Устранение неполадок с элементами управления доступом и сеансами для конечных пользователей

  • Статья

В этой статье содержатся Microsoft Defender для облака администраторы приложений с рекомендациями по изучению и устранению распространенных проблем управления доступом и сеансом, которые испытывают конечные пользователи.

Проверка соблюдения минимальных требований

Прежде чем приступить к устранению неполадок, убедитесь, что среда соответствует следующим минимальным общим требованиям для управления доступом и сеансом.

Требование Description
Лицензирование Убедитесь, что у вас есть действительная лицензия для приложений Microsoft Defender для облака.
Единый вход (SSO) Приложения должны быть настроены с помощью одного из поддерживаемых решений единого входа.

— Идентификатор Microsoft Entra с помощью SAML 2.0 или OpenID Подключение 2.0
— не Microsoft IdP с помощью SAML 2.0
Поддержка браузера Элементы управления сеансами доступны для сеансов на основе браузера в последних версиях следующих браузеров:

— Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Защита в браузере для Microsoft Edge также имеет определенные требования, включая пользователя, вошедшего в рабочий профиль. Дополнительные сведения см. в разделе "Требования к защите в браузере".
Простой Defender для облака Приложения позволяют определить поведение по умолчанию для применения, если происходит нарушение работы службы, например компонент не работает правильно.

Например, вы можете запретить (блокировать) или обходить (разрешить) пользователям выполнять действия по потенциально конфиденциальному содержимому, если обычные элементы управления политикой не могут быть применены.

Чтобы настроить поведение по умолчанию во время простоя системы, в XDR в Microsoft Defender перейдите к Параметры> Кондициональному поведению управления>доступом по умолчанию>разрешить или заблокировать доступ.

Страница мониторинга пользователей не отображается

При маршрутизации пользователя через приложения Defender для облака вы можете уведомить пользователя о том, что его сеанс отслеживается. По умолчанию включена страница мониторинга пользователей.

В этом разделе описаны действия по устранению неполадок, которые мы рекомендуем предпринять, если страница мониторинга пользователя включена, но не отображается должным образом.

Рекомендуемые действия

  1. На портале Microsoft Defender выберите Параметры> Cloud Apps.

  2. В разделе "Управление приложениями условного доступа" выберите "Мониторинг пользователей". На этой странице показаны параметры мониторинга пользователей, доступные в Defender для облака Приложениях. Для exmaple:

    Screenshot of the user monitoring options.

  3. Убедитесь, что выбран параметр "Уведомить пользователей о том, что их активность отслеживается ".

  4. Выберите, следует ли использовать сообщение по умолчанию или указать пользовательское сообщение:

    Тип сообщения Сведения
    По умолчанию Заголовок.
    Мониторинг доступа к [имя приложения появится здесь]
    Текст.
    Для повышения безопасности ваша организация позволяет получить доступ к [имя приложения будет отображаться здесь] в режиме мониторинга. Доступ доступен только из веб-браузера.
    Пользовательское Заголовок.
    Используйте это поле для предоставления настраиваемого заголовка для информирования пользователей о том, что они отслеживаются.
    Текст.
    Используйте это поле для добавления других пользовательских сведений для пользователя, например тех, кто обращается с вопросами, и поддерживает следующие входные данные: обычный текст, форматированный текст, гиперссылки.

  5. Выберите "Предварительный просмотр", чтобы проверить страницу мониторинга пользователей, которая отображается перед доступом к приложению.

  6. Выберите Сохранить.

Не удается получить доступ к приложению от поставщика удостоверений, отличного от Майкрософт

Если конечный пользователь получает общий сбой после входа в приложение от поставщика удостоверений, отличного от Майкрософт, проверьте конфигурацию поставщика удостоверений, отличной от Майкрософт.

Рекомендуемые действия

  1. На портале Microsoft Defender выберите Параметры> Cloud Apps.

  2. В разделе Подключение приложения выберите приложения "Управление приложениями условного доступа".

  3. В списке приложений в строке, в которой приложение не удается получить доступ, выберите три точки в конце строки и нажмите кнопку "Изменить".

    1. Проверьте правильность отправленного сертификата SAML.

    2. Убедитесь, что допустимые URL-адреса единого входа предоставляются в конфигурации приложения.

    3. Убедитесь, что атрибуты и значения в пользовательском приложении отражаются в параметрах поставщика удостоверений.

    Например:

    Screenshot of the SAML information page..

  4. Если вы по-прежнему не можете получить доступ к приложению, откройте запрос в службу поддержки.

Появится страница "Что-то пошло не так"

Иногда во время прокси-сеанса может появиться страница "Что-то пошло не так ". Это может произойти в следующих случаях:

  • Пользователь входит в систему после простоя в течение некоторого времени
  • Обновление браузера и загрузки страницы занимает больше времени, чем ожидалось
  • Приложение, отличное от Майкрософт idP, настроено неправильно

Рекомендуемые действия

  1. Если конечный пользователь пытается получить доступ к приложению, настроенное с помощью поставщика удостоверений Майкрософт, см. статью "Не удается получить доступ к приложению из состояния поставщика удостоверений Майкрософт и приложений: продолжить настройку".

  2. Если конечный пользователь неожиданно достиг этой страницы, сделайте следующее:

    1. Перезапустите сеанс браузера.
    2. Очистка журнала, файлов cookie и кэша из браузера.

Действия буфера обмена или элементы управления файлами не блокируются

Возможность блокировать действия буфера обмена, такие как вырезка, копирование, вставка и элементы управления файлами, такие как скачивание, отправка и печать, необходимы для предотвращения кражи и проникновения данных в сценарии.

Эта возможность позволяет компаниям балансировать безопасность и производительность для конечных пользователей. Если у вас возникли проблемы с этими функциями, выполните следующие действия, чтобы изучить проблему.

Примечание.

Вырезать, копировать и вставлять данные в одном документе Excel не блокируются. Блокировка только копирования в внешние расположения.

Рекомендуемые действия

Если сеанс проксиирован, выполните следующие действия, чтобы проверить политику:

  1. На портале Microsoft Defender в разделе "Облачные приложения" выберите журнал действий.

  2. Используйте расширенный фильтр, выберите "Примененное действие " и задайте значение " Заблокировано".

  3. Убедитесь, что есть заблокированные действия файлов:

    1. Если есть действие, разверните ящик действий, щелкнув действие.

    2. На вкладке "Общие" панели действий выберите ссылку на соответствующие политики, чтобы убедиться, что примененная политика присутствует.

    3. Если политика не отображается, см . статью "Проблемы" при создании политик доступа и сеансов.

    4. Если вы видите , что доступ заблокирован или разрешен из-за поведения по умолчанию, это означает, что система была отключена, и поведение по умолчанию было применено.

      1. Чтобы изменить поведение по умолчанию, на портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". Затем в разделе "Управление условным доступом" выберите "Поведение по умолчанию" и задайте для параметра "Разрешить или заблокировать доступ" по умолчанию.

      2. Перейдите на портал администрирования Microsoft 365 и отслеживайте уведомления об простое системы.

  4. Если вы по-прежнему не можете видеть заблокированные действия, откройте запрос в службу поддержки.

Скачивание не защищается

В качестве конечного пользователя может потребоваться скачивание конфиденциальных данных на неуправляемом устройстве. В этих сценариях можно защитить документы с помощью Защита информации Microsoft Purview.

Если конечный пользователь не может успешно зашифровать документ, выполните следующие действия, чтобы изучить проблему.

Рекомендуемые действия

  1. На портале Microsoft Defender в разделе "Облачные приложения" выберите журнал действий.

  2. Используйте расширенный фильтр, выберите "Примененное действие" и задайте его значение, равное защищенному.

  3. Убедитесь, что есть заблокированные действия файлов:

    1. Если есть действие, разверните ящик действий, щелкнув действие

    2. На вкладке "Общие" панели действий выберите ссылку на соответствующие политики, чтобы убедиться, что примененная политика присутствует.

    3. Если политика не отображается, см . статью "Проблемы" при создании политик доступа и сеансов.

    4. Если вы видите , что доступ заблокирован или разрешен из-за поведения по умолчанию, это означает, что система была отключена, и поведение по умолчанию было применено.

      1. Чтобы изменить поведение по умолчанию, на портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". Затем в разделе "Управление условным доступом" выберите "Поведение по умолчанию" и задайте для параметра "Разрешить или заблокировать доступ" по умолчанию.

      2. Перейдите на панель мониторинга работоспособности служб Microsoft 365 и отслеживайте уведомления о простое системы.

    5. Если вы защищаете файл с помощью метки AIP или пользовательских разрешений, в описании действия убедитесь, что расширение файла является одним из следующих поддерживаемых типов файлов:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF , если включена унифицированная метка

    Если тип файла не поддерживается, в политике сеанса можно выбрать блокировку скачивания любого файла, который не поддерживается собственной защитой или где собственная защита не выполнена.

  4. Если вы по-прежнему не можете видеть заблокированные действия, откройте запрос в службу поддержки.

Переход к определенному URL-адресу суффиксированного приложения и посадка на универсальной странице

В некоторых сценариях переход к ссылке может привести к посадке пользователя на домашней странице приложения, а не на полном пути ссылки.

Совет

Defender для облака Приложения поддерживают список приложений, которые, как известно, страдают от потери контекста. Дополнительные сведения см. в разделе "Ограничения потери контекста".

Рекомендуемые действия

Если вы используете браузер, отличный от Microsoft Edge, и пользователь приземляется на домашней странице приложения вместо полного пути ссылки, устраните проблему, добавив .mcas.ms к исходному URL-адресу.

Например, если исходный URL-адрес:

https://www.github.com/organization/threads/threadnumber, измените его на https://www.github.com.mcas.ms/organization/threads/threadnumber

Пользователи Microsoft Edge получают преимущества от защиты в браузере, не перенаправляются на обратный прокси-сервер и не должны добавлять .mcas.ms суффикс. Для приложений, испытывающих потерю контекста, откройте запрос в службу поддержки.

Блокировка загрузки приводит к блокировке предварительных версий PDF

Иногда при предварительном просмотре или печати PDF-файлов приложения инициируют скачивание файла. Это приводит к тому, что Defender для облака приложения вмешиваются, чтобы убедиться, что скачивание заблокировано, и данные не утечки из вашей среды.

Например, если вы создали политику сеанса для блокировки загрузки для Outlook Web Access (OWA), то предварительный просмотр или печать PDF-файлов может быть заблокирован с таким сообщением:

Screenshot of a Download blocked message.

Чтобы разрешить предварительную версию, администратор Exchange должен выполнить следующие действия.

  1. Скачайте модуль Exchange Online PowerShell.

  2. Подключение в модуль. Дополнительные сведения см. в разделе Подключение Exchange Online PowerShell.

  3. После подключения к Exchange Online PowerShell используйте командлет Set-OwaMailboxPolicy для обновления параметров в политике:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Примечание.

    Политика OwaMailboxPolicy-Default — это имя политики OWA по умолчанию в Exchange Online. Некоторые клиенты, возможно, развернули дополнительную или создали настраиваемую политику OWA с другим именем. Если у вас несколько политик OWA, они могут применяться к определенным пользователям. Таким образом, вам также потребуется обновить их, чтобы получить полное покрытие.

  4. После установки этих параметров запустите тест в OWA с PDF-файлом и политикой сеанса, настроенной для блокировки загрузки. Параметр скачивания должен быть удален из раскрывающегося списка, и вы можете просмотреть файл. Например:

    Screenshot of a PDF preview not blocked.

Появится аналогичное предупреждение сайта

Злоумышленники могут создавать URL-адреса, аналогичные URL-адресам других сайтов, чтобы олицетворить и обмануть пользователей, чтобы поверить, что они просматривают другой сайт. Некоторые браузеры пытаются обнаружить это поведение и предупреждать пользователей перед доступом к URL-адресу или блокировать доступ.

В некоторых редких случаях пользователи под управлением сеанса получают сообщение от браузера, указывающее на подозрительный доступ к сайту. Причина этого заключается в том, что браузер обрабатывает суффиксованный домен (например, как .mcas.msподозрительный).

Это сообщение отображается только для пользователей Chrome, так как пользователи Microsoft Edge получают преимущества от защиты в браузере без обратной архитектуры прокси-сервера. Например:

Screenshot of a similar site warning in Chrome.

Если вы получаете такое сообщение, обратитесь в службу поддержки Майкрософт, чтобы обратиться к нему с соответствующим поставщиком браузера.

Второй вход (также известный как "второй вход" )

Некоторые приложения имеют несколько глубоких ссылок для входа. Если вы не определите ссылки на вход в параметры приложения, пользователи могут быть перенаправлены на нераспознанную страницу при входе, блокируя доступ.

Интеграция между поставщиками удостоверений, такими как идентификатор Microsoft Entra, основана на перехвате входа приложения и перенаправлении его. Это означает, что входы в браузер не могут управляться напрямую без активации второго входа. Чтобы активировать второй вход, необходимо использовать второй URL-адрес входа специально для этой цели.

Если приложение использует nonce, второй вход может быть прозрачным для пользователей, или им будет предложено снова войти в систему.

Если пользователь не является прозрачным, добавьте второй URL-адрес входа в параметры приложения:

  1. Перейдите к разделу "Параметры"Облачные приложения""подключенные приложения"" "Приложения управления условным доступом"

  2. Выберите соответствующее приложение и выберите три точки.

  3. Выберите "Изменить приложение\Расширенная конфигурация входа".

  4. Добавьте второй URL-адрес входа, как упоминание на странице ошибки.

Если вы уверены, что приложение не использует nonce, это можно отключить, изменив параметры приложений, как описано в разделе "Медленный вход".

Дополнительные рекомендации по устранению неполадок приложений

При устранении неполадок с приложениями следует учитывать следующие аспекты:

  • Поддержка элементов управления сеансами для современных браузеров, Defender для облака элементы управления сеансами приложений теперь включают поддержку нового браузера Microsoft Edge на основе Chromium. Хотя мы продолжаем поддерживать самые последние версии Интернет-Обозреватель и устаревшую версию Microsoft Edge, поддержка ограничена, и мы рекомендуем использовать новый браузер Microsoft Edge.

  • Элементы управления сеансами защищают метки совместного проверки подлинности в соответствии с действием "защита" не поддерживаются элементами управления сеансами Defender для облака Apps. Дополнительные сведения см. в разделе "Включение совместного редактирования файлов, зашифрованных с помощью меток конфиденциальности".

Следующие шаги

Дополнительные сведения см. в разделе "Устранение неполадок с доступом и сеансом" для пользователей администратора.