Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników administratorów

Ten artykuł zawiera Microsoft Defender dla Chmury Administratorów aplikacji ze wskazówkami dotyczącymi sposobu badania i rozwiązywania typowych problemów z dostępem i kontrolą sesji, które występują przez administratorów.

Uwaga

Wszelkie rozwiązywanie problemów związanych z funkcją serwera proxy jest istotne tylko w przypadku sesji, które nie są skonfigurowane do ochrony w przeglądarce za pomocą przeglądarki Microsoft Edge.

Sprawdzanie minimalnych wymagań

Przed rozpoczęciem rozwiązywania problemów upewnij się, że środowisko spełnia następujące minimalne wymagania ogólne dotyczące kontroli dostępu i sesji.

Wymaganie	opis
Licencjonowanie	Upewnij się, że masz ważną licencję dla aplikacji Microsoft Defender dla Chmury.
Logowanie jednokrotne (SSO)	Aplikacje muszą być skonfigurowane przy użyciu jednego z obsługiwanych rozwiązań do logowania jednokrotnego: — Identyfikator Entra firmy Microsoft korzystający z protokołu SAML 2.0 lub OpenID Połączenie 2.0 — Dostawca tożsamości firmy innej niż Microsoft korzystający z protokołu SAML 2.0
Obsługa przeglądarki	Kontrolki sesji są dostępne dla sesji opartych na przeglądarce w najnowszych wersjach następujących przeglądarek: — Microsoft Edge - Google Chrome - Mozilla Firefox — Apple Safari Ochrona w przeglądarce dla przeglądarki Microsoft Edge ma również określone wymagania, w tym użytkownik zalogowany przy użyciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.
Przestojów	Defender dla Chmury Apps umożliwia zdefiniowanie domyślnego zachowania, które ma być stosowane, jeśli wystąpią przerwy w działaniu usługi, takie jak składnik, który nie działa prawidłowo. Jeśli na przykład nie można wymusić normalnych kontrolek zasad, możesz zdecydować się na wzmocnienie (blokowanie) lub obejście (zezwalanie) użytkownikom na podejmowanie akcji dotyczących potencjalnie poufnej zawartości. Aby skonfigurować domyślne zachowanie podczas przestoju systemu, w usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia> Dostęp warunkowy Domyślne zachowanie>kontroli>dostępu do aplikacji Zezwalaj lub Blokuj dostęp.

Wymagania dotyczące ochrony w przeglądarce

Jeśli używasz ochrony w przeglądarce z przeglądarką Microsoft Edge i nadal jest obsługiwana przez zwrotny serwer proxy, upewnij się, że spełniasz następujące dodatkowe wymagania:

• Ta funkcja jest włączona w ustawieniach usługi Defender XDR. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień ochrony w przeglądarce.

• Wszystkie zasady objęte przez użytkownika są obsługiwane w przeglądarce Microsoft Edge dla firm. Jeśli użytkownik jest obsługiwany przez inne zasady, które nie są obsługiwane przez przeglądarkę Microsoft Edge dla firm, są one zawsze obsługiwane przez zwrotny serwer proxy. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.

• Używasz obsługiwanej platformy, w tym obsługiwanego systemu operacyjnego, platformy tożsamości i wersji przeglądarki Edge. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.

Dokumentacja rozwiązywania problemów dla administratorów

Skorzystaj z poniższej tabeli, aby znaleźć problem, który próbujesz rozwiązać:

Typ problemu	Problemy
Problemy z warunkami sieci	Błędy sieci podczas przechodzenia do strony przeglądarki Powolne logowania Więcej zagadnień dotyczących warunków sieciowych
Problemy z identyfikacją urządzeń	Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane Certyfikaty klienta są monitowane przy każdym logowaniu Więcej zagadnień dotyczących identyfikacji urządzeń
Problemy podczas dołączania aplikacji	Aplikacja nie jest wyświetlana na stronie Aplikacji kontroli dostępu warunkowego Stan aplikacji: Kontynuuj instalacjęNie można skonfigurować kontrolek dla aplikacji natywnych Zostanie wyświetlona strona Aplikacji, która nie jest rozpoznawana Pojawi się opcja kontrolki sesji żądania Więcej zagadnień dotyczących dołączania aplikacji
Problemy podczas tworzenia zasad dostępu i sesji	W zasadach dostępu warunkowego nie można wyświetlić opcji Kontrola dostępu warunkowego aplikacji Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych za pomocą kontroli dostępu warunkowego aplikacji Nie można utworzyć zasad sesji dla aplikacji Nie można wybrać metody inspekcji: usługa klasyfikacji danych Nie można wybrać akcji: Chroń Więcej zagadnień dotyczących dołączania aplikacji
Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Administracja View	Pomijanie sesji serwera proxy Rejestrowanie sesji

Problemy z warunkami sieci

Typowe problemy z warunkami sieci, które mogą wystąpić, obejmują:

• Błędy sieci podczas przechodzenia do strony przeglądarki
• Powolne logowanie
• Dodatkowe zagadnienia

Błędy sieci podczas przechodzenia do strony przeglądarki

Podczas pierwszego konfigurowania kontrolek dostępu do aplikacji i sesji aplikacji Defender dla Chmury występują typowe błędy sieci, takie jak: Ta witryna nie jest bezpieczna i nie ma połączenia internetowego. Te komunikaty mogą wskazywać ogólny błąd konfiguracji sieci.

Zalecane czynności

1. Skonfiguruj zaporę do pracy z aplikacjami Defender dla Chmury przy użyciu adresów IP platformy Azure i nazw DNS odpowiednich dla danego środowiska.

   1. Dodaj port wychodzący 443 dla następujących adresów IP i nazw DNS dla centrum danych usługi Defender dla Chmury Apps.
   2. Uruchom ponownie urządzenie i sesję przeglądarki
   3. Sprawdź, czy logowanie działa zgodnie z oczekiwaniami

2. Włącz protokół TLS 1.2 w opcjach internetowych przeglądarki. Na przykład:

   Przeglądarka	Kroki
   Microsoft Internet Explorer	1. Otwórz program Internet Explorer 2. Wybierz kartę Narzędzia>Opcje>internetowe Zaawansowane 3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2 4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK 5. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Microsoft Edge/Edge Chromium	1. Otwórz wyszukiwanie na pasku zadań i wyszukaj ciąg "Opcje internetowe" 2. Wybierz pozycję Opcje internetowe 3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2 4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK 5. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Google Chrome	1. Otwórz przeglądarkę Google Chrome 2. W prawym górnym rogu wybierz pozycję Więcej (3 kropki pionowe) >Ustawienia 3. W dolnej części wybierz pozycję Zaawansowane 4. W obszarze System wybierz pozycję Otwórz ustawienia serwera proxy 5. Na karcie Zaawansowane w obszarze Zabezpieczenia wybierz pozycję TLS 1.2 6. Wybierz przycisk OK 7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Mozilla Firefox	1. Otwórz Mozilla Firefox 2. Na pasku adresu i wyszukaj ciąg "about:config" 3. W polu Wyszukiwania wyszukaj ciąg "TLS" 4. Kliknij dwukrotnie wpis security.tls.version.min 5. Ustaw wartość całkowitą na 3, aby wymusić protokół TLS 1.2 jako minimalną wymaganą wersję 6. Wybierz pozycję Zapisz (znacznik wyboru po prawej stronie pola wartości) 7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacji
   Safari	Jeśli używasz przeglądarki Safari w wersji 7 lub nowszej, protokół TLS 1.2 jest automatycznie włączony

Defender dla Chmury Apps używa protokołów Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego szyfrowania w klasie:

• Natywne aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne podczas konfigurowania z kontrolą sesji.
• Aplikacje SaaS korzystające z protokołu TLS 1.1 lub niższego są wyświetlane w przeglądarce jako korzystające z protokołu TLS 1.2 lub nowszego podczas konfigurowania z aplikacjami Defender dla Chmury.

Napiwek

Chociaż kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej platformie głównej w dowolnym systemie operacyjnym, obsługujemy najnowsze wersje przeglądarki Microsoft Edge, Google Chrome, Mozilla Firefox lub Apple Safari. Możesz zablokować lub zezwolić na dostęp specjalnie do aplikacji mobilnych lub klasycznych.

Powolne logowania

Łańcuchy serwerów proxy i obsługa nieobsługiwająca to niektóre typowe problemy, które mogą spowodować niską wydajność logowania.

Zalecane czynności

Skonfiguruj środowisko, aby usunąć wszelkie czynniki, które mogą powodować spowolnienie podczas logowania. Na przykład może istnieć skonfigurowane zapory lub przekierowanie łańcucha serwerów proxy, które łączy dwa lub więcej serwerów proxy w celu przejścia do zamierzonej strony. Możesz również mieć inne czynniki zewnętrzne wpływające na spowolnienie.

1. Określ, czy łańcuch serwerów proxy występuje w danym środowisku.
2. W miarę możliwości usuń wszystkie serwery proxy przekazywania dalej.

Niektóre aplikacje używają skrótu innego niż podczas uwierzytelniania, aby zapobiec atakom powtarzanym. Domyślnie Defender dla Chmury Apps zakłada, że aplikacja używa innej aplikacji. Jeśli aplikacja, z którą pracujesz, nie używa innej aplikacji, wyłącz obsługę nieobsługiwną dla tej aplikacji w usłudze Defender dla Chmury Apps:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze.
2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.
3. Na liście aplikacji w wierszu, w którym jest wyświetlana konfigurowana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj dla aplikacji.
4. Wybierz pozycję Obsługa nieobsługiwać , aby rozwinąć sekcję, a następnie wyczyść pole Wyboru Włącz obsługę nieobsługiwać.
5. Wyloguj się z aplikacji i zamknij wszystkie sesje przeglądarki.
6. Uruchom ponownie przeglądarkę i zaloguj się ponownie do aplikacji. Sprawdź, czy logowanie działa zgodnie z oczekiwaniami.

Więcej zagadnień dotyczących warunków sieciowych

Podczas rozwiązywania problemów z warunkami sieciowymi należy również wziąć pod uwagę następujące uwagi dotyczące serwera proxy usługi Defender dla Chmury Apps:

• Sprawdź, czy sesja jest kierowana do innego centrum danych: Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie do optymalizacji wydajności za pomocą geolokalizacji.

  Oznacza to, że sesja użytkownika może być hostowana poza regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.

• Wydajność serwera proxy: wyprowadzanie punktu odniesienia wydajności zależy od wielu czynników spoza serwera proxy aplikacji Defender dla Chmury, takich jak:

  • Jakie inne serwery proxy lub bramy znajdują się w serii z tym serwerem proxy
  • Skąd pochodzi użytkownik
  • Gdzie znajduje się docelowy zasób
  • Określone żądania na stronie

  Ogólnie rzecz biorąc, każdy serwer proxy dodaje opóźnienie. Zalety serwera proxy aplikacji Defender dla Chmury to:

  • Dzięki globalnej dostępności kontrolerów domeny platformy Azure można geolokować użytkowników do najbliższego węzła i zmniejszyć ich odległość dwukierunkową. Kontrolery domeny platformy Azure mogą geolokować na dużą skalę, jaką ma kilka usług na całym świecie.

  • Integracja z dostępem warunkowym firmy Microsoft Entra umożliwia kierowanie tylko sesji, które mają być serwerem proxy do naszej usługi, zamiast wszystkich użytkowników we wszystkich sytuacjach.

Problemy z identyfikacją urządzeń

Defender dla Chmury Apps udostępnia następujące opcje identyfikowania stanu zarządzania urządzenia.

• Zgodność z usługą Microsoft Intune
• Przyłączona hybrydowa domena firmy Microsoft Entra
• Certyfikaty klienta

Aby uzyskać więcej informacji, zobacz Identity-managed devices with conditional access app control (Urządzenia zarządzane tożsamościami z kontrolą aplikacji dostępu warunkowego).

Typowe problemy z identyfikacją urządzeń, które mogą wystąpić, obejmują:

• Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra
• Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane
• Certyfikaty klienta są monitowane przy każdym logowaniu
• Dodatkowe zagadnienia

Błędnie zidentyfikowane urządzenia zgodne z usługą Intune lub dołączone hybrydowe urządzenia firmy Microsoft Entra

Dostęp warunkowy firmy Microsoft Entra umożliwia przekazywanie informacji o urządzeniu dołączonym hybrydowo do usługi Microsoft Entra w usłudze Intune bezpośrednio do aplikacji Defender dla Chmury. W usłudze Defender dla Chmury Apps użyj stanu urządzenia jako filtru dla zasad dostępu lub sesji.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zarządzania urządzeniami w usłudze Microsoft Entra ID.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w usłudze Defender dla Chmury Apps.

3. W przypadku identyfikacji urządzeń zgodnych z usługą Intune i identyfikacji hybrydowej dołączonej do firmy Microsoft wybierz opcję Wyświetl konfigurację i sprawdź, czy usługi zostały skonfigurowane. Usługi są automatycznie synchronizowane z identyfikatorem Entra firmy Microsoft i usługą Intune.

4. Utwórz zasady dostępu lub sesji za pomocą filtru Tag urządzenia równego dołączonej hybrydowo usłudze Azure AD, zgodnej z usługą Intune lub obu tych elementów.

5. W przeglądarce zaloguj się do urządzenia, które jest przyłączone hybrydo do firmy Microsoft lub zgodne z usługą Intune na podstawie filtru zasad.

6. Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W obszarze Defender dla Chmury Apps na stronie Dziennik aktywności filtruj tag urządzenia równy dołączeniu hybrydowemu do usługi Azure AD, zgodności z usługą Intune lub obu tych elementów na podstawie filtrów zasad.

7. Jeśli działania nie są wypełniane w dzienniku aktywności usługi Defender dla Chmury Apps, przejdź do pozycji Microsoft Entra ID i wykonaj następujące czynności:

   1. W obszarze Monitorowanie>logowań sprawdź, czy w dziennikach znajdują się działania związane z logowaniem.

   2. Wybierz odpowiedni wpis dziennika dla zalogowanego urządzenia.

   3. W okienku Szczegóły na karcie Informacje o urządzeniu sprawdź, czy urządzenie jest Zarządzane (w przypadku urządzeń dołączonych hybrydowo do usługi Azure AD) lub Zgodne (w przypadku zgodnych urządzeń usługi Intune).

      Jeśli nie możesz zweryfikować stanu, spróbuj użyć innego wpisu dziennika lub upewnij się, że dane urządzenia są poprawnie skonfigurowane w identyfikatorze Entra firmy Microsoft.

   4. W przypadku dostępu warunkowego niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak instalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.

   5. Jeśli nadal nie widzisz informacji o urządzeniu na stronie Logowania , otwórz bilet pomocy technicznej dla identyfikatora Entra firmy Microsoft.

Certyfikaty klienta nie są monitujące, gdy jest to oczekiwane

Mechanizm identyfikacji urządzenia może żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta. Certyfikat głównego lub pośredniego urzędu certyfikacji (CA) X.509 można przekazać w formacie certyfikatu PEM.

Certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta przedstawionych podczas sesji. Aby uzyskać więcej informacji, zobacz Sprawdzanie zarządzania urządzeniami bez firmy Microsoft Entra.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w usłudze Defender dla Chmury Apps.

3. Sprawdź, czy przekazano certyfikat głównego lub pośredniego urzędu certyfikacji X.509. Należy przekazać certyfikat urzędu certyfikacji używany do podpisywania urzędu certyfikacji.

4. Utwórz zasady dostępu lub sesji za pomocą filtru Tag urządzenia równego Prawidłowemu certyfikatowi klienta.

5. Upewnij się, że certyfikat klienta to:

   • Wdrożono przy użyciu formatu pliku PKCS #12, zazwyczaj pliku p12 lub pfx
   • Zainstalowane w magazynie użytkownika, a nie w magazynie urządzeń, na urządzeniu, którego używasz do testowania

6. Uruchom ponownie sesję przeglądarki.

7. Podczas logowania się do chronionej aplikacji:

   • Sprawdź, czy nastąpi przekierowanie do następującej składni adresu URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Jeśli używasz systemu iOS, upewnij się, że używasz przeglądarki Safari.
   • Jeśli używasz przeglądarki Firefox, musisz również dodać certyfikat do własnego magazynu certyfikatów przeglądarki Firefox. Wszystkie inne przeglądarki używają tego samego domyślnego magazynu certyfikatów.

8. Sprawdź, czy w przeglądarce zostanie wyświetlony monit o certyfikat klienta.

   Jeśli nie zostanie wyświetlona, spróbuj użyć innej przeglądarki. Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często używają wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania i w związku z tym mają wpływ na uwierzytelnianie tych aplikacji.

9. Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W aplikacji Defender dla Chmury na stronie Dziennik aktywności dodaj filtr tagu urządzenia równy prawidłowemu certyfikatowi klienta.

10. Jeśli nadal nie widzisz monitu, otwórz bilet pomocy technicznej i dołącz następujące informacje:

    • Szczegóły przeglądarki lub aplikacji natywnej, w której wystąpił problem
    • Wersja systemu operacyjnego, taka jak iOS/Android/Windows 10
    • Wzmianka, czy monit działa w przeglądarce Microsoft Edge Chromium

Certyfikaty klienta są monitowane przy każdym logowaniu

Jeśli po otwarciu nowej karty pojawia się certyfikat klienta, może to być spowodowane ustawieniami ukrytymi w obszarze Opcje internetowe. Sprawdź ustawienia w przeglądarce. Na przykład:

W programie Microsoft Internet Explorer:

1. Otwórz program Internet Explorer i wybierz pozycję Narzędzia>Opcje>internetowe kartę Zaawansowane.
2. W obszarze Zabezpieczenia wybierz pozycję Nie monituj o wybór certyfikatu klienta, gdy istnieje> tylko jeden certyfikat Wybierz >przycisk ZASTOSUJ OK.
3. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.

W przeglądarce Microsoft Edge/Edge Chromium:

1. Otwórz wyszukiwanie na pasku zadań i wyszukaj pozycję Opcje internetowe.
2. Wybierz pozycję Opcje>internetowe Zabezpieczenia>lokalny poziom niestandardowy intranetu.>
3. W obszarze Różne>nie monituj o wybór certyfikatu klienta, jeśli istnieje tylko jeden certyfikat, wybierz pozycję Wyłącz.
4. Wybierz przycisk OK Zastosuj>przycisk OK.>
5. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.

Więcej zagadnień dotyczących identyfikacji urządzeń

Podczas rozwiązywania problemów z identyfikacją urządzenia można wymagać odwołania certyfikatów dla certyfikatów klienta.

Certyfikaty, które zostały odwołane przez urząd certyfikacji, nie są już zaufane. Wybranie tej opcji wymaga przekazania protokołu listy CRL przez wszystkie certyfikaty. Jeśli certyfikat klienta nie zawiera punktu końcowego listy CRL, nie można nawiązać połączenia z urządzenia zarządzanego.

Problemy podczas dołączania aplikacji

Do kontroli dostępu i sesji można dołączyć następujące typy aplikacji:

• Aplikacje wykazu: aplikacje, które są dostarczane z kontrolkami sesji, są gotowe do użycia zgodnie z etykietą kontrolki Sesja.

• Dowolne (niestandardowe) aplikacje: niestandardowe aplikacje biznesowe (LOB) lub aplikacje lokalne mogą być dołączane do kontrolek sesji przez administratora.

Na przykład:

Podczas dołączania aplikacji upewnij się, że uważnie wykonano przewodniki wdrażania serwera proxy. Aby uzyskać więcej informacji, zobacz:

1. Wdrażanie aplikacji wykazu za pomocą kontrolek sesji
2. Wdrażanie niestandardowych aplikacji biznesowych, niefekturowanych aplikacji SaaS i aplikacji lokalnych hostowanych za pośrednictwem serwera proxy aplikacji Microsoft Entra za pomocą kontrolek sesji

Typowe scenariusze, które mogą wystąpić podczas dołączania aplikacji, obejmują:

• Aplikacja nie jest wyświetlana na stronie Aplikacji kontroli dostępu warunkowego
• Stan aplikacji: Kontynuuj instalację
• Nie można skonfigurować kontrolek dla aplikacji natywnych
• Zostanie wyświetlona strona Aplikacji, która nie jest rozpoznawana
• Pojawi się opcja kontrolki sesji żądania
• Dodatkowe zagadnienia

Aplikacja nie jest wyświetlana na stronie Aplikacji kontroli dostępu warunkowego

Podczas dołączania aplikacji do kontroli dostępu warunkowego aplikacji ostatnim krokiem wdrożenia jest przejście użytkownika końcowego do aplikacji. Wykonaj kroki opisane w tej sekcji, jeśli aplikacja nie jest wyświetlana zgodnie z oczekiwaniami.

Zalecane czynności

1. Upewnij się, że aplikacja spełnia następujące wymagania wstępne aplikacji dostępu warunkowego, w zależności od dostawcy tożsamości:

   • Microsoft Entra ID:

     1. Upewnij się, że masz ważną licencję dla microsoft Entra ID P1 oprócz licencji Defender dla Chmury Apps.
     2. Upewnij się, że aplikacja korzysta z protokołu SAML 2.0 lub openID Połączenie.
     3. Upewnij się, że logowanie jednokrotne aplikacji w usłudze Microsoft Entra ID.

   • Firma innej niż Microsoft:

     1. Upewnij się, że masz prawidłową licencję Defender dla Chmury Apps.
     2. Utwórz zduplikowaną aplikację.
     3. Upewnij się, że aplikacja używa protokołu SAML.
     4. Sprawdź, czy aplikacja została w pełni dołączona, a stan aplikacji jest Połączenie.

2. W zasadach firmy Microsoft Entra w obszarze Sesja upewnij się, że sesja jest zmuszona do kierowania do aplikacji Defender dla Chmury. To z kolei umożliwia aplikacji pojawienie się na stronie aplikacje kontroli dostępu warunkowego aplikacji w następujący sposób:

   • Wybrano opcję Kontrola aplikacji dostępu warunkowego.
   • Na liście rozwijanej Wbudowane zasady wybrano pozycję Monitoruj tylko

3. Pamiętaj, aby przejść do aplikacji w nowej sesji przeglądarki przy użyciu nowego trybu incognito lub zalogować się ponownie.

Stan aplikacji: Kontynuuj instalację

Stan aplikacji może się różnić i może zawierać opcję Kontynuuj instalację, Połączenie lub Brak działań.

W przypadku aplikacji połączonych za pośrednictwem dostawców tożsamości innych niż Microsoft (IdP), jeśli konfiguracja nie zostanie ukończona, podczas uzyskiwania dostępu do aplikacji zostanie wyświetlona strona ze stanem Kontynuuj instalację. Wykonaj poniższe kroki, aby ukończyć instalację.

Zalecane czynności

1. Wybierz pozycję Kontynuuj instalację.

2. Zapoznaj się z przewodnikiem wdrażania i sprawdź, czy zostały wykonane wszystkie kroki. Zwróć szczególną uwagę na następujące uwagi:

   1. Upewnij się, że tworzysz nową niestandardową aplikację SAML. Ta aplikacja wymaga zmiany adresów URL i atrybutów SAML, które mogą nie być dostępne w aplikacjach galerii.
   2. Jeśli dostawca tożsamości nie zezwala na ponowne użycie tego samego identyfikatora, znanego również jako identyfikator jednostki lub odbiorcy, zmień identyfikator oryginalnej aplikacji.

Nie można skonfigurować kontrolek dla aplikacji natywnych

Aplikacje natywne można wykryć heurystycznie i można ich monitorować lub blokować za pomocą zasad dostępu. Wykonaj poniższe kroki, aby skonfigurować kontrolki dla aplikacji natywnych.

Zalecane czynności

1. W zasadach dostępu dodaj filtr aplikacji klienckiej i ustaw go na urządzenia przenośne i stacjonarne.

2. W obszarze Akcje wybierz pozycję Blokuj.

3. Opcjonalnie dostosuj komunikat blokujący, który użytkownicy otrzymają, gdy nie będą mogli pobrać plików. Na przykład dostosuj ten komunikat do opcji Aby uzyskać dostęp do tej aplikacji, musisz użyć przeglądarki internetowej.

4. Przetestuj i sprawdź, czy kontrolka działa zgodnie z oczekiwaniami.

Zostanie wyświetlona strona Aplikacji, która nie jest rozpoznawana

aplikacje Defender dla Chmury mogą rozpoznawać ponad 31 000 aplikacji za pośrednictwem Katalog aplikacji w chmurze.

Jeśli używasz aplikacji niestandardowej skonfigurowanej za pomocą logowania jednokrotnego firmy Microsoft i nie jesteś jedną z obsługiwanych aplikacji, natkniesz się na stronę Aplikacja nie jest rozpoznawana . Aby rozwiązać ten problem, należy skonfigurować aplikację w kontroli dostępu warunkowego aplikacji.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

2. Na banerze wybierz pozycję Wyświetl nowe aplikacje.

3. Na liście nowych aplikacji znajdź aplikację, którą dołączasz, wybierz + znak, a następnie wybierz pozycję Dodaj.

   1. Wybierz, czy aplikacja jest aplikacją niestandardową, czy standardową.
   2. Kontynuuj pracę kreatora, upewnij się, że określone domeny zdefiniowane przez użytkownika są poprawne dla konfigurowanej aplikacji.

4. Sprawdź, czy aplikacja jest wyświetlana na stronie Aplikacje kontroli dostępu warunkowego aplikacji.

Pojawi się opcja kontrolki sesji żądania

Po dodaniu aplikacji może zostać wyświetlona opcja Zażądaj kontroli sesji. Dzieje się tak, ponieważ tylko aplikacje wykazu mają gotowe kontrolki sesji. W przypadku każdej innej aplikacji należy przejść przez proces samodzielnego dołączania.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze.

2. W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

3. Wprowadź główną nazwę użytkownika lub adres e-mail dla użytkowników, którzy będą dołączać aplikację, a następnie wybierz pozycję Zapisz.

4. Przejdź do wdrażanych aplikacji. Wyświetlona strona zależy od tego, czy aplikacja jest rozpoznawana. Wykonaj jedną z następujących czynności, w zależności od wyświetlonej strony:

   • Nie rozpoznano. Zostanie wyświetlona strona Aplikacja nie rozpoznana z monitem o skonfigurowanie aplikacji. Wykonaj poniższe kroki:

     1. Dodaj aplikację do kontroli dostępu warunkowego aplikacji.
     2. Dodaj domeny aplikacji, a następnie wróć do aplikacji i odśwież stronę.
     3. Zainstaluj certyfikaty dla aplikacji.

   • Rozpoznano. Jeśli aplikacja jest rozpoznawana, zostanie wyświetlona strona dołączania z monitem o kontynuowanie procesu konfiguracji aplikacji. Aby uzyskać więcej informacji, zobacz Deploy Conditional Access App Control for custom apps using Microsoft Entra ID (Wdrażanie kontroli dostępu warunkowego dla aplikacji niestandardowych przy użyciu identyfikatora Entra firmy Microsoft).

     Upewnij się, że aplikacja jest skonfigurowana ze wszystkimi domenami wymaganymi do poprawnego działania aplikacji. Aby skonfigurować dodatkowe domeny, przejdź do sekcji Dodawanie domen dla aplikacji, a następnie wróć do strony aplikacji.

Więcej zagadnień dotyczących dołączania aplikacji

Podczas rozwiązywania problemów z dołączaniem aplikacji pamiętaj, że aplikacje w kontroli dostępu warunkowego aplikacji nie są zgodne z aplikacjami firmy Microsoft Entra.

Nazwy aplikacji w usłudze Microsoft Entra ID i Defender dla Chmury Apps mogą się różnić w zależności od sposobów identyfikowania aplikacji przez produkty.

• Defender dla Chmury Apps identyfikuje aplikacje przy użyciu domen aplikacji i dodaje je do katalogu aplikacji w chmurze, gdzie mamy ponad 31 000 aplikacji. W każdej aplikacji można wyświetlać lub dodawać do podzbioru domen.

• Z kolei identyfikator Entra firmy Microsoft identyfikuje aplikacje przy użyciu jednostek usługi. Aby uzyskać więcej informacji, zobacz app and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft).

W praktyce ta różnica oznacza, że wybranie usługi SharePoint Online w usłudze Microsoft Entra ID jest równoważne do wybierania aplikacji, takich jak Word Online i Teams, w aplikacjach Defender dla Chmury, ponieważ wszystkie aplikacje używają sharepoint.com domeny.

Problemy podczas tworzenia zasad dostępu i sesji

Defender dla Chmury Apps udostępnia następujące konfigurowalne zasady:

• Zasady dostępu: służy do monitorowania lub blokowania dostępu do przeglądarek, aplikacji mobilnych i/lub klasycznych.
• Zasady sesji. Służy do monitorowania, blokowania i wykonywania określonych akcji, aby zapobiec infiltracji i eksfiltracji danych w przeglądarce.

Aby użyć tych zasad w usłudze Defender dla Chmury Apps, należy najpierw skonfigurować zasady w usłudze Microsoft Entra Conditional Access w celu rozszerzenia kontroli sesji:

1. W zasadach firmy Microsoft Entra w obszarze Kontrola dostępu wybierz pozycję Sesja>Użyj kontroli dostępu warunkowego aplikacji.

2. Wybierz wbudowane zasady (Monitoruj tylko lub Blokuj pobieranie) lub Użyj zasad niestandardowych, aby ustawić zaawansowane zasady w usłudze Defender dla Chmury Apps.

3. Wybierz pozycję Wybierz, aby kontynuować.

Typowe scenariusze, które mogą wystąpić podczas konfigurowania tych zasad, obejmują:

• W zasadach dostępu warunkowego nie można wyświetlić opcji Kontrola dostępu warunkowego aplikacji
• Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych za pomocą kontroli dostępu warunkowego aplikacji
• Nie można utworzyć zasad sesji dla aplikacji
• Nie można wybrać metody inspekcji: usługa klasyfikacji danych
• Nie można wybrać akcji: Chroń
• Dodatkowe zagadnienia

W zasadach dostępu warunkowego nie można wyświetlić opcji Kontrola dostępu warunkowego aplikacji

Aby kierować sesje do aplikacji Defender dla Chmury, należy skonfigurować zasady dostępu warunkowego firmy Microsoft w celu uwzględnienia kontrolek sesji kontroli dostępu warunkowego aplikacji.

Zalecane czynności

Jeśli nie widzisz opcji Kontrola dostępu warunkowego w zasadach dostępu warunkowego, upewnij się, że masz prawidłową licencję dla microsoft Entra ID P1 i prawidłową licencję Defender dla Chmury Apps.

Komunikat o błędzie podczas tworzenia zasad: nie masz żadnych aplikacji wdrożonych za pomocą kontroli dostępu warunkowego aplikacji

Podczas tworzenia zasad dostępu lub sesji może zostać wyświetlony następujący komunikat o błędzie: Nie masz żadnych aplikacji wdrożonych przy użyciu kontroli dostępu warunkowego aplikacji. Ten błąd wskazuje, że aplikacja nie została wdrożona.

Zalecane czynności

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

2. Jeśli zostanie wyświetlony komunikat Brak połączonych aplikacji, użyj następujących przewodników, aby wdrożyć aplikacje:

   • Wdrażanie aplikacji wykazu z włączoną kontrolą sesji
   • Wdrażanie niestandardowych aplikacji biznesowych, niefekturowanych aplikacji SaaS i aplikacji lokalnych hostowanych za pośrednictwem serwera proxy aplikacji Microsoft Entra za pomocą kontrolek sesji

Jeśli wystąpią problemy podczas wdrażania aplikacji, zobacz Problemy podczas dołączania aplikacji.

Nie można utworzyć zasad sesji dla aplikacji

Po dodaniu aplikacji niestandardowej na stronie Aplikacje kontroli dostępu warunkowego możesz zobaczyć opcję: Żądanie kontroli sesji.

Uwaga

Aplikacje wykazu mają gotowe kontrolki sesji. W przypadku innych aplikacji należy przejść przez proces samodzielnego dołączania. Aby uzyskać więcej informacji, zobacz Aplikacje wstępnie dołączone.

Zalecane czynności

1. Wdróż aplikację w kontrolce sesji. Aby uzyskać więcej informacji, zobacz Deploy custom-of-business apps, nonfeatured SaaS apps and on-premises apps hosted via the Microsoft Entra application proxy with session controls (Wdrażanie niestandardowych aplikacji biznesowych, niefekturowanych aplikacji SaaS i aplikacji lokalnych hostowanych za pośrednictwem serwera proxy aplikacji Microsoft Entra za pomocą kontrolek sesji).

2. Utwórz zasady sesji i wybierz filtr Aplikacja .

3. Upewnij się, że aplikacja jest teraz wyświetlana na liście rozwijanej.

Nie można wybrać metody inspekcji: usługa klasyfikacji danych

W zasadach sesji, w przypadku używania typu kontroli kontroli sesji pobierania pliku kontroli (z inspekcją) można użyć metody inspekcji usługi klasyfikacji danych do skanowania plików w czasie rzeczywistym i wykrywania poufnej zawartości zgodnej z dowolnymi skonfigurowanymi kryteriami.

Jeśli metoda inspekcji usługi klasyfikacji danych jest niedostępna, wykonaj następujące kroki, aby zbadać problem.

Zalecane czynności

1. Sprawdź, czy typ kontrolki sesji ma ustawioną wartość Control file download (with inspection) (Kontrola pobierania plików (z inspekcją).

   Uwaga

   Metoda inspekcji usługi klasyfikacji danych jest dostępna tylko dla opcji Pobieranie pliku kontroli (z inspekcją).

2. Ustal, czy funkcja usługi klasyfikacji danych jest dostępna w Twoim regionie:

   • Jeśli funkcja nie jest dostępna w Twoim regionie, użyj wbudowanej metody inspekcji DLP .
   • Jeśli funkcja jest dostępna w Twoim regionie, ale nadal nie widzisz metody inspekcji usługi klasyfikacji danych, otwórz bilet pomocy technicznej.

Nie można wybrać akcji: Chroń

W zasadach sesji, w przypadku używania typu kontroli kontroli sesji pobierania pliku sterowania (z inspekcją) oprócz akcji Monitor i Blokuj , można określić akcję Chroń . Ta akcja umożliwia zezwolenie na pobieranie plików z opcją szyfrowania lub stosowania uprawnień do pliku na podstawie warunków, inspekcji zawartości lub obu tych elementów.

Jeśli akcja Chroń jest niedostępna, wykonaj następujące kroki, aby zbadać problem.

Zalecane czynności

1. Jeśli akcja Ochrona jest niedostępna lub jest wyszarzony, sprawdź, czy masz licencję usługi Azure Information Protection (AIP) Premium P1. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Purview Information Protection.

2. Jeśli akcja Chroń jest dostępna, ale nie widzi odpowiednich etykiet.

   1. Na Defender dla Chmury Apps na pasku menu wybierz ikonę >ustawień Microsoft Information Protection i sprawdź, czy integracja jest włączona.

   2. W przypadku etykiet pakietu Office w portalu usługi AIP upewnij się, że wybrano opcję Ujednolicone etykietowanie .

Więcej zagadnień dotyczących dołączania aplikacji

Podczas rozwiązywania problemów dotyczących dołączania aplikacji należy wziąć pod uwagę pewne dodatkowe kwestie.

• Zapoznaj się z różnicą między ustawieniami zasad dostępu warunkowego firmy Microsoft: "Tylko monitorowanie", "Blokuj pobieranie" i "Użyj zasad niestandardowych"

  W zasadach dostępu warunkowego firmy Microsoft można skonfigurować następujące wbudowane kontrolki Defender dla Chmury Apps: Monitoruj tylko i Blokuj pobieranie. Te ustawienia mają zastosowanie i wymuszają funkcję serwera proxy aplikacji Defender dla Chmury dla aplikacji w chmurze i warunków skonfigurowanych w usłudze Microsoft Entra ID.

  Aby uzyskać bardziej złożone zasady, wybierz pozycję Użyj zasad niestandardowych, które umożliwiają konfigurowanie zasad dostępu i sesji w aplikacjach Defender dla Chmury.

• Omówienie opcji filtru aplikacji klienckiej "Aplikacje mobilne i klasyczne" w zasadach dostępu

  W zasadach dostępu Defender dla Chmury Apps, chyba że filtr aplikacji klienckiej jest ustawiony na Aplikacje mobilne i klasyczne, wynikowe zasady dostępu dotyczą sesji przeglądarki.

  Przyczyną tego jest zapobieganie nieumyślnym serwerom proxy sesji użytkowników, które mogą być produktem ubocznym korzystania z tego filtru.

Diagnozowanie i rozwiązywanie problemów z paskiem narzędzi Administracja View

Pasek narzędzi widoków Administracja znajduje się w dolnej części ekranu i udostępnia narzędzia dla użytkowników administracyjnych do diagnozowania i rozwiązywania problemów z kontrolą dostępu warunkowego aplikacji.

Aby wyświetlić pasek narzędzi widoków Administracja, musisz dodać określone konta użytkowników administratora do listy Dołączanie aplikacji/konserwacja w ustawieniach XDR usługi Microsoft Defender.

Aby dodać użytkownika do listy Dołączanie aplikacji/konserwacja:

1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Aplikacje w chmurze.

2. Przewiń w dół i w obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.

3. Wprowadź główną nazwę lub adres e-mail użytkownika administratora, który chcesz dodać.

4. Wybierz opcję Włącz tych użytkowników, aby pominąć kontrolę dostępu warunkowego aplikacji w ramach sesji proxied, a następnie wybierz pozycję Zapisz.

   Na przykład:

   

Następnym razem, gdy jeden z wymienionych użytkowników rozpocznie nową sesję w obsługiwanej aplikacji, w której jest administratorem, pasek narzędzi Administracja Wyświetl jest wyświetlany w dolnej części przeglądarki.

Na przykład na poniższej ilustracji przedstawiono pasek narzędzi Administracja View wyświetlany w dolnej części okna przeglądarki podczas korzystania z programu OneNote w przeglądarce:

W poniższych sekcjach opisano sposób używania paska narzędzi Administracja View do testowania i rozwiązywania problemów.

Tryb testowy

Jako administrator możesz przetestować nadchodzące poprawki błędów serwera proxy, zanim najnowsza wersja zostanie w pełni wdrożona we wszystkich dzierżawach. Przekaż swoją opinię na temat poprawki usterek zespołowi pomocy technicznej firmy Microsoft, aby przyspieszyć cykle wydawania.

W trybie testowym tylko użytkownicy administracyjni są narażeni na wszelkie zmiany wprowadzone w poprawkach błędów. Nie ma wpływu na innych użytkowników.

• Aby włączyć tryb testowy, na pasku narzędzi Administracja View wybierz pozycję Tryb testowy.
• Po zakończeniu testowania wybierz pozycję Tryb testu końcowego, aby powrócić do zwykłych funkcji.

Pomijanie sesji serwera proxy

Jeśli masz trudności z uzyskaniem dostępu do aplikacji lub załadowaniem aplikacji, możesz sprawdzić, czy problem dotyczy serwera proxy dostępu warunkowego, uruchamiając aplikację bez serwera proxy.

Aby obejść serwer proxy, na pasku narzędzi widok Administracja wybierz pozycję Obejście. Upewnij się, że sesja jest pomijana, zauważając, że adres URL nie jest sufiksem.

Serwer proxy dostępu warunkowego jest ponownie używany w następnej sesji.

Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury Apps conditional access app control and In-browser protection with Microsoft Edge for Business (Preview) (Kontrola dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps i ochrona w przeglądarce za pomocą przeglądarki Microsoft Edge dla firm (wersja zapoznawcza).

Rejestrowanie sesji

Możesz pomóc w analizie głównej przyczyny problemu, wysyłając nagranie sesji do inżynierów pomocy technicznej firmy Microsoft. Użyj paska narzędzi Administracja Wyświetl, aby zarejestrować sesję.

Uwaga

Wszystkie dane osobowe są usuwane z nagrań.

Aby zarejestrować sesję:

1. Na pasku narzędzi Administracja Wyświetl wybierz pozycję Sesja rekordu. Po wyświetleniu monitu wybierz pozycję Kontynuuj , aby zaakceptować warunki. Na przykład:

   

2. W razie potrzeby zaloguj się do aplikacji, aby rozpocząć symulowanie sesji.

3. Po zakończeniu rejestrowania scenariusza wybierz pozycję Zatrzymaj nagrywanie na pasku narzędzi Administracja Wyświetl.

Aby wyświetlić zarejestrowane sesje:

Po zakończeniu nagrywania wyświetl nagrane sesje, wybierając pozycję Nagrania sesji na pasku narzędzi Administracja Wyświetl. Zostanie wyświetlona lista zarejestrowanych sesji z poprzednich 48 godzin. Na przykład:

Aby zarządzać nagraniami, wybierz plik, a następnie wybierz pozycję Usuń lub Pobierz zgodnie z potrzebami. Na przykład:

Następne kroki

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników końcowych.