Share via

Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników końcowych

  • Artykuł

Ten artykuł zawiera Microsoft Defender dla Chmury Administratorów aplikacji ze wskazówkami dotyczącymi sposobu badania i rozwiązywania typowych problemów z dostępem i kontrolą sesji, które występują u użytkowników końcowych.

Sprawdzanie minimalnych wymagań

Przed rozpoczęciem rozwiązywania problemów upewnij się, że środowisko spełnia następujące minimalne wymagania ogólne dotyczące kontroli dostępu i sesji.

Wymaganie opis
Licencjonowanie Upewnij się, że masz ważną licencję dla aplikacji Microsoft Defender dla Chmury.
Logowanie jednokrotne (SSO) Aplikacje muszą być skonfigurowane przy użyciu jednego z obsługiwanych rozwiązań logowania jednokrotnego:

— Identyfikator Entra firmy Microsoft korzystający z protokołu SAML 2.0 lub OpenID Połączenie 2.0
— Dostawca tożsamości firmy innej niż Microsoft korzystający z protokołu SAML 2.0
Obsługa przeglądarki Kontrolki sesji są dostępne dla sesji opartych na przeglądarce w najnowszych wersjach następujących przeglądarek:

— Microsoft Edge
- Google Chrome
- Mozilla Firefox
— Apple Safari

Ochrona w przeglądarce dla przeglądarki Microsoft Edge ma również określone wymagania, w tym użytkownik zalogowany przy użyciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.
Przestojów Defender dla Chmury Apps umożliwia zdefiniowanie domyślnego zachowania, które ma być stosowane, jeśli wystąpią przerwy w działaniu usługi, takie jak składnik, który nie działa prawidłowo.

Możesz na przykład ograniczyć (zablokować) lub obejść (zezwalać) użytkownikom na podejmowanie akcji dotyczących potencjalnie poufnej zawartości, gdy nie można wymusić normalnych kontrolek zasad.

Aby skonfigurować domyślne zachowanie podczas przestoju systemu, w usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia> Dostęp warunkowy Domyślne zachowanie>kontroli>dostępu do aplikacji Zezwalaj lub Blokuj dostęp.

Strona monitorowania użytkownika nie jest wyświetlana

Podczas kierowania użytkownika za pośrednictwem aplikacji Defender dla Chmury można powiadomić użytkownika o monitorowanej sesji. Domyślnie strona monitorowania użytkownika jest włączona.

W tej sekcji opisano kroki rozwiązywania problemów, które zalecamy, jeśli strona monitorowania użytkownika jest włączona, ale nie jest wyświetlana zgodnie z oczekiwaniami.

Zalecane czynności

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia> Cloud Apps.

  2. W obszarze Kontrola aplikacji dostępu warunkowego wybierz pozycję Monitorowanie użytkowników. Na tej stronie przedstawiono opcje monitorowania użytkowników dostępne w usłudze Defender dla Chmury Apps. Dla exmaple:

    Zrzut ekranu przedstawiający opcje monitorowania użytkownika.

  3. Sprawdź, czy wybrano opcję Powiadamianie użytkowników, że ich aktywność jest monitorowana .

  4. Wybierz, czy chcesz użyć komunikatu domyślnego, czy podać niestandardowy komunikat:

    Typ wiadomości Szczegóły
    Wartość domyślna Nagłówek:
    Dostęp do [Nazwa aplikacji pojawi się tutaj] jest monitorowany
    Treść:
    W celu zwiększenia bezpieczeństwa organizacja zezwala na dostęp do aplikacji [Nazwa aplikacji pojawi się tutaj] w trybie monitorowania. Dostęp jest dostępny tylko w przeglądarce internetowej.
    Okres niestandardowy Nagłówek:
    Użyj tego pola, aby podać niestandardowy nagłówek, aby poinformować użytkowników, że są monitorowani.
    Treść:
    Użyj tego pola, aby dodać inne informacje niestandardowe dla użytkownika, takie jak osoba, z którymi chcesz się skontaktować z pytaniami, i obsługuje następujące dane wejściowe: zwykły tekst, tekst sformatowany, hiperlinki.

  5. Wybierz pozycję Wersja zapoznawcza , aby sprawdzić, czy strona monitorowania użytkownika jest wyświetlana przed uzyskaniem dostępu do aplikacji.

  6. Wybierz pozycję Zapisz.

Nie można uzyskać dostępu do aplikacji od dostawcy tożsamości innej niż Microsoft

Jeśli użytkownik końcowy otrzyma błąd ogólny po zalogowaniu się do aplikacji od dostawcy tożsamości firmy innej niż Microsoft, zweryfikuj konfigurację dostawcy tożsamości innej niż Microsoft.

Zalecane czynności

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia> Cloud Apps.

  2. W obszarze Połączenie aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego.

  3. Na liście aplikacji w wierszu, w którym aplikacja nie ma dostępu, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.

    1. Sprawdź, czy przekazany certyfikat SAML jest poprawny.

    2. Sprawdź, czy prawidłowe adresy URL logowania jednokrotnego są podane w konfiguracji aplikacji.

    3. Sprawdź, czy atrybuty i wartości w aplikacji niestandardowej są odzwierciedlane w ustawieniach dostawcy tożsamości.

    Na przykład:

    Zrzut ekranu przedstawiający stronę informacji o protokole SAML..

  4. Jeśli nadal nie możesz uzyskać dostępu do aplikacji, otwórz bilet pomocy technicznej.

Pojawi się strona Coś poszło nie tak

Czasami podczas sesji proxied może zostać wyświetlona strona Coś poszło nie tak . Może się tak zdarzyć, jeśli:

  • Użytkownik loguje się po stanie bezczynności przez pewien czas
  • Odświeżanie przeglądarki i ładowanie strony trwa dłużej niż oczekiwano
  • Aplikacja dostawcy tożsamości firmy innej niż Microsoft nie jest poprawnie skonfigurowana

Zalecane czynności

  1. Jeśli użytkownik końcowy próbuje uzyskać dostęp do aplikacji skonfigurowanej przy użyciu dostawcy tożsamości innej niż Microsoft, zobacz Nie można uzyskać dostępu do aplikacji z poziomu dostawcy tożsamości firmy innej niż Microsoft i stan aplikacji: Kontynuuj instalację.

  2. Jeśli użytkownik końcowy nieoczekiwanie osiągnął tę stronę, wykonaj następujące czynności:

    1. Uruchom ponownie sesję przeglądarki.
    2. Wyczyść historię, pliki cookie i pamięć podręczną z przeglądarki.

Akcje schowka lub kontrolki plików nie są blokowane

Możliwość blokowania akcji schowka, takich jak wycinanie, kopiowanie, wklejanie i kontrolki plików, takie jak pobieranie, przekazywanie i drukowanie, jest wymagane, aby zapobiec eksfiltracji i infiltracji danych.

Dzięki temu firmy mogą równoważyć bezpieczeństwo i produktywność użytkowników końcowych. Jeśli występują problemy z tymi funkcjami, wykonaj następujące kroki, aby zbadać problem.

Uwaga

Wycinanie, kopiowanie i wklejanie nie jest blokowane dla danych w tym samym dokumencie programu Excel. Kopiowanie tylko do lokalizacji zewnętrznych jest zablokowane.

Zalecane czynności

Jeśli sesja jest proxied, wykonaj następujące kroki, aby zweryfikować zasady:

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności.

  2. Użyj filtru zaawansowanego, wybierz pozycję Zastosowana akcja i ustaw jej wartość równą Zablokowane.

  3. Sprawdź, czy istnieją zablokowane działania dotyczące plików:

    1. Jeśli istnieje działanie, rozwiń szufladę działań, klikając działanie.

    2. Na karcie Ogólne szuflady działań wybierz link dopasowane zasady, aby sprawdzić, czy wymuszane zasady są obecne.

    3. Jeśli zasady nie są widoczne, zobacz Problemy podczas tworzenia zasad dostępu i sesji.

    4. Jeśli zostanie wyświetlony komunikat Dostęp zablokowany/dozwolony z powodu domyślnego zachowania, oznacza to, że system nie działa i zastosowano domyślne zachowanie.

      1. Aby zmienić domyślne zachowanie, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie w obszarze Kontrola dostępu warunkowego wybierz pozycję Zachowanie domyślne i ustaw domyślne zachowanie na wartość Zezwalaj lub Blokuj dostęp.

      2. Przejdź do portalu administracyjnego platformy Microsoft 365 i monitoruj powiadomienia dotyczące przestoju systemu.

  4. Jeśli nadal nie widzisz zablokowanego działania, otwórz bilet pomocy technicznej.

Pliki do pobrania nie są chronione

Jako użytkownik końcowy może być konieczne pobranie poufnych danych na urządzeniu niezarządzanym. W tych scenariuszach można chronić dokumenty za pomocą usługi Microsoft Purview Information Protection.

Jeśli użytkownik końcowy nie może pomyślnie zaszyfrować dokumentu, wykonaj następujące kroki, aby zbadać problem.

Zalecane czynności

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności.

  2. Użyj filtru zaawansowanego, wybierz pozycję Zastosowana akcja i ustaw jej wartość równą Chronione.

  3. Sprawdź, czy istnieją zablokowane działania dotyczące plików:

    1. Jeśli istnieje działanie, rozwiń szufladę działań, klikając działanie

    2. Na karcie Ogólne szuflady działań wybierz link dopasowane zasady, aby sprawdzić, czy wymuszane zasady są obecne.

    3. Jeśli zasady nie są widoczne, zobacz Problemy podczas tworzenia zasad dostępu i sesji.

    4. Jeśli zostanie wyświetlony komunikat Dostęp zablokowany/dozwolony z powodu domyślnego zachowania, oznacza to, że system nie działa i zastosowano domyślne zachowanie.

      1. Aby zmienić domyślne zachowanie, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie w obszarze Kontrola dostępu warunkowego wybierz pozycję Zachowanie domyślne i ustaw domyślne zachowanie na wartość Zezwalaj lub Blokuj dostęp.

      2. Przejdź do pulpitu nawigacyjnego kondycji usługi Microsoft 365 i monitoruj powiadomienia dotyczące przestoju systemu.

    5. Jeśli chronisz plik za pomocą etykiety poufności lub uprawnień niestandardowych, w opisie działania upewnij się, że rozszerzenie pliku jest jednym z następujących obsługiwanych typów plików:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • Plik PDF , jeśli włączono ujednolicone etykietowanie

    Jeśli typ pliku nie jest obsługiwany, w zasadach sesji możesz wybrać pozycję Blokuj pobieranie dowolnego pliku, który nie jest obsługiwany przez ochronę natywną lub w przypadku niepowodzenia ochrony natywnej.

  4. Jeśli nadal nie widzisz zablokowanego działania, otwórz bilet pomocy technicznej.

Przechodzenie do określonego adresu URL aplikacji z sufiksem i lądowanie na stronie ogólnej

W niektórych scenariuszach przejście do linku może spowodować, że użytkownik zostanie docelowy na stronie głównej aplikacji zamiast pełnej ścieżki linku.

Napiwek

Defender dla Chmury Apps przechowuje listę aplikacji, które są znane z powodu utraty kontekstu. Aby uzyskać więcej informacji, zobacz Ograniczenia utraty kontekstu.

Zalecane czynności

Jeśli używasz przeglądarki innej niż Microsoft Edge, a użytkownik ląduje na stronie głównej aplikacji zamiast pełnej ścieżki linku, rozwiąż ten problem, dołączając .mcas.ms do oryginalnego adresu URL.

Jeśli na przykład oryginalny adres URL to:

https://www.github.com/organization/threads/threadnumber, zmień go na https://www.github.com.mcas.ms/organization/threads/threadnumber

Użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce, nie są przekierowywani do zwrotnego serwera proxy i nie powinni potrzebować dodanego sufiksu .mcas.ms . W przypadku aplikacji, w których występuje utrata kontekstu, otwórz bilet pomocy technicznej.

Blokowanie pobierania powoduje zablokowanie podglądów plików PDF

Czasami podczas wyświetlania podglądu lub drukowania plików PDF aplikacje inicjują pobieranie pliku. Powoduje to, że Defender dla Chmury Apps interweniować, aby upewnić się, że pobieranie jest zablokowane i że dane nie wyciekają ze środowiska.

Jeśli na przykład utworzono zasady sesji w celu blokowania pobierania dla programu Outlook Web Access (OWA), podgląd lub drukowanie plików PDF może zostać zablokowane z komunikatem w następujący sposób:

Zrzut ekranu przedstawiający zablokowany komunikat Pobieranie.

Aby umożliwić korzystanie z wersji zapoznawczej, administrator programu Exchange powinien wykonać następujące czynności:

  1. Pobierz moduł programu PowerShell usługi Exchange Online.

  2. Połączenie do modułu. Aby uzyskać więcej informacji, zobacz Połączenie do programu Exchange Online PowerShell.

  3. Po nawiązaniu połączenia z programem PowerShell usługi Exchange Online użyj polecenia cmdlet Set-OwaMailboxPolicy , aby zaktualizować parametry w zasadach:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Uwaga

    Zasady OwaMailboxPolicy-Default to domyślna nazwa zasad OWA w usłudze Exchange Online. Niektórzy klienci mogli wdrożyć dodatkowe lub utworzyć niestandardowe zasady OWA o innej nazwie. Jeśli masz wiele zasad OWA, mogą być stosowane do określonych użytkowników. W związku z tym należy je również zaktualizować, aby miały pełne pokrycie.

  4. Po ustawieniu tych parametrów uruchom test w usłudze OWA z plikiem PDF i zasadami sesji skonfigurowanymi do blokowania pobierania. Opcja Pobierz powinna zostać usunięta z listy rozwijanej i można wyświetlić podgląd pliku. Na przykład:

    Zrzut ekranu przedstawiający podgląd pliku PDF, który nie jest zablokowany.

Pojawi się ostrzeżenie podobnej witryny

Złośliwi aktorzy mogą tworzyć adresy URL podobne do adresów URL innych witryn w celu personifikacji i skłonienia użytkowników do przekonania, że przeglądają się w innej witrynie. Niektóre przeglądarki próbują wykryć to zachowanie i ostrzegać użytkowników przed uzyskaniem dostępu do adresu URL lub zablokowaniem dostępu.

W niektórych rzadkich przypadkach użytkownicy pod kontrolą sesji otrzymują komunikat z przeglądarki z informacją o podejrzanym dostępie do witryny. Przyczyną jest to, że przeglądarka traktuje domenę sufiksu (na przykład : .mcas.ms) jako podejrzaną.

Ten komunikat pojawia się tylko dla użytkowników przeglądarki Chrome, ponieważ użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce bez architektury zwrotnego serwera proxy. Na przykład:

Zrzut ekranu przedstawiający podobne ostrzeżenie witryny w przeglądarce Chrome.

Jeśli zostanie wyświetlony komunikat podobny do tego, skontaktuj się z pomocą techniczną firmy Microsoft, aby skontaktować się z odpowiednim dostawcą przeglądarki.

Drugie logowanie (nazywane również "drugim logowaniem")

Niektóre aplikacje mają więcej niż jeden link bezpośredni do logowania. Jeśli nie zdefiniujesz linków logowania w ustawieniach aplikacji, użytkownicy mogą zostać przekierowani do nierozpoznanej strony podczas logowania, blokując dostęp.

Integracja między dostawcami tożsamości, takimi jak Microsoft Entra ID, jest oparta na przechwyceniu logowania aplikacji i przekierowaniu go. Oznacza to, że logowania przeglądarki nie mogą być kontrolowane bezpośrednio bez wyzwalania drugiego logowania. Aby wyzwolić drugie logowanie, musimy stosować drugi adres URL logowania przeznaczony specjalnie do tego celu.

Jeśli aplikacja używa elementu innego niż, drugie logowanie może być niewidoczne dla użytkowników lub zostanie wyświetlony monit o ponowne zalogowanie.

Jeśli użytkownik końcowy nie jest niewidoczny, dodaj drugi adres URL logowania do ustawień aplikacji:

  1. Przejdź do pozycji "settings""Cloud apps"'connected apps''"Conditional Access App Control Apps" (Aplikacje kontroli dostępu warunkowego do aplikacji)

  2. Wybierz odpowiednią aplikację, a następnie wybierz trzy kropki.

  3. Wybierz pozycję Edytuj aplikację\Zaawansowana konfiguracja logowania.

  4. Dodaj drugi adres URL logowania, jak wspomniano na stronie błędu.

Jeśli masz pewność, że aplikacja nie używa elementu innego niż, możesz to wyłączyć, edytując ustawienia aplikacji zgodnie z opisem w sekcji Powolne logowania.

Więcej zagadnień dotyczących rozwiązywania problemów z aplikacjami

Podczas rozwiązywania problemów z aplikacjami należy wziąć pod uwagę kilka innych kwestii:

  • Obsługa kontrolek sesji dla nowoczesnych przeglądarek Defender dla Chmury Kontrolki sesji aplikacji obejmuje teraz obsługę nowej przeglądarki Microsoft Edge opartej na chromium. Chociaż nadal obsługujemy najnowsze wersje programu Internet Explorer i starszej wersji przeglądarki Microsoft Edge, obsługa jest ograniczona i zalecamy korzystanie z nowej przeglądarki Microsoft Edge.

  • Kontrolki sesji chronią etykietowanie współtworzenia ograniczeń w ramach akcji "chroń" nie jest obsługiwane przez kontrolki sesji Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Włączanie współtworzenia plików zaszyfrowanych przy użyciu etykiet poufności.

Następne kroki

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników administracyjnych.