Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników administratorów

Ten artykuł zawiera Microsoft Defender dla Chmury Administratorów aplikacji ze wskazówkami dotyczącymi sposobu badania i rozwiązywania typowych problemów z dostępem i kontrolą sesji, które występują przez administratorów.

Uwaga

Wszelkie rozwiązywanie problemów związanych z funkcją serwera proxy jest istotne tylko w przypadku sesji, które nie są skonfigurowane do ochrony w przeglądarce za pomocą przeglądarki Microsoft Edge.

Sprawdzanie minimalnych wymagań

Przed rozpoczęciem rozwiązywania problemów upewnij się, że środowisko spełnia następujące minimalne wymagania ogólne dotyczące kontroli dostępu i sesji.

Wymaganie	opis
Licencjonowanie	Upewnij się, że masz ważną licencję dla aplikacji Microsoft Defender dla Chmury.
Logowanie jednokrotne (SSO)	Aplikacje muszą być skonfigurowane przy użyciu jednego z obsługiwanych rozwiązań do logowania jednokrotnego: — Microsoft Entra ID przy użyciu protokołu SAML 2.0 lub OpenID Connect 2.0 — Dostawca tożsamości firmy innej niż Microsoft korzystający z protokołu SAML 2.0
Obsługa przeglądarki	Kontrolki sesji są dostępne dla sesji opartych na przeglądarce w najnowszych wersjach następujących przeglądarek: — Microsoft Edge - Google Chrome - Mozilla Firefox — Apple Safari Ochrona w przeglądarce dla przeglądarki Microsoft Edge ma również określone wymagania, w tym użytkownik zalogowany przy użyciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.
Przestój	Defender dla Chmury Apps umożliwia zdefiniowanie domyślnego zachowania, które ma być stosowane, jeśli wystąpią przerwy w działaniu usługi, takie jak składnik, który nie działa prawidłowo. Jeśli na przykład nie można wymusić normalnych kontrolek zasad, możesz zdecydować się na wzmocnienie (blokowanie) lub obejście (zezwalanie) użytkownikom na podejmowanie akcji dotyczących potencjalnie poufnej zawartości. Aby skonfigurować domyślne zachowanie podczas przestoju systemu, w usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia>Domyślne zachowanie>kontroli>dostępu warunkowego aplikacji Zezwalaj lub Blokuj dostęp.

Wymagania dotyczące ochrony w przeglądarce

Jeśli używasz ochrony w przeglądarce z przeglądarką Microsoft Edge i nadal jest obsługiwana przez zwrotny serwer proxy, upewnij się, że spełniasz następujące dodatkowe wymagania:

• Ta funkcja jest włączona w ustawieniach usługi Defender XDR. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień ochrony w przeglądarce.

• Wszystkie zasady objęte przez użytkownika są obsługiwane w przeglądarce Microsoft Edge dla firm. Jeśli użytkownik jest obsługiwany przez inne zasady, które nie są obsługiwane przez przeglądarkę Microsoft Edge dla firm, są one zawsze obsługiwane przez zwrotny serwer proxy. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.

• Używasz obsługiwanej platformy, w tym obsługiwanego systemu operacyjnego, platformy tożsamości i wersji przeglądarki Edge. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.

Dokumentacja rozwiązywania problemów dla administratorów

Skorzystaj z poniższej tabeli, aby znaleźć problem, który próbujesz rozwiązać:

Typ problemu	Problemy
Problemy z warunkami sieci	Błędy sieci podczas przechodzenia do strony przeglądarki Powolne logowania Więcej zagadnień dotyczących warunków sieciowych
Problemy z identyfikacją urządzeń	Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane Certyfikaty klienta są monitowane przy każdym logowaniu Więcej zagadnień dotyczących identyfikacji urządzeń
Problemy podczas dołączania aplikacji	Aplikacja nie jest wyświetlana na stronie aplikacji kontroli dostępu warunkowego Stan aplikacji: Kontynuuj instalację Nie można skonfigurować kontrolek dla aplikacji natywnych Pojawi się opcja kontrolki sesji żądania
Problemy podczas tworzenia zasad dostępu i sesji	W zasadach dostępu warunkowego nie można wyświetlić opcji kontroli dostępu warunkowego aplikacji Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych przy użyciu kontroli dostępu warunkowego aplikacji Nie można utworzyć zasad sesji dla aplikacji Nie można wybrać metody inspekcji: usługa klasyfikacji danych Nie można wybrać akcji: Chroń Więcej zagadnień dotyczących dołączania aplikacji
Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Widok administratora	Pomijanie sesji serwera proxy Rejestrowanie sesji Dodawanie domen dla aplikacji

Problemy z warunkami sieci

Typowe problemy z warunkami sieci, które mogą wystąpić, obejmują:

• Błędy sieci podczas przechodzenia do strony przeglądarki
• Powolne logowanie
• Dodatkowe zagadnienia

Błędy sieci podczas przechodzenia do strony przeglądarki

Podczas pierwszego konfigurowania kontrolek dostępu do aplikacji i sesji aplikacji Defender dla Chmury występują typowe błędy sieci, takie jak: Ta witryna nie jest bezpieczna i nie ma połączenia internetowego. Te komunikaty mogą wskazywać ogólny błąd konfiguracji sieci.

Zalecane czynności

1. Skonfiguruj zaporę do pracy z aplikacjami Defender dla Chmury przy użyciu adresów IP platformy Azure i nazw DNS odpowiednich dla danego środowiska.

   1. Dodaj port wychodzący 443 dla następujących adresów IP i nazw DNS dla centrum danych usługi Defender dla Chmury Apps.
   2. Uruchom ponownie urządzenie i sesję przeglądarki
   3. Sprawdź, czy logowanie działa zgodnie z oczekiwaniami

2. Włącz protokół TLS 1.2 w opcjach internetowych przeglądarki. Na przykład:

   Przeglądarka	Kroki
   Microsoft Internet Explorer	1. Otwórz program Internet Explorer 2. Wybierz kartę Narzędzia>Opcje>internetowe Zaawansowane 3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2 4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK 5. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Microsoft Edge/Edge Chromium	1. Otwórz wyszukiwanie na pasku zadań i wyszukaj ciąg "Opcje internetowe" 2. Wybierz pozycję Opcje internetowe 3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2 4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK 5. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Google Chrome	1. Otwórz przeglądarkę Google Chrome 2. W prawym górnym rogu wybierz pozycję Więcej (3 kropki pionowe) >Ustawienia 3. W dolnej części wybierz pozycję Zaawansowane 4. W obszarze System wybierz pozycję Otwórz ustawienia serwera proxy 5. Na karcie Zaawansowane w obszarze Zabezpieczenia wybierz pozycję TLS 1.2 6. Wybierz przycisk OK 7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Mozilla Firefox	1. Otwórz Mozilla Firefox 2. Na pasku adresu i wyszukaj ciąg "about:config" 3. W polu Wyszukiwania wyszukaj ciąg "TLS" 4. Kliknij dwukrotnie wpis security.tls.version.min 5. Ustaw wartość całkowitą na 3, aby wymusić protokół TLS 1.2 jako minimalną wymaganą wersję 6. Wybierz pozycję Zapisz (znacznik wyboru po prawej stronie pola wartości) 7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Safari	Jeśli używasz przeglądarki Safari w wersji 7 lub nowszej, protokół TLS 1.2 jest automatycznie włączony

Defender dla Chmury Apps używa protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego szyfrowania w klasie:

• Natywne aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne podczas konfigurowania z kontrolą sesji.
• Aplikacje SaaS korzystające z protokołu TLS 1.1 lub niższego są wyświetlane w przeglądarce jako korzystające z protokołu TLS 1.2 lub nowszego podczas konfigurowania z aplikacjami Defender dla Chmury.

Napiwek

Chociaż kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej platformie głównej w dowolnym systemie operacyjnym, obsługujemy najnowsze wersje przeglądarki Microsoft Edge, Google Chrome, Mozilla Firefox lub Apple Safari. Możesz zablokować lub zezwolić na dostęp specjalnie do aplikacji mobilnych lub klasycznych.

Powolne logowania

Łańcuchy serwerów proxy i obsługa nieobsługiwająca to niektóre typowe problemy, które mogą spowodować niską wydajność logowania.

Zalecane czynności

Skonfiguruj środowisko, aby usunąć wszelkie czynniki, które mogą powodować spowolnienie podczas logowania. Na przykład może istnieć skonfigurowane zapory lub przekierowanie łańcucha serwerów proxy, które łączy dwa lub więcej serwerów proxy w celu przejścia do zamierzonej strony. Możesz również mieć inne czynniki zewnętrzne wpływające na spowolnienie.

1. Określ, czy łańcuch serwerów proxy występuje w danym środowisku.
2. W miarę możliwości usuń wszystkie serwery proxy przekazywania dalej.

Niektóre aplikacje używają skrótu innego niż podczas uwierzytelniania, aby zapobiec atakom powtarzanym. Domyślnie Defender dla Chmury Apps zakłada, że aplikacja używa innej aplikacji. Jeśli aplikacja, z którą pracujesz, nie używa innej aplikacji, wyłącz obsługę nieobsługiwną dla tej aplikacji w usłudze Defender dla Chmury Apps:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.
2. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.
3. Na liście aplikacji w wierszu, w którym jest wyświetlana konfigurowana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj dla aplikacji.
4. Wybierz pozycję Obsługa nieobsługiwać , aby rozwinąć sekcję, a następnie wyczyść pole Wyboru Włącz obsługę nieobsługiwać.
5. Wyloguj się z aplikacji i zamknij wszystkie sesje przeglądarki.
6. Uruchom ponownie przeglądarkę i zaloguj się ponownie do aplikacji. Sprawdź, czy logowanie działa zgodnie z oczekiwaniami.

Więcej zagadnień dotyczących warunków sieciowych

Podczas rozwiązywania problemów z warunkami sieciowymi należy również wziąć pod uwagę następujące uwagi dotyczące serwera proxy usługi Defender dla Chmury Apps:

• Sprawdź, czy sesja jest kierowana do innego centrum danych: Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie do optymalizacji wydajności za pomocą geolokalizacji.

  Oznacza to, że sesja użytkownika może być hostowana poza regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.

• Wydajność serwera proxy: wyprowadzanie punktu odniesienia wydajności zależy od wielu czynników spoza serwera proxy aplikacji Defender dla Chmury, takich jak:

  • Jakie inne serwery proxy lub bramy znajdują się w serii z tym serwerem proxy
  • Skąd pochodzi użytkownik
  • Gdzie znajduje się docelowy zasób
  • Określone żądania na stronie

  Ogólnie rzecz biorąc, każdy serwer proxy dodaje opóźnienie. Zalety serwera proxy aplikacji Defender dla Chmury to:

  • Dzięki globalnej dostępności kontrolerów domeny platformy Azure można geolokować użytkowników do najbliższego węzła i zmniejszyć ich odległość dwukierunkową. Kontrolery domeny platformy Azure mogą geolokować na dużą skalę, jaką ma kilka usług na całym świecie.

  • Integracja z dostępem warunkowym firmy Microsoft Entra umożliwia kierowanie tylko sesji, które mają być serwerem proxy do naszej usługi, zamiast wszystkich użytkowników we wszystkich sytuacjach.

Problemy z identyfikacją urządzeń

Defender dla Chmury Apps udostępnia następujące opcje identyfikowania stanu zarządzania urządzenia.

• Zgodność z usługą Microsoft Intune
• Przyłączona hybrydowa domena firmy Microsoft Entra
• Certyfikaty klienta

Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami urządzeń za pomocą kontroli aplikacji dostępu warunkowego.

Typowe problemy z identyfikacją urządzeń, które mogą wystąpić, obejmują:

• Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra
• Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane
• Certyfikaty klienta są monitowane przy każdym logowaniu
• Dodatkowe zagadnienia

Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra

Dostęp warunkowy firmy Microsoft Entra umożliwia przekazywanie informacji o urządzeniu dołączonym hybrydowo do usługi Microsoft Entra w usłudze Intune bezpośrednio do aplikacji Defender dla Chmury. W usłudze Defender dla Chmury Apps użyj stanu urządzenia jako filtru dla zasad dostępu lub sesji.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zarządzania urządzeniami w usłudze Microsoft Entra ID.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w usłudze Defender dla Chmury Apps.

3. W przypadku identyfikacji urządzeń zgodnych z usługą Intune i identyfikacji hybrydowej dołączonej do firmy Microsoft wybierz opcję Wyświetl konfigurację i sprawdź, czy usługi zostały skonfigurowane. Usługi są automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft i usługą Intune.

4. Utwórz zasady dostępu lub sesji za pomocą filtru Tag urządzenia równego dołączonej hybrydowo usłudze Azure AD, zgodnej z usługą Intune lub obu tych elementów.

5. W przeglądarce zaloguj się do urządzenia, które jest przyłączone hybrydo do firmy Microsoft lub zgodne z usługą Intune na podstawie filtru zasad.

6. Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W obszarze Defender dla Chmury Apps na stronie Dziennik aktywności filtruj tag urządzenia równy dołączeniu hybrydowemu do usługi Azure AD, zgodności z usługą Intune lub obu tych elementów na podstawie filtrów zasad.

7. Jeśli działania nie są wypełniane w dzienniku aktywności usługi Defender dla Chmury Apps, przejdź do pozycji Microsoft Entra ID i wykonaj następujące czynności:

   1. W obszarze Monitorowanie>logowań sprawdź, czy w dziennikach znajdują się działania związane z logowaniem.

   2. Wybierz odpowiedni wpis dziennika dla zalogowanego urządzenia.

   3. W okienku Szczegóły na karcie Informacje o urządzeniu sprawdź, czy urządzenie jest Zarządzane (w przypadku urządzeń dołączonych hybrydowo do usługi Azure AD) lub Zgodne (w przypadku zgodnych urządzeń usługi Intune).

      Jeśli nie możesz zweryfikować stanu, spróbuj użyć innego wpisu dziennika lub upewnij się, że dane urządzenia są poprawnie skonfigurowane w identyfikatorze Entra firmy Microsoft.

   4. W przypadku dostępu warunkowego niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak instalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.

   5. Jeśli nadal nie widzisz informacji o urządzeniu na stronie Logowania , otwórz bilet pomocy technicznej dla identyfikatora Entra firmy Microsoft.

Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane

Mechanizm identyfikacji urządzenia może żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta. Certyfikat głównego lub pośredniego urzędu certyfikacji (CA) X.509 można przekazać w formacie certyfikatu PEM.

Certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta przedstawionych podczas sesji. Aby uzyskać więcej informacji, zobacz Sprawdzanie zarządzania urządzeniami bez firmy Microsoft Entra.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w usłudze Defender dla Chmury Apps.

3. Sprawdź, czy przekazano certyfikat głównego lub pośredniego urzędu certyfikacji X.509. Należy przekazać certyfikat urzędu certyfikacji używany do podpisywania urzędu certyfikacji.

4. Utwórz zasady dostępu lub sesji za pomocą filtru Tag urządzenia równego Prawidłowemu certyfikatowi klienta.

5. Upewnij się, że certyfikat klienta to:

   • Wdrożono przy użyciu formatu pliku PKCS #12, zazwyczaj pliku p12 lub pfx
   • Zainstalowane w magazynie użytkownika, a nie w magazynie urządzeń, na urządzeniu, którego używasz do testowania

6. Uruchom ponownie sesję przeglądarki.

7. Podczas logowania się do chronionej aplikacji:

   • Sprawdź, czy nastąpi przekierowanie do następującej składni adresu URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Jeśli używasz systemu iOS, upewnij się, że używasz przeglądarki Safari.
   • Jeśli używasz przeglądarki Firefox, musisz również dodać certyfikat do własnego magazynu certyfikatów przeglądarki Firefox. Wszystkie inne przeglądarki używają tego samego domyślnego magazynu certyfikatów.

8. Sprawdź, czy w przeglądarce zostanie wyświetlony monit o certyfikat klienta.

   Jeśli nie zostanie wyświetlona, spróbuj użyć innej przeglądarki. Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często używają wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania i w związku z tym mają wpływ na uwierzytelnianie tych aplikacji.

9. Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W aplikacji Defender dla Chmury na stronie Dziennik aktywności dodaj filtr tagu urządzenia równy prawidłowemu certyfikatowi klienta.

10. Jeśli nadal nie widzisz monitu, otwórz bilet pomocy technicznej i dołącz następujące informacje:

    • Szczegóły przeglądarki lub aplikacji natywnej, w której wystąpił problem
    • Wersja systemu operacyjnego, taka jak iOS/Android/Windows 10
    • Wzmianka, czy monit działa w przeglądarce Microsoft Edge Chromium

Certyfikaty klienta są monitowane przy każdym logowaniu

Jeśli po otwarciu nowej karty pojawia się certyfikat klienta, może to być spowodowane ustawieniami ukrytymi w obszarze Opcje internetowe. Sprawdź ustawienia w przeglądarce. Na przykład:

W programie Microsoft Internet Explorer:

1. Otwórz program Internet Explorer i wybierz pozycję Narzędzia>Opcje>internetowe kartę Zaawansowane.
2. W obszarze Zabezpieczenia wybierz pozycję Nie monituj o wybór certyfikatu klienta, gdy istnieje> tylko jeden certyfikat Wybierz >przycisk ZASTOSUJ OK.
3. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.

W przeglądarce Microsoft Edge/Edge Chromium:

1. Otwórz wyszukiwanie na pasku zadań i wyszukaj pozycję Opcje internetowe.
2. Wybierz pozycję Opcje>internetowe Zabezpieczenia>lokalny poziom niestandardowy intranetu.>
3. W obszarze Różne>nie monituj o wybór certyfikatu klienta, jeśli istnieje tylko jeden certyfikat, wybierz pozycję Wyłącz.
4. Wybierz przycisk OK Zastosuj>przycisk OK.>
5. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.

Więcej zagadnień dotyczących identyfikacji urządzeń

Podczas rozwiązywania problemów z identyfikacją urządzenia można wymagać odwołania certyfikatów dla certyfikatów klienta.

Certyfikaty, które zostały odwołane przez urząd certyfikacji, nie są już zaufane. Wybranie tej opcji wymaga przekazania protokołu listy CRL przez wszystkie certyfikaty. Jeśli certyfikat klienta nie zawiera punktu końcowego listy CRL, nie można nawiązać połączenia z urządzenia zarządzanego.

Problemy podczas dołączania aplikacji

Aplikacje Microsoft Entra ID są automatycznie dołączane do aplikacji Defender dla Chmury na potrzeby kontroli dostępu warunkowego i sesji. Musisz ręcznie dołączyć aplikacje innych niż Microsoft IdP, w tym katalog i aplikacje niestandardowe.

Aby uzyskać więcej informacji, zobacz:

• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu przy użyciu dostawców tożsamości innych niż Microsoft
• Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji niestandardowych przy użyciu dostawców tożsamości innych niż Microsoft

Typowe scenariusze, które mogą wystąpić podczas dołączania aplikacji, obejmują:

• Aplikacja nie jest wyświetlana na stronie Aplikacji kontroli dostępu warunkowego
• Stan aplikacji: Kontynuuj instalację
• Nie można skonfigurować kontrolek dla wbudowanych aplikacji
• Pojawi się opcja kontrolki sesji żądania

Aplikacja nie jest wyświetlana na stronie aplikacji kontroli dostępu warunkowego

Podczas dołączania aplikacji innej niż Microsoft IdP do kontroli aplikacji dostępu warunkowego ostatnim krokiem wdrożenia jest przejście użytkownika końcowego do aplikacji. Wykonaj kroki opisane w tej sekcji, jeśli aplikacja nie jest wyświetlana na stronie Ustawienia > Aplikacje w chmurze Połączone aplikacje > > Aplikacje kontroli dostępu warunkowego aplikacji oczekiwano.

Zalecane czynności

1. Upewnij się, że aplikacja spełnia następujące wymagania wstępne dotyczące kontroli dostępu warunkowego:

   • Upewnij się, że masz prawidłową licencję Defender dla Chmury Apps.
   • Utwórz zduplikowaną aplikację.
   • Upewnij się, że aplikacja używa protokołu SAML.
   • Sprawdź, czy aplikacja została w pełni dołączona, a stan aplikacji to Połączono.

2. Pamiętaj, aby przejść do aplikacji w nowej sesji przeglądarki przy użyciu nowego trybu incognito lub zalogować się ponownie.

Uwaga

Aplikacje entra ID są wyświetlane tylko na stronie Aplikacje kontroli dostępu warunkowego aplikacji po ich skonfigurowaniu w co najmniej jednej zasadach lub jeśli masz zasady bez żadnej specyfikacji aplikacji i użytkownik zalogował się do aplikacji.

Stan aplikacji: Kontynuuj instalację

Stan aplikacji może się różnić i może zawierać opcję Kontynuuj instalację, Połączono lub Brak działań.

W przypadku aplikacji połączonych za pośrednictwem dostawców tożsamości innych niż Microsoft (IdP), jeśli konfiguracja nie zostanie ukończona, podczas uzyskiwania dostępu do aplikacji zostanie wyświetlona strona ze stanem Kontynuuj instalację. Aby ukończyć instalację, wykonaj następujące kroki.

Zalecane czynności

1. Wybierz pozycję Kontynuuj instalację.

2. Przejrzyj następujące artykuły i sprawdź, czy zostały wykonane wszystkie wymagane kroki:

   • Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji wykazu przy użyciu dostawców tożsamości innych niż Microsoft
   • Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji niestandardowych przy użyciu dostawców tożsamości innych niż Microsoft

   Zwróć szczególną uwagę na następujące kroki:

   1. Upewnij się, że tworzysz nową niestandardową aplikację SAML. Ta aplikacja wymaga zmiany adresów URL i atrybutów SAML, które mogą nie być dostępne w aplikacjach galerii.
   2. Jeśli dostawca tożsamości nie zezwala na ponowne użycie tego samego identyfikatora, znanego również jako identyfikator jednostki lub odbiorcy, zmień identyfikator oryginalnej aplikacji.

Nie można skonfigurować kontrolek dla wbudowanych aplikacji

Wbudowane aplikacje można wykrywać heurystycznie i można ich monitorować lub blokować za pomocą zasad dostępu. Wykonaj poniższe kroki, aby skonfigurować kontrolki dla aplikacji natywnych.

Zalecane czynności

1. W zasadach dostępu dodaj filtr aplikacji klienckiej i ustaw go na urządzenia przenośne i stacjonarne.

2. W obszarze Akcje wybierz pozycję Blokuj.

3. Opcjonalnie dostosuj komunikat blokujący, który użytkownicy otrzymają, gdy nie będą mogli pobrać plików. Na przykład dostosuj ten komunikat do opcji Aby uzyskać dostęp do tej aplikacji, musisz użyć przeglądarki internetowej.

4. Przetestuj i sprawdź, czy kontrolka działa zgodnie z oczekiwaniami.

Zostanie wyświetlona strona Aplikacji, która nie jest rozpoznawana

Defender dla Chmury Aplikacje mogą rozpoznawać ponad 31 000 aplikacji za pośrednictwem katalogu aplikacji w chmurze.

Jeśli używasz aplikacji niestandardowej skonfigurowanej za pomocą logowania jednokrotnego firmy Microsoft i nie jesteś jedną z obsługiwanych aplikacji, natkniesz się na stronę Aplikacja nie jest rozpoznawana . Aby rozwiązać ten problem, należy skonfigurować aplikację z kontrolą dostępu warunkowego.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.

2. Na banerze wybierz pozycję Wyświetl nowe aplikacje.

3. Na liście nowych aplikacji znajdź aplikację, którą dołączasz, wybierz + znak, a następnie wybierz pozycję Dodaj.

   1. Wybierz, czy aplikacja jest aplikacją niestandardową, czy standardową.
   2. Kontynuuj pracę kreatora, upewnij się, że określone domeny zdefiniowane przez użytkownika są poprawne dla konfigurowanej aplikacji.

4. Sprawdź, czy aplikacja jest wyświetlana na stronie Aplikacje kontroli dostępu warunkowego aplikacji.

Pojawi się opcja kontrolki sesji żądania

Po dołączeniu aplikacji innej niż Microsoft IdP może zostać wyświetlona opcja Zażądaj kontroli sesji. Dzieje się tak, ponieważ tylko aplikacje wykazu mają gotowe kontrolki sesji. W przypadku każdej innej aplikacji należy przejść przez proces samodzielnego dołączania.

Postępuj zgodnie z instrukcjami w temacie Deploy Conditional Access app control for custom apps with non-Microsoft IDPs (Wdrażanie kontroli dostępu warunkowego dla aplikacji niestandardowych przy użyciu dostawców tożsamości innych niż Microsoft).

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

3. Wprowadź główną nazwę lub adres e-mail użytkownika, który będzie dołączał aplikację, a następnie wybierz pozycję Zapisz.

4. Przejdź do wdrażanych aplikacji. Wyświetlona strona zależy od tego, czy aplikacja jest rozpoznawana. Wykonaj jedną z następujących czynności, w zależności od wyświetlonej strony:

   • Nie rozpoznano. Zostanie wyświetlona strona Aplikacja nie rozpoznana z monitem o skonfigurowanie aplikacji. Wykonaj poniższe kroki:

     1. Dołącz aplikację do kontroli dostępu warunkowego.
     2. Dodaj domeny dla aplikacji.
     3. Zainstaluj certyfikaty aplikacji.

   • Rozpoznano. Jeśli aplikacja jest rozpoznawana, zostanie wyświetlona strona dołączania z monitem o kontynuowanie procesu konfiguracji aplikacji.

     Upewnij się, że aplikacja jest skonfigurowana z wszystkimi domenami wymaganymi do poprawnego działania aplikacji, a następnie wróć do strony aplikacji.

Więcej zagadnień dotyczących dołączania aplikacji

Podczas rozwiązywania problemów dotyczących dołączania aplikacji należy wziąć pod uwagę pewne dodatkowe kwestie.

• Zapoznaj się z różnicą między ustawieniami zasad dostępu warunkowego firmy Microsoft: "Tylko monitorowanie", "Blokuj pobieranie" i "Użyj zasad niestandardowych"

  W zasadach dostępu warunkowego firmy Microsoft można skonfigurować następujące wbudowane kontrolki Defender dla Chmury Apps: Monitoruj tylko i Blokuj pobieranie. Te ustawienia mają zastosowanie i wymuszają funkcję serwera proxy aplikacji Defender dla Chmury dla aplikacji w chmurze i warunków skonfigurowanych w usłudze Microsoft Entra ID.

  Aby uzyskać bardziej złożone zasady, wybierz pozycję Użyj zasad niestandardowych, które umożliwiają konfigurowanie zasad dostępu i sesji w aplikacjach Defender dla Chmury.

• Omówienie opcji filtru aplikacji klienckiej "Aplikacje mobilne i klasyczne" w zasadach dostępu

  W zasadach dostępu Defender dla Chmury Apps, chyba że filtr aplikacji klienckiej jest ustawiony na Aplikacje mobilne i klasyczne, wynikowe zasady dostępu dotyczą sesji przeglądarki.

  Przyczyną tego jest zapobieganie nieumyślnym serwerom proxy sesji użytkowników, które mogą być produktem ubocznym korzystania z tego filtru.

Problemy podczas tworzenia zasad dostępu i sesji

Defender dla Chmury Apps udostępnia następujące konfigurowalne zasady:

• Zasady dostępu: służy do monitorowania lub blokowania dostępu do przeglądarek, aplikacji mobilnych i/lub klasycznych.
• Zasady sesji. Służy do monitorowania, blokowania i wykonywania określonych akcji, aby zapobiec infiltracji i eksfiltracji danych w przeglądarce.

Aby użyć tych zasad w usłudze Defender dla Chmury Apps, należy najpierw skonfigurować zasady w usłudze Microsoft Entra Conditional Access w celu rozszerzenia kontroli sesji:

1. W zasadach firmy Microsoft Entra w obszarze Kontrola dostępu wybierz pozycję Sesja>Użyj kontroli dostępu warunkowego aplikacji.

2. Wybierz wbudowane zasady (Monitoruj tylko lub Blokuj pobieranie) lub Użyj zasad niestandardowych, aby ustawić zaawansowane zasady w usłudze Defender dla Chmury Apps.

3. Wybierz pozycję Wybierz, aby kontynuować.

Typowe scenariusze, które mogą wystąpić podczas konfigurowania tych zasad, obejmują:

• W zasadach dostępu warunkowego nie można wyświetlić opcji kontroli dostępu warunkowego aplikacji
• Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych przy użyciu kontroli dostępu warunkowego aplikacji
• Nie można utworzyć zasad sesji dla aplikacji
• Nie można wybrać metody inspekcji: usługa klasyfikacji danych
• Nie można wybrać akcji: Chroń

W zasadach dostępu warunkowego nie można wyświetlić opcji kontroli dostępu warunkowego aplikacji

Aby kierować sesje do aplikacji Defender dla Chmury, należy skonfigurować zasady dostępu warunkowego firmy Microsoft w celu uwzględnienia kontroli sesji kontroli dostępu warunkowego aplikacji.

Zalecane czynności

Jeśli nie widzisz opcji Kontrola dostępu warunkowego w zasadach dostępu warunkowego, upewnij się, że masz prawidłową licencję dla microsoft Entra ID P1 i prawidłową licencję Defender dla Chmury Apps.

Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych przy użyciu kontroli dostępu warunkowego aplikacji

Podczas tworzenia zasad dostępu lub sesji może zostać wyświetlony następujący komunikat o błędzie: Nie masz żadnych aplikacji wdrożonych przy użyciu kontroli dostępu warunkowego aplikacji. Ten błąd wskazuje, że aplikacja jest aplikacją inną niż Microsoft IdP, która nie została dołączona do kontroli aplikacji dostępu warunkowego.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze. W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.

2. Jeśli zostanie wyświetlony komunikat Brak połączonych aplikacji, użyj następujących przewodników, aby wdrożyć aplikacje:

   • Dołączanie aplikacji katalogu innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego
   • Dołączanie niestandardowych aplikacji innych niż Microsoft IdP do kontroli aplikacji dostępu warunkowego

Jeśli wystąpią problemy podczas wdrażania aplikacji, zobacz Problemy podczas dołączania aplikacji.

Nie można utworzyć zasad sesji dla aplikacji

Po dołączeniu aplikacji innej niż Microsoft IdP do kontroli aplikacji dostępu warunkowego na stronie Aplikacje kontroli dostępu warunkowego aplikacji może być widoczna opcja: Żądanie kontroli sesji.

Uwaga

Aplikacje wykazu mają gotowe kontrolki sesji. W przypadku innych aplikacji innych niż Microsoft IdP należy przejść przez proces samodzielnego dołączania. Zalecane czynności

1. Wdróż aplikację w kontrolce sesji. Aby uzyskać więcej informacji, zobacz Dołączanie niestandardowych aplikacji innych niż Microsoft IdP do kontroli aplikacji dostępu warunkowego.

2. Utwórz zasady sesji i wybierz filtr Aplikacja .

3. Upewnij się, że aplikacja jest teraz wyświetlana na liście rozwijanej.

Nie można wybrać metody inspekcji: usługa klasyfikacji danych

W zasadach sesji, w przypadku używania typu kontroli kontroli sesji pobierania pliku kontroli (z inspekcją) można użyć metody inspekcji usługi klasyfikacji danych do skanowania plików w czasie rzeczywistym i wykrywania poufnej zawartości zgodnej z dowolnymi skonfigurowanymi kryteriami.

Jeśli metoda inspekcji usługi klasyfikacji danych jest niedostępna, wykonaj następujące kroki, aby zbadać problem.

Zalecane czynności

1. Sprawdź, czy typ kontrolki sesji ma ustawioną wartość Control file download (with inspection) (Kontrola pobierania plików (z inspekcją).

   Uwaga

   Metoda inspekcji usługi klasyfikacji danych jest dostępna tylko dla opcji Pobieranie pliku kontroli (z inspekcją).

2. Ustal, czy funkcja usługi klasyfikacji danych jest dostępna w Twoim regionie:

   • Jeśli funkcja nie jest dostępna w Twoim regionie, użyj wbudowanej metody inspekcji DLP .
   • Jeśli funkcja jest dostępna w Twoim regionie, ale nadal nie widzisz metody inspekcji usługi klasyfikacji danych, otwórz bilet pomocy technicznej.

Nie można wybrać akcji: Chroń

W zasadach sesji, w przypadku używania typu kontroli kontroli sesji pobierania pliku sterowania (z inspekcją) oprócz akcji Monitor i Blokuj , można określić akcję Chroń . Ta akcja umożliwia zezwolenie na pobieranie plików z opcją szyfrowania lub stosowania uprawnień do pliku na podstawie warunków, inspekcji zawartości lub obu tych elementów.

Jeśli akcja Chroń jest niedostępna, wykonaj następujące kroki, aby zbadać problem.

Zalecane czynności

1. Jeśli akcja Ochrona jest niedostępna lub jest wyszarzony, sprawdź, czy masz licencję usługi Microsoft Purview. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Purview Information Protection.

2. Jeśli akcja Chroń jest dostępna, ale nie widzi odpowiednich etykiet.

   1. Na Defender dla Chmury Apps na pasku menu wybierz ikonę >ustawień Microsoft Information Protection i sprawdź, czy integracja jest włączona.

   2. W przypadku etykiet pakietu Office w portalu Microsoft Purview upewnij się, że wybrano opcję Ujednolicone etykietowanie .

Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Widok administratora

Pasek narzędzi Widok administratora znajduje się w dolnej części ekranu i udostępnia narzędzia dla administratorów w celu diagnozowania i rozwiązywania problemów z kontrolą aplikacji dostępu warunkowego.

Aby wyświetlić pasek narzędzi Widok administratora, należy pamiętać o dodaniu określonych kont użytkowników administracyjnych do listy Dołączanie aplikacji/konserwacja w ustawieniach XDR usługi Microsoft Defender.

Aby dodać użytkownika do listy Dołączanie aplikacji/konserwacja:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.

2. Przewiń w dół i w obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

3. Wprowadź główną nazwę lub adres e-mail użytkownika administratora, który chcesz dodać.

4. Wybierz opcję Włącz tych użytkowników, aby pominąć kontrolę dostępu warunkowego aplikacji w ramach sesji proxied, a następnie wybierz pozycję Zapisz.

   Na przykład:

   

Następnym razem, gdy jeden z wymienionych użytkowników rozpocznie nową sesję w obsługiwanej aplikacji, w której jest administratorem, pasek narzędzi Widok administratora jest wyświetlany w dolnej części przeglądarki.

Na przykład na poniższej ilustracji przedstawiono pasek narzędzi Widok administratora wyświetlany w dolnej części okna przeglądarki podczas korzystania z programu OneNote w przeglądarce:

W poniższych sekcjach opisano, jak używać paska narzędzi Widok administratora do testowania i rozwiązywania problemów.

Tryb testowy

Jako administrator możesz przetestować nadchodzące poprawki błędów serwera proxy, zanim najnowsza wersja zostanie w pełni wdrożona we wszystkich dzierżawach. Przekaż swoją opinię na temat poprawki usterek zespołowi pomocy technicznej firmy Microsoft, aby przyspieszyć cykle wydawania.

W trybie testowym tylko użytkownicy administracyjni są narażeni na wszelkie zmiany wprowadzone w poprawkach błędów. Nie ma wpływu na innych użytkowników.

• Aby włączyć tryb testowy, na pasku narzędzi Widok administratora wybierz pozycję Tryb testowy.
• Po zakończeniu testowania wybierz pozycję Tryb testu końcowego, aby powrócić do zwykłych funkcji.

Pomijanie sesji serwera proxy

Jeśli używasz przeglądarki innej niż Edge i masz trudności z dostępem do aplikacji lub ładowaniem jej, możesz sprawdzić, czy problem dotyczy serwera proxy dostępu warunkowego, uruchamiając aplikację bez serwera proxy.

Aby pominąć serwer proxy, na pasku narzędzi Widok administratora wybierz pozycję Pomiń środowisko. Upewnij się, że sesja jest pomijana, zauważając, że adres URL nie jest sufiksem.

Serwer proxy dostępu warunkowego jest ponownie używany w następnej sesji.

Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury Apps Conditional Access app control and In-browser protection with Microsoft Edge for Business (Preview) (Kontrola dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps i ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).

Drugie logowanie (nazywane również "drugim logowaniem")

Niektóre aplikacje mają więcej niż jeden link bezpośredni do logowania. Jeśli nie zdefiniujesz linków logowania w ustawieniach aplikacji, użytkownicy mogą zostać przekierowani do nierozpoznanej strony podczas logowania, blokując dostęp.

Integracja między dostawcami tożsamości, takimi jak Microsoft Entra ID, jest oparta na przechwyceniu logowania aplikacji i przekierowaniu go. Oznacza to, że logowania przeglądarki nie mogą być kontrolowane bezpośrednio bez wyzwalania drugiego logowania. Aby wyzwolić drugie logowanie, musimy stosować drugi adres URL logowania przeznaczony specjalnie do tego celu.

Jeśli aplikacja używa elementu innego niż, drugie logowanie może być niewidoczne dla użytkowników lub zostanie wyświetlony monit o ponowne zalogowanie.

Jeśli użytkownik końcowy nie jest niewidoczny, dodaj drugi adres URL logowania do ustawień aplikacji:

Przejdź do pozycji Ustawienia > Aplikacje > w chmurze Aplikacje połączone aplikacje > kontroli dostępu warunkowego aplikacji

Wybierz odpowiednią aplikację, a następnie wybierz trzy kropki.

Wybierz pozycję Edytuj aplikację\Zaawansowana konfiguracja logowania.

Dodaj drugi adres URL logowania, jak wspomniano na stronie błędu.

Jeśli masz pewność, że aplikacja nie używa elementu innego niż, możesz to wyłączyć, edytując ustawienia aplikacji zgodnie z opisem w sekcji Powolne logowania.

Rejestrowanie sesji

Możesz pomóc w analizie głównej przyczyny problemu, wysyłając nagranie sesji do inżynierów pomocy technicznej firmy Microsoft. Użyj paska narzędzi Widok administratora, aby zarejestrować sesję.

Uwaga

Wszystkie dane osobowe są usuwane z nagrań.

Aby zarejestrować sesję:

1. Na pasku narzędzi Widok administratora wybierz pozycję Sesja rekordu. Po wyświetleniu monitu wybierz pozycję Kontynuuj , aby zaakceptować warunki. Na przykład:

   

2. W razie potrzeby zaloguj się do aplikacji, aby rozpocząć symulowanie sesji.

3. Po zakończeniu rejestrowania scenariusza wybierz pozycję Zatrzymaj nagrywanie na pasku narzędzi Widok administratora.

Aby wyświetlić zarejestrowane sesje:

Po zakończeniu nagrywania wyświetl nagrane sesje, wybierając pozycję Nagrania sesji na pasku narzędzi Widok administratora. Zostanie wyświetlona lista zarejestrowanych sesji z poprzednich 48 godzin. Na przykład:

Aby zarządzać nagraniami, wybierz plik, a następnie wybierz pozycję Usuń lub Pobierz zgodnie z potrzebami. Na przykład:

Dodawanie domen dla aplikacji

Kojarzenie prawidłowych domen z aplikacją umożliwia Defender dla Chmury Apps wymuszanie zasad i działań inspekcji.

Jeśli na przykład skonfigurowano zasady blokujące pobieranie plików dla skojarzonej domeny, pliki pobrane przez aplikację z tej domeny zostaną zablokowane. Jednak pliki pobrane przez aplikację z domen, które nie są skojarzone z aplikacją, nie zostaną zablokowane, a akcja nie zostanie przeprowadź inspekcji w dzienniku aktywności.

Jeśli administrator przegląda aplikację proxied w nierozpoznanej domenie, ta Defender dla Chmury Apps nie bierze pod uwagę części tej samej aplikacji ani żadnej innej aplikacji, zostanie wyświetlony komunikat Nierozpoznany domena z monitem administratora o dodanie domeny tak, aby był chroniony przy następnym razem. W takich przypadkach, jeśli administrator nie chce dodać domeny, nie jest wymagana żadna akcja.

Uwaga

Defender dla Chmury Aplikacje nadal dodaje sufiks do domen, które nie są skojarzone z aplikacją, aby zapewnić bezproblemowe środowisko użytkownika.

Aby dodać domeny dla aplikacji:

1. Otwórz aplikację w przeglądarce z widocznym na ekranie paskiem narzędzi Widok administratora aplikacji Defender dla Chmury.

2. Na pasku narzędzi Widok administratora wybierz pozycję Odnalezione domeny.

3. W okienku Odnalezione domeny zanotuj wymienione nazwy domen lub wyeksportuj listę jako plik .csv.

   W okienku Odnalezione domeny zostanie wyświetlona lista wszystkich domen, które nie są skojarzone z aplikacją. Nazwy domen są w pełni kwalifikowane.

4. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze Połączone aplikacje> aplikacje>kontroli dostępu warunkowego.

5. Znajdź aplikację w tabeli. Wybierz menu opcji po prawej stronie, a następnie wybierz pozycję Edytuj aplikację.

6. W polu Domeny zdefiniowane przez użytkownika wprowadź domeny, które chcesz skojarzyć z tą aplikacją.

   • Aby wyświetlić listę domen, które zostały już skonfigurowane w aplikacji, wybierz link Wyświetl domeny aplikacji.

   • Podczas dodawania domen należy rozważyć, czy chcesz dodać określone domeny, czy też użyć gwiazdki (*****a symbol wieloznaczny do używania wielu domen jednocześnie.

     Na przykład , sub1.contoso.comsub2.contoso.com to przykłady określonych domen. Aby dodać obie te domeny jednocześnie, a także inne domeny równorzędne, użyj polecenia *.contoso.com.

Aby uzyskać więcej informacji, zobacz Ochrona aplikacji za pomocą kontroli aplikacji dostępu warunkowego w usłudze Microsoft Defender dla Chmury Apps.

Powiązana zawartość

• Ochrona aplikacji za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps
• Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników końcowych
• Rozwiązywanie problemów — co to jest *.mcas.ms, *.mcas-gov.uslub *.mcas-gov.ms?