Problemen met toegangs- en sessiebesturingselementen voor beheerdersgebruikers oplossen

  • Artikel

Dit artikel bevat Microsoft Defender voor Cloud Apps-beheerders richtlijnen voor het onderzoeken en oplossen van veelvoorkomende problemen met toegangs- en sessiebeheer, zoals ervaren door beheerders.

Notitie

Eventuele probleemoplossing met betrekking tot proxyfunctionaliteit is alleen relevant voor sessies die niet zijn geconfigureerd voor in-browserbeveiliging met Microsoft Edge.

Minimale vereisten controleren

Voordat u begint met het oplossen van problemen, moet u ervoor zorgen dat uw omgeving voldoet aan de volgende minimale algemene vereisten voor toegangs- en sessiebeheer.

Vereiste Beschrijving
Licenties Zorg ervoor dat u een geldige licentie hebt voor Microsoft Defender voor Cloud Apps.
Eenmalige aanmelding (SSO) Apps moeten worden geconfigureerd met een van de ondersteunde SSO-oplossingen:

- Microsoft Entra-id met SAML 2.0 of OpenID Verbinding maken 2.0
- Niet-Microsoft IdP met SAML 2.0
Browserondersteuning Sessiebesturingselementen zijn beschikbaar voor browsersessies in de nieuwste versies van de volgende browsers:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Beveiliging in de browser voor Microsoft Edge heeft ook specifieke vereisten, waaronder de gebruiker die zich heeft aangemeld met zijn werkprofiel. Zie De beveiligingsvereisten in de browser voor meer informatie.
Downtime Defender voor Cloud Apps kunt u het standaardgedrag definiëren dat moet worden toegepast als er een serviceonderbreking is, zoals een onderdeel dat niet goed functioneert.

Als de normale beleidsbesturingselementen bijvoorbeeld niet kunnen worden afgedwongen, kunt u ervoor kiezen om gebruikers te beperken (blokkeren) of om te voorkomen dat gebruikers acties uitvoeren op mogelijk gevoelige inhoud.

Als u het standaardgedrag wilt configureren tijdens uitvaltijd van het systeem, gaat u in Microsoft Defender XDR naar Instellingen> Conditional Access App Control>Standaardgedrag>Toestaan of Toegang blokkeren.

Beveiligingsvereisten in de browser

Als u beveiliging in de browser gebruikt met Microsoft Edge en nog steeds wordt geleverd door een omgekeerde proxy, moet u voldoen aan de volgende aanvullende vereisten:

  • De functie is ingeschakeld in uw Defender XDR-instellingen. Zie Instellingen voor beveiliging in de browser configureren voor meer informatie.

  • Alle beleidsregels waarvoor de gebruiker wordt gedekt, worden ondersteund voor Microsoft Edge voor Bedrijven. Als een gebruiker wordt geleverd door een ander beleid dat niet wordt ondersteund door Microsoft Edge voor Bedrijven, worden deze altijd geleverd door de omgekeerde proxy. Zie De beveiligingsvereisten in de browser voor meer informatie.

  • U gebruikt een ondersteund platform, met inbegrip van een ondersteund besturingssysteem, identiteitsplatform en Edge-versie. Zie De beveiligingsvereisten in de browser voor meer informatie.

Naslaginformatie over het oplossen van problemen voor beheerders

Gebruik de volgende tabel om het probleem te vinden dat u probeert op te lossen:

Type probleem Problemen
Problemen met netwerkvoorwaarde Netwerkfouten bij het navigeren naar een browserpagina

Trage aanmeldingen

Meer overwegingen voor netwerkvoorwaarden
Problemen met apparaatidentificatie Onjuist geïdentificeerde apparaten die compatibel zijn met Intune of aan Microsoft Entra gekoppelde hybride apparaten

Clientcertificaten vragen niet wanneer verwacht

Clientcertificaten vragen niet wanneer verwacht
Clientcertificaten vragen bij elke aanmelding

Meer overwegingen voor apparaatidentificatie
Problemen bij het onboarden van een app App wordt niet weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang

App-status: Doorgaan met instellenkan geen besturingselementen configureren voor systeemeigen apps

De pagina app wordt niet herkend

De optie Sessiebeheer aanvragen wordt weergegeven

Meer overwegingen voor onboarding-apps
Problemen bij het maken van toegangs- en sessiebeleid In beleid voor voorwaardelijke toegang ziet u de optie App-beheer voor voorwaardelijke toegang niet

Foutbericht bij het maken van een beleid: u hebt geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang

Kan geen sessiebeleid maken voor een app

Kan geen inspectiemethode kiezen: Service voor gegevensclassificatie

Kan actie niet kiezen: beveiligen

Meer overwegingen voor onboarding-apps
Problemen vaststellen en oplossen met de werkbalk Beheer Weergave Proxysessie overslaan

Een sessie opnemen

Problemen met netwerkvoorwaarde

Veelvoorkomende problemen met netwerkvoorwaarde die kunnen optreden, zijn onder andere:

Netwerkfouten bij het navigeren naar een browserpagina

Wanneer u voor het eerst Defender voor Cloud Apps-toegangs- en sessiebesturingselementen voor een app instelt, zijn veelvoorkomende netwerkfouten die zich kunnen voordoen: deze site is niet beveiligd en er is geen internetverbinding. Deze berichten kunnen duiden op een algemene netwerkconfiguratiefout.

Aanbevolen stappen

  1. Configureer uw firewall om met Defender voor Cloud apps te werken met behulp van de Azure IP-adressen en DNS-namen die relevant zijn voor uw omgeving.

    1. Voeg uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen voor uw Defender voor Cloud Apps-datacenter.
    2. Start uw apparaat en uw browsersessie opnieuw op
    3. Controleer of de aanmelding werkt zoals verwacht

  2. Schakel TLS 1.2 in de internetopties van uw browser in. Voorbeeld:

    Browser Stappen
    Microsoft Internet Explorer 1. Internet Explorer openen
    2. Selecteer het tabblad Extra> internetopties>
    3. Selecteer onder Beveiliging TLS 1.2
    4. Selecteer Toepassen en selecteer vervolgens OK
    5. Start uw browser opnieuw en controleer of u toegang hebt tot de app
    Microsoft Edge /Edge Chromium 1. Zoekactie openen via de taakbalk en zoeken naar 'Internetopties'
    2. Internetopties selecteren
    3. Selecteer onder Beveiliging TLS 1.2
    4. Selecteer Toepassen en selecteer vervolgens OK
    5. Start uw browser opnieuw en controleer of u toegang hebt tot de app
    Google Chrome 1. Open Google Chrome
    2. Selecteer rechtsboven meer (3 verticale puntjes) >Instellingen
    3. Selecteer onderaan Geavanceerd
    4. Selecteer Onder Systeem de optie Proxy-instellingen openen
    5. Selecteer op het tabblad Geavanceerd onder Beveiliging TLS 1.2
    6. Selecteer OK
    7. Start uw browser opnieuw en controleer of u toegang hebt tot de app
    Mozilla Firefox 1. Open Mozilla Firefox
    2. Zoek in de adresbalk naar about:config
    3. Zoek in het zoekvak naar 'TLS'
    4. Dubbelklik op de vermelding voor security.tls.version.min
    5. Stel de waarde van het gehele getal in op 3 om TLS 1.2 af te dwingen als de minimaal vereiste versie
    6. Selecteer Opslaan (vinkje rechts van het waardevak)
    7. Start uw browser opnieuw en controleer of u toegang hebt tot de app
    Safari Als u Safari versie 7 of hoger gebruikt, wordt TLS 1.2 automatisch ingeschakeld

Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om versleuteling van de beste klasse te bieden:

  • Systeemeigen client-apps en -browsers die tls 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer.
  • SaaS-apps die TLS 1.1 of lager gebruiken, worden in de browser weergegeven als tls 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.

Tip

Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we de nieuwste versies van Microsoft Edge, Google Chrome, Mozilla Firefox of Apple Safari. Mogelijk wilt u de toegang tot mobiele apps of desktop-apps blokkeren of toestaan.

Trage aanmeldingen

Proxyketens en niet-verwerking zijn enkele veelvoorkomende problemen die kunnen leiden tot trage aanmeldingsprestaties.

Aanbevolen stappen

Configureer uw omgeving om alle factoren te verwijderen die mogelijk traagheid veroorzaken tijdens het aanmelden. U hebt bijvoorbeeld firewalls of proxyketens geconfigureerd, waarmee twee of meer proxyservers worden verbonden om naar de beoogde pagina te navigeren. Mogelijk hebt u ook andere externe factoren die van invloed zijn op de traagheid.

  1. Bepaal of proxychaining plaatsvindt in uw omgeving.
  2. Verwijder waar mogelijk eventuele doorstuurproxy's.

Sommige apps gebruiken een niet-hash tijdens verificatie om herhalingsaanvallen te voorkomen. Standaard gaat Defender voor Cloud Apps ervan uit dat een app een niet-ce gebruikt. Als de app waarmee u werkt geen nonce gebruikt, schakelt u niet-verwerking voor deze app uit in Defender voor Cloud Apps:

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps.
  2. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.
  3. Selecteer in de lijst met apps in de rij waarin de app die u configureert, de drie puntjes aan het einde van de rij en selecteer Vervolgens Bewerken voor uw app.
  4. Selecteer Niet-verwerking om de sectie uit te vouwen en schakel de afhandeling van niet-ce inschakelen uit.
  5. Meld u af bij de app en sluit alle browsersessies.
  6. Start uw browser opnieuw op en meld u opnieuw aan bij de app. Controleer of de aanmelding werkt zoals verwacht.

Meer overwegingen voor netwerkvoorwaarden

Houd bij het oplossen van problemen met netwerkvoorwaarden ook rekening met de volgende opmerkingen over de Defender voor Cloud Apps-proxy:

  • Controleer of uw sessie wordt gerouteerd naar een ander datacenter: Defender voor Cloud Apps azure-datacentra over de hele wereld gebruikt om de prestaties te optimaliseren via geolocatie.

    Dit betekent dat de sessie van een gebruiker mogelijk buiten een regio wordt gehost, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.

  • Proxyprestaties: het afleiden van een prestatiebasislijn is afhankelijk van veel factoren buiten de proxy van Defender voor Cloud Apps, zoals:

    • Welke andere proxy's of gateways in reeksen met deze proxy zitten
    • Waar de gebruiker vandaan komt
    • Waar de doelresource zich bevindt
    • Specifieke aanvragen op de pagina

    In het algemeen voegt elke proxy latentie toe. De voordelen van de Defender voor Cloud Apps-proxy zijn:

    • Met behulp van de wereldwijde beschikbaarheid van Azure-domeincontrollers kunnen gebruikers zich op het dichtstbijzijnde knooppunt bevinden en hun retourafstand verminderen. Azure-domeincontrollers kunnen worden geolocate op een schaal die weinig services over de hele wereld hebben.

    • Het gebruik van de integratie met voorwaardelijke toegang van Microsoft Entra om alleen de sessies te routeren die u wilt proxyen naar onze service, in plaats van alle gebruikers in alle situaties.

Problemen met apparaatidentificatie

Defender voor Cloud Apps biedt de volgende opties voor het identificeren van de beheerstatus van een apparaat.

  • Microsoft Intune-naleving
  • Hybride Microsoft Entra-domein toegevoegd
  • Clientcertificaten

Zie Door identiteit beheerde apparaten met app-beheer voor voorwaardelijke toegang voor meer informatie.

Veelvoorkomende problemen met apparaatidentificatie die kunnen optreden, zijn:

Onjuist geïdentificeerde apparaten die compatibel zijn met Intune of aan Microsoft Entra gekoppelde hybride apparaten

Met voorwaardelijke toegang van Microsoft Entra kunnen aan Intune compatibele en hybride apparaatgegevens van Microsoft Entra rechtstreeks worden doorgegeven aan Defender voor Cloud-apps. Gebruik in Defender voor Cloud Apps de apparaatstatus als filter voor toegang of sessiebeleid.

Zie Inleiding tot apparaatbeheer in Microsoft Entra-id voor meer informatie.

Aanbevolen stappen

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps.

  2. Selecteer apparaatidentificatie onder App-beheer voor voorwaardelijke toegang. Op deze pagina worden de apparaatidentificatieopties weergegeven die beschikbaar zijn in Defender voor Cloud Apps.

  3. Voor apparaatidentificatie die compatibel zijn met Intune en respectievelijk hybride gekoppelde identificatie van Microsoft Entra, selecteert u Configuratie weergeven en controleert u of de services zijn ingesteld. Services worden automatisch gesynchroniseerd vanuit de Microsoft Entra-id en Intune.

  4. Maak een toegangs- of sessiebeleid met het apparaattagfilter dat gelijk is aan hybride Azure AD-gekoppelde, intune-compatibele of beide.

  5. Meld u in een browser aan bij een apparaat dat is toegevoegd aan Microsoft Entra of die compatibel is met Intune op basis van uw beleidsfilter.

  6. Controleer of activiteiten van deze apparaten het logboek vullen. Filter in Defender voor Cloud Apps op de pagina Activiteitenlogboek op apparaattag die gelijk is aan hybride Azure AD-gekoppelde, intune-compatibele of beide op basis van uw beleidsfilters.

  7. Als activiteiten niet worden ingevuld in het activiteitenlogboek van Defender voor Cloud Apps, gaat u naar Microsoft Entra-id en voert u de volgende stappen uit:

    1. Controleer onder Aanmeldingen controleren>of er aanmeldingsactiviteiten zijn in logboeken.

    2. Selecteer de relevante logboekvermelding voor het apparaat waarop u bent aangemeld.

    3. Controleer in het deelvenster Details op het tabblad Apparaatgegevens of het apparaat Beheerd is (hybride Azure AD-gekoppeld) of Compatibel (Intune-compatibel).

      Als u een van beide statussen niet kunt controleren, probeert u een andere logboekvermelding of controleert u of de apparaatgegevens correct zijn geconfigureerd in de Microsoft Entra-id.

    4. Voor voorwaardelijke toegang is voor sommige browsers mogelijk extra configuratie vereist, zoals het installeren van een extensie. Zie de ondersteuning van de browser voor voorwaardelijke toegang voor meer informatie.

    5. Als u de apparaatgegevens nog steeds niet ziet op de aanmeldingspagina, opent u een ondersteuningsticket voor Microsoft Entra-id.

Clientcertificaten vragen niet wanneer verwacht

Het apparaatidentificatiemechanisme kan verificatie aanvragen bij relevante apparaten met behulp van clientcertificaten. U kunt een X.509-basiscertificaat of ca-certificaat (tussenliggende certificeringsinstantie) uploaden, opgemaakt in de PEM-certificaatindeling.

Certificaten moeten de openbare sleutel van de CA bevatten, die vervolgens wordt gebruikt om de clientcertificaten te ondertekenen die tijdens een sessie worden gepresenteerd. Zie Controleren op apparaatbeheer zonder Microsoft Entra voor meer informatie.

Aanbevolen stappen

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps.

  2. Selecteer apparaatidentificatie onder App-beheer voor voorwaardelijke toegang. Op deze pagina ziet u de apparaatidentificatieopties die beschikbaar zijn voor Defender voor Cloud Apps.

  3. Controleer of u een X.509-basis- of tussenliggend CA-certificaat hebt geüpload. U moet het CA-certificaat uploaden dat wordt gebruikt om u te ondertekenen voor uw certificeringsinstantie.

  4. Maak een toegangs- of sessiebeleid met het filter Apparaattag dat gelijk is aan geldig clientcertificaat.

  5. Zorg ervoor dat uw clientcertificaat het volgende is:

    • Geïmplementeerd met de PKCS #12-bestandsindeling, meestal een .p12- of PFX-bestandsextensie
    • Geïnstalleerd in het gebruikersarchief, niet het apparaatarchief, van het apparaat dat u gebruikt om te testen

  6. Start de browsersessie opnieuw op.

  7. Wanneer u zich aanmeldt bij de beveiligde app:

    • Controleer of u wordt omgeleid naar de volgende URL-syntaxis: <https://*.managed.access-control.cas.ms/aad_login>
    • Als u iOS gebruikt, controleert u of u de Safari-browser gebruikt.
    • Als u Firefox gebruikt, moet u het certificaat ook toevoegen aan het eigen certificaatarchief van Firefox. Alle andere browsers gebruiken hetzelfde standaardcertificaatarchief.

  8. Controleer of het clientcertificaat wordt gevraagd in uw browser.

    Als dit niet wordt weergegeven, probeert u een andere browser. De meeste belangrijke browsers ondersteunen het uitvoeren van een controle van een clientcertificaat. Mobiele apps en desktop-apps maken echter vaak gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen en dus van invloed zijn op verificatie voor deze apps.

  9. Controleer of activiteiten van deze apparaten het logboek vullen. Voeg in Defender voor Cloud Apps op de pagina Activiteitenlogboek een filter toe op apparaattag die gelijk is aan geldig clientcertificaat.

  10. Als u de prompt nog steeds niet ziet, opent u een ondersteuningsticket en neemt u de volgende informatie op:

    • De details van de browser of systeemeigen app waar u het probleem hebt ondervonden
    • De versie van het besturingssysteem, zoals iOS/Android/Windows 10
    • Vermelden als de prompt werkt op Microsoft Edge Chromium

Clientcertificaten vragen bij elke aanmelding

Als u het clientcertificaat ziet verschijnen nadat u een nieuw tabblad hebt geopend, kan dit worden veroorzaakt door instellingen die zijn verborgen in internetopties. Controleer uw instellingen in uw browser. Voorbeeld:

In Microsoft Internet Explorer:

  1. Open Internet Explorer en selecteer het tabblad Geavanceerde internetopties.>>
  2. Selecteer onder Beveiliging de optie Niet vragen om clientcertificaatselectie als er slechts één certificaat bestaat>, Selecteer OK toepassen>.
  3. Start uw browser opnieuw en controleer of u toegang hebt tot de app zonder de extra aanwijzingen.

In Microsoft Edge/Edge Chromium:

  1. Open zoeken via de taakbalk en zoek naar internetopties.
  2. Selecteer internetopties>: lokaal>intranet aangepast intranetniveau.>
  3. Selecteer Uitschakelen onder Diversen>niet om selectie van clientcertificaten wanneer er slechts één certificaat bestaat.
  4. Selecteer OK> Toepassen.>
  5. Start uw browser opnieuw en controleer of u toegang hebt tot de app zonder de extra aanwijzingen.

Meer overwegingen voor apparaatidentificatie

Tijdens het oplossen van problemen met apparaatidentificatie kunt u certificaatintrekking vereisen voor clientcertificaten.

Certificaten die door de CA worden ingetrokken, worden niet meer vertrouwd. Als u deze optie selecteert, moeten alle certificaten het CRL-protocol doorgeven. Als uw clientcertificaat geen CRL-eindpunt bevat, kunt u geen verbinding maken vanaf het beheerde apparaat.

Problemen bij het onboarden van een app

U kunt de volgende typen apps onboarden voor toegangs- en sessiebeheer:

  • Catalogus-apps: Apps die worden geleverd met sessiebesturingselementen, zijn standaardbesturingselementen zoals aangegeven door het label Sessiebeheer .

  • Alle (aangepaste) apps: Aangepaste LOB-apps (Line-Of-Business) of on-premises apps kunnen worden ge onboardd voor sessiebeheer door een beheerder.

Voorbeeld:

Screenshot of a proxy list showing catalog and any (custom) apps.

Zorg er bij het onboarden van een app voor dat u de proxyimplementatiehandleidingen zorgvuldig hebt gevolgd. Zie voor meer informatie:

  1. Catalogus-apps implementeren met sessiebesturingselementen
  2. Aangepaste LOB-apps, niet-gefeatureerde SaaS-apps en on-premises apps implementeren die worden gehost via de Microsoft Entra-toepassingsproxy met sessiebesturingselementen

Veelvoorkomende scenario's die u kunt tegenkomen tijdens het onboarden van een app zijn onder andere:

App wordt niet weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang

Bij het onboarden van een app voor app-beheer voor voorwaardelijke toegang, is de laatste implementatiestap om de eindgebruiker naar de app te laten navigeren. Voer de stappen in deze sectie uit als de app niet wordt weergegeven zoals verwacht.

Aanbevolen stappen

  1. Zorg ervoor dat uw app voldoet aan de volgende vereisten voor de app voor voorwaardelijke toegang, afhankelijk van uw id-provider:

    • Microsoft Entra-id:

      1. Zorg ervoor dat u een geldige licentie hebt voor Microsoft Entra ID P1, naast een Defender voor Cloud Apps-licentie.
      2. Zorg ervoor dat de app gebruikmaakt van het SAML 2.0- of openID-Verbinding maken-protocol.
      3. Zorg ervoor dat de eenmalige aanmelding van de app in Microsoft Entra ID.

    • Niet-Microsoft:

      1. Zorg ervoor dat u een geldige Defender voor Cloud Apps-licentie hebt.
      2. Maak een dubbele app.
      3. Zorg ervoor dat de app gebruikmaakt van het SAML-protocol.
      4. Controleer of u de app volledig hebt geïmplementeerd en of de status van de app is Verbinding maken.

  2. Controleer in uw Microsoft Entra-beleid onder de sessie of de sessie wordt gedwongen om naar Defender voor Cloud-apps te worden gerouteerd. Hierdoor kan de app als volgt worden weergegeven op de pagina app-beheerapps voor voorwaardelijke toegang:

    • App-beheer voor voorwaardelijke toegang is geselecteerd.
    • In de vervolgkeuzelijst ingebouwde beleidsregels is alleen Monitor geselecteerd

  3. Zorg ervoor dat u in een nieuwe browsersessie naar de app navigeert met behulp van een nieuwe incognitomodus of door u opnieuw aan te melden.

App-status: Doorgaan met instellen

De status van een app kan variëren en kan bestaan uit Continue setup, Verbinding maken ed of Geen activiteiten.

Als de installatie niet is voltooid, ziet u een pagina met de status Continue Setup als de installatie niet is voltooid voor apps die zijn verbonden via niet-Microsoft-id-providers (IdP). Voer de volgende stappen uit om de installatie uit te voeren.

Aanbevolen stappen

  1. Selecteer Doorgaan met instellen.

  2. Doorloop de implementatiehandleiding en controleer of u alle stappen hebt voltooid. Let vooral op de volgende opmerkingen:

    1. Zorg ervoor dat u een nieuwe aangepaste SAML-app maakt. U hebt deze app nodig om de URL's en SAML-kenmerken te wijzigen die mogelijk niet beschikbaar zijn in galerie-apps.
    2. Als uw id-provider het hergebruik van dezelfde id, ook wel entiteits-id of doelgroep genoemd, niet toestaat, wijzigt u de id van de oorspronkelijke app.

Kan geen besturingselementen configureren voor systeemeigen apps

Systeemeigen apps kunnen heuristisch worden gedetecteerd en u kunt toegangsbeleid gebruiken om ze te bewaken of te blokkeren. Gebruik de volgende stappen om besturingselementen voor systeemeigen apps te configureren.

Aanbevolen stappen

  1. Voeg in een toegangsbeleid een client-app-filter toe en stel het in op Mobile en desktop.

  2. Selecteer Onder Acties de optie Blokkeren.

  3. U kunt desgewenst het blokkeringsbericht aanpassen dat uw gebruikers krijgen wanneer ze geen bestanden kunnen downloaden. Pas dit bericht bijvoorbeeld aan op U moet een webbrowser gebruiken om toegang te krijgen tot deze app.

  4. Test en valideer of het besturingselement werkt zoals verwacht.

De pagina app wordt niet herkend

Defender voor Cloud Apps kunnen meer dan 31.000 apps herkennen via de Cloud-app-catalogus.

Als u een aangepaste app gebruikt die is geconfigureerd via Microsoft Entra SSO en niet een van de ondersteunde apps is, wordt een app niet herkend . U kunt het probleem oplossen door de app te configureren voor app-beheer voor voorwaardelijke toegang.

Aanbevolen stappen

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  2. Selecteer nieuwe apps weergeven in de banner.

  3. Zoek in de lijst met nieuwe apps de app die u onboarding uitvoert, selecteer het + teken en selecteer vervolgens Toevoegen.

    1. Selecteer of de app een aangepaste of standaard-app is.
    2. Ga door met de wizard en zorg ervoor dat de opgegeven door de gebruiker gedefinieerde domeinen juist zijn voor de app die u configureert.

  4. Controleer of de app wordt weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang.

De optie Sessiebeheer aanvragen wordt weergegeven

Nadat u een app hebt toegevoegd, ziet u mogelijk de optie Sessiebeheer aanvragen . Dit gebeurt omdat alleen catalogus-apps out-of-the-box sessiebesturingselementen hebben. Voor elke andere app moet u een zelf-onboardingproces doorlopen.

Aanbevolen stappen

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps.

  2. Selecteer onder App-beheer voor voorwaardelijke toegang de optie App-onboarding/-onderhoud.

  3. Voer de principal-naam of het e-mailadres van de gebruiker in voor de gebruikers die de app onboarden en selecteer Opslaan.

  4. Ga naar de app die u implementeert. De pagina die u ziet, is afhankelijk van of de app wordt herkend. Voer een van de volgende handelingen uit, afhankelijk van de pagina die u ziet:

Meer overwegingen voor onboarding-apps

Houd er tijdens het oplossen van problemen met onboarding-apps rekening mee dat apps in App Control voor voorwaardelijke toegang niet overeenkomen met Microsoft Entra-apps.

De app-namen in Microsoft Entra ID en Defender voor Cloud Apps kunnen verschillen op basis van de manieren waarop de producten apps identificeren.

  • Defender voor Cloud Apps apps identificeert met behulp van de domeinen van de app en voegt deze toe aan de cloud-app-catalogus, waar we meer dan 31.000 apps hebben. In elke app kunt u de subset van domeinen weergeven of toevoegen.

  • Microsoft Entra ID identificeert daarentegen apps met behulp van service-principals. Zie app- en service-principal-objecten in Microsoft Entra ID voor meer informatie.

In de praktijk betekent dit verschil dat het selecteren van SharePoint Online in Microsoft Entra ID gelijk is aan het selecteren van apps, zoals Word Online en Teams, in Defender voor Cloud Apps omdat de apps allemaal het sharepoint.com domein gebruiken.

Problemen bij het maken van toegangs- en sessiebeleid

Defender voor Cloud Apps biedt het volgende configureerbare beleid:

  • Toegangsbeleid: wordt gebruikt voor het bewaken of blokkeren van toegang tot browser-, mobiele en/of desktop-apps.
  • Sessiebeleid. Wordt gebruikt voor het bewaken, blokkeren en uitvoeren van specifieke acties om gegevensinfiltratie- en exfiltratiescenario's in de browser te voorkomen.

Als u deze beleidsregels wilt gebruiken in Defender voor Cloud Apps, moet u eerst een beleid configureren in voorwaardelijke toegang van Microsoft Entra om sessiebesturingselementen uit te breiden:

  1. Selecteer in het Microsoft Entra-beleid onder Besturingselementen voor toegang de optie App-beheer voor voorwaardelijk toegangsbeheer voor sessiegebruik>.

  2. Selecteer een ingebouwd beleid (alleen controleren of downloads blokkeren) of aangepast beleid gebruiken om een geavanceerd beleid in te stellen in Defender voor Cloud Apps.

  3. Selecteer Selecteren om door te gaan.

Veelvoorkomende scenario's die u kunt tegenkomen tijdens het configureren van dit beleid zijn onder andere:

In beleid voor voorwaardelijke toegang ziet u de optie App-beheer voor voorwaardelijke toegang niet

Als u sessies wilt routeren naar Defender voor Cloud-apps, moet het beleid voor voorwaardelijke toegang worden geconfigureerd om sessiebesturingselementen voor app-beheer voor voorwaardelijke toegang op te nemen.

Aanbevolen stappen

Als u de optie App-beheer voor voorwaardelijke toegang niet ziet in uw beleid voor voorwaardelijke toegang, controleert u of u een geldige licentie hebt voor Microsoft Entra ID P1 en een geldige Defender voor Cloud Apps-licentie.

Foutbericht bij het maken van een beleid: u hebt geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang

Wanneer u een toegangs- of sessiebeleid maakt, ziet u mogelijk het volgende foutbericht: Er zijn geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang. Deze fout geeft aan dat de app niet is geïmplementeerd.

Aanbevolen stappen

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps. Selecteer apps voor app-beheer voor voorwaardelijke toegang onder Verbinding maken apps.

  2. Als u het bericht Geen apps ziet die zijn verbonden, gebruikt u de volgende handleidingen om apps te implementeren:

Als u problemen ondervindt tijdens het implementeren van de app, raadpleegt u Problemen bij het onboarden van een app.

Kan geen sessiebeleid maken voor een app

Nadat u een aangepaste app hebt toegevoegd, ziet u op de pagina App-beheerapps voor voorwaardelijke toegang mogelijk de optie: Sessiebeheer aanvragen.

Notitie

Catalogus-apps hebben out-of-the-box sessiebesturingselementen. Voor andere apps moet u een zelf-onboardingproces doorlopen. Zie Vooraf voorbereide apps voor meer informatie.

Aanbevolen stappen

  1. Implementeer uw app in sessiebeheer. Zie Aangepaste Line-Of-Business-apps, niet-gefeatureerde SaaS-apps en on-premises apps implementeren die worden gehost via de Microsoft Entra-toepassingsproxy met sessiebesturingselementen voor meer informatie.

  2. Maak een sessiebeleid en selecteer het app-filter .

  3. Zorg ervoor dat uw app nu wordt weergegeven in de vervolgkeuzelijst.

Kan geen inspectiemethode kiezen: Service voor gegevensclassificatie

Wanneer u in sessiebeleid het sessiebeheertype voor het downloaden van besturingsbestanden (met inspectie) gebruikt, kunt u de inspectiemethode Data Classification Service gebruiken om uw bestanden in realtime te scannen en gevoelige inhoud te detecteren die overeenkomt met een van de criteria die u hebt geconfigureerd.

Als de inspectiemethode data classification service niet beschikbaar is, gebruikt u de volgende stappen om het probleem te onderzoeken.

Aanbevolen stappen

  1. Controleer of het sessiebeheertype is ingesteld op het downloaden van het besturingselementbestand (met inspectie) van het besturingselement.

    Notitie

    De inspectiemethode data classification service is alleen beschikbaar voor het downloaden van het controlebestand (met inspectie).

  2. Bepaal of de functie Data Classification Service beschikbaar is in uw regio:

    • Als de functie niet beschikbaar is in uw regio, gebruikt u de ingebouwde DLP-inspectiemethode .
    • Als de functie beschikbaar is in uw regio, maar u de inspectiemethode voor de Data Classification Service nog steeds niet kunt zien, opent u een ondersteuningsticket.

Kan actie niet kiezen: beveiligen

In sessiebeleid kunt u, naast de acties Bewaken en Blokkeren, de actie Beveiligen opgeven wanneer u het sessiebeheertype (met inspectie) voor het downloaden van besturingsbestanden (met inspectie) gebruikt. Met deze actie kunt u bestandsdownloads toestaan met de optie om machtigingen voor het bestand te versleutelen of toe te passen op basis van voorwaarden, inhoudsinspectie of beide.

Als de actie Beveiligen niet beschikbaar is, gebruikt u de volgende stappen om het probleem te onderzoeken.

Aanbevolen stappen

  1. Als de actie Beveiligen niet beschikbaar is of grijs wordt weergegeven, controleert u of u de Premium P1-licentie (Azure Information Protection) hebt. Zie Microsoft Purview Informatiebeveiliging-integratie voor meer informatie.

  2. Als de actie Beveiligen beschikbaar is, maar de juiste labels niet ziet.

    1. Selecteer in Defender voor Cloud Apps in de menubalk het instellingenpictogram >Microsoft Information Protection en controleer of de integratie is ingeschakeld.

    2. Zorg ervoor dat Unified Labeling is geselecteerd voor Office-labels in de AIP-portal.

Meer overwegingen voor onboarding-apps

Tijdens het oplossen van problemen met onboarding-apps moet u rekening houden met enkele extra zaken.

  • Meer informatie over het verschil tussen de microsoft Entra-beleidsinstellingen voor voorwaardelijke toegang: 'Alleen bewaken', 'Downloads blokkeren' en 'Aangepast beleid gebruiken'

    In het beleid voor voorwaardelijke toegang van Microsoft Entra kunt u de volgende ingebouwde besturingselementen voor Defender voor Cloud Apps configureren: Alleen downloads bewaken en blokkeren. Deze instellingen zijn van toepassing en dwingen de Defender voor Cloud-app-proxyfunctie af voor cloud-apps en voorwaarden die zijn geconfigureerd in Microsoft Entra-id.

    Voor complexere beleidsregels selecteert u Aangepast beleid gebruiken, waarmee u toegangs- en sessiebeleid kunt configureren in Defender voor Cloud Apps.

  • Informatie over de filteroptie voor client-apps voor mobiele apparaten en desktops in toegangsbeleid

    In Defender voor Cloud-toegangsbeleid voor apps geldt het resulterende toegangsbeleid voor browsersessies, tenzij het filter voor de client-app is ingesteld op Mobiel en desktop.

    De reden hiervoor is om onbedoeld proxy van gebruikerssessies te voorkomen. Dit kan een product zijn van het gebruik van dit filter.

Problemen vaststellen en oplossen met de werkbalk Beheer Weergave

De Beheer werkbalk Weergave bevindt zich onder aan het scherm en biedt hulpprogramma's voor beheerdersgebruikers om problemen met app-beheer voor voorwaardelijke toegang vast te stellen en op te lossen.

Als u de werkbalk Beheer Weergave wilt weergeven, moet u specifieke beheerdersaccounts toevoegen aan de lijst voor onboarding/onderhoud van apps in de Microsoft Defender XDR-instellingen.

Een gebruiker toevoegen aan de lijst voor onboarding/onderhoud van apps:

  1. Selecteer in Microsoft Defender XDR Instellingen> Cloud-apps.

  2. Schuif omlaag en selecteer onder App-beheer voor voorwaardelijke toegang app-onboarding/-onderhoud.

  3. Voer de principal-naam of het e-mailadres in voor de beheerder die u wilt toevoegen.

  4. Selecteer de optie App-beheer voor voorwaardelijke toegang inschakelen vanuit een geproxiede sessieoptie en selecteer Vervolgens Opslaan.

    Voorbeeld:

    Screenshot of the App onboarding / maintenance settings.

De volgende keer dat een van de vermelde gebruikers een nieuwe sessie start in een ondersteunde app waar ze een beheerder zijn, wordt de werkbalk Beheer Weergave onderaan de browser weergegeven.

In de volgende afbeelding ziet u bijvoorbeeld de werkbalk Beheer Weergave onder aan een browservenster, wanneer u OneNote in de browser gebruikt:

Screenshot of the Admin View toolbar.

In de volgende secties wordt beschreven hoe u de werkbalk Beheer Weergave gebruikt om te testen en problemen op te lossen.

Testmodus

Als beheerder wilt u mogelijk toekomstige oplossingen voor proxyfouten testen voordat de nieuwste versie volledig wordt geïmplementeerd voor alle tenants. Geef uw feedback over de foutoplossing aan het Microsoft-ondersteuningsteam om de releasecycli te versnellen.

Wanneer ze zich in de testmodus bevinden, worden alleen de gebruikers van beheerders blootgesteld aan eventuele wijzigingen in de bugfixes. Er is geen effect op andere gebruikers.

  • Als u de testmodus wilt inschakelen, selecteert u testmodus op de werkbalk Beheer Weergave.
  • Wanneer u klaar bent met testen, selecteert u De testmodus beëindigen om terug te keren naar de normale functionaliteit.

Proxysessie overslaan

Als u problemen ondervindt bij het openen of laden van uw toepassing, kunt u controleren of het probleem zich voordoet met de proxy voor voorwaardelijke toegang door de toepassing uit te voeren zonder de proxy.

Als u de proxy wilt omzeilen, selecteert u in de werkbalk Beheer Weergave de optie Bypass-ervaring. Controleer of de sessie wordt overgeslagen door te weten dat de URL niet is achtervoegsel.

De proxy voor voorwaardelijke toegang wordt opnieuw gebruikt in de volgende sessie.

Zie Microsoft Defender voor Cloud App-beheer voor voorwaardelijke toegang en beveiliging in de browser met Microsoft Edge voor Bedrijven (preview) voor meer informatie.

Een sessie opnemen

U kunt de hoofdoorzaakanalyse van een probleem helpen door een sessie-opname naar microsoft-ondersteuningstechnici te verzenden. Gebruik de werkbalk Beheer Weergave om uw sessie op te nemen.

Notitie

Alle persoonsgegevens worden uit de opnamen verwijderd.

Een sessie opnemen:

  1. Selecteer recordsessie in de werkbalk Beheer Weergave. Wanneer u hierom wordt gevraagd, selecteert u Doorgaan om de voorwaarden te accepteren. Voorbeeld:

    Screenshot of the session recording privacy statement dialog.

  2. Meld u indien nodig aan bij uw app om de sessie te simuleren.

  3. Wanneer u klaar bent met het opnemen van het scenario, selecteert u Opname stoppen in de werkbalk Beheer Weergave.

Uw opgenomen sessies weergeven:

Nadat u klaar bent met opnemen, bekijkt u de opgenomen sessies door Sessie-opnamen te selecteren op de werkbalk Beheer Weergave. Er wordt een lijst met opgenomen sessies van de afgelopen 48 uur weergegeven. Voorbeeld:

Screenshot of session recordings.

Als u uw opnamen wilt beheren, selecteert u een bestand en selecteert u vervolgens Verwijderen of Downloaden indien nodig. Voorbeeld:

Screenshot of downloading or deleting a recording.

Volgende stappen

Zie Problemen met toegang en sessiebesturingselementen voor eindgebruikers oplossen voor meer informatie.