Rozwiązywanie problemów z kontrolą dostępu i sesji dla użytkowników końcowych
Ten artykuł zawiera Microsoft Defender dla Chmury Administratorów aplikacji ze wskazówkami dotyczącymi sposobu badania i rozwiązywania typowych problemów z dostępem i kontrolą sesji, które występują u użytkowników końcowych.
Sprawdzanie minimalnych wymagań
Przed rozpoczęciem rozwiązywania problemów upewnij się, że środowisko spełnia następujące minimalne wymagania ogólne dotyczące kontroli dostępu i sesji.
Wymaganie | opis |
---|---|
Licencjonowanie | Upewnij się, że masz ważną licencję dla aplikacji Microsoft Defender dla Chmury. |
Logowanie jednokrotne (SSO) | Aplikacje muszą być skonfigurowane przy użyciu jednego z obsługiwanych rozwiązań logowania jednokrotnego: — Microsoft Entra ID przy użyciu protokołu SAML 2.0 lub OpenID Connect 2.0 — Dostawca tożsamości firmy innej niż Microsoft korzystający z protokołu SAML 2.0 |
Obsługa przeglądarki | Kontrolki sesji są dostępne dla sesji opartych na przeglądarce w najnowszych wersjach następujących przeglądarek: — Microsoft Edge - Google Chrome - Mozilla Firefox — Apple Safari Ochrona w przeglądarce dla przeglądarki Microsoft Edge ma również określone wymagania, w tym użytkownik zalogowany przy użyciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce. |
Przestój | Defender dla Chmury Apps umożliwia zdefiniowanie domyślnego zachowania, które ma być stosowane, jeśli wystąpią przerwy w działaniu usługi, takie jak składnik, który nie działa prawidłowo. Możesz na przykład ograniczyć (zablokować) lub obejść (zezwalać) użytkownikom na podejmowanie akcji dotyczących potencjalnie poufnej zawartości, gdy nie można wymusić normalnych kontrolek zasad. Aby skonfigurować domyślne zachowanie podczas przestoju systemu, w usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia>Domyślne zachowanie>kontroli>dostępu warunkowego aplikacji Zezwalaj lub Blokuj dostęp. |
Strona monitorowania użytkownika nie jest wyświetlana
Podczas kierowania użytkownika za pośrednictwem aplikacji Defender dla Chmury można powiadomić użytkownika o monitorowanej sesji. Domyślnie strona monitorowania użytkownika jest włączona.
W tej sekcji opisano kroki rozwiązywania problemów, które zalecamy, jeśli strona monitorowania użytkownika jest włączona, ale nie jest wyświetlana zgodnie z oczekiwaniami.
Zalecane czynności
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia>Aplikacje w chmurze.
W obszarze Kontrola dostępu warunkowego wybierz pozycję Monitorowanie użytkowników. Na tej stronie przedstawiono opcje monitorowania użytkowników dostępne w usłudze Defender dla Chmury Apps. Na przykład:
Sprawdź, czy wybrano opcję Powiadamianie użytkowników, że ich aktywność jest monitorowana .
Wybierz, czy chcesz użyć komunikatu domyślnego, czy podać niestandardowy komunikat:
Typ wiadomości Szczegóły Wartość domyślna Nagłówek:
Dostęp do [Nazwa aplikacji pojawi się tutaj] jest monitorowany
Treść:
W celu zwiększenia bezpieczeństwa organizacja zezwala na dostęp do aplikacji [Nazwa aplikacji pojawi się tutaj] w trybie monitorowania. Dostęp jest dostępny tylko w przeglądarce internetowej.Okres niestandardowy Nagłówek:
Użyj tego pola, aby podać niestandardowy nagłówek, aby poinformować użytkowników, że są monitorowani.
Treść:
Użyj tego pola, aby dodać inne informacje niestandardowe dla użytkownika, takie jak osoba, z którymi chcesz się skontaktować z pytaniami, i obsługuje następujące dane wejściowe: zwykły tekst, tekst sformatowany, hiperlinki.Wybierz pozycję Wersja zapoznawcza , aby sprawdzić, czy strona monitorowania użytkownika jest wyświetlana przed uzyskaniem dostępu do aplikacji.
Wybierz pozycję Zapisz.
Nie można uzyskać dostępu do aplikacji od dostawcy tożsamości innej niż Microsoft
Jeśli użytkownik końcowy otrzyma błąd ogólny po zalogowaniu się do aplikacji od dostawcy tożsamości firmy innej niż Microsoft, zweryfikuj konfigurację dostawcy tożsamości innej niż Microsoft.
Zalecane czynności
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia>Aplikacje w chmurze.
W obszarze Połączone aplikacje wybierz pozycję Aplikacje kontroli dostępu warunkowego aplikacji.
Na liście aplikacji w wierszu, w którym aplikacja nie ma dostępu, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj aplikację.
Sprawdź, czy przekazany certyfikat SAML jest poprawny.
Sprawdź, czy prawidłowe adresy URL logowania jednokrotnego są podane w konfiguracji aplikacji.
Sprawdź, czy atrybuty i wartości w aplikacji niestandardowej są odzwierciedlane w ustawieniach dostawcy tożsamości.
Na przykład:
.
Jeśli nadal nie możesz uzyskać dostępu do aplikacji, otwórz bilet pomocy technicznej.
Pojawi się strona Coś poszło nie tak
Czasami podczas sesji proxied może zostać wyświetlona strona Coś poszło nie tak . Może się tak zdarzyć, jeśli:
- Użytkownik loguje się po stanie bezczynności przez pewien czas
- Odświeżanie przeglądarki i ładowanie strony trwa dłużej niż oczekiwano
- Aplikacja dostawcy tożsamości firmy innej niż Microsoft nie jest poprawnie skonfigurowana
Zalecane czynności
Jeśli użytkownik końcowy próbuje uzyskać dostęp do aplikacji skonfigurowanej przy użyciu dostawcy tożsamości innej niż Microsoft, zobacz Nie można uzyskać dostępu do aplikacji z poziomu dostawcy tożsamości firmy innej niż Microsoft i stan aplikacji: Kontynuuj instalację.
Jeśli użytkownik końcowy nieoczekiwanie osiągnął tę stronę, wykonaj następujące czynności:
- Uruchom ponownie sesję przeglądarki.
- Wyczyść historię, pliki cookie i pamięć podręczną z przeglądarki.
Akcje schowka lub kontrolki plików nie są blokowane
Możliwość blokowania akcji schowka, takich jak wycinanie, kopiowanie, wklejanie i kontrolki plików, takie jak pobieranie, przekazywanie i drukowanie, jest wymagane, aby zapobiec eksfiltracji i infiltracji danych.
Dzięki temu firmy mogą równoważyć bezpieczeństwo i produktywność użytkowników końcowych. Jeśli występują problemy z tymi funkcjami, wykonaj następujące kroki, aby zbadać problem.
Zalecane czynności
Jeśli sesja jest proxied, wykonaj następujące kroki, aby zweryfikować zasady:
W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności.
Użyj filtru zaawansowanego, wybierz pozycję Zastosowana akcja i ustaw jej wartość równą Zablokowane.
Sprawdź, czy istnieją zablokowane działania dotyczące plików:
Jeśli istnieje działanie, rozwiń szufladę działań, klikając działanie.
Na karcie Ogólne szuflady działań wybierz link dopasowane zasady, aby sprawdzić, czy wymuszane zasady są obecne.
Jeśli zasady nie są widoczne, zobacz Problemy podczas tworzenia zasad dostępu i sesji.
Jeśli zostanie wyświetlony komunikat Dostęp zablokowany/dozwolony z powodu domyślnego zachowania, oznacza to, że system nie działa i zastosowano domyślne zachowanie.
Aby zmienić zachowanie domyślne, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie w obszarze Kontrola dostępu warunkowego wybierz pozycję Zachowanie domyślne i ustaw domyślne zachowanie na wartość Zezwalaj lub Blokuj dostęp.
Przejdź do portalu administracyjnego platformy Microsoft 365 i monitoruj powiadomienia dotyczące przestoju systemu.
Jeśli nadal nie widzisz zablokowanego działania, otwórz bilet pomocy technicznej.
Pliki do pobrania nie są chronione
Jako użytkownik końcowy może być konieczne pobranie poufnych danych na urządzeniu niezarządzanym. W tych scenariuszach można chronić dokumenty za pomocą usługi Microsoft Purview Information Protection.
Jeśli użytkownik końcowy nie może pomyślnie zaszyfrować dokumentu, wykonaj następujące kroki, aby zbadać problem.
Zalecane czynności
W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Dziennik aktywności.
Użyj filtru zaawansowanego, wybierz pozycję Zastosowana akcja i ustaw jej wartość równą Chronione.
Sprawdź, czy istnieją zablokowane działania dotyczące plików:
Jeśli istnieje działanie, rozwiń szufladę działań, klikając działanie
Na karcie Ogólne szuflady działań wybierz link dopasowane zasady, aby sprawdzić, czy wymuszane zasady są obecne.
Jeśli zasady nie są widoczne, zobacz Problemy podczas tworzenia zasad dostępu i sesji.
Jeśli zostanie wyświetlony komunikat Dostęp zablokowany/dozwolony z powodu domyślnego zachowania, oznacza to, że system nie działa i zastosowano domyślne zachowanie.
Aby zmienić zachowanie domyślne, w witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie w obszarze Kontrola dostępu warunkowego wybierz pozycję Zachowanie domyślne i ustaw domyślne zachowanie na wartość Zezwalaj lub Blokuj dostęp.
Przejdź do pulpitu nawigacyjnego kondycji usługi Microsoft 365 i monitoruj powiadomienia dotyczące przestoju systemu.
Jeśli chronisz plik za pomocą etykiety poufności lub uprawnień niestandardowych, w opisie działania upewnij się, że rozszerzenie pliku jest jednym z następujących obsługiwanych typów plików:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Plik PDF , jeśli włączono ujednolicone etykietowanie
Jeśli typ pliku nie jest obsługiwany, w zasadach sesji możesz wybrać pozycję Blokuj pobieranie dowolnego pliku, który nie jest obsługiwany przez ochronę natywną lub w przypadku niepowodzenia ochrony natywnej.
Jeśli nadal nie widzisz zablokowanego działania, otwórz bilet pomocy technicznej.
Przechodzenie do określonego adresu URL aplikacji z sufiksem i lądowanie na stronie ogólnej
W niektórych scenariuszach przejście do linku może spowodować, że użytkownik zostanie docelowy na stronie głównej aplikacji zamiast pełnej ścieżki linku.
Napiwek
Defender dla Chmury Apps przechowuje listę aplikacji, które są znane z powodu utraty kontekstu. Aby uzyskać więcej informacji, zobacz Ograniczenia utraty kontekstu.
Zalecane czynności
Jeśli używasz przeglądarki innej niż Microsoft Edge, a użytkownik ląduje na stronie głównej aplikacji zamiast pełnej ścieżki linku, rozwiąż ten problem, dołączając .mcas.ms
do oryginalnego adresu URL.
Jeśli na przykład oryginalny adres URL to:
https://www.github.com/organization/threads/threadnumber
, zmień go na https://www.github.com.mcas.ms/organization/threads/threadnumber
Użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce, nie są przekierowywani do zwrotnego serwera proxy i nie powinni potrzebować dodanego sufiksu .mcas.ms
. W przypadku aplikacji, w których występuje utrata kontekstu, otwórz bilet pomocy technicznej.
Blokowanie pobierania powoduje zablokowanie podglądów plików PDF
Czasami podczas wyświetlania podglądu lub drukowania plików PDF aplikacje inicjują pobieranie pliku. Powoduje to, że Defender dla Chmury Apps interweniować, aby upewnić się, że pobieranie jest zablokowane i że dane nie wyciekają ze środowiska.
Jeśli na przykład utworzono zasady sesji w celu blokowania pobierania dla programu Outlook Web Access (OWA), podgląd lub drukowanie plików PDF może zostać zablokowane z komunikatem w następujący sposób:
Aby umożliwić korzystanie z wersji zapoznawczej, administrator programu Exchange powinien wykonać następujące czynności:
Pobierz moduł programu PowerShell usługi Exchange Online.
Połącz się z modułem. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z usługą Exchange Online przy użyciu programu PowerShell.
Po nawiązaniu połączenia z programem PowerShell usługi Exchange Online użyj polecenia cmdlet Set-OwaMailboxPolicy , aby zaktualizować parametry w zasadach:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
Uwaga
Zasady OwaMailboxPolicy-Default to domyślna nazwa zasad OWA w usłudze Exchange Online. Niektórzy klienci mogli wdrożyć dodatkowe lub utworzyć niestandardowe zasady OWA o innej nazwie. Jeśli masz wiele zasad OWA, mogą być stosowane do określonych użytkowników. W związku z tym należy je również zaktualizować, aby miały pełne pokrycie.
Po ustawieniu tych parametrów uruchom test w usłudze OWA z plikiem PDF i zasadami sesji skonfigurowanymi do blokowania pobierania. Opcja Pobierz powinna zostać usunięta z listy rozwijanej i można wyświetlić podgląd pliku. Na przykład:
Pojawi się ostrzeżenie podobnej witryny
Złośliwi aktorzy mogą tworzyć adresy URL podobne do adresów URL innych witryn w celu personifikacji i skłonienia użytkowników do przekonania, że przeglądają się w innej witrynie. Niektóre przeglądarki próbują wykryć to zachowanie i ostrzegać użytkowników przed uzyskaniem dostępu do adresu URL lub zablokowaniem dostępu.
W niektórych rzadkich przypadkach użytkownicy pod kontrolą sesji otrzymują komunikat z przeglądarki z informacją o podejrzanym dostępie do witryny. Przyczyną jest to, że przeglądarka traktuje domenę sufiksu (na przykład : .mcas.ms
) jako podejrzaną.
Ten komunikat pojawia się tylko dla użytkowników przeglądarki Chrome, ponieważ użytkownicy przeglądarki Microsoft Edge korzystają z ochrony w przeglądarce bez architektury zwrotnego serwera proxy. Na przykład:
Jeśli zostanie wyświetlony komunikat podobny do tego, skontaktuj się z pomocą techniczną firmy Microsoft, aby skontaktować się z odpowiednim dostawcą przeglądarki.
Więcej zagadnień dotyczących rozwiązywania problemów z aplikacjami
Podczas rozwiązywania problemów z aplikacjami należy wziąć pod uwagę kilka innych kwestii:
Obsługa kontrolek sesji dla nowoczesnych przeglądarek Defender dla Chmury Kontrolki sesji aplikacji obejmuje teraz obsługę nowej przeglądarki Microsoft Edge opartej na chromium. Chociaż nadal obsługujemy najnowsze wersje programu Internet Explorer i starszej wersji przeglądarki Microsoft Edge, obsługa jest ograniczona i zalecamy korzystanie z nowej przeglądarki Microsoft Edge.
Kontrolki sesji chronią etykietowanie współtworzenia ograniczeń w ramach akcji "chroń" nie jest obsługiwane przez kontrolki sesji Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Włączanie współtworzenia plików zaszyfrowanych przy użyciu etykiet poufności.