidupkan ulang browser Anda dan verifikasi bahwa Anda dapat mengakses aplikasi tanpa perintah tambahan.

Pertimbangan lainnya untuk identifikasi perangkat

Saat memecahkan masalah identifikasi perangkat, Anda dapat memerlukan pencabutan sertifikat untuk Sertifikat Klien.

Sertifikat yang dicabut oleh CA tidak lagi dipercaya. Memilih opsi ini mengharuskan semua sertifikat melewati protokol CRL. Jika sertifikat klien Anda tidak berisi titik akhir CRL, Anda tidak dapat tersambung dari perangkat terkelola.

Masalah saat onboarding aplikasi

Anda dapat melakukan onboarding jenis aplikasi berikut untuk kontrol akses dan sesi:

  • Aplikasi katalog: Aplikasi yang dilengkapi dengan kontrol sesi di luar kotak seperti yang ditunjukkan oleh label kontrol Sesi.

  • Aplikasi (kustom) apa pun: Aplikasi lini bisnis kustom (LOB) atau lokal dapat di-onboarding ke kontrol sesi oleh admin.

Contohnya:

Cuplikan layar daftar proksi memperlihatkan katalog dan aplikasi (kustom) apa pun.

Saat melakukan onboarding aplikasi, pastikan Anda telah mengikuti panduan penyebaran proksi dengan hati-hati. Untuk informasi selengkapnya, lihat:

  1. Menyebarkan aplikasi katalog dengan kontrol sesi
  2. Menyebarkan aplikasi LOB kustom, aplikasi SaaS nonfeatured, dan aplikasi lokal yang dihosting melalui proksi aplikasi Microsoft Entra dengan kontrol sesi

Skenario umum yang mungkin Anda temui saat onboarding aplikasi meliputi:

Aplikasi tidak muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyarkat

Saat melakukan onboarding aplikasi ke Kontrol Aplikasi Akses Bersyar, langkah penyebaran akhir adalah meminta pengguna akhir menavigasi ke aplikasi. Lakukan langkah-langkah di bagian ini jika aplikasi tidak muncul seperti yang diharapkan.

Langkah-langkah yang disarankan

  1. Pastikan aplikasi Anda memenuhi prasyarat aplikasi Akses Bersyarat berikut, bergantung pada idP Anda:

    • ID Microsoft Entra:

      1. Pastikan Anda memiliki lisensi yang valid untuk Microsoft Entra ID P1 selain lisensi Defender untuk Cloud Apps.
      2. Pastikan aplikasi menggunakan SAML 2.0 atau protokol Koneksi OpenID.
      3. Pastikan bahwa SSO aplikasi di MICROSOFT Entra ID.

    • Non-Microsoft:

      1. Pastikan Anda memiliki lisensi Defender untuk Cloud Apps yang valid.
      2. Membuat aplikasi duplikat.
      3. Pastikan aplikasi menggunakan protokol SAML.
      4. Validasi bahwa Anda telah sepenuhnya melakukan onboarding aplikasi dan status aplikasi Koneksi.

  2. Dalam kebijakan Microsoft Entra Anda, di bawah Sesi, pastikan bahwa sesi dipaksa untuk merutekan ke aplikasi Defender untuk Cloud. Ini, pada gilirannya, memungkinkan aplikasi muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyar, sebagai berikut:

    • Kontrol Aplikasi Akses Bersyar dipilih.
    • Di menu drop-down kebijakan bawaan, Hanya Monitor yang dipilih

  3. Pastikan untuk menavigasi ke aplikasi di sesi browser baru dengan menggunakan mode penyamaran baru atau dengan masuk lagi.

Status aplikasi: Lanjutkan Penyetelan

Status aplikasi dapat bervariasi, dan dapat menyertakan Lanjutkan Penyiapan, Koneksi, atau Tidak Ada Aktivitas.

Untuk aplikasi yang terhubung melalui penyedia identitas (IdP) non-Microsoft, jika penyiapan belum selesai, saat mengakses aplikasi, Anda akan melihat halaman dengan status Lanjutkan Penyiapan. Gunakan langkah-langkah berikut menyelesaikan penyiapan.

Langkah-langkah yang disarankan

  1. Pilih Lanjutkan Penyetelan.

  2. Buka panduan penyebaran dan verifikasi bahwa Anda telah menyelesaikan semua langkah. Perhatikan catatan berikut:

    1. Pastikan Anda membuat aplikasi SAML kustom baru. Anda memerlukan aplikasi ini untuk mengubah URL dan atribut SAML yang mungkin tidak tersedia di aplikasi galeri.
    2. Jika penyedia identitas Anda tidak mengizinkan penggunaan kembali pengidentifikasi yang sama, juga dikenal sebagai ID Entitas atau Audiens, ubah pengidentifikasi aplikasi asli.

Tidak dapat mengonfigurasi kontrol untuk aplikasi asli

Aplikasi asli dapat dideteksi secara heuristik dan Anda dapat menggunakan kebijakan akses untuk memantau atau memblokirnya. Gunakan langkah-langkah berikut untuk mengonfigurasi kontrol untuk aplikasi asli.

Langkah-langkah yang disarankan

  1. Dalam kebijakan akses, tambahkan filter aplikasi Klien, dan atur sama dengan Seluler dan desktop.

  2. Di bawah Tindakan, pilih Blokir.

  3. Secara opsional, sesuaikan pesan pemblokiran yang didapat pengguna Anda saat mereka tidak dapat mengunduh file. Misalnya, kustomisasi pesan ini ke Anda harus menggunakan browser web untuk mengakses aplikasi ini.

  4. Uji dan validasi bahwa kontrol berfungsi seperti yang diharapkan.

Halaman aplikasi tidak dikenali muncul

Defender untuk Cloud Apps dapat mengenali lebih dari 31.000 aplikasi melalui Katalog Aplikasi Cloud.

Jika Anda menggunakan aplikasi kustom yang dikonfigurasi melalui Microsoft Entra SSO, dan bukan salah satu aplikasi yang didukung, Anda menemukan halaman Aplikasi tidak dikenali . Untuk mengatasi masalah ini, Anda harus mengonfigurasi aplikasi di Kontrol Aplikasi Akses Bersyar.

Langkah-langkah yang disarankan

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.

  2. Di banner, pilih Tampilkan aplikasi baru.

  3. Dalam daftar aplikasi baru, temukan aplikasi yang Anda onboarding, pilih + tanda, lalu pilih Tambahkan.

    1. Pilih apakah aplikasi adalah aplikasi kustom atau standar .
    2. Lanjutkan melalui wizard, pastikan bahwa domain yang ditentukan pengguna yang ditentukan sudah benar untuk aplikasi yang Anda konfigurasi.

  4. Verifikasi bahwa aplikasi muncul di halaman aplikasi Kontrol Aplikasi Akses Bersyar.

Opsi kontrol sesi permintaan muncul

Setelah menambahkan aplikasi, Anda mungkin melihat opsi Minta kontrol sesi. Ini terjadi karena hanya aplikasi katalog yang memiliki kontrol sesi di luar kotak. Untuk aplikasi lain, Anda harus melalui proses onboarding mandiri.

Langkah-langkah yang disarankan

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps.

  2. Di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.

  3. Masukkan nama prinsipal pengguna atau email untuk pengguna yang akan melakukan onboarding aplikasi, lalu pilih Simpan.

  4. Buka aplikasi yang Anda sebarkan. Halaman yang Anda lihat bergantung pada apakah aplikasi dikenali. Lakukan salah satu hal berikut ini, bergantung pada halaman yang Anda lihat:

Pertimbangan lainnya untuk aplikasi onboarding

Saat memecahkan masalah aplikasi onboarding, ingatlah bahwa aplikasi di Kontrol Aplikasi Akses Bersyarah tidak selaras dengan aplikasi Microsoft Entra.

Nama aplikasi di MICROSOFT Entra ID dan Defender untuk Cloud Apps mungkin berbeda berdasarkan cara produk mengidentifikasi aplikasi.

  • Defender untuk Cloud Apps mengidentifikasi aplikasi menggunakan domain aplikasi dan menambahkannya ke katalog aplikasi cloud, di mana kami memiliki lebih dari 31.000 aplikasi. Dalam setiap aplikasi, Anda dapat melihat atau menambahkan ke subset domain.

  • Sebaliknya, ID Microsoft Entra mengidentifikasi aplikasi menggunakan perwakilan layanan. Untuk informasi selengkapnya, lihat objek perwakilan aplikasi dan layanan di ID Microsoft Entra.

Dalam praktiknya, perbedaan ini berarti bahwa memilih SharePoint Online di MICROSOFT Entra ID setara dengan memilih aplikasi, seperti Word Online dan Teams, di aplikasi Defender untuk Cloud karena semua aplikasi menggunakan sharepoint.com domain.

Masalah saat membuat kebijakan akses dan sesi

Defender untuk Cloud Apps menyediakan kebijakan yang dapat dikonfigurasi berikut:

  • Kebijakan akses: Digunakan untuk memantau atau memblokir akses ke browser, seluler, dan/atau aplikasi desktop.
  • Kebijakan sesi. Digunakan untuk memantau, memblokir, dan melakukan tindakan tertentu untuk mencegah skenario infiltrasi dan eksfiltrasi data di browser.

Untuk menggunakan kebijakan ini di Defender untuk Cloud Apps, Anda harus terlebih dahulu mengonfigurasi kebijakan di Microsoft Entra Conditional Access untuk memperluas kontrol sesi:

  1. Dalam kebijakan Microsoft Entra, di bawah Kontrol akses, pilih Sesi>Gunakan Kontrol Aplikasi Akses Bersyar.

  2. Pilih kebijakan bawaan (Hanya pantau atau Blokir unduhan) atau Gunakan kebijakan kustom untuk menetapkan kebijakan tingkat lanjut di Defender untuk Cloud Apps.

  3. Pilih tombol Pilih untuk melanjutkan.

Skenario umum yang mungkin Anda temui saat mengonfigurasi kebijakan ini meliputi:

Dalam kebijakan Akses Bersyar, Anda tidak dapat melihat opsi Kontrol Aplikasi Akses Bersyar

Untuk merutekan sesi ke aplikasi Defender untuk Cloud, kebijakan Akses Bersyar Microsoft Entra harus dikonfigurasi untuk menyertakan kontrol sesi Kontrol Aplikasi Akses Bersyar.

Langkah-langkah yang disarankan

Jika Anda tidak melihat opsi Kontrol Aplikasi Akses Bersyarah dalam kebijakan Akses Bersyar, pastikan Anda memiliki lisensi yang valid untuk Microsoft Entra ID P1 dan lisensi aplikasi Defender untuk Cloud yang valid.

Pesan kesalahan saat membuat kebijakan: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan Kontrol Aplikasi Akses Bersyarah

Saat membuat kebijakan akses atau sesi, Anda mungkin melihat pesan kesalahan berikut: Anda tidak memiliki aplikasi apa pun yang disebarkan dengan Kontrol Aplikasi Akses Bersyar. Kesalahan ini menunjukkan bahwa aplikasi belum disebarkan.

Langkah-langkah yang disarankan

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps. Di bawah aplikasi yang Koneksi, pilih Aplikasi Kontrol Aplikasi Akses Bersyar.

  2. Jika Anda melihat pesan Tidak ada aplikasi yang tersambung, gunakan panduan berikut untuk menyebarkan aplikasi:

Jika Anda mengalami masalah saat menyebarkan aplikasi, lihat Masalah saat onboarding aplikasi.

Tidak dapat membuat kebijakan sesi untuk aplikasi

Setelah menambahkan aplikasi kustom, di halaman aplikasi Kontrol Aplikasi Akses Bersyar, Anda mungkin melihat opsi: Meminta kontrol sesi.

Catatan

Aplikasi katalog memiliki kontrol sesi di luar kotak. Untuk aplikasi lain, Anda harus melalui proses onboarding mandiri. Untuk informasi selengkapnya, lihat Aplikasi yang telah di-onboarding sebelumnya.

Langkah-langkah yang disarankan

  1. Sebarkan aplikasi Anda ke kontrol sesi. Untuk informasi selengkapnya, lihat Menyebarkan aplikasi lini bisnis kustom, aplikasi SaaS nonfeatured, dan aplikasi lokal yang dihosting melalui proksi aplikasi Microsoft Entra dengan kontrol sesi.

  2. Buat kebijakan sesi dan pilih Filter aplikasi.

  3. Pastikan aplikasi Anda sekarang tercantum di daftar dropdown.

Tidak dapat memilih Metode Inspeksi: Layanan Klasifikasi Data

Dalam kebijakan sesi, saat menggunakan jenis kontrol sesi unduhan file Kontrol (dengan inspeksi), Anda dapat menggunakan metode inspeksi Layanan Klasifikasi Data untuk memindai file Anda secara real time dan mendeteksi konten sensitif yang cocok dengan salah satu kriteria yang telah Anda konfigurasi.

Jika metode inspeksi Layanan Klasifikasi Data tidak tersedia, gunakan langkah-langkah berikut untuk menyelidiki masalah tersebut.

Langkah-langkah yang disarankan

  1. Verifikasi bahwa jenis kontrol Sesi diatur ke Kontrol unduhan file (dengan inspeksi).

    Catatan

    Metode inspeksi Layanan Klasifikasi Data hanya tersedia untuk opsi Unduh file kontrol (dengan inspeksi).

  2. Tentukan apakah fitur Layanan Klasifikasi Data tersedia di wilayah Anda:

    • Jika fitur tidak tersedia di wilayah Anda, gunakan metode inspeksi DLP bawaan.
    • Jika fitur tersedia di wilayah Anda tetapi Anda masih tidak dapat melihat metode inspeksi Layanan Klasifikasi Data, buka tiket dukungan.

Tidak dapat memilih Tindakan: Lindungi

Dalam kebijakan sesi, saat menggunakan jenis kontrol sesi Pengunduhan file kontrol (dengan inspeksi), selain tindakan Pantau dan Blokir, Anda dapat menentukan tindakan Lindungi. Tindakan ini memungkinkan Anda mengizinkan pengunduhan file dengan opsi untuk mengenkripsi atau menerapkan izin ke file berdasarkan kondisi, inspeksi konten, atau keduanya.

Jika tindakan Lindungi tidak tersedia, gunakan langkah-langkah berikut untuk menyelidiki masalah.

Langkah-langkah yang disarankan

  1. Jika tindakan Lindungi tidak tersedia atau berwarna abu-abu, verifikasi bahwa Anda memiliki lisensi Microsoft Purview. Untuk informasi selengkapnya, lihat integrasi Perlindungan Informasi Microsoft Purview.

  2. Jika tindakan Lindungi tersedia, tetapi tidak melihat label yang sesuai.

    1. Di Defender untuk Cloud Apps, di bilah menu, pilih ikon >pengaturan Microsoft Information Protection, dan verifikasi bahwa integrasi diaktifkan.

    2. Untuk label Office, di portal Microsoft Purview, pastikan Pelabelan Terpadu dipilih.

Pertimbangan lainnya untuk aplikasi onboarding

Saat memecahkan masalah untuk aplikasi onboarding, ada beberapa hal tambahan yang perlu dipertimbangkan.

  • Pahami perbedaan antara pengaturan kebijakan Microsoft Entra Conditional Access: "Pantau saja", "Blokir unduhan", dan "Gunakan kebijakan kustom"

    Dalam kebijakan Akses Bersyar Microsoft Entra, Anda dapat mengonfigurasi kontrol aplikasi Defender untuk Cloud bawaan berikut: Memantau saja dan Memblokir unduhan. Pengaturan ini menerapkan dan menerapkan fitur proksi aplikasi Defender untuk Cloud untuk aplikasi cloud dan kondisi yang dikonfigurasi di ID Microsoft Entra.

    Untuk kebijakan yang lebih kompleks, pilih Gunakan kebijakan kustom, yang memungkinkan Anda mengonfigurasi kebijakan akses dan sesi di aplikasi Defender untuk Cloud.

  • Memahami opsi filter aplikasi klien "Seluler dan desktop" dalam kebijakan akses

    Dalam kebijakan akses aplikasi Defender untuk Cloud, kecuali filter aplikasi Klien diatur ke Seluler dan desktop, kebijakan akses yang dihasilkan berlaku untuk sesi browser.

    Alasan untuk ini adalah untuk mencegah secara tidak sengaja memproksi sesi pengguna, yang mungkin merupakan produk sampingan menggunakan filter ini.

Mendiagnosis dan memecahkan masalah dengan toolbar Tampilan Admin

Toolbar Tampilan Admin berada di bagian bawah layar Anda dan menyediakan alat bagi pengguna admin untuk mendiagnosis dan memecahkan masalah dengan Kontrol Aplikasi Akses Bersyar.

Untuk melihat toolbar Tampilan Admin, Anda harus memastikan untuk menambahkan akun pengguna admin tertentu ke daftar Onboarding/pemeliharaan Aplikasi di pengaturan Microsoft Defender XDR.

Untuk menambahkan pengguna ke daftar onboarding /pemeliharaan Aplikasi:

  1. Di Microsoft Defender XDR, pilih Pengaturan> Cloud Apps.

  2. Gulir ke bawah, dan di bawah Kontrol Aplikasi Akses Bersyar, pilih Onboarding/pemeliharaan aplikasi.

  3. Masukkan nama utama atau alamat email untuk pengguna admin yang ingin Anda tambahkan.

  4. Pilih opsi Aktifkan pengguna ini untuk melewati Kontrol Aplikasi Akses Bersyar dari dalam sesi yang diproksi, lalu pilih Simpan.

    Contohnya:

    Cuplikan layar pengaturan onboarding /pemeliharaan Aplikasi.

Saat berikutnya salah satu pengguna yang terdaftar memulai sesi baru di aplikasi yang didukung di mana mereka adalah admin, toolbar Tampilan Admin ditampilkan di bagian bawah browser.

Misalnya, gambar berikut ini memperlihatkan toolbar Tampilan Admin yang diperlihatkan di bagian bawah jendela browser, saat menggunakan OneNote di browser:

Cuplikan layar toolbar Tampilan Admin.

Bagian berikut ini menjelaskan cara menggunakan toolbar Tampilan Admin untuk menguji dan memecahkan masalah.

Mode pengujian

Sebagai pengguna admin, Anda mungkin ingin menguji perbaikan bug proksi yang akan datang sebelum rilis terbaru sepenuhnya diluncurkan ke semua penyewa. Berikan umpan balik Anda tentang perbaikan bug ke tim dukungan Microsoft untuk membantu mempercepat siklus rilis.

Saat dalam mode pengujian, hanya pengguna admin yang terkena perubahan apa pun yang disediakan dalam perbaikan bug. Tidak ada efek pada pengguna lain.

  • Untuk mengaktifkan mode pengujian, di toolbar Tampilan Admin, pilih Mode Uji.
  • Setelah selesai menguji, pilih Akhiri Mode Pengujian untuk kembali ke fungsionalitas reguler.

Melewati sesi proksi

Jika Anda mengalami kesulitan mengakses atau memuat aplikasi, Anda mungkin ingin memverifikasi apakah masalahnya adalah dengan proksi akses bersyarah dengan menjalankan aplikasi tanpa proksi.

Untuk melewati proksi, di toolbar Tampilan Admin, pilih Lewati pengalaman. Konfirmasikan bahwa sesi dilewati dengan mencatat bahwa URL tidak ditangguhkan.

Proksi akses bersyarah digunakan lagi di sesi Berikutnya.

Untuk informasi selengkapnya, lihat kontrol aplikasi akses bersrat Microsoft Defender untuk Cloud Apps dan Perlindungan dalam browser dengan Microsoft Edge for Business (Pratinjau).

Merekam sesi

Anda mungkin ingin membantu analisis akar penyebab masalah dengan mengirim rekaman sesi ke teknisi dukungan Microsoft. Gunakan toolbar Tampilan Admin untuk merekam sesi Anda.

Catatan

Semua data pribadi dihapus dari rekaman.

Untuk merekam sesi:

  1. Di toolbar Tampilan Admin, pilih Rekam sesi. Saat diminta, pilih Lanjutkan untuk menerima persyaratan. Contohnya:

    Cuplikan layar dialog pernyataan privasi perekaman sesi.

  2. Masuk ke aplikasi Anda jika diperlukan untuk mulai mensimulasikan sesi.

  3. Saat Anda selesai merekam skenario, pastikan untuk memilih Hentikan perekaman di toolbar Tampilan Admin.

Untuk melihat sesi yang direkam:

Setelah Anda selesai merekam, lihat sesi yang direkam dengan memilih Rekaman sesi dari toolbar Tampilan Admin. Daftar sesi yang direkam dari 48 jam sebelumnya muncul. Contohnya:

Cuplikan layar rekaman sesi.

Untuk mengelola rekaman Anda, pilih file lalu pilih Hapus atau Unduh sesuai kebutuhan. Contohnya:

Cuplikan layar mengunduh atau menghapus rekaman.

Langkah berikutnya

Untuk informasi selengkapnya, lihat Pemecahan masalah akses dan kontrol sesi untuk pengguna akhir.