Problemen met toegangs- en sessiebesturingselementen voor beheerdersgebruikers oplossen
Dit artikel bevat Microsoft Defender voor Cloud Apps-beheerders richtlijnen voor het onderzoeken en oplossen van veelvoorkomende problemen met toegangs- en sessiebeheer, zoals ervaren door beheerders.
Notitie
Eventuele probleemoplossing met betrekking tot proxyfunctionaliteit is alleen relevant voor sessies die niet zijn geconfigureerd voor in-browserbeveiliging met Microsoft Edge.
Minimale vereisten controleren
Voordat u begint met het oplossen van problemen, moet u ervoor zorgen dat uw omgeving voldoet aan de volgende minimale algemene vereisten voor toegangs- en sessiebeheer.
Vereiste | Beschrijving |
---|---|
Licenties | Zorg ervoor dat u een geldige licentie hebt voor Microsoft Defender voor Cloud Apps. |
Eenmalige aanmelding (SSO) | Apps moeten worden geconfigureerd met een van de ondersteunde SSO-oplossingen: - Microsoft Entra-id met SAML 2.0 of OpenID Connect 2.0 - Niet-Microsoft IdP met SAML 2.0 |
Browserondersteuning | Sessiebesturingselementen zijn beschikbaar voor browsersessies in de nieuwste versies van de volgende browsers: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Beveiliging in de browser voor Microsoft Edge heeft ook specifieke vereisten, waaronder de gebruiker die zich heeft aangemeld met zijn werkprofiel. Zie De beveiligingsvereisten in de browser voor meer informatie. |
Downtime | Defender voor Cloud Apps kunt u het standaardgedrag definiëren dat moet worden toegepast als er een serviceonderbreking is, zoals een onderdeel dat niet goed functioneert. Als de normale beleidsbesturingselementen bijvoorbeeld niet kunnen worden afgedwongen, kunt u ervoor kiezen om gebruikers te beperken (blokkeren) of om te voorkomen dat gebruikers acties uitvoeren op mogelijk gevoelige inhoud. Als u het standaardgedrag tijdens uitvaltijd van het systeem wilt configureren, gaat u in Microsoft Defender XDR naar Instellingen>voor app-beheer>voor voorwaardelijke toegang standaardgedrag>toestaan of blokkeren. |
Beveiligingsvereisten in de browser
Als u beveiliging in de browser gebruikt met Microsoft Edge en nog steeds wordt geleverd door een omgekeerde proxy, moet u voldoen aan de volgende aanvullende vereisten:
De functie is ingeschakeld in uw Defender XDR-instellingen. Zie Instellingen voor beveiliging in de browser configureren voor meer informatie.
Alle beleidsregels waarvoor de gebruiker wordt gedekt, worden ondersteund voor Microsoft Edge voor Bedrijven. Als een gebruiker wordt geleverd door een ander beleid dat niet wordt ondersteund door Microsoft Edge voor Bedrijven, worden deze altijd geleverd door de omgekeerde proxy. Zie De beveiligingsvereisten in de browser voor meer informatie.
U gebruikt een ondersteund platform, met inbegrip van een ondersteund besturingssysteem, identiteitsplatform en Edge-versie. Zie De beveiligingsvereisten in de browser voor meer informatie.
Naslaginformatie over het oplossen van problemen voor beheerders
Gebruik de volgende tabel om het probleem te vinden dat u probeert op te lossen:
Problemen met netwerkvoorwaarde
Veelvoorkomende problemen met netwerkvoorwaarde die kunnen optreden, zijn onder andere:
Netwerkfouten bij het navigeren naar een browserpagina
Wanneer u voor het eerst Defender voor Cloud Apps-toegangs- en sessiebesturingselementen voor een app instelt, zijn veelvoorkomende netwerkfouten die zich kunnen voordoen: deze site is niet beveiligd en er is geen internetverbinding. Deze berichten kunnen duiden op een algemene netwerkconfiguratiefout.
Aanbevolen stappen
Configureer uw firewall om met Defender voor Cloud apps te werken met behulp van de Azure IP-adressen en DNS-namen die relevant zijn voor uw omgeving.
- Voeg uitgaande poort 443 toe voor de volgende IP-adressen en DNS-namen voor uw Defender voor Cloud Apps-datacenter.
- Start uw apparaat en uw browsersessie opnieuw op
- Controleer of de aanmelding werkt zoals verwacht
Schakel TLS 1.2 in de internetopties van uw browser in. Voorbeeld:
Browser Stappen Microsoft Internet Explorer 1. Internet Explorer openen
2. Selecteer het tabblad Extra> internetopties>
3. Selecteer onder Beveiliging TLS 1.2
4. Selecteer Toepassen en selecteer vervolgens OK
5. Start uw browser opnieuw en controleer of u toegang hebt tot de appMicrosoft Edge /Edge Chromium 1. Zoekactie openen via de taakbalk en zoeken naar 'Internetopties'
2. Internetopties selecteren
3. Selecteer onder Beveiliging TLS 1.2
4. Selecteer Toepassen en selecteer vervolgens OK
5. Start uw browser opnieuw en controleer of u toegang hebt tot de appGoogle Chrome 1. Open Google Chrome
2. Selecteer rechtsboven Meer (3 verticale puntjes) >Instellingen
3. Selecteer onderaan Geavanceerd
4. Selecteer Onder Systeem de optie Proxy-instellingen openen
5. Selecteer op het tabblad Geavanceerd onder Beveiliging TLS 1.2
6. Selecteer OK
7. Start uw browser opnieuw en controleer of u toegang hebt tot de appMozilla Firefox 1. Open Mozilla Firefox
2. Zoek in de adresbalk naar about:config
3. Zoek in het zoekvak naar 'TLS'
4. Dubbelklik op de vermelding voor security.tls.version.min
5. Stel de waarde van het gehele getal in op 3 om TLS 1.2 af te dwingen als de minimaal vereiste versie
6. Selecteer Opslaan (vinkje rechts van het waardevak)
7. Start uw browser opnieuw en controleer of u toegang hebt tot de appSafari Als u Safari versie 7 of hoger gebruikt, wordt TLS 1.2 automatisch ingeschakeld
Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om versleuteling van de beste klasse te bieden:
- Systeemeigen client-apps en -browsers die tls 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer.
- SaaS-apps die TLS 1.1 of lager gebruiken, worden in de browser weergegeven als tls 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.
Tip
Hoewel sessiebesturingselementen zijn gebouwd om te werken met elke browser op elk belangrijk platform op elk besturingssysteem, ondersteunen we de nieuwste versies van Microsoft Edge, Google Chrome, Mozilla Firefox of Apple Safari. Mogelijk wilt u de toegang tot mobiele apps of desktop-apps blokkeren of toestaan.
Trage aanmeldingen
Proxyketens en niet-verwerking zijn enkele veelvoorkomende problemen die kunnen leiden tot trage aanmeldingsprestaties.
Aanbevolen stappen
Configureer uw omgeving om alle factoren te verwijderen die mogelijk traagheid veroorzaken tijdens het aanmelden. U hebt bijvoorbeeld firewalls of proxyketens geconfigureerd, waarmee twee of meer proxyservers worden verbonden om naar de beoogde pagina te navigeren. Mogelijk hebt u ook andere externe factoren die van invloed zijn op de traagheid.
- Bepaal of proxychaining plaatsvindt in uw omgeving.
- Verwijder waar mogelijk eventuele doorstuurproxy's.
Sommige apps gebruiken een niet-hash tijdens verificatie om herhalingsaanvallen te voorkomen. Standaard gaat Defender voor Cloud Apps ervan uit dat een app een niet-ce gebruikt. Als de app waarmee u werkt geen nonce gebruikt, schakelt u niet-verwerking voor deze app uit in Defender voor Cloud Apps:
- Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps.
- Selecteer onder Verbonden apps app-beheerapps voor voorwaardelijke toegang.
- Selecteer in de lijst met apps in de rij waarin de app die u configureert, de drie puntjes aan het einde van de rij en selecteer Vervolgens Bewerken voor uw app.
- Selecteer Niet-verwerking om de sectie uit te vouwen en schakel de afhandeling van niet-ce inschakelen uit.
- Meld u af bij de app en sluit alle browsersessies.
- Start uw browser opnieuw op en meld u opnieuw aan bij de app. Controleer of de aanmelding werkt zoals verwacht.
Meer overwegingen voor netwerkvoorwaarden
Houd bij het oplossen van problemen met netwerkvoorwaarden ook rekening met de volgende opmerkingen over de Defender voor Cloud Apps-proxy:
Controleer of uw sessie wordt gerouteerd naar een ander datacenter: Defender voor Cloud Apps azure-datacentra over de hele wereld gebruikt om de prestaties te optimaliseren via geolocatie.
Dit betekent dat de sessie van een gebruiker mogelijk buiten een regio wordt gehost, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.
Proxyprestaties: het afleiden van een prestatiebasislijn is afhankelijk van veel factoren buiten de proxy van Defender voor Cloud Apps, zoals:
- Welke andere proxy's of gateways in reeksen met deze proxy zitten
- Waar de gebruiker vandaan komt
- Waar de doelresource zich bevindt
- Specifieke aanvragen op de pagina
In het algemeen voegt elke proxy latentie toe. De voordelen van de Defender voor Cloud Apps-proxy zijn:
Met behulp van de wereldwijde beschikbaarheid van Azure-domeincontrollers kunnen gebruikers zich op het dichtstbijzijnde knooppunt bevinden en hun retourafstand verminderen. Azure-domeincontrollers kunnen worden geolocate op een schaal die weinig services over de hele wereld hebben.
Het gebruik van de integratie met voorwaardelijke toegang van Microsoft Entra om alleen de sessies te routeren die u wilt proxyen naar onze service, in plaats van alle gebruikers in alle situaties.
Problemen met apparaatidentificatie
Defender voor Cloud Apps biedt de volgende opties voor het identificeren van de beheerstatus van een apparaat.
- Microsoft Intune-naleving
- Hybride Microsoft Entra-domein toegevoegd
- Clientcertificaten
Zie Door identiteit beheerde apparaten met app-beheer voor voorwaardelijke toegang voor meer informatie.
Veelvoorkomende problemen met apparaatidentificatie die kunnen optreden, zijn:
- Onjuist geïdentificeerde apparaten die compatibel zijn met Intune of aan Microsoft Entra gekoppelde hybride apparaten
- Clientcertificaten vragen niet wanneer verwacht
- Clientcertificaten vragen bij elke aanmelding
- Extra overwegingen
Onjuist geïdentificeerde apparaten die compatibel zijn met Intune of aan Microsoft Entra gekoppelde hybride apparaten
Met voorwaardelijke toegang van Microsoft Entra kunnen aan Intune compatibele en hybride apparaatgegevens van Microsoft Entra rechtstreeks worden doorgegeven aan Defender voor Cloud-apps. Gebruik in Defender voor Cloud Apps de apparaatstatus als filter voor toegang of sessiebeleid.
Zie Inleiding tot apparaatbeheer in Microsoft Entra-id voor meer informatie.
Aanbevolen stappen
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps.
Selecteer apparaatidentificatie onder App-beheer voor voorwaardelijke toegang. Op deze pagina worden de apparaatidentificatieopties weergegeven die beschikbaar zijn in Defender voor Cloud Apps.
Voor apparaatidentificatie die compatibel zijn met Intune en respectievelijk hybride gekoppelde identificatie van Microsoft Entra, selecteert u Configuratie weergeven en controleert u of de services zijn ingesteld. Services worden automatisch gesynchroniseerd vanuit de Microsoft Entra-id en Intune.
Maak een toegangs- of sessiebeleid met het apparaattagfilter dat gelijk is aan hybride Azure AD-gekoppelde, intune-compatibele of beide.
Meld u in een browser aan bij een apparaat dat is toegevoegd aan Microsoft Entra of die compatibel is met Intune op basis van uw beleidsfilter.
Controleer of activiteiten van deze apparaten het logboek vullen. Filter in Defender voor Cloud Apps op de pagina Activiteitenlogboek op apparaattag die gelijk is aan hybride Azure AD-gekoppelde, intune-compatibele of beide op basis van uw beleidsfilters.
Als activiteiten niet worden ingevuld in het activiteitenlogboek van Defender voor Cloud Apps, gaat u naar Microsoft Entra-id en voert u de volgende stappen uit:
Controleer onder Aanmeldingen controleren>of er aanmeldingsactiviteiten zijn in logboeken.
Selecteer de relevante logboekvermelding voor het apparaat waarop u bent aangemeld.
Controleer in het deelvenster Details op het tabblad Apparaatgegevens of het apparaat Beheerd is (hybride Azure AD-gekoppeld) of Compatibel (Intune-compatibel).
Als u een van beide statussen niet kunt controleren, probeert u een andere logboekvermelding of controleert u of de apparaatgegevens correct zijn geconfigureerd in de Microsoft Entra-id.
Voor voorwaardelijke toegang is voor sommige browsers mogelijk extra configuratie vereist, zoals het installeren van een extensie. Zie de ondersteuning van de browser voor voorwaardelijke toegang voor meer informatie.
Als u de apparaatgegevens nog steeds niet ziet op de aanmeldingspagina, opent u een ondersteuningsticket voor Microsoft Entra-id.
Clientcertificaten vragen niet wanneer verwacht
Het apparaatidentificatiemechanisme kan verificatie aanvragen bij relevante apparaten met behulp van clientcertificaten. U kunt een X.509-basiscertificaat of ca-certificaat (tussenliggende certificeringsinstantie) uploaden, opgemaakt in de PEM-certificaatindeling.
Certificaten moeten de openbare sleutel van de CA bevatten, die vervolgens wordt gebruikt om de clientcertificaten te ondertekenen die tijdens een sessie worden gepresenteerd. Zie Controleren op apparaatbeheer zonder Microsoft Entra voor meer informatie.
Aanbevolen stappen
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps.
Selecteer apparaatidentificatie onder App-beheer voor voorwaardelijke toegang. Op deze pagina ziet u de apparaatidentificatieopties die beschikbaar zijn voor Defender voor Cloud Apps.
Controleer of u een X.509-basis- of tussenliggend CA-certificaat hebt geüpload. U moet het CA-certificaat uploaden dat wordt gebruikt om u te ondertekenen voor uw certificeringsinstantie.
Maak een toegangs- of sessiebeleid met het filter Apparaattag dat gelijk is aan geldig clientcertificaat.
Zorg ervoor dat uw clientcertificaat het volgende is:
- Geïmplementeerd met de PKCS #12-bestandsindeling, meestal een .p12- of PFX-bestandsextensie
- Geïnstalleerd in het gebruikersarchief, niet het apparaatarchief, van het apparaat dat u gebruikt om te testen
Start de browsersessie opnieuw op.
Wanneer u zich aanmeldt bij de beveiligde app:
- Controleer of u wordt omgeleid naar de volgende URL-syntaxis:
<https://*.managed.access-control.cas.ms/aad_login>
- Als u iOS gebruikt, controleert u of u de Safari-browser gebruikt.
- Als u Firefox gebruikt, moet u het certificaat ook toevoegen aan het eigen certificaatarchief van Firefox. Alle andere browsers gebruiken hetzelfde standaardcertificaatarchief.
- Controleer of u wordt omgeleid naar de volgende URL-syntaxis:
Controleer of het clientcertificaat wordt gevraagd in uw browser.
Als dit niet wordt weergegeven, probeert u een andere browser. De meeste belangrijke browsers ondersteunen het uitvoeren van een controle van een clientcertificaat. Mobiele apps en desktop-apps maken echter vaak gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen en dus van invloed zijn op verificatie voor deze apps.
Controleer of activiteiten van deze apparaten het logboek vullen. Voeg in Defender voor Cloud Apps op de pagina Activiteitenlogboek een filter toe op apparaattag die gelijk is aan geldig clientcertificaat.
Als u de prompt nog steeds niet ziet, opent u een ondersteuningsticket en neemt u de volgende informatie op:
- De details van de browser of systeemeigen app waar u het probleem hebt ondervonden
- De versie van het besturingssysteem, zoals iOS/Android/Windows 10
- Vermelden als de prompt werkt op Microsoft Edge Chromium
Clientcertificaten vragen bij elke aanmelding
Als u het clientcertificaat ziet verschijnen nadat u een nieuw tabblad hebt geopend, kan dit worden veroorzaakt door instellingen die zijn verborgen in internetopties. Controleer uw instellingen in uw browser. Voorbeeld:
In Microsoft Internet Explorer:
- Open Internet Explorer en selecteer het tabblad Geavanceerde internetopties.>>
- Selecteer onder Beveiliging de optie Niet vragen om clientcertificaatselectie als er slechts één certificaat bestaat>, Selecteer OK toepassen>.
- Start uw browser opnieuw en controleer of u toegang hebt tot de app zonder de extra aanwijzingen.
In Microsoft Edge/Edge Chromium:
- Open zoeken via de taakbalk en zoek naar internetopties.
- Selecteer internetopties>: lokaal>intranet aangepast intranetniveau.>
- Selecteer Uitschakelen onder Diversen>niet om selectie van clientcertificaten wanneer er slechts één certificaat bestaat.
- Selecteer OK> Toepassen.>
- Start uw browser opnieuw en controleer of u toegang hebt tot de app zonder de extra aanwijzingen.
Meer overwegingen voor apparaatidentificatie
Tijdens het oplossen van problemen met apparaatidentificatie kunt u certificaatintrekking vereisen voor clientcertificaten.
Certificaten die door de CA worden ingetrokken, worden niet meer vertrouwd. Als u deze optie selecteert, moeten alle certificaten het CRL-protocol doorgeven. Als uw clientcertificaat geen CRL-eindpunt bevat, kunt u geen verbinding maken vanaf het beheerde apparaat.
Problemen bij het onboarden van een app
Microsoft Entra ID-apps worden automatisch toegevoegd aan Defender voor Cloud Apps voor voorwaardelijke toegang en sessiebesturingselementen. U moet niet-Microsoft IdP-apps handmatig onboarden, inclusief catalogus- en aangepaste apps.
Zie voor meer informatie:
- App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft-id's
- App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft-id's
Veelvoorkomende scenario's die u kunt tegenkomen tijdens het onboarden van een app zijn onder andere:
- App wordt niet weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang
- App-status: Doorgaan met instellen
- Kan geen besturingselementen configureren voor ingebouwde apps
- De optie Sessiebeheer aanvragen wordt weergegeven
App wordt niet weergegeven op de pagina apps voor app-beheer voor voorwaardelijke toegang
Bij het onboarden van een niet-Microsoft IdP-app voor app-beheer voor voorwaardelijke toegang, is de laatste implementatiestap dat de eindgebruiker naar de app navigeert. Voer de stappen in deze sectie uit als de app niet wordt weergegeven op de pagina Apps > voor app-beheerapps voor voorwaardelijke toegang voor verbonden instellingen > > voor apps voor voorwaardelijke toegang.
Aanbevolen stappen
Zorg ervoor dat uw app voldoet aan de volgende vereisten voor app-beheer voor voorwaardelijke toegang:
- Zorg ervoor dat u een geldige Defender voor Cloud Apps-licentie hebt.
- Maak een dubbele app.
- Zorg ervoor dat de app gebruikmaakt van het SAML-protocol.
- Controleer of u de app volledig hebt ge onboardd en of de status van de app is verbonden.
Zorg ervoor dat u in een nieuwe browsersessie naar de app navigeert met behulp van een nieuwe incognitomodus of door u opnieuw aan te melden.
Notitie
Apps met entra-id's worden alleen weergegeven op de pagina Apps voor app-beheer voor voorwaardelijke toegang nadat ze zijn geconfigureerd in ten minste één beleid of als u een beleid hebt zonder app-specificatie en een gebruiker zich heeft aangemeld bij de app.
App-status: Doorgaan met instellen
De status van een app kan variëren en kan de status Continue instellen, Verbonden of Geen activiteiten bevatten.
Als de installatie niet is voltooid, ziet u een pagina met de status Continue Setup als de installatie niet is voltooid voor apps die zijn verbonden via niet-Microsoft-id-providers (IdP). Voer de volgende stappen uit om de installatie te voltooien.
Aanbevolen stappen
Selecteer Doorgaan met instellen.
Bekijk de volgende artikelen en controleer of u alle vereiste stappen hebt voltooid:
- App-beheer voor voorwaardelijke toegang implementeren voor catalogus-apps met niet-Microsoft-id's
- App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft-id's
Let op de volgende stappen:
- Zorg ervoor dat u een nieuwe aangepaste SAML-app maakt. U hebt deze app nodig om de URL's en SAML-kenmerken te wijzigen die mogelijk niet beschikbaar zijn in galerie-apps.
- Als uw id-provider het hergebruik van dezelfde id, ook wel entiteits-id of doelgroep genoemd, niet toestaat, wijzigt u de id van de oorspronkelijke app.
Kan geen besturingselementen configureren voor ingebouwde apps
Ingebouwde apps kunnen heuristisch worden gedetecteerd en u kunt toegangsbeleid gebruiken om ze te bewaken of te blokkeren. Gebruik de volgende stappen om besturingselementen voor systeemeigen apps te configureren.
Aanbevolen stappen
Voeg in een toegangsbeleid een client-app-filter toe en stel het in op Mobile en desktop.
Selecteer Onder Acties de optie Blokkeren.
U kunt desgewenst het blokkeringsbericht aanpassen dat uw gebruikers krijgen wanneer ze geen bestanden kunnen downloaden. Pas dit bericht bijvoorbeeld aan op U moet een webbrowser gebruiken om toegang te krijgen tot deze app.
Test en valideer of het besturingselement werkt zoals verwacht.
De pagina app wordt niet herkend
Defender voor Cloud Apps kunnen meer dan 31.000 apps herkennen via de cloud-app-catalogus.
Als u een aangepaste app gebruikt die is geconfigureerd via Microsoft Entra SSO en niet een van de ondersteunde apps is, wordt een app niet herkend . U kunt het probleem oplossen door de app te configureren met app-beheer voor voorwaardelijke toegang.
Aanbevolen stappen
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps. Selecteer onder Verbonden apps app-beheerapps voor voorwaardelijke toegang.
Selecteer nieuwe apps weergeven in de banner.
Zoek in de lijst met nieuwe apps de app die u onboarding uitvoert, selecteer het + teken en selecteer vervolgens Toevoegen.
- Selecteer of de app een aangepaste of standaard-app is.
- Ga door met de wizard en zorg ervoor dat de opgegeven door de gebruiker gedefinieerde domeinen juist zijn voor de app die u configureert.
Controleer of de app wordt weergegeven op de pagina App-beheerapps voor voorwaardelijke toegang.
De optie Sessiebeheer aanvragen wordt weergegeven
Na onboarding van een niet-Microsoft IdP-app ziet u mogelijk de optie Sessiebeheer aanvragen . Dit gebeurt omdat alleen catalogus-apps out-of-the-box sessiebesturingselementen hebben. Voor elke andere app moet u een zelf-onboardingproces doorlopen.
Volg de instructies bij App-beheer voor voorwaardelijke toegang implementeren voor aangepaste apps met niet-Microsoft-id's.
Aanbevolen stappen
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps.
Selecteer onder App-beheer voor voorwaardelijke toegang de optie App-onboarding/-onderhoud.
Voer de principal-naam of het e-mailadres in voor de gebruiker die de app gaat onboarden en selecteer Vervolgens Opslaan.
Ga naar de app die u implementeert. De pagina die u ziet, is afhankelijk van of de app wordt herkend. Voer een van de volgende handelingen uit, afhankelijk van de pagina die u ziet:
Niet herkend. U ziet een pagina met app die u vraagt om uw app te configureren. Voer de volgende stappen uit:
- Onboarding van de app voor app-beheer voor voorwaardelijke toegang.
- Voeg de domeinen voor de app toe.
- Installeer de certificaten van de app.
Herkend. Als uw app wordt herkend, ziet u een onboardingpagina waarin u wordt gevraagd om door te gaan met het configuratieproces van de app.
Zorg ervoor dat de app is geconfigureerd met alle domeinen die nodig zijn om de app correct te laten functioneren en ga vervolgens terug naar de app-pagina.
Meer overwegingen voor onboarding-apps
Tijdens het oplossen van problemen met onboarding-apps moet u rekening houden met enkele extra zaken.
Meer informatie over het verschil tussen de microsoft Entra-beleidsinstellingen voor voorwaardelijke toegang: 'Alleen bewaken', 'Downloads blokkeren' en 'Aangepast beleid gebruiken'
In het beleid voor voorwaardelijke toegang van Microsoft Entra kunt u de volgende ingebouwde besturingselementen voor Defender voor Cloud Apps configureren: Alleen downloads bewaken en blokkeren. Deze instellingen zijn van toepassing en dwingen de Defender voor Cloud-app-proxyfunctie af voor cloud-apps en voorwaarden die zijn geconfigureerd in Microsoft Entra-id.
Voor complexere beleidsregels selecteert u Aangepast beleid gebruiken, waarmee u toegangs- en sessiebeleid kunt configureren in Defender voor Cloud Apps.
Informatie over de filteroptie voor client-apps voor mobiele apparaten en desktops in toegangsbeleid
In Defender voor Cloud-toegangsbeleid voor apps geldt het resulterende toegangsbeleid voor browsersessies, tenzij het filter voor de client-app is ingesteld op Mobiel en desktop.
De reden hiervoor is om onbedoeld proxy van gebruikerssessies te voorkomen. Dit kan een product zijn van het gebruik van dit filter.
Problemen bij het maken van toegangs- en sessiebeleid
Defender voor Cloud Apps biedt het volgende configureerbare beleid:
- Toegangsbeleid: wordt gebruikt voor het bewaken of blokkeren van toegang tot browser-, mobiele en/of desktop-apps.
- Sessiebeleid. Wordt gebruikt voor het bewaken, blokkeren en uitvoeren van specifieke acties om gegevensinfiltratie- en exfiltratiescenario's in de browser te voorkomen.
Als u deze beleidsregels wilt gebruiken in Defender voor Cloud Apps, moet u eerst een beleid configureren in voorwaardelijke toegang van Microsoft Entra om sessiebesturingselementen uit te breiden:
Selecteer in het Microsoft Entra-beleid onder Besturingselementen voor toegang de optie App-beheer voor voorwaardelijk toegangsbeheer voor sessiegebruik>.
Selecteer een ingebouwd beleid (alleen controleren of downloads blokkeren) of aangepast beleid gebruiken om een geavanceerd beleid in te stellen in Defender voor Cloud Apps.
Selecteer Selecteren om door te gaan.
Veelvoorkomende scenario's die u kunt tegenkomen tijdens het configureren van dit beleid zijn onder andere:
- In beleid voor voorwaardelijke toegang ziet u de optie voor app-beheer voor voorwaardelijke toegang niet
- Foutbericht bij het maken van een beleid: u hebt geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang
- Kan geen sessiebeleid maken voor een app
- Kan geen inspectiemethode kiezen: Service voor gegevensclassificatie
- Kan actie niet kiezen: beveiligen
In beleid voor voorwaardelijke toegang ziet u de optie voor app-beheer voor voorwaardelijke toegang niet
Als u sessies wilt routeren naar Defender voor Cloud Apps, moet het beleid voor voorwaardelijke toegang worden geconfigureerd om sessiebesturingselementen voor app-beheer voor voorwaardelijke toegang op te nemen.
Aanbevolen stappen
Als u de optie App-beheer voor voorwaardelijke toegang niet ziet in uw beleid voor voorwaardelijke toegang, controleert u of u een geldige licentie hebt voor Microsoft Entra ID P1 en een geldige Defender voor Cloud Apps-licentie.
Foutbericht bij het maken van een beleid: u hebt geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang
Wanneer u een toegangs- of sessiebeleid maakt, ziet u mogelijk het volgende foutbericht: u hebt geen apps geïmplementeerd met app-beheer voor voorwaardelijke toegang. Deze fout geeft aan dat de app een niet-Microsoft IdP-app is die niet is toegevoegd voor app-beheer voor voorwaardelijke toegang.
Aanbevolen stappen
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps. Selecteer onder Verbonden apps app-beheerapps voor voorwaardelijke toegang.
Als u het bericht Geen apps ziet die zijn verbonden, gebruikt u de volgende handleidingen om apps te implementeren:
Als u problemen ondervindt tijdens het implementeren van de app, raadpleegt u Problemen bij het onboarden van een app.
Kan geen sessiebeleid maken voor een app
Na onboarding van een niet-Microsoft IdP-app voor app-beheer voor voorwaardelijke toegang ziet u mogelijk de optie: Sessiebeheer aanvragen op de pagina App-beheer voor voorwaardelijke toegang.
Notitie
Catalogus-apps hebben out-of-the-box sessiebesturingselementen. Voor andere niet-Microsoft IdP-apps moet u een zelf-onboardingproces doorlopen. Aanbevolen stappen
Implementeer uw app in sessiebeheer. Zie Aangepaste apps voor niet-Microsoft IdP onboarden voor app-beheer voor voorwaardelijke toegang voor meer informatie.
Maak een sessiebeleid en selecteer het app-filter .
Zorg ervoor dat uw app nu wordt weergegeven in de vervolgkeuzelijst.
Kan geen inspectiemethode kiezen: Service voor gegevensclassificatie
Wanneer u in sessiebeleid het sessiebeheertype voor het downloaden van besturingsbestanden (met inspectie) gebruikt, kunt u de inspectiemethode Data Classification Service gebruiken om uw bestanden in realtime te scannen en gevoelige inhoud te detecteren die overeenkomt met een van de criteria die u hebt geconfigureerd.
Als de inspectiemethode data classification service niet beschikbaar is, gebruikt u de volgende stappen om het probleem te onderzoeken.
Aanbevolen stappen
Controleer of het sessiebeheertype is ingesteld op het downloaden van het besturingselementbestand (met inspectie) van het besturingselement.
Notitie
De inspectiemethode data classification service is alleen beschikbaar voor het downloaden van het controlebestand (met inspectie).
Bepaal of de functie Data Classification Service beschikbaar is in uw regio:
- Als de functie niet beschikbaar is in uw regio, gebruikt u de ingebouwde DLP-inspectiemethode .
- Als de functie beschikbaar is in uw regio, maar u de inspectiemethode voor de Data Classification Service nog steeds niet kunt zien, opent u een ondersteuningsticket.
Kan actie niet kiezen: beveiligen
In sessiebeleid kunt u, naast de acties Bewaken en Blokkeren, de actie Beveiligen opgeven wanneer u het sessiebeheertype (met inspectie) voor het downloaden van besturingsbestanden (met inspectie) gebruikt. Met deze actie kunt u bestandsdownloads toestaan met de optie om machtigingen voor het bestand te versleutelen of toe te passen op basis van voorwaarden, inhoudsinspectie of beide.
Als de actie Beveiligen niet beschikbaar is, gebruikt u de volgende stappen om het probleem te onderzoeken.
Aanbevolen stappen
Als de actie Beveiligen niet beschikbaar is of grijs wordt weergegeven, controleert u of u een Microsoft Purview-licentie hebt. Zie Microsoft Purview Informatiebeveiliging-integratie voor meer informatie.
Als de actie Beveiligen beschikbaar is, maar de juiste labels niet ziet.
Selecteer in Defender voor Cloud Apps in de menubalk het instellingenpictogram >Microsoft Information Protection en controleer of de integratie is ingeschakeld.
Zorg ervoor dat Unified Labeling is geselecteerd voor Office-labels in de Microsoft Purview-portal.
Problemen vaststellen en oplossen met de werkbalk Beheerweergave
De werkbalk Beheerweergave bevindt zich onderaan het scherm en biedt hulpprogramma's voor beheerdersgebruikers om problemen met app-beheer voor voorwaardelijke toegang vast te stellen en op te lossen.
Als u de werkbalk Beheerweergave wilt weergeven, moet u specifieke beheerdersaccounts toevoegen aan de lijst voor onboarding/onderhoud van apps in de Microsoft Defender XDR-instellingen.
Een gebruiker toevoegen aan de lijst voor onboarding/onderhoud van apps:
Selecteer In Microsoft Defender XDR Instellingen>Cloud Apps.
Schuif omlaag en selecteer onder App-beheer voor voorwaardelijke toegang app-onboarding/-onderhoud.
Voer de principal-naam of het e-mailadres in voor de beheerder die u wilt toevoegen.
Selecteer de optie App-beheer voor voorwaardelijke toegang inschakelen vanuit een geproxiede sessieoptie en selecteer Vervolgens Opslaan.
Voorbeeld:
De volgende keer dat een van de vermelde gebruikers een nieuwe sessie start in een ondersteunde app waar ze een beheerder zijn, wordt de werkbalk Beheerweergave onder aan de browser weergegeven.
In de volgende afbeelding ziet u bijvoorbeeld de werkbalk Beheerweergave onder aan een browservenster, wanneer u OneNote in de browser gebruikt:
In de volgende secties wordt beschreven hoe u de werkbalk Beheerweergave gebruikt om problemen te testen en op te lossen.
Testmodus
Als beheerder wilt u mogelijk toekomstige oplossingen voor proxyfouten testen voordat de nieuwste versie volledig wordt geïmplementeerd voor alle tenants. Geef uw feedback over de foutoplossing aan het Microsoft-ondersteuningsteam om de releasecycli te versnellen.
Wanneer ze zich in de testmodus bevinden, worden alleen de gebruikers van beheerders blootgesteld aan eventuele wijzigingen in de bugfixes. Er is geen effect op andere gebruikers.
- Als u de testmodus wilt inschakelen, selecteert u testmodus in de werkbalk Beheerweergave.
- Wanneer u klaar bent met testen, selecteert u De testmodus beëindigen om terug te keren naar de normale functionaliteit.
Proxysessie overslaan
Als u een niet-Edge-browser gebruikt en problemen ondervindt bij het openen of laden van uw toepassing, kunt u controleren of het probleem zich voordoet met de proxy voor voorwaardelijke toegang door de toepassing uit te voeren zonder de proxy.
Als u de proxy wilt omzeilen, selecteert u in de werkbalk Beheerweergave de optie Bypass-ervaring. Controleer of de sessie wordt overgeslagen door te weten dat de URL niet is achtervoegsel.
De proxy voor voorwaardelijke toegang wordt opnieuw gebruikt in de volgende sessie.
Zie Microsoft Defender voor Cloud App-beheer voor voorwaardelijke toegang en beveiliging in de browser met Microsoft Edge voor Bedrijven (preview) voor meer informatie.
Tweede aanmelding (ook wel 'tweede aanmelding' genoemd)
Sommige toepassingen hebben meer dan één dieptekoppeling om u aan te melden. Tenzij u de aanmeldingskoppelingen in de app-instellingen definieert, kunnen gebruikers worden omgeleid naar een niet-herkende pagina wanneer ze zich aanmelden, waardoor hun toegang wordt geblokkeerd.
De integratie tussen IDP's zoals Microsoft Entra ID is gebaseerd op het onderscheppen van een app-aanmelding en het omleiden ervan. Dit betekent dat browser-aanmeldingen niet rechtstreeks kunnen worden beheerd zonder een tweede aanmelding te activeren. Als u een tweede aanmelding wilt activeren, moet u een tweede aanmeldings-URL gebruiken die specifiek voor dat doel is bedoeld.
Als de app gebruikmaakt van een niet-ce, is de tweede aanmelding mogelijk transparant voor gebruikers of wordt ze gevraagd zich opnieuw aan te melden.
Als deze niet transparant is voor de eindgebruiker, voegt u de tweede aanmeldings-URL toe aan de app-instellingen:
Ga naar Instellingen > voor cloud-apps > verbonden apps > voor app-beheerapps voor voorwaardelijke toegang
Selecteer de relevante app en selecteer vervolgens de drie puntjes.
Selecteer App bewerken\Geavanceerde aanmeldingsconfiguratie.
Voeg de tweede aanmeldings-URL toe, zoals vermeld op de foutpagina.
Als u zeker weet dat de app geen nonce gebruikt, kunt u dit uitschakelen door de instellingen voor apps te bewerken, zoals beschreven in Trage aanmeldingen.
Een sessie opnemen
U kunt de hoofdoorzaakanalyse van een probleem helpen door een sessie-opname naar microsoft-ondersteuningstechnici te verzenden. Gebruik de werkbalk Beheerweergave om uw sessie op te nemen.
Notitie
Alle persoonsgegevens worden uit de opnamen verwijderd.
Een sessie opnemen:
Selecteer recordsessie in de werkbalk Beheerweergave. Wanneer u hierom wordt gevraagd, selecteert u Doorgaan om de voorwaarden te accepteren. Voorbeeld:
Meld u indien nodig aan bij uw app om de sessie te simuleren.
Wanneer u klaar bent met het opnemen van het scenario, selecteert u Opname stoppen in de werkbalk Beheerweergave.
Uw opgenomen sessies weergeven:
Nadat u klaar bent met opnemen, bekijkt u de opgenomen sessies door Sessie-opnamen te selecteren op de werkbalk Beheerweergave. Er wordt een lijst met opgenomen sessies van de afgelopen 48 uur weergegeven. Voorbeeld:
Als u uw opnamen wilt beheren, selecteert u een bestand en selecteert u vervolgens Verwijderen of Downloaden indien nodig. Voorbeeld:
Domeinen toevoegen voor uw app
Door de juiste domeinen aan een app te koppelen, kunnen Defender voor Cloud apps beleidsregels en controleactiviteiten afdwingen.
Als u bijvoorbeeld een beleid hebt geconfigureerd dat het downloaden van bestanden voor een gekoppeld domein blokkeert, worden bestandsdownloads door de app van dat domein geblokkeerd. Bestandsdownloads door de app van domeinen die niet aan de app zijn gekoppeld, worden echter niet geblokkeerd en de actie wordt niet gecontroleerd in het activiteitenlogboek.
Als een beheerder in een geproxiede app bladert naar een niet-herkend domein, wordt Defender voor Cloud Apps geen deel van dezelfde app of een andere app overwegen, wordt het niet-herkende domeinbericht weergegeven, waarin de beheerder wordt gevraagd het domein toe te voegen, zodat het de volgende keer wordt beveiligd. In dergelijke gevallen is er geen actie nodig als de beheerder het domein niet wil toevoegen.
Notitie
Defender voor Cloud Apps voegt nog steeds een achtervoegsel toe aan domeinen die niet aan de app zijn gekoppeld om een naadloze gebruikerservaring te garanderen.
Domeinen toevoegen voor uw app:
Open uw app in een browser, met de werkbalk Defender voor Cloud Apps-beheerweergave zichtbaar op het scherm.
Selecteer Gedetecteerde domeinen in de werkbalk Beheerweergave.
Noteer in het deelvenster Gedetecteerde domeinen de domeinnamen die worden vermeld of exporteer de lijst als een .csv-bestand.
In het deelvenster Gedetecteerde domeinen ziet u een lijst met alle domeinen die niet aan de app zijn gekoppeld. De domeinnamen zijn volledig gekwalificeerd.
Selecteer in Microsoft Defender XDR instellingen>voor apps die zijn verbonden met cloud-apps>>app-beheerapps voor voorwaardelijke toegang.
Zoek uw app in de tabel. Selecteer het menu Opties aan de rechterkant en selecteer vervolgens App bewerken.
Voer in het veld Door de gebruiker gedefinieerde domeinen de domeinen in die u aan deze app wilt koppelen.
Als u de lijst met domeinen wilt weergeven die al in de app zijn geconfigureerd, selecteert u de koppeling App-domeinen weergeven .
Wanneer u domeinen toevoegt, kunt u overwegen of u specifieke domeinen wilt toevoegen of een sterretje wilt gebruiken (*****as een jokerteken om meerdere domeinen tegelijk te gebruiken.
Zijn bijvoorbeeld
sub1.contoso.com
sub2.contoso.com
voorbeelden van specifieke domeinen. Als u beide domeinen tegelijk wilt toevoegen, evenals andere domeinen op hetzelfde niveau, gebruikt u*.contoso.com
.
Zie Apps beveiligen met Microsoft Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps voor meer informatie.