Dela via

Felsöka åtkomst- och sessionskontroller för administratörsanvändare

  • Artikel

Den här artikeln ger administratörer i Microsoft Defender för Cloud Apps vägledning om hur du undersöker och löser vanliga problem med åtkomst- och sessionskontroll som administratörer upplever.

Kommentar

Felsökning som rör proxyfunktioner är endast relevant för sessioner som inte har konfigurerats för skydd i webbläsaren med Microsoft Edge.

Kontrollera minimikraven

Innan du börjar felsöka kontrollerar du att din miljö uppfyller följande minimikrav för åtkomst- och sessionskontroller.

Krav Beskrivning
Licensiering Kontrollera att du har en giltig licens för Microsoft Defender för Molnappar.
Enkel inloggning (SSO) Appar måste konfigureras med någon av de SSO-lösningar som stöds:

– Microsoft Entra-ID med SAML 2.0 eller OpenID Connect 2.0
– Icke-Microsoft IdP med SAML 2.0
Stöd för webbläsare Sessionskontroller är tillgängliga för webbläsarbaserade sessioner i de senaste versionerna av följande webbläsare:

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Skydd i webbläsaren för Microsoft Edge har också specifika krav, inklusive användaren som är inloggad med sin arbetsprofil. Mer information finns i Krav för webbläsarskydd.
Stilleståndstid Med Defender för Cloud Apps kan du definiera standardbeteendet som ska tillämpas om det uppstår avbrott i tjänsten, till exempel om en komponent inte fungerar korrekt.

När de normala principkontrollerna till exempel inte kan tillämpas kan du välja att härda (blockera) eller kringgå (tillåt) användare från att vidta åtgärder på potentiellt känsligt innehåll.

Om du vill konfigurera standardbeteendet under systemavbrott går du till Inställningar>För standardbeteendet>>Tillåt eller Blockera åtkomst i Microsoft Defender XDR.

Krav för webbläsarskydd

Om du använder webbläsarskydd med Microsoft Edge och fortfarande hanteras av en omvänd proxy kontrollerar du att du uppfyller följande ytterligare krav:

Referens för felsökningsproblem för administratörer

Använd följande tabell för att hitta problemet som du försöker felsöka:

Typ av problem Problem
Problem med nätverksvillkor Nätverksfel när du navigerar till en webbläsarsida

Långsamma inloggningar

Fler överväganden för nätverksvillkor
Problem med enhetsidentifiering Felidentifierade Intune-kompatibla eller Microsoft Entra Hybrid-anslutna enheter

Klientcertifikat frågar inte när de förväntas

Klientcertifikat frågar inte när de förväntas
Klientcertifikat frågar vid varje inloggning

Fler överväganden för enhetsidentifiering
Problem vid registrering av en app Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

Appstatus: Fortsätt installationenDet går inte att konfigurera kontroller för interna appar

Alternativet För att begära sessionskontroll visas
Problem när du skapar åtkomst- och sessionsprinciper I principer för villkorsstyrd åtkomst kan du inte se alternativet Appkontroll för villkorsstyrd åtkomst

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

Det går inte att skapa sessionsprinciper för en app

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

Det går inte att välja Åtgärd: Skydda

Fler överväganden för registrering av appar
Diagnostisera och felsöka med verktygsfältet Administrationsvy Kringgå proxysession

Spela in en session

Lägga till domäner för din app

Problem med nätverksvillkor

Vanliga problem med nätverksvillkor som du kan stöta på är:

Nätverksfel när du navigerar till en webbläsarsida

När du först konfigurerar åtkomst- och sessionskontroller för Defender för Cloud Apps för en app kan vanliga nätverksfel uppstå: Den här webbplatsen är inte säker och Det finns ingen internetanslutning. Dessa meddelanden kan tyda på ett allmänt nätverkskonfigurationsfel.

Rekommenderade åtgärder

  1. Konfigurera brandväggen så att den fungerar med Defender för Cloud Apps med hjälp av De Azure IP-adresser och DNS-namn som är relevanta för din miljö.

    1. Lägg till utgående port 443 för följande IP-adresser och DNS-namn för ditt datacenter för Defender för Cloud Apps.
    2. Starta om enheten och webbläsarsessionen
    3. Kontrollera att inloggningen fungerar som förväntat

  2. Aktivera TLS 1.2 i webbläsarens internetalternativ. Till exempel:

    Webbläsare Steg
    Microsoft Internet Explorer 1. Öppna Internet Explorer
    2. Välj fliken Förköp av verktyg>i Internetalternativ>
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Microsoft Edge/Edge Chromium 1. Öppna sökningen från aktivitetsfältet och sök efter "Internetalternativ"
    2. Välj Internetalternativ
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Google Chrome 1. Öppna Google Chrome
    2. Längst upp till höger väljer du Fler (3 lodräta punkter) > Inställningar
    3. Längst ned väljer du Avancerat
    4. Under System väljer du Öppna proxyinställningar
    5. På fliken Avancerat går du till Säkerhet och väljer TLS 1.2
    6. Välj OK
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Mozilla Firefox 1. Öppna Mozilla Firefox
    2. I adressfältet och sök efter "about:config"
    3. I sökrutan söker du efter "TLS"
    4. Dubbelklicka på posten för security.tls.version.min
    5. Ange heltalsvärdet till 3 för att framtvinga TLS 1.2 som den lägsta version som krävs
    6. Välj Spara (markera till höger om värderutan)
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Safari Om du använder Safari version 7 eller senare aktiveras TLS 1.2 automatiskt

Defender för Cloud Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering:

  • Interna klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när de konfigureras med sessionskontroll.
  • SaaS-appar som använder TLS 1.1 eller lägre visas i webbläsaren som att använda TLS 1.2+ när de konfigureras med Defender för Cloud Apps.

Dricks

Även om sessionskontroller är byggda för att fungera med alla webbläsare på alla större plattformar på alla operativsystem, stöder vi de senaste versionerna av Microsoft Edge, Google Chrome, Mozilla Firefox eller Apple Safari. Du kanske vill blockera eller tillåta åtkomst specifikt till mobilappar eller skrivbordsappar.

Långsamma inloggningar

Proxylänkning och nonce-hantering är några av de vanliga problemen som kan leda till långsamma inloggningsprestanda.

Rekommenderade åtgärder

Konfigurera din miljö för att ta bort faktorer som kan orsaka långsamhet under inloggningen. Du kan till exempel ha konfigurerat brandväggar eller vidarebefordran av proxylänkning, som ansluter två eller flera proxyservrar för att navigera till den avsedda sidan. Du kan också ha andra externa faktorer som påverkar långsamheten.

  1. Identifiera om proxylänkning sker i din miljö.
  2. Ta bort eventuella vidarebefordrade proxyservrar där det är möjligt.

Vissa appar använder en nonce-hash under autentiseringen för att förhindra återspelningsattacker. Som standard förutsätter Defender för Cloud Apps att en app använder en nonce. Om appen du arbetar med inte använder nonce inaktiverar du nonce-hantering för den här appen i Defender för Cloud Apps:

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.
  2. Under Anslutna appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.
  3. I listan över appar, på raden där appen du konfigurerar visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera för din app.
  4. Välj Nonce-handling för att expandera avsnittet och avmarkera sedan Aktivera nonce-hantering.
  5. Logga ut från appen och stäng alla webbläsarsessioner.
  6. Starta om webbläsaren och logga in på appen igen. Kontrollera att inloggningen fungerar som förväntat.

Fler överväganden för nätverksvillkor

När du felsöker nätverksvillkor bör du även tänka på följande information om Defender for Cloud Apps-proxyn:

  • Kontrollera om sessionen dirigeras till ett annat datacenter: Defender for Cloud Apps använder Azure Data Centers runt om i världen för att optimera prestanda via geoplats.

    Det innebär att en användares session kan finnas utanför en region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.

  • Proxyprestanda: Att härleda en prestandabaslinje beror på många faktorer utanför Proxy för Defender för Cloud Apps, till exempel:

    • Vilka andra proxyservrar eller gatewayer som finns i serien med den här proxyn
    • Varifrån användaren kommer
    • Där målresursen finns
    • Specifika begäranden på sidan

    I allmänhet lägger alla proxy till svarstid. Fördelarna med Defender för Cloud Apps-proxyn är:

    • Använda den globala tillgängligheten för Azure-domänkontrollanter för att geoplacera användare till närmaste nod och minska deras avstånd tur och retur. Azure-domänkontrollanter kan geolokalisera i en skala som få tjänster runt om i världen har.

    • Använda integreringen med villkorsstyrd åtkomst i Microsoft Entra för att endast dirigera de sessioner som du vill proxyservern till vår tjänst, i stället för alla användare i alla situationer.

Problem med enhetsidentifiering

Defender för Cloud Apps innehåller följande alternativ för att identifiera en enhets hanteringstillstånd.

  • Microsoft Intune-efterlevnad
  • Hybrid Microsoft Entra-domänansluten
  • Klientcertifikat

Mer information finns i Identitetshanterade enheter med appkontroll för villkorsstyrd åtkomst.

Vanliga problem med enhetsidentifiering som kan uppstå är:

Felidentifierade Intune-kompatibla eller Microsoft Entra Hybrid-anslutna enheter

Med villkorsstyrd åtkomst i Microsoft Entra kan intune-kompatibel och hybridansluten Enhetsinformation från Microsoft Entra skickas direkt till Defender för Cloud Apps. I Defender för Cloud Apps använder du enhetstillståndet som ett filter för åtkomst- eller sessionsprinciper.

Mer information finns i Introduktion till enhetshantering i Microsoft Entra-ID.

Rekommenderade åtgärder

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga i Defender för Molnappar.

  3. För Intune-kompatibel enhetsidentifiering respektive Microsoft Entra-hybridanslutningsidentifiering väljer du Visa konfiguration och kontrollerar att tjänsterna har konfigurerats. Tjänsterna synkroniseras automatiskt från Microsoft Entra ID respektive Intune.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med Hybrid Azure AD-ansluten, Intune-kompatibel eller båda.

  5. I en webbläsare loggar du in på en enhet som är Microsoft Entra-hybridanslutning eller Intune-kompatibel baserat på ditt principfilter.

  6. Kontrollera att aktiviteter från dessa enheter fyller i loggen. I Defender för Cloud Apps går du till sidan Aktivitetslogg och filtrerarEnhetstagg som är lika med Hybrid Azure AD-ansluten, Intune-kompatibel eller båda baserat på dina principfilter.

  7. Om aktiviteter inte fylls i i aktivitetsloggen för Defender för Cloud Apps går du till Microsoft Entra-ID och utför följande steg:

    1. Under Övervaka>inloggningar kontrollerar du att det finns inloggningsaktiviteter i loggar.

    2. Välj relevant loggpost för den enhet som du loggade in på.

    3. I fönstret Information går du till fliken Enhetsinformation och kontrollerar att enheten är Hanterad (Hybrid Azure AD-ansluten) eller Kompatibel (Intune-kompatibel).

      Om du inte kan verifiera något av tillstånden kan du prova en annan loggpost eller se till att dina enhetsdata har konfigurerats korrekt i Microsoft Entra-ID.

    4. För villkorsstyrd åtkomst kan vissa webbläsare kräva extra konfiguration, till exempel att installera ett tillägg. Mer information finns i Stöd för webbläsare för villkorsstyrd åtkomst.

    5. Om du fortfarande inte ser enhetsinformationen på sidan Inloggningar öppnar du ett supportärende för Microsoft Entra-ID.

Klientcertifikat frågar inte när de förväntas

Mekanismen för enhetsidentifiering kan begära autentisering från relevanta enheter med hjälp av klientcertifikat. Du kan ladda upp ett X.509-rotcertifikat eller mellanliggande certifikatutfärdarcertifikat (CA), formaterat i PEM-certifikatformatet.

Certifikat måste innehålla certifikatutfärdarcertifikatets offentliga nyckel, som sedan används för att signera klientcertifikaten som visas under en session. Mer information finns i Söka efter enhetshantering utan Microsoft Entra.

Rekommenderade åtgärder

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga med Defender för Cloud Apps.

  3. Kontrollera att du har laddat upp ett X.509-rotcertifikat eller ett mellanliggande CA-certifikat. Du måste ladda upp certifikatutfärdarcertifikatet som används för att signera för certifikatutfärdare.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med giltigt klientcertifikat.

  5. Kontrollera att klientcertifikatet är:

    • Distribueras med filformatet PKCS #12, vanligtvis filnamnstillägget .p12 eller .pfx
    • Installerad i användararkivet, inte i enhetsarkivet, på den enhet som du använder för testning

  6. Starta om webbläsarsessionen.

  7. När du loggar in på den skyddade appen:

    • Kontrollera att du omdirigeras till följande URL-syntax: <https://*.managed.access-control.cas.ms/aad_login>
    • Om du använder iOS kontrollerar du att du använder Webbläsaren Safari.
    • Om du använder Firefox måste du också lägga till certifikatet i Firefox eget certifikatarkiv. Alla andra webbläsare använder samma standardcertifikatarkiv.

  8. Kontrollera att klientcertifikatet uppmanas i webbläsaren.

    Om den inte visas kan du prova en annan webbläsare. De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll. Mobil- och skrivbordsappar använder dock ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.

  9. Kontrollera att aktiviteter från dessa enheter fyller i loggen. På sidan Aktivitetslogg i Defender för Cloud Apps lägger du till ett filterenhetstaggen som är lika med giltigt klientcertifikat.

  10. Om du fortfarande inte ser uppmaningen öppnar du ett supportärende och tar med följande information:

    • Information om webbläsaren eller den inbyggda app där du upplevde problemet
    • Operativsystemversionen, till exempel iOS/Android/Windows 10
    • Ange om prompten fungerar på Microsoft Edge Chromium

Klientcertifikat frågar vid varje inloggning

Om klientcertifikatet dyker upp när du har öppnat en ny flik kan det bero på inställningar som är dolda i Internetalternativ. Kontrollera inställningarna i webbläsaren. Till exempel:

I Microsoft Internet Explorer:

  1. Öppna Internet Explorer och välj fliken Verktyg>Internetalternativ>Avancerat.
  2. Under Säkerhet väljer du Fråga inte efter val av klientcertifikat när det bara finns> ett certifikat Välj Tillämpa>OK.
  3. Starta om webbläsaren och kontrollera att du kan komma åt appen utan extra uppmaningar.

I Microsoft Edge/Edge Chromium:

  1. Öppna sökningen från aktivitetsfältet och sök efter Internetalternativ.
  2. Välj Internetalternativ>Säkerhet>Anpassad nivå för lokalt intranät.>
  3. Under Övrigt>Fråga inte efter val av klientcertifikat när det bara finns ett certifikat väljer du Inaktivera.
  4. Välj OK>Tillämpa>OK.
  5. Starta om webbläsaren och kontrollera att du kan komma åt appen utan extra uppmaningar.

Fler överväganden för enhetsidentifiering

När du felsöker enhetsidentifiering kan du kräva att certifikat återkallas för klientcertifikat.

Certifikat som återkallas av certifikatutfärdare är inte längre betrodda. Om du väljer det här alternativet måste alla certifikat skicka CRL-protokollet. Om klientcertifikatet inte innehåller en CRL-slutpunkt kan du inte ansluta från den hanterade enheten.

Problem vid registrering av en app

Microsoft Entra-ID-appar registreras automatiskt i Defender för Cloud Apps för villkorlig åtkomst och sessionskontroller. Du måste registrera icke-Microsoft IdP-appar manuellt, inklusive både katalog- och anpassade appar.

Mer information finns i:

Vanliga scenarier som du kan stöta på när du registrerar en app är:

Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

När du registrerar en IdP-app som inte kommer från Microsoft till appkontrollen för villkorsstyrd åtkomst är det sista distributionssteget att låta slutanvändaren navigera till appen. Utför stegen i det här avsnittet om appen inte visas på sidan Inställningar Molnappar > Anslutna appar > För appar med villkorsstyrd åtkomst appkontroll förväntas.>

Rekommenderade åtgärder

  1. Kontrollera att appen uppfyller följande krav för appkontroll för villkorsstyrd åtkomst:

    • Kontrollera att du har en giltig Licens för Defender för Cloud Apps.
    • Skapa en duplicerad app.
    • Kontrollera att appen använder SAML-protokollet.
    • Kontrollera att du har registrerat appen fullständigt och att appens status är Ansluten.

  2. Se till att navigera till appen i en ny webbläsarsession med hjälp av ett nytt inkognitoläge eller genom att logga in igen.

Kommentar

Entra-ID-appar visas bara på sidan Appar för appkontroll för villkorsstyrd åtkomst när de har konfigurerats i minst en princip, eller om du har en princip utan någon appspecifikation och en användare har loggat in på appen.

Appstatus: Fortsätt installationen

Statusen för en app kan variera och kan innehålla Fortsätt installation, Ansluten eller Inga aktiviteter.

För appar som är anslutna via icke-Microsoft-identitetsprovidrar (IdP), om installationen inte är klar, visas en sida med statusen Fortsätt installationsprogrammet när du öppnar appen. Slutför konfigurationen med hjälp av följande steg.

Rekommenderade åtgärder

  1. Välj Fortsätt installationsprogrammet.

  2. Granska följande artiklar och kontrollera att du har slutfört alla steg som krävs:

    Var särskilt uppmärksam på följande steg:

    1. Se till att du skapar en ny anpassad SAML-app. Du behöver den här appen för att ändra URL:er och SAML-attribut som kanske inte är tillgängliga i galleriappar.
    2. Om din identitetsprovider inte tillåter återanvändning av samma identifierare, även kallat entitets-ID eller målgrupp, ändrar du identifieraren för den ursprungliga appen.

Det går inte att konfigurera kontroller för inbyggda appar

Inbyggda appar kan identifieras heuristiskt och du kan använda åtkomstprinciper för att övervaka eller blockera dem. Använd följande steg för att konfigurera kontroller för interna appar.

Rekommenderade åtgärder

  1. I en åtkomstprincip lägger du till ett klientappfilter och anger det lika med Mobil och skrivbord.

  2. Under Åtgärder väljer du Blockera.

  3. Du kan också anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer. Anpassa till exempel det här meddelandet till Du måste använda en webbläsare för att få åtkomst till den här appen.

  4. Testa och verifiera att kontrollen fungerar som förväntat.

Appen känns inte igen sidan visas

Defender för Cloud Apps kan identifiera över 31 000 appar via Cloud App Catalog.

Om du använder en anpassad app som har konfigurerats via Microsoft Entra SSO och inte är en av de appar som stöds visas inte en appsida. Du måste konfigurera appen med appkontroll för villkorsstyrd åtkomst för att lösa problemet.

Rekommenderade åtgärder

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  2. I banderollen väljer du Visa nya appar.

  3. Leta upp den app som du registrerar i listan över nya appar, välj + tecknet och välj sedan Lägg till.

    1. Välj om appen är en anpassad app eller en standardapp.
    2. Fortsätt genom guiden och kontrollera att de angivna användardefinierade domänerna är korrekta för den app som du konfigurerar.

  4. Kontrollera att appen visas på sidan Appar för appkontroll för villkorsstyrd åtkomst.

Alternativet För att begära sessionskontroll visas

När du har registrerat en IdP-app som inte är från Microsoft kan du se alternativet Förfrågningssessionskontroll . Detta beror på att endast katalogappar har färdiga sessionskontroller. För andra appar måste du gå igenom en självregistreringsprocess.

Följ anvisningarna i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med ip-adresser som inte kommer från Microsoft.

Rekommenderade åtgärder

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postmeddelandet för den användare som ska registrera appen och välj sedan Spara.

  4. Gå till den app som du distribuerar. Vilken sida du ser beror på om appen känns igen. Gör något av följande beroende på vilken sida du ser:

    • Känns inte igen. Du ser en sida som inte känns igen och som uppmanar dig att konfigurera din app. Använd följande steg:

      1. Registrera appen för appkontroll för villkorsstyrd åtkomst.
      2. Lägg till domänerna för appen.
      3. Installera appens certifikat.

    • Känns igen. Om din app identifieras visas en registreringssida där du uppmanas att fortsätta appkonfigurationsprocessen.

      Kontrollera att appen är konfigurerad med alla domäner som krävs för att appen ska fungera korrekt och gå sedan tillbaka till appsidan.

Fler överväganden för registrering av appar

När du felsöker för registrering av appar finns det några extra saker att tänka på.

  • Förstå skillnaden mellan principinställningarna för villkorsstyrd åtkomst i Microsoft Entra: "Endast övervakare", "Blockera nedladdningar" och "Använd anpassad princip"

    I Microsoft Entras principer för villkorsstyrd åtkomst kan du konfigurera följande inbyggda Defender for Cloud Apps-kontroller: Övervaka endast och Blockera nedladdningar. De här inställningarna gäller och framtvingar proxyfunktionen Defender för Molnappar för molnappar och villkor som konfigurerats i Microsoft Entra-ID.

    Om du vill ha mer komplexa principer väljer du Använd anpassad princip, vilket gör att du kan konfigurera åtkomst- och sessionsprinciper i Defender för Molnappar.

  • Förstå alternativet För klientappfilter för mobil och skrivbord i åtkomstprinciper

    I Defender för Cloud Apps-åtkomstprinciper gäller den resulterande åtkomstprincipen för webbläsarsessioner om inte klientappfiltret är inställt på Mobil och skrivbord.

    Anledningen till detta är att förhindra oavsiktlig proxykörning av användarsessioner, vilket kan vara en biprodukt av att använda det här filtret.

Problem när du skapar åtkomst- och sessionsprinciper

Defender för Cloud Apps innehåller följande konfigurerbara principer:

  • Åtkomstprinciper: Används för att övervaka eller blockera åtkomst till webbläsare, mobila appar och/eller skrivbordsappar.
  • Sessionsprinciper. Används för att övervaka, blockera och utföra specifika åtgärder för att förhindra datainfiltrering och exfiltreringsscenarier i webbläsaren.

Om du vill använda dessa principer i Defender för Cloud Apps måste du först konfigurera en princip i Villkorsstyrd åtkomst i Microsoft Entra för att utöka sessionskontroller:

  1. I Microsoft Entra-principen går du till Åtkomstkontroller och väljer Session Use Conditional Access App Control (Använd>appkontroll för villkorsstyrd åtkomst).

  2. Välj en inbyggd princip (endast övervaka eller Blockera nedladdningar) eller Använd anpassad princip för att ange en avancerad princip i Defender för Cloud Apps.

  3. Välj Välj för att fortsätta.

Vanliga scenarier som du kan stöta på när du konfigurerar dessa principer är:

I principer för villkorsstyrd åtkomst kan du inte se alternativet Appkontroll för villkorsstyrd åtkomst

För att dirigera sessioner till Defender för Cloud Apps måste Microsoft Entras principer för villkorsstyrd åtkomst konfigureras för att inkludera sessionskontroller för appkontroll för villkorsstyrd åtkomst.

Rekommenderade åtgärder

Om du inte ser alternativet Appkontroll för villkorsstyrd åtkomst i principen för villkorsstyrd åtkomst kontrollerar du att du har en giltig licens för Microsoft Entra ID P1 och en giltig Defender för Cloud Apps-licens.

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

När du skapar en åtkomst- eller sessionsprincip kan följande felmeddelande visas: Du har inga appar som har distribuerats med appkontrollen för villkorsstyrd åtkomst. Det här felet anger att appen är en icke-Microsoft IdP-app som inte har registrerats för appkontroll för villkorsstyrd åtkomst.

Rekommenderade åtgärder

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appar för appkontroll för villkorsstyrd åtkomst.

  2. Om du ser meddelandet Inga appar anslutna använder du följande guider för att distribuera appar:

Om du stöter på problem när du distribuerar appen kan du läsa Problem när du registrerar en app.

Det går inte att skapa sessionsprinciper för en app

När du har registrerat en icke-Microsoft IdP-app för appkontroll för villkorsstyrd åtkomst kan du på sidan Appkontrollappar för villkorsstyrd åtkomst se alternativet: Begärandesessionskontroll.

Kommentar

Katalogappar har färdiga sessionskontroller. För andra IdP-appar som inte kommer från Microsoft måste du gå igenom en självregistreringsprocess. Rekommenderade åtgärder

  1. Distribuera din app till sessionskontroll. Mer information finns i Publicera anpassade IdP-appar som inte är från Microsoft för appkontroll för villkorsstyrd åtkomst.

  2. Skapa en sessionsprincip och välj appfiltret .

  3. Kontrollera att din app nu visas i listrutan.

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

När du använder kontrollfilens nedladdningstyp (med kontroll) för sessionskontroll i sessionsprinciper kan du använda inspektionsmetoden för dataklassificeringstjänsten för att genomsöka filerna i realtid och identifiera känsligt innehåll som matchar något av de kriterier som du har konfigurerat.

Om dataklassificeringstjänstens kontrollmetod inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade åtgärder

  1. Kontrollera att sessionskontrolltypen är inställd på Kontrollera filnedladdning (med kontroll).

    Kommentar

    Inspektionsmetoden för dataklassificeringstjänsten är endast tillgänglig för alternativet Hämta kontrollfil (med kontroll).

  2. Avgör om funktionen dataklassificeringstjänst är tillgänglig i din region:

    • Om funktionen inte är tillgänglig i din region använder du den inbyggda DLP-inspektionsmetoden .
    • Om funktionen är tillgänglig i din region men du fortfarande inte kan se inspektionsmetoden för dataklassificeringstjänsten öppnar du ett supportärende.

Det går inte att välja Åtgärd: Skydda

När du använder kontrollfilens hämtningstyp (med kontroll) för sessionskontroll i sessionsprinciper kan du, förutom åtgärderna Övervaka och Blockera , ange åtgärden Skydda . Med den här åtgärden kan du tillåta filnedladdningar med alternativet att kryptera eller tillämpa behörigheter för filen baserat på villkor, innehållsgranskning eller båda.

Om åtgärden Skydda inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade åtgärder

  1. Om åtgärden Skydda inte är tillgänglig eller är nedtonad kontrollerar du att du har en Microsoft Purview-licens. Mer information finns i Microsoft Purview Information Protection-integrering.

  2. Om åtgärden Skydda är tillgänglig men inte ser lämpliga etiketter.

    1. I Defender för Cloud Apps går du till menyraden och väljer inställningsikonen >Microsoft Information Protection och kontrollerar att integreringen är aktiverad.

    2. För Office-etiketter i Microsoft Purview-portalen kontrollerar du att Enhetlig etikettering är markerat.

Diagnostisera och felsöka med verktygsfältet Administrationsvy

Verktygsfältet Administratörsvy finns längst ned på skärmen och innehåller verktyg för administratörsanvändare för att diagnostisera och felsöka problem med appkontroll för villkorsstyrd åtkomst.

Om du vill visa verktygsfältet Administratörsvy måste du lägga till specifika administratörsanvändarkonton i listan Registrering/underhåll av appar i Microsoft Defender XDR-inställningarna.

Så här lägger du till en användare i listan App onboarding/maintenance:

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Rulla nedåt och under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postadressen för den administratörsanvändare som du vill lägga till.

  4. Välj alternativet Aktivera dessa användare att kringgå appkontrollen för villkorsstyrd åtkomst inifrån en proxierad session och välj sedan Spara.

    Till exempel:

    Skärmbild av inställningar för registrering/underhåll av appar.

Nästa gång en av de listade användarna startar en ny session i en app som stöds där de är administratörer visas verktygsfältet Administratörsvy längst ned i webbläsaren.

Följande bild visar till exempel verktygsfältet Administrationsvy längst ned i ett webbläsarfönster när du använder OneNote i webbläsaren:

Skärmbild av verktygsfältet Administratörsvy.

I följande avsnitt beskrivs hur du använder verktygsfältet Administrationsvy för att testa och felsöka.

Testläge

Som administratörsanvändare kanske du vill testa kommande korrigeringar av proxyfel innan den senaste versionen distribueras helt till alla klienter. Ge feedback om buggkorrigeringen till Microsofts supportteam för att påskynda lanseringscyklerna.

När de är i testläge är det bara administratörsanvändarna som exponeras för eventuella ändringar som anges i felkorrigeringarna. Det finns ingen effekt på andra användare.

  • Om du vill aktivera testläge går du till verktygsfältet Administrationsvy och väljer Testläge.
  • När du är klar med testningen väljer du Sluttestläge för att återgå till de vanliga funktionerna.

Kringgå proxysession

Om du använder en icke-Edge-webbläsare och har svårt att komma åt eller läsa in ditt program kanske du vill kontrollera om problemet gäller proxyn för villkorsstyrd åtkomst genom att köra programmet utan proxyn.

Om du vill kringgå proxyn går du till verktygsfältet Administrationsvy och väljer Kringgå upplevelse. Bekräfta att sessionen kringgås genom att notera att URL:en inte är suffix.

Proxyn för villkorsstyrd åtkomst används igen i nästa session.

Mer information finns i Microsoft Defender för cloud apps villkorlig åtkomst appkontroll och Skydd i webbläsaren med Microsoft Edge för företag (förhandsversion).

Spela in en session

Du kanske vill hjälpa rotorsaksanalysen av ett problem genom att skicka en sessionsinspelning till Microsofts supporttekniker. Använd verktygsfältet Administratörsvy för att registrera sessionen.

Kommentar

Alla personuppgifter tas bort från inspelningarna.

Så här registrerar du en session:

  1. I verktygsfältet Administratörsvy väljer du Postsession. När du uppmanas till det väljer du Fortsätt för att acceptera villkoren. Till exempel:

    Skärmbild av dialogrutan för sessionsinspelningssekretess.

  2. Logga in på din app om det behövs för att börja simulera sessionen.

  3. När du är klar med inspelningen av scenariot väljer du Stoppa inspelning i verktygsfältet Administratörsvy .

Så här visar du dina inspelade sessioner:

När du är klar med inspelningen visar du de inspelade sessionerna genom att välja Sessionsinspelningar i verktygsfältet Administrationsvy . En lista över inspelade sessioner från de föregående 48 timmarna visas. Till exempel:

Skärmbild av sessionsinspelningar.

Om du vill hantera dina inspelningar väljer du en fil och väljer sedan Ta bort eller Ladda ned efter behov. Till exempel:

Skärmbild av nedladdning eller borttagning av en inspelning.

Lägga till domäner för din app

Genom att koppla rätt domäner till en app kan Defender för Cloud Apps framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Om en administratör bläddrar i en proxied-app till en okänd domän, som Defender för Cloud Apps inte överväger till en del av samma app eller någon annan app, visas det okända domänmeddelandet , vilket uppmanar administratören att lägga till domänen så att den skyddas nästa gång. I sådana fall krävs ingen åtgärd om administratören inte vill lägga till domänen.

Kommentar

Defender för Cloud Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

Så här lägger du till domäner för din app:

  1. Öppna din app i en webbläsare med verktygsfältet Defender för molnappars administratörsvy synligt på skärmen.

  2. I verktygsfältet Administratörsvy väljer du Identifierade domäner.

  3. I fönstret Identifierade domäner antecknar du de domännamn som anges eller exporterar listan som en .csv fil.

    Fönstret Identifierade domäner visar en lista över alla domäner som inte är associerade med appen. Domännamnen är fullständigt kvalificerade.

  4. I Microsoft Defender XDR väljer du Inställningar>Molnappar>Anslutna appar>Villkorlig åtkomst AppKontrollappar.

  5. Leta upp din app i tabellen. Välj alternativmenyn till höger och välj sedan Redigera app.

  6. I fältet Användardefinierade domäner anger du de domäner som du vill associera med den här appen.

    • Om du vill visa listan över domäner som redan har konfigurerats i appen väljer du länken Visa appdomäner .

    • När du lägger till domäner bör du överväga om du vill lägga till specifika domäner eller använda en asterisk (*****ens ett jokertecken för att använda flera domäner samtidigt.

      Är till exempel sub1.contoso.comsub2.contoso.com exempel på specifika domäner. Om du vill lägga till båda dessa domäner samtidigt, samt andra syskondomäner, använder du *.contoso.com.

Mer information finns i Skydda appar med appkontroll för villkorsstyrd åtkomst i Microsoft Defender för molnappar.

Relaterat innehåll