Apps beveiligen met App-beheer voor voorwaardelijke toegang van Microsoft Defender for Cloud Apps

Notitie

  • De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermopnamen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie de Microsoft Ignite Security-blog voor meer informatie over de recente naamswijziging van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender services toe. Microsoft 365 Defender is de basis voor het bewaken en beheren van de beveiliging van uw Microsoft-identiteiten, -gegevens, -apparaten, -apps en -infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

In de huidige werkplek is het vaak niet voldoende om achteraf te weten wat er in uw cloudomgeving gebeurt. U wilt schendingen en lekken in realtime stoppen, voordat werknemers opzettelijk of per ongeluk uw gegevens en uw organisatie in gevaar brengen. Het is belangrijk om gebruikers in uw organisatie in staat te stellen optimaal gebruik te maken van de services en hulpprogramma's die beschikbaar zijn in cloud-apps en hen hun eigen apparaten mee te laten nemen naar hun werk. Tegelijkertijd hebt u hulpprogramma's nodig om uw organisatie in realtime te beschermen tegen gegevenslekken en gegevensdiefstal. Microsoft Defender for Cloud Apps integreert met elke id-provider (IdP) om deze mogelijkheden te bieden met toegangs- en sessiebeheer. Als u Azure Active Directory (Azure AD) als uw IdP gebruikt, worden deze besturingselementen geïntegreerd en gestroomlijnd voor een eenvoudigere en meer op maat gemaakte implementatie die is gebaseerd op het hulpprogramma voor voorwaardelijke toegang van Azure AD.

Notitie

  • Naast een geldige licentie voor Defender voor Cloud-apps hebt u ook een Azure Active Directory P1-licentie of de licentie nodig die is vereist voor uw IdP-oplossing om voorwaardelijke toegang tot Defender for Cloud Apps te gebruiken.

Uitleg

App-beheer voor voorwaardelijke toegang maakt gebruik van een omgekeerde proxyarchitectuur en kan worden geïntegreerd met uw IdP. Wanneer u integreert met Azure AD voorwaardelijke toegang, kunt u apps configureren om met slechts een paar klikken te werken met app-beheer voor voorwaardelijke toegang, zodat u eenvoudig en selectief toegangs- en sessiebeheer kunt afdwingen voor de apps van uw organisatie op basis van een voorwaarde in voorwaardelijke toegang. De voorwaarden bepalen op wie (gebruiker of groep gebruikers) en op welke (welke cloud-apps) en waar (welke locaties en netwerken) beleid voor voorwaardelijke toegang wordt toegepast. Nadat u de voorwaarden hebt bepaald, kunt u gebruikers doorsturen naar Defender voor Cloud-apps, waar u gegevens kunt beveiligen met App-beheer voor voorwaardelijke toegang door toegangs- en sessiebesturingselementen toe te passen.

Met app-beheer voor voorwaardelijke toegang kunnen gebruikers-app-toegang en -sessies in realtime worden bewaakt en beheerd op basis van toegangs- en sessiebeleidsregels. Toegangs- en sessiebeleid wordt gebruikt in de Defender for Cloud Apps-portal om filters verder te verfijnen en acties in te stellen die op een gebruiker moeten worden uitgevoerd. Met het toegangs- en sessiebeleid kunt u het volgende doen:

  • Gegevensexfiltratie voorkomen: u kunt het downloaden, knippen, kopiëren en afdrukken van gevoelige documenten op bijvoorbeeld onbeheerde apparaten blokkeren.

  • Verificatiecontext vereisen: u kunt Azure AD beleid voor voorwaardelijke toegang opnieuw geëvalueerd wanneer er een gevoelige actie plaatsvindt in de sessie. U kunt bijvoorbeeld meervoudige verificatie vereisen bij het downloaden van een zeer vertrouwelijk bestand.

  • Beveiligen bij downloaden: in plaats van het downloaden van gevoelige documenten te blokkeren, kunt u vereisen dat documenten worden gelabeld en versleuteld wanneer u integreert met Microsoft Purview Informatiebeveiliging. Deze actie zorgt ervoor dat het document wordt beveiligd en de gebruikerstoegang wordt beperkt in een mogelijk riskante sessie.

  • Uploaden van niet-gelabelde bestanden voorkomen: voordat een gevoelig bestand wordt geüpload, gedistribueerd en gebruikt door anderen, is het belangrijk om ervoor te zorgen dat het gevoelige bestand het label heeft dat is gedefinieerd door het beleid van uw organisatie. U kunt ervoor zorgen dat niet-gelabelde bestanden met gevoelige inhoud niet kunnen worden geüpload totdat de gebruiker de inhoud classificeert.

  • Potentiële malware blokkeren: u kunt uw omgeving beschermen tegen malware door het uploaden van mogelijk schadelijke bestanden te blokkeren. Elk bestand dat wordt geüpload of gedownload, kan worden gescand op bedreigingsinformatie van Microsoft en onmiddellijk worden geblokkeerd.

  • Gebruikerssessies controleren op naleving: Riskante gebruikers worden bewaakt wanneer ze zich aanmelden bij apps en hun acties worden geregistreerd vanuit de sessie. U kunt het gedrag van gebruikers onderzoeken en analyseren om te begrijpen waar en onder welke voorwaarden sessiebeleid in de toekomst moet worden toegepast.

  • Toegang blokkeren: U kunt de toegang voor specifieke apps en gebruikers gedetailleerd blokkeren, afhankelijk van verschillende risicofactoren. U kunt ze bijvoorbeeld blokkeren als ze clientcertificaten gebruiken als een vorm van apparaatbeheer.

  • Aangepaste activiteiten blokkeren: sommige apps hebben unieke scenario's die risico's met zich meebrengen, bijvoorbeeld het verzenden van berichten met gevoelige inhoud in apps zoals Microsoft Teams of Slack. In dit soort scenario's kunt u berichten scannen op gevoelige inhoud en deze in realtime blokkeren.

Hoe sessiebeheer werkt

Als u een sessiebeleid maakt met app-beheer voor voorwaardelijke toegang, kunt u gebruikerssessies beheren door de gebruiker om te leiden via een omgekeerde proxy in plaats van rechtstreeks naar de app. Vanaf dat jaar gaan aanvragen en antwoorden van gebruikers via Defender for Cloud-apps in plaats van rechtstreeks naar de app.

Wanneer een sessie wordt beveiligd door een proxy, worden alle relevante URL's en cookies vervangen door Defender for Cloud Apps. Als de app bijvoorbeeld een pagina retourneert met koppelingen waarvan de domeinen eindigen op myapp.com, wordt het domein van de koppeling als volgt achtervoegsel weergegeven met iets als *.mcas.ms:

App-URL Vervangen URL
myapp.com myapp.com.mcas.ms

Voor deze methode hoeft u niets op het apparaat te installeren, wat ideaal is bij het bewaken of beheren van sessies van onbeheerde apparaten of partnergebruikers.

Notitie

  • Onze technologie maakt gebruik van de best-in-class gepatenteerde heuristiek om activiteiten te identificeren en te controleren die door de gebruiker in de doel-app worden uitgevoerd. Onze heuristieken zijn ontworpen om beveiliging te optimaliseren en te combineren met bruikbaarheid. In sommige zeldzame scenario's, wanneer blokkerende activiteiten aan de serverzijde de app onbruikbaar maken, beveiligen we deze activiteiten alleen aan de clientzijde, waardoor ze mogelijk vatbaar zijn voor misbruik door kwaadwillende insiders.
  • Defender for Cloud Apps maakt gebruik van Azure-datacenters over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. Dit betekent dat de sessie van een gebruiker mogelijk buiten een bepaalde regio wordt gehost, afhankelijk van de verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.
  • Onze proxyservers slaan geen data-at-rest op. Bij het opslaan van inhoud in de cache volgen we de vereisten die zijn vastgelegd in RFC 7234 (HTTP-caching) en alleen openbare inhoud in de cache.

Identificatie van beheerde apparaten

Met App-beheer voor voorwaardelijke toegang kunt u beleid maken dat er rekening mee houdt of een apparaat wordt beheerd of niet. Als u de status van een apparaat wilt identificeren, kunt u toegangs- en sessiebeleid configureren om te controleren op:

  • apparaten die compatibel zijn met Microsoft Intune [alleen beschikbaar met Azure AD]
  • Hybride Azure AD-gekoppelde apparaten [alleen beschikbaar met Azure AD]
  • Aanwezigheid van clientcertificaten in een vertrouwde keten

Intune compatibele en hybride Azure AD gekoppelde apparaten

met Azure AD voorwaardelijke toegang kunnen Intune compatibele en hybride Azure AD gekoppelde apparaatgegevens rechtstreeks worden doorgegeven aan Defender voor Cloud-apps. Van daaruit kan een toegangsbeleid of sessiebeleid worden ontwikkeld dat de apparaatstatus als filter gebruikt. Zie Inleiding tot apparaatbeheer in Azure Active Directory voor meer informatie.

Notitie

Voor sommige browsers is mogelijk aanvullende configuratie vereist, zoals het installeren van een extensie. Zie Browserondersteuning voor voorwaardelijke toegang voor meer informatie.

Geverifieerde apparaten met clientcertificaten

Het apparaatidentificatiemechanisme kan verificatie aanvragen bij relevante apparaten met behulp van clientcertificaten. U kunt bestaande clientcertificaten gebruiken die al in uw organisatie zijn geïmplementeerd of nieuwe clientcertificaten implementeren op beheerde apparaten. Zorg ervoor dat het clientcertificaat is geïnstalleerd in het gebruikersarchief en niet in het computerarchief. Vervolgens gebruikt u de aanwezigheid van deze certificaten om toegangs- en sessiebeleid in te stellen.

SSL-clientcertificaten worden geverifieerd via een vertrouwensketen. U kunt een X.509-basis- of tussenliggende certificeringsinstantie (CA) uploaden die is opgemaakt in de PEM-certificaatindeling. Deze certificaten moeten de openbare sleutel van de CA bevatten, die vervolgens wordt gebruikt om de clientcertificaten te ondertekenen die tijdens een sessie worden gepresenteerd.

Zodra het certificaat is geüpload en een relevant beleid is geconfigureerd, vraagt het Defender for Cloud Apps-eindpunt de browser om de SSL-clientcertificaten te presenteren wanneer een toepasselijke sessie app-beheer voor voorwaardelijke toegang doorkruist. De browser dient de SSL-clientcertificaten die zijn geïnstalleerd met een persoonlijke sleutel. Deze combinatie van certificaat en persoonlijke sleutel wordt uitgevoerd met behulp van de PKCS #12-bestandsindeling, meestal .p12 of .pfx.

Wanneer een clientcertificaatcontrole wordt uitgevoerd, controleert Defender for Cloud Apps op de volgende voorwaarden:

  1. Het geselecteerde clientcertificaat is geldig en bevindt zich onder de juiste basis- of tussenliggende CA.
  2. Het certificaat wordt niet ingetrokken (als CRL is ingeschakeld).

Notitie

De meeste belangrijke browsers ondersteunen het uitvoeren van een clientcertificaatcontrole. Mobiele en desktop-apps maken echter vaak gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen en daarom van invloed zijn op de verificatie voor deze apps.

Een beleid configureren om gebruik te maken van apparaatbeheer via clientcertificaten:

  1. Selecteer in Defender for Cloud Apps in de menubalk het tandwiel instellingenpictogram instellingen. en selecteer Instellingen.

  2. Selecteer het tabblad Apparaatidentificatie .

  3. Upload zoveel basis- of tussencertificaten als u nodig hebt.

    Tip

    Als u wilt testen hoe dit werkt, kunt u ons voorbeeld van de basis-CA en het clientcertificaat als volgt gebruiken:

    1. Download het voorbeeld van de basis-CA en het clientcertificaat.
    2. Upload de basis-CA naar Defender for Cloud Apps.
    3. Installeer het clientcertificaat (wachtwoord=Microsoft) op de relevante apparaten.

Nadat de certificaten zijn geüpload, kunt u toegangs- en sessiebeleid maken op basis van apparaattag en geldig clientcertificaat.

Ondersteunde apps en clients

Sessie- en toegangsbeheer kan worden toegepast op elke interactieve eenmalige aanmelding, met behulp van het SAML 2.0-verificatieprotocol of, als u Azure AD gebruikt, ook het Open ID Connect-verificatieprotocol. Als uw apps zijn geconfigureerd met Azure AD, kunt u deze besturingselementen ook toepassen op apps die on-premises worden gehost en die zijn geconfigureerd met de Azure AD-app-proxy. Bovendien kunnen toegangsbeheer worden toegepast op systeemeigen mobiele en desktopclient-apps.

Defender for Cloud Apps identificeert apps met behulp van informatie die beschikbaar is in de cloud-app-catalogus. Sommige organisaties en gebruikers passen apps aan door invoegtoepassingen toe te voegen. Om ervoor te zorgen dat sessiebesturingselementen correct werken met deze invoegtoepassingen, moeten de gekoppelde aangepaste domeinen worden toegevoegd aan de respectieve app in de catalogus.

Notitie

De Verificator-app maakt, naast andere systeemeigen aanmeldingsstromen voor client-apps, gebruik van een niet-interactieve aanmeldingsstroom, en kan niet worden gebruikt met besturingselementen voor toegang.

Besturingselementen voor toegang

Veel organisaties die ervoor kiezen om sessiebesturingselementen voor cloud-apps te gebruiken om activiteiten in sessies te beheren, passen ook toegangsbeheer toe om dezelfde set systeemeigen mobiele en desktopclient-apps te blokkeren, waardoor uitgebreide beveiliging voor de apps wordt geboden.

U kunt de toegang tot systeemeigen mobiele en desktopclient-apps blokkeren met toegangsbeleid door het filter Client-app in te stellen op Mobiel en bureaublad. Sommige systeemeigen client-apps kunnen afzonderlijk worden herkend, terwijl andere apps die deel uitmaken van een suite met apps alleen kunnen worden geïdentificeerd als hun app op het hoogste niveau. Apps zoals SharePoint Online kunnen bijvoorbeeld alleen worden herkend door een toegangsbeleid te maken dat is toegepast op Office 365-apps.

Notitie

Tenzij het filter client-app specifiek is ingesteld op Mobiel en bureaublad, is het resulterende toegangsbeleid alleen van toepassing op browsersessies. De reden hiervoor is om onbedoeld proxy-gebruikerssessies te voorkomen. Dit kan een bijproduct zijn van het gebruik van dit filter. Hoewel de meeste grote browsers ondersteuning bieden voor het uitvoeren van een clientcertificaatcontrole, gebruiken sommige mobiele en desktop-apps ingebouwde browsers die deze controle mogelijk niet ondersteunen. Daarom kan het gebruik van dit filter van invloed zijn op de verificatie voor deze apps.

Besturingselementen voor sessie

Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we Microsoft Edge (nieuwste), Google Chrome (meest recente), Mozilla Firefox (nieuwste) of Apple Safari (meest recente). Toegang tot mobiele apps en desktop-apps kan ook worden geblokkeerd of toegestaan.

Notitie

  • Defender for Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om de beste versleuteling te bieden. Systeemeigen client-apps en browsers die geen ondersteuning bieden voor TLS 1.2+, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer. SaaS-apps die tls 1.1 of lager gebruiken, worden echter in de browser weergegeven als tls 1.2+ wanneer ze zijn geconfigureerd met Defender for Cloud Apps.
  • Als u sessiebesturingselementen wilt toepassen op portal.office.com, moet u Microsoft 365-beheercentrum onboarden. Zie App-beheer voor voorwaardelijke toegang onboarden en implementeren voor elke app voor meer informatie over het onboarden van apps.

Vooraf onboarded apps

Voor elke web-app die is geconfigureerd met behulp van de eerder genoemde verificatieprotocollen , kan onboarding worden uitgevoerd om te werken met toegangs- en sessiebeheer. Bovendien zijn de volgende apps al onboarded met zowel toegangs- als sessiebesturingselementen voor Azure Access Directory.

Notitie

Het is vereist om de gewenste toepassingen te routeren voor toegang tot en sessiebesturingselementen, en om een eerste aanmelding uit te voeren.

  • AWS
  • Box
  • Concur
  • CornerStone op aanvraag
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Microsoft Azure-portal
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive voor Bedrijven
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • SalesForce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Workplace van Meta

Als u geïnteresseerd bent in een specifieke app die vooraf wordt voorbereid, stuurt u ons details over de app. Zorg ervoor dat u de use case verzendt waarin u geïnteresseerd bent voor onboarding.

Bekende beperkingen

  • Proxy kan worden overgeslagen met behulp van ingesloten sessietoken
    Het is mogelijk om de proxy te omzeilen in gevallen waarin de toepassing zelf het token insluit in de koppelingen. Een eindgebruiker kan de koppeling kopiëren en in dat geval rechtstreeks toegang krijgen tot de resource.

  • Beleid voor kopiëren/knippen kan worden overgeslagen met hulpprogramma's voor ontwikkelaars
    Het is mogelijk om het gedefinieerde beleid voor kopiëren/knippen te omzeilen met behulp van de hulpprogramma's voor browserontwikkelaars. In een beleid dat het kopiëren van inhoud uit Microsoft Word voorkomt, is het bijvoorbeeld mogelijk om de inhoud te bekijken met behulp van ontwikkelhulpprogramma's, de inhoud daar te kopiëren en vervolgens de proxy te omzeilen.

  • Proxy kan worden overgeslagen door een parameterwijziging
    Het is mogelijk om het gedefinieerde sessiebeleid te omzeilen door parameters te wijzigen. Het is bijvoorbeeld mogelijk om de URL-parameters te wijzigen en de service te misleiden op een manier die de proxy omzeilt en het downloaden van een gevoelig bestand mogelijk maakt.

  • Beperking van browserinvoegtoepassing
    Onze huidige oplossing voor het afdwingen van sessiebeperkingen voor app-beheer voor voorwaardelijke toegang biedt geen ondersteuning voor systeemeigen toepassingen, omdat hiervoor enige wijziging van de onderliggende toepassingscode vereist is. Browserextensies, vergelijkbaar met systeemeigen apps, zijn vooraf geïnstalleerd in de browser en staan ons dus niet toe om hun code naar behoefte te wijzigen en worden verbroken wanneer hun tokens worden omgeleid via onze proxyoplossing. Als beheerder kunt u het standaardsysteemgedrag definiëren wanneer een beleid niet kan worden afgedwongen en kiezen tussen het toestaan of volledig blokkeren van toegang.

  • Contextverlies
    In de volgende toepassingen zijn we scenario's tegengekomen waarbij het navigeren naar een koppeling kan leiden tot het verlies van het volledige pad van de koppeling en meestal komt de gebruiker op de startpagina van de app terecht.

    • ArcGIS
    • GitHub
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
    • Workplace van Meta
  • Sessiebeleidsregels zijn geldig voor bestanden met een grootte van maximaal 50 MB
    Bestanden met een grootte van maximaal 50 MB zijn onderhevig aan sessiebeleid. Een beheerder kan bijvoorbeeld een van de volgende sessiebeleidsregels definiëren:

    • Bestandsdownloads voor OneDrive-app controleren
    • Uploaden van bestanden blokkeren
    • Downloaden/uploaden van malwarebestanden blokkeren

    Een bestand van maximaal 50 MB wordt verwerkt op basis van het sessiebeleid in dat geval. Voor een groter bestand bepalen tenantinstellingen (Instellingen > app-beheer > standaardgedrag) of het bestand is toegestaan of geblokkeerd, ongeacht het overeenkomende beleid.

  • Inspectiebeleid voor gegevensbeveiliging is geldig voor bestanden met een grootte van maximaal 30 MB en 1 miljoen tekens
    Wanneer een sessiebeleid wordt toegepast om uploads of downloads van bestanden te blokkeren op basis van inhoudsinspectie van gegevensbeveiliging, wordt inspectie uitgevoerd op bestanden die kleiner zijn dan 30 MB en kleiner dan 1 miljoen tekens. Een beheerder kan bijvoorbeeld een van de volgende sessiebeleidsregels definiëren:

    • Uploaden van bestanden blokkeren voor bestanden met SSN (Social Security Number)
    • Bestand downloaden beveiligen voor bestanden die PHI bevatten (Protected Health Information)
    • Het downloaden van bestanden blokkeren voor met het vertrouwelijkheidslabel 'zeer gevoelig'

    In dergelijke gevallen worden bestanden die groter zijn dan 30 MB of 1 miljoen tekens niet gescand en worden ze behandeld volgens de beleidsinstelling Altijd de geselecteerde actie toepassen, zelfs als de gegevens niet kunnen worden gescand. Hier volgen enkele voorbeelden:

    • een TXT-bestand, een grootte van 1 MB en 1 miljoen tekens: wordt gescand
    • een TXT-bestand, 2 MB grootte en 2 miljoen tekens: wordt niet gescand
    • een Word-bestand dat bestaat uit afbeeldingen en tekst, 4 MB en 400 K tekens: wordt gescand
    • een Word-bestand dat bestaat uit afbeeldingen en tekst, 4 MB en 2 miljoen tekens: wordt niet gescand
    • een Word-bestand dat bestaat uit afbeeldingen en tekst, 40 MB en 400 K tekens: wordt niet gescand
  • Beperking voor het uploaden van bestanden

    Als een sessiebeleid wordt toegepast om het uploaden van gevoelige bestanden te blokkeren, wordt in deze scenario's de volledige lijst met bestanden en mappen geblokkeerd door de gebruiker om bestanden of mappen te uploaden met behulp van slepen&:

    • een map met 100 of meer bestanden

    • een map die ten minste één bestand en ten minste één submap bevat

    • een map met meerdere submappen

    • een selectie van ten minste één bestand en ten minste één map

    • een selectie van meerdere mappen

      Enkele voorbeelden:

    De beveiligingsbeheerder definieert het volgende beleid: Uploaden van bestanden met PII naar OneDrive blokkeren.

    • De gebruiker probeert een selectie van 200 niet-gevoelige bestanden te uploaden via het dialoogvenster voor het uploaden van bestanden. Resultaat: de bestanden worden geüpload
    • De gebruiker probeert een selectie van 200 niet-gevoelige bestanden te uploaden met behulp van slepen & . Resultaat: de bestanden worden geblokkeerd
    • De gebruiker probeert een selectie van 200 bestanden te uploaden, sommige zijn gevoelig en sommige niet, met behulp van het dialoogvenster voor het uploaden van bestanden. Resultaat: de niet-gevoelige bestanden worden geüpload, de gevoelige bestanden worden geblokkeerd
    • De gebruiker probeert een selectie van 200 bestanden te uploaden, sommige zijn gevoelig en sommige niet, met behulp van slepen neerzetten & . Resultaat: de hele set bestanden wordt geblokkeerd

Volgende stappen

Zie het juiste document hieronder voor instructies over het onboarden van uw apps:

Als u problemen ondervindt, zijn we er om u te helpen. Als u hulp of ondersteuning wilt krijgen voor uw productprobleem, opent u een ondersteuningsticket.