Yönetici kullanıcılar için erişim ve oturum denetimlerinin sorunlarını giderme
Bu makale, Bulut için Microsoft Defender Uygulamaları yöneticilerine, yöneticiler tarafından karşılaşılan yaygın erişim ve oturum denetimi sorunlarını araştırma ve çözme yönergeleri sağlar.
Not
Ara sunucu işlevselliğiyle ilgili tüm sorun giderme işlemleri yalnızca Microsoft Edge ile tarayıcı içi koruma için yapılandırılmamış oturumlarla ilgilidir.
En düşük gereksinimleri denetleyin
Sorun gidermeye başlamadan önce, ortamınızın erişim ve oturum denetimleri için aşağıdaki en düşük genel gereksinimleri karşıladığından emin olun.
Gereksinim | Açıklama |
---|---|
Lisanslama | Bulut için Microsoft Defender Uygulamaları için geçerli bir lisansınız olduğundan emin olun. |
Çoklu Oturum Açma (SSO) | Uygulamalar desteklenen SSO çözümlerinden biriyle yapılandırılmalıdır: - SAML 2.0 veya OpenID Connect 2.0 kullanarak Microsoft Entra Id - SAML 2.0 kullanan Microsoft dışı IdP |
Tarayıcı desteği | Oturum denetimleri, aşağıdaki tarayıcıların en son sürümlerinde tarayıcı tabanlı oturumlar için kullanılabilir: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge için tarayıcı içi koruma, kullanıcının iş profiliyle oturum açması da dahil olmak üzere belirli gereksinimlere de sahiptir. Daha fazla bilgi için bkz . Tarayıcı içi koruma gereksinimleri. |
Kesinti | Bulut için Defender Uygulamaları, bir bileşenin düzgün çalışmaması gibi bir hizmet kesintisi olduğunda uygulanacak varsayılan davranışı tanımlamanıza olanak tanır. Örneğin, normal ilke denetimleri zorunlu kılınamadığında, kullanıcıların hassas olabilecek içerik üzerinde eylem yapmalarını sağlamlaştırmayı (engellemeyi) veya atlamayı (izin vermeyi) seçebilirsiniz. Sistem kapalı kalma süresi sırasında varsayılan davranışı yapılandırmak için Microsoft Defender XDR'de Ayarlar>Koşullu Erişim Uygulama Denetimi>Varsayılan davranışı>Erişime izin ver veya erişimi engelle'ye gidin. |
Tarayıcı içi koruma gereksinimleri
Microsoft Edge ile tarayıcı içi koruma kullanıyorsanız ve ters ara sunucu tarafından sunulmaya devam ediyorsanız aşağıdaki ek gereksinimleri karşıladığınızdan emin olun:
Bu özellik, Defender XDR ayarlarınızda açıktır. Daha fazla bilgi için bkz . Tarayıcı içi koruma ayarlarını yapılandırma.
Kullanıcının kapsadığı tüm ilkeler İş için Microsoft Edge'de desteklenir. Bir kullanıcıya İş için Microsoft Edge tarafından desteklenmeyen başka bir ilke sunulursa, kullanıcıya her zaman ters ara sunucu tarafından sunulur. Daha fazla bilgi için bkz . Tarayıcı içi koruma gereksinimleri.
Desteklenen bir işletim sistemi, kimlik platformu ve Edge sürümü de dahil olmak üzere desteklenen bir platform kullanıyorsunuz. Daha fazla bilgi için bkz . Tarayıcı içi koruma gereksinimleri.
Yöneticiler için sorun giderme sorunları başvurusu
Gidermeye çalıştığınız sorunu bulmak için aşağıdaki tabloyu kullanın:
Ağ koşulu sorunları
Karşılaşabileceğiniz yaygın ağ koşulu sorunları şunlardır:
- Tarayıcı sayfasına gitme sırasında oluşan ağ hataları
- Yavaş oturum açma
- Ek dikkat edilmesi gerekenler
Tarayıcı sayfasına gitme sırasında oluşan ağ hataları
Bir uygulama için Bulut için Defender Uygulamalar erişim ve oturum denetimlerini ilk kez ayarlarken, ortaya çıkabilecek yaygın ağ hataları şunlardır: Bu site güvenli değildir ve İnternet bağlantısı yoktur. Bu iletiler genel ağ yapılandırma hatalarını gösterebilir.
Önerilen adımlar
Ortamınızla ilgili Azure IP adreslerini ve DNS adlarını kullanarak güvenlik duvarınızı Bulut için Defender Uygulamalarıyla çalışacak şekilde yapılandırın.
Tarayıcınızın internet seçeneklerinde TLS 1.2'yi etkinleştirin. Örneğin:
Tarayıcı Adımlar Microsoft Internet Explorer 1. Internet Explorer'ı açın
2. Araçlar>İnternet Seçenekleri>gelişmiş sekmesini seçin
3. Güvenlik bölümünde TLS 1.2'yi seçin
4. Uygula'yı ve ardından Tamam'ı seçin
5. Tarayıcınızı yeniden başlatın ve uygulamaya erişebildiğinizden emin olunMicrosoft Edge / Edge Chromium 1. Görev çubuğundan aramayı açın ve "İnternet Seçenekleri" için arama yapın
2. İnternet Seçenekleri'ni seçin
3. Güvenlik bölümünde TLS 1.2'yi seçin
4. Uygula'yı ve ardından Tamam'ı seçin
5. Tarayıcınızı yeniden başlatın ve uygulamaya erişebildiğinizden emin olunGoogle Chrome 1. Google Chrome'un açılması
2. Sağ üst kısımda Diğer (3 dikey nokta)> Ayarlar'ı seçin
3. En altta Gelişmiş'i seçin
4. Sistem'in altında Ara sunucu ayarlarını aç'ı seçin
5. Gelişmiş sekmesinde, Güvenlik'in altında TLS 1.2'yi seçin
6. Tamam'ı seçin
7. Tarayıcınızı yeniden başlatın ve uygulamaya erişebildiğinizden emin olunMozilla Firefox 1. Mozilla Firefox'ı açın
2. Adres çubuğunda "about:config" ifadesini arayın
3. Arama kutusunda "TLS" araması yapın
4. security.tls.version.min girdisine çift tıklayın
5. TLS 1.2'yi gerekli en düşük sürüm olarak zorlamak için tamsayı değerini 3 olarak ayarlayın
6. Kaydet'i seçin (değer kutusunun sağındaki onay işareti)
7. Tarayıcınızı yeniden başlatın ve uygulamaya erişebildiğinizden emin olunSafari Safari sürüm 7 veya üzerini kullanıyorsanız TLS 1.2 otomatik olarak etkinleştirilir
Bulut için Defender Uygulamaları, sınıfının en iyisi şifrelemeyi sağlamak için Aktarım Katmanı Güvenliği (TLS) protokolleri 1.2+ kullanır:
- TLS 1.2+ desteği olmayan yerel istemci uygulamalarına ve tarayıcılarına oturum denetimiyle yapılandırıldığında erişilemez.
- TLS 1.1 veya üzerini kullanan SaaS uygulamaları, Bulut için Defender Uygulamaları ile yapılandırıldığında tarayıcıda TLS 1.2+ kullanılırken görünür.
İpucu
Oturum denetimleri, herhangi bir işletim sistemindeki herhangi bir büyük platformdaki tüm tarayıcılarla çalışacak şekilde oluşturulmuş olsa da Microsoft Edge, Google Chrome, Mozilla Firefox veya Apple Safari'nin en son sürümlerini destekliyoruz. Özellikle mobil veya masaüstü uygulamalarına erişimi engellemek veya erişime izin vermek isteyebilirsiniz.
Yavaş oturum açma işlemleri
Proxy zincirleme ve nonce işleme, yavaş oturum açma performansına neden olabilecek yaygın sorunlardan bazılarıdır.
Önerilen adımlar
Oturum açma sırasında yavaşlığa neden olabilecek faktörleri kaldırmak için ortamınızı yapılandırın. Örneğin, iki veya daha fazla ara sunucuyu hedeflenen sayfaya gitmek üzere bağlayan, yapılandırılmış güvenlik duvarlarınız veya iletilen ara sunucu zincirlemeniz olabilir. Yavaşlığı etkileyen başka dış faktörleriniz de olabilir.
- Ortamınızda proxy zincirlemenin gerçekleşip gerçekleşmediğini belirleyin.
- Mümkün olduğunda ileriye dönük proxy'leri kaldırın.
Bazı uygulamalar, yeniden yürütme saldırılarını önlemek için kimlik doğrulaması sırasında bir nonce karması kullanır. Varsayılan olarak, Bulut için Defender Uygulamalar bir uygulamanın bir nonce kullandığını varsayar. Çalıştığınız uygulama nonce kullanmıyorsa, Bulut için Defender Uygulamaları'nda bu uygulama için nonce işlemeyi devre dışı bırakın:
- Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin.
- Bağlı uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
- Uygulama listesinde, yapılandırdığınız uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından uygulamanız için Düzenle'yi seçin.
- Nonce işleme'yi seçerek bölümü genişletin ve ardından Nonce işlemeyi etkinleştir seçeneğinin işaretini kaldırın.
- Uygulamanın oturumunu kapatın ve tüm tarayıcı oturumlarını kapatın.
- Tarayıcınızı yeniden başlatın ve uygulamada yeniden oturum açın. Oturum açma işleminin beklendiği gibi çalıştığını doğrulayın.
Ağ koşullarıyla ilgili diğer önemli noktalar
Ağ koşullarıyla ilgili sorunları giderirken, Bulut için Defender Uygulamaları ara sunucusu hakkında aşağıdaki notları da göz önünde bulundurun:
Oturumunuzun başka bir veri merkezine yönlendirilip yönlendirilmediğini doğrulayın: Bulut için Defender Uygulamalar coğrafi konum aracılığıyla performansı iyileştirmek için dünyanın dört bir yanındaki Azure Veri Merkezleri'ni kullanır.
Bu, bir kullanıcının oturumunun trafik desenlerine ve konumuna bağlı olarak bir bölgenin dışında barındırılabileceği anlamına gelir. Ancak gizliliğinizi korumak için bu veri merkezlerinde hiçbir oturum verisi depolanmaz.
Ara sunucu performansı: Performans temeli türetme, Bulut için Defender Uygulamaları ara sunucusunun dışındaki birçok faktöre bağlıdır, örneğin:
- Bu ara sunucuyla seri olarak bulunan diğer proxy'ler veya ağ geçitleri
- Kullanıcının geldiği yer
- Hedeflenen kaynağın bulunduğu yer
- Sayfadaki belirli istekler
Genel olarak, herhangi bir ara sunucu gecikme süresi ekler. Bulut için Defender Uygulamaları ara sunucusunun avantajları şunlardır:
Kullanıcıları en yakın düğüme coğrafi olarak ayırmak ve gidiş dönüş mesafelerini azaltmak için Azure etki alanı denetleyicilerinin genel kullanılabilirliğini kullanma. Azure etki alanı denetleyicileri, dünya genelindeki birkaç hizmetin sahip olduğu ölçekte coğrafi olarak yer değiştirebilir.
Microsoft Entra Koşullu Erişim ile tümleştirmeyi kullanarak, her durumdaki tüm kullanıcılar yerine yalnızca ara sunucu olarak kullanmak istediğiniz oturumları hizmetimize yönlendirin.
Cihaz tanımlama sorunları
Bulut için Defender Apps, bir cihazın yönetim durumunu belirlemek için aşağıdaki seçenekleri sağlar.
- Microsoft Intune uyumluluğu
- Karma Microsoft Entra Etki Alanına katılmış
- İstemci sertifikaları
Daha fazla bilgi için bkz . Koşullu Erişim uygulama denetimi ile kimlikle yönetilen cihazlar.
Karşılaşabileceğiniz yaygın cihaz belirleme sorunları şunlardır:
- Yanlış Tanımlanmış Intune Uyumlu veya Microsoft Entra karma katılmış cihazlar
- İstemci sertifikaları beklendiği zaman sorulmuyor
- İstemci sertifikaları her oturum açmada istemde bulunur
- Ek dikkat edilmesi gerekenler
Yanlış Tanımlanmış Intune Uyumlu veya Microsoft Entra karma katılmış cihazlar
Microsoft Entra Koşullu Erişim, Intune uyumlu ve Microsoft Entra karma birleştirilmiş cihaz bilgilerinin doğrudan Bulut için Defender Uygulamalarına geçirilmesini sağlar. Bulut için Defender Uygulamaları'nda erişim veya oturum ilkeleri için filtre olarak cihaz durumunu kullanın.
Daha fazla bilgi için bkz . Microsoft Entra Id'de cihaz yönetimine giriş.
Önerilen adımlar
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin.
Koşullu Erişim Uygulama Denetimi'nin altında Cihaz tanımlama'yı seçin. Bu sayfada, Bulut için Defender Uygulamalarında kullanılabilen cihaz tanımlama seçenekleri gösterilir.
Sırasıyla Intune uyumlu cihaz kimliği ve Microsoft Entra karma birleştirilmiş tanımlama için Yapılandırmayı görüntüle'yi seçin ve hizmetlerin ayarlandığını doğrulayın. Hizmetler, sırasıyla Microsoft Entra Id ve Intune'dan otomatik olarak eşitlenir.
Cihaz Etiketi filtresi karma Azure AD'ye katılmış, Intune uyumlu veya her ikisine eşit bir erişim veya oturum ilkesi oluşturun.
Tarayıcıda, ilke filtrenize göre Microsoft Entra karmasına katılmış veya Intune uyumlu bir cihazda oturum açın.
Bu cihazlardaki etkinliklerin günlüğü doldurduğunu doğrulayın. Bulut için Defender Uygulamaları'nda, Etkinlik günlüğü sayfasında Karma Azure AD'ye katılmış, Intune uyumlu veya ilke filtrelerinize göre her ikisine eşit Cihaz Etiketi'ne filtreleyin.
etkinlikler Bulut için Defender Uygulamalar etkinlik günlüğünde doldurulmuyorsa Microsoft Entra Id'ye gidin ve aşağıdaki adımları uygulayın:
Oturum Açma İşlemlerini İzleme>altında, günlüklerde oturum açma etkinlikleri olduğunu doğrulayın.
Oturum açtığınız cihaz için ilgili günlük girdisini seçin.
Ayrıntılar bölmesinin Cihaz bilgileri sekmesinde cihazın Yönetilen (Karma Azure AD'ye katılmış) veya Uyumlu (Intune ile uyumlu) olduğunu doğrulayın.
Herhangi bir durumu doğrulayamazsanız başka bir günlük girdisi deneyin veya cihaz verilerinizin Microsoft Entra Id'de doğru yapılandırıldığından emin olun.
Koşullu Erişim için, bazı tarayıcılar uzantı yükleme gibi ek yapılandırmalar gerektirebilir. Daha fazla bilgi için bkz . Koşullu Erişim tarayıcı desteği.
Cihaz bilgilerini Hala Oturum Açmalar sayfasında görmüyorsanız Microsoft Entra Id için bir destek bileti açın.
İstemci sertifikaları beklendiği zaman sorulmuyor
Cihaz tanımlama mekanizması, istemci sertifikalarını kullanarak ilgili cihazlardan kimlik doğrulaması isteyebilir. PEM sertifika biçiminde biçimlendirilmiş bir X.509 kök veya ara sertifika yetkilisi (CA) sertifikasını karşıya yükleyebilirsiniz.
Sertifikalar CA'nın ortak anahtarını içermelidir. Bu anahtar, oturum sırasında sunulan istemci sertifikalarını imzalamak için kullanılır. Daha fazla bilgi için bkz . Microsoft Entra olmadan cihaz yönetimini denetleme.
Önerilen adımlar
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin.
Koşullu Erişim Uygulama Denetimi'nin altında Cihaz tanımlama'yı seçin. Bu sayfada, Bulut için Defender Uygulamaları ile kullanılabilen cihaz tanımlama seçenekleri gösterilir.
X.509 kök veya ara CA sertifikası yüklediğinizi doğrulayın. Sertifika yetkiliniz için imzalamak için kullanılan CA sertifikasını karşıya yüklemeniz gerekir.
Cihaz Etiketi filtresi Geçerli istemci sertifikasına eşit bir erişim veya oturum ilkesi oluşturun.
İstemci sertifikanızın şu olduğundan emin olun:
- GENELLIKLE .p12 veya .pfx dosya uzantısı olan PKCS #12 dosya biçimi kullanılarak dağıtılır
- Test için kullandığınız cihazın cihaz deposuna değil kullanıcı deposuna yüklenir
Tarayıcı oturumunuzu yeniden başlatın.
Korumalı uygulamada oturum açarken:
- Aşağıdaki URL söz dizimine yeniden yönlendirildiğinizi doğrulayın:
<https://*.managed.access-control.cas.ms/aad_login>
- iOS kullanıyorsanız Safari tarayıcısını kullandığınızdan emin olun.
- Firefox kullanıyorsanız, sertifikayı Firefox'un kendi sertifika deposuna da eklemeniz gerekir. Diğer tüm tarayıcılar aynı varsayılan sertifika depoyu kullanır.
- Aşağıdaki URL söz dizimine yeniden yönlendirildiğinizi doğrulayın:
tarayıcınızda istemci sertifikasının istendiğini doğrulayın.
Görünmüyorsa farklı bir tarayıcı deneyin. Çoğu ana tarayıcı, istemci sertifika denetimi gerçekleştirmeyi destekler. Ancak mobil ve masaüstü uygulamaları genellikle bu denetimi desteklemeyen ve bu nedenle bu uygulamalar için kimlik doğrulamasını etkileyebilecek yerleşik tarayıcılar kullanır.
Bu cihazlardaki etkinliklerin günlüğü doldurduğunu doğrulayın. Bulut için Defender Uygulamaları'ndaki Etkinlik günlüğü sayfasında, Cihaz Etiketi'ne Geçerli istemci sertifikasına eşit bir filtre ekleyin.
İstemi hala görmüyorsanız bir destek bileti açın ve aşağıdaki bilgileri ekleyin:
- Sorunla karşılaştığınız tarayıcının veya yerel uygulamanın ayrıntıları
- iOS/Android/Windows 10 gibi işletim sistemi sürümü
- İstemin Microsoft Edge Chromium'da çalışıp çalışmadığından bahsetme
İstemci sertifikaları her oturum açmada istemde bulunur
Yeni bir sekme açtıktan sonra istemci sertifikasının açılmasıyla karşılaşıyorsanız, bunun nedeni İnternet Seçenekleri'nde gizlenen ayarlar olabilir. Ayarlarınızı tarayıcınızda doğrulayın. Örneğin:
Microsoft Internet Explorer'da:
- Internet Explorer'ı açın ve Araçlar>İnternet Seçenekleri>Gelişmiş sekmesini seçin.
- Güvenlik'in altında, Yalnızca bir sertifika olduğunda> İstemci Sertifikası seçimi isteme'yi seçin Tamam Uygula'yı>seçin.
- Tarayıcınızı yeniden başlatın ve ek istemler olmadan uygulamaya erişebildiğinizden emin olun.
Microsoft Edge / Edge Chromium'da:
- Görev çubuğundan arama'yı açın ve İnternet Seçenekleri'ni arayın.
- Internet Seçenekleri>Güvenlik>Yerel intranet>Özel düzeyi'ni seçin.
- Çeşitli'nin altında, yalnızca bir sertifika mevcut olduğunda İstemci Sertifikası seçimi isteme'yi seçin, Devre Dışı Bırak'ı seçin.>
- Tamam Tamam Uygula'yı>> seçin.
- Tarayıcınızı yeniden başlatın ve ek istemler olmadan uygulamaya erişebildiğinizden emin olun.
Cihaz belirleme konusunda dikkat edilmesi gereken diğer noktalar
Cihaz belirleme sorunlarını giderirken, İstemci Sertifikaları için sertifika iptali gerektirebilirsiniz.
CA tarafından iptal edilen sertifikalara artık güvenilmez. Bu seçeneğin seçilmesi, tüm sertifikaların CRL protokolünü geçirmesini gerektirir. İstemci sertifikanız CRL uç noktası içermiyorsa yönetilen cihazdan bağlanamazsınız.
Uygulama ekleme sorunları
Microsoft Entra ID uygulamaları, Koşullu Erişim ve oturum denetimleri için Bulut için Defender Uygulamaları'na otomatik olarak eklenir. Hem katalog hem de özel uygulamalar da dahil olmak üzere Microsoft dışı IdP uygulamalarını el ile eklemeniz gerekir.
Daha fazla bilgi için bkz.
- Microsoft dışı IDP'ler ile katalog uygulamaları için Koşullu Erişim uygulama denetimi dağıtma
- Microsoft dışı IDP'ler ile özel uygulamalar için Koşullu Erişim uygulama denetimi dağıtma
Bir uygulamayı eklerken karşılaşabileceğiniz yaygın senaryolar şunlardır:
- Uygulama Koşullu Erişim Uygulama Denetimi uygulamaları sayfasında görünmüyor
- Uygulama durumu: Kuruluma Devam Et
- Yerleşik uygulamalar için denetimler yapılandırılamıyor
- Oturum denetimi isteme seçeneği görüntülenir
Uygulama koşullu erişim uygulama denetimi uygulamaları sayfasında görünmüyor
Microsoft dışı bir IdP uygulamasını koşullu erişim uygulama denetimine eklerken, son dağıtım adımı son kullanıcının uygulamaya gitmelerini sağlamaktır. Uygulama Ayarlar > Bulut uygulamaları Bağlı uygulamalar Koşullu Erişim Uygulama Denetimi uygulamaları > > sayfasında görünmüyorsa bu bölümdeki adımları uygulayın.
Önerilen adımlar
Uygulamanızın aşağıdaki Koşullu Erişim uygulama denetimi önkoşullarını karşıladığından emin olun:
- Geçerli bir Bulut için Defender Uygulamaları lisansına sahip olduğunuzdan emin olun.
- Yinelenen bir uygulama oluşturun.
- Uygulamanın SAML protokolunu kullandığından emin olun.
- Uygulamayı tamamen eklediğinizi ve uygulamanın durumunun Bağlandı olduğunu doğrulayın.
Yeni bir gizli mod kullanarak veya yeniden oturum açarak yeni bir tarayıcı oturumunda uygulamaya gitmeyi unutmayın.
Not
Entra Id uygulamaları, koşullu erişim uygulama denetimi uygulamaları sayfasında yalnızca en az bir ilkede yapılandırıldıktan sonra veya herhangi bir uygulama belirtimi olmayan bir ilkeniz varsa ve bir kullanıcı uygulamada oturum açtıysa görünür.
Uygulama durumu: Kuruluma Devam Et
Bir uygulamanın durumu farklılık gösterebilir ve Kuruluma Devam Et, Bağlı veya Etkinlik Yok'u içerebilir.
Microsoft dışı kimlik sağlayıcıları (IdP) aracılığıyla bağlanan uygulamalar için, kurulum tamamlanmazsa uygulamaya erişirken Kuruluma Devam Et durumunu içeren bir sayfa görürsünüz. Kurulumu tamamlamak için aşağıdaki adımları kullanın.
Önerilen adımlar
Kuruluma Devam Et'i seçin.
Aşağıdaki makaleleri gözden geçirin ve gerekli tüm adımları tamamladığınızdan emin olun:
- Microsoft dışı IDP'ler ile katalog uygulamaları için Koşullu Erişim uygulama denetimi dağıtma
- Microsoft dışı IDP'ler ile özel uygulamalar için Koşullu Erişim uygulama denetimi dağıtma
Aşağıdaki adımlara özellikle dikkat edin:
- Yeni bir özel SAML uygulaması oluşturduğunuzdan emin olun. Galeri uygulamalarında kullanılamayabilecek URL'leri ve SAML özniteliklerini değiştirmek için bu uygulamaya ihtiyacınız vardır.
- Kimlik sağlayıcınız Varlık Kimliği veya Hedef Kitle olarak da bilinen aynı tanımlayıcının yeniden kullanılmasına izin vermiyorsa, özgün uygulamanın tanımlayıcısını değiştirin.
Yerleşik uygulamalar için denetimler yapılandırılamıyor
Yerleşik uygulamalar buluşsal olarak algılanabilir ve bunları izlemek veya engellemek için erişim ilkelerini kullanabilirsiniz. Yerel uygulamalar için denetimleri yapılandırmak için aşağıdaki adımları kullanın.
Önerilen adımlar
Erişim ilkesinde, bir İstemci uygulaması filtresi ekleyin ve bunu Mobil ve masaüstü olarak eşit olarak ayarlayın.
Eylemler'in altında Engelle'yi seçin.
İsteğe bağlı olarak, kullanıcılarınızın dosyaları indiremediğinde aldıkları engelleme iletisini özelleştirin. Örneğin, bu iletiyi bu uygulamaya erişmek için bir web tarayıcısı kullanmanız gerekir olarak özelleştirin.
Denetimin beklendiği gibi çalıştığını test edin ve doğrulayın.
Uygulama tanınmıyor sayfası görüntülenir
Bulut için Defender Uygulamalar, bulut uygulaması kataloğu aracılığıyla 31.000'den fazla uygulamayı tanıyabilir.
Microsoft Entra SSO aracılığıyla yapılandırılmış özel bir uygulama kullanıyorsanız ve desteklenen uygulamalardan biri değilse, Uygulama tanınmadı sayfasıyla karşılaşırsınız. Sorunu çözmek için uygulamayı Koşullu Erişim uygulama denetimiyle yapılandırmanız gerekir.
Önerilen adımlar
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
Başlıkta Yeni uygulamaları görüntüle'yi seçin.
Yeni uygulamalar listesinde, eklediğiniz uygulamayı bulun, işareti seçin + ve ardından Ekle'yi seçin.
- Uygulamanın özel mi yoksa standart bir uygulama mı olduğunu seçin.
- Sihirbaz aracılığıyla devam edin, yapılandırdığınız uygulama için belirtilen Kullanıcı tanımlı etki alanlarının doğru olduğundan emin olun.
Uygulamanın Koşullu Erişim Uygulama Denetimi uygulamaları sayfasında göründüğünü doğrulayın.
Oturum denetimi isteme seçeneği görüntülenir
Microsoft dışı bir IdP uygulaması ekledikten sonra Oturum denetimi isteme seçeneğini görebilirsiniz. Bunun nedeni, yalnızca katalog uygulamalarının kullanıma yönelik olmayan oturum denetimleri olmasıdır. Diğer tüm uygulamalar için kendi kendine ekleme işlemi gerçekleştirmeniz gerekir.
Microsoft dışı IDP'leri olan özel uygulamalar için Koşullu Erişim uygulama denetimini dağıtma başlığındaki yönergeleri izleyin.
Önerilen adımlar
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin.
Koşullu Erişim Uygulama Denetimi'nin altında Uygulama ekleme/bakım'ı seçin.
Uygulamayı ekleyecek kullanıcı için asıl adı veya e-postayı girin ve kaydet'i seçin.
Dağıttığınız uygulamaya gidin. Gördüğünüz sayfa, uygulamanın tanınıp tanınmadığına bağlıdır. Gördüğünüz sayfaya bağlı olarak aşağıdakilerden birini yapın:
Tanınmadı. Uygulamanızı yapılandırmanızı isteyen tanınmayan bir Uygulama sayfası görürsünüz. Aşağıdaki adımları yapın:
- Koşullu Erişim uygulama denetimi için uygulamayı ekleme.
- Uygulamanın etki alanlarını ekleyin.
- Uygulamanın sertifikalarını yükleyin.
Tanındı. Uygulamanız tanınıyorsa, uygulama yapılandırma işlemine devam etmek isteyip istemediğinizi soran bir ekleme sayfası görürsünüz.
Uygulamanın düzgün çalışması için gereken tüm etki alanlarıyla yapılandırıldığından emin olun ve ardından uygulama sayfasına dönün.
Uygulama ekleme konusunda dikkat edilmesi gereken diğer noktalar
Uygulama ekleme sorunlarını giderirken dikkate alınması gereken bazı ek şeyler vardır.
Microsoft Entra Koşullu Erişim ilkesi ayarları arasındaki farkı anlayın: "Yalnızca izleme", "İndirmeleri engelle" ve "Özel ilke kullan"
Microsoft Entra Koşullu Erişim ilkelerinde aşağıdaki yerleşik Bulut için Defender Uygulamaları denetimlerini yapılandırabilirsiniz: Yalnızca izleme ve İndirmeleri engelleme. Bu ayarlar, Microsoft Entra Id'de yapılandırılan bulut uygulamaları ve koşulları için Bulut için Defender Uygulamaları ara sunucusu özelliğini uygular ve uygular.
Daha karmaşık ilkeler için, Bulut için Defender Uygulamalarında erişim ve oturum ilkelerini yapılandırmanıza olanak tanıyan Özel ilke kullan'ı seçin.
Erişim ilkelerindeki "Mobil ve masaüstü" istemci uygulaması filtre seçeneğini anlama
Bulut için Defender Uygulamalar erişim ilkelerinde, İstemci uygulaması filtresi Mobil ve masaüstü olarak ayarlanmadığı sürece, sonuçta elde edilen erişim ilkesi tarayıcı oturumları için geçerlidir.
Bunun nedeni, kullanıcı oturumlarının yanlışlıkla ara sunucu olmasını önlemektir. Bu, bu filtreyi kullanmanın bir yan sonucu olabilir.
Erişim ve oturum ilkeleri oluştururken karşılaşılan sorunlar
Bulut için Defender Apps aşağıdaki yapılandırılabilir ilkeleri sağlar:
- Erişim ilkeleri: Tarayıcı, mobil ve/veya masaüstü uygulamalarına erişimi izlemek veya engellemek için kullanılır.
- Oturum ilkeleri. Tarayıcıda veri sızma ve sızdırma senaryolarını önlemek için belirli eylemleri izlemek, engellemek ve gerçekleştirmek için kullanılır.
Bulut için Defender Uygulamalarında bu ilkeleri kullanmak için, oturum denetimlerini genişletmek için önce Microsoft Entra Koşullu Erişim'de bir ilke yapılandırmanız gerekir:
Microsoft Entra ilkesinde, Erişim denetimleri'nin altında Oturum>Koşullu Erişim Uygulama Denetimi Kullan'ı seçin.
Yerleşik bir ilke seçin (Yalnızca izleme veya İndirmeleri engelle) veya Bulut için Defender Uygulamalarında gelişmiş ilke ayarlamak için özel ilke kullan'ı seçin.
Devam etmek için Seç'i seçin.
Bu ilkeleri yapılandırırken karşılaşabileceğiniz yaygın senaryolar şunlardır:
- Koşullu Erişim ilkeleri'nde koşullu erişim uygulama denetimi seçeneğini göremezsiniz
- İlke oluştururken hata iletisi: Koşullu erişim uygulama denetimiyle dağıtılan uygulamanız yok
- Uygulama için oturum ilkeleri oluşturulamıyor
- İnceleme Yöntemi seçemiyorum: Veri Sınıflandırma Hizmeti
- Eylem: Koru'yu seçemiyorum
Koşullu Erişim ilkeleri'nde koşullu erişim uygulama denetimi seçeneğini göremezsiniz
Oturumları Bulut için Defender Uygulamalarına yönlendirmek için, Microsoft Entra Koşullu Erişim ilkeleri koşullu erişim uygulama denetimi oturum denetimlerini içerecek şekilde yapılandırılmalıdır.
Önerilen adımlar
Koşullu Erişim ilkenizde Koşullu Erişim Uygulama Denetimi seçeneğini görmüyorsanız, Microsoft Entra ID P1 için geçerli bir lisansınız ve geçerli bir Bulut için Defender Apps lisansınız olduğundan emin olun.
İlke oluştururken hata iletisi: Koşullu erişim uygulama denetimiyle dağıtılan uygulamanız yok
Erişim veya oturum ilkesi oluştururken şu hata iletisini görebilirsiniz: Koşullu erişim uygulama denetimiyle dağıtılan uygulamanız yok. Bu hata, uygulamanın Koşullu Erişim uygulama denetimi için eklenmemiş, Microsoft dışı bir IdP uygulaması olduğunu gösterir.
Önerilen adımlar
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin. Bağlı uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
Uygulama bağlı değil iletisini görürseniz uygulamaları dağıtmak için aşağıdaki kılavuzları kullanın:
Uygulamayı dağıtırken herhangi bir sorunla karşılaşırsanız bkz . Uygulama eklerken karşılaşılan sorunlar.
Uygulama için oturum ilkeleri oluşturulamıyor
Koşullu Erişim uygulama denetimi için Microsoft dışı bir IdP uygulaması ekledikten sonra, Koşullu Erişim Uygulama Denetimi uygulamaları sayfasında şu seçeneği görebilirsiniz: Oturum denetimi isteme.
Not
Katalog uygulamalarının kullanıma özgü oturum denetimleri vardır. Microsoft dışı tüm IdP uygulamaları için kendi kendine ekleme işlemi gerçekleştirmeniz gerekir. Önerilen adımlar
Uygulamanızı oturum denetimine dağıtın. Daha fazla bilgi için bkz . Koşullu Erişim uygulama denetimi için Microsoft dışı IdP özel uygulamaları ekleme.
Oturum ilkesi oluşturun ve Uygulama filtresini seçin.
Uygulamanızın artık açılan listede listelendiğinden emin olun.
İnceleme Yöntemi seçemiyorum: Veri Sınıflandırma Hizmeti
Oturum ilkelerinde, Denetim dosyası indirme (inceleme ile) oturum denetim türünü kullanırken, dosyalarınızı gerçek zamanlı olarak taramak ve yapılandırdığınız ölçütlerden herhangi biriyle eşleşen hassas içeriği algılamak için Veri Sınıflandırma Hizmeti inceleme yöntemini kullanabilirsiniz.
Veri Sınıflandırma Hizmeti inceleme yöntemi kullanılamıyorsa, sorunu araştırmak için aşağıdaki adımları kullanın.
Önerilen adımlar
Oturum denetim türünün Denetim dosyası indirme (inceleme ile) olarak ayarlandığını doğrulayın.
Not
Veri Sınıflandırma Hizmeti inceleme yöntemi yalnızca Denetim dosyası indirme (inceleme ile) seçeneği için kullanılabilir.
Veri Sınıflandırma Hizmeti özelliğinin bölgenizde kullanılabilir olup olmadığını belirleyin:
- Özellik bölgenizde kullanılamıyorsa Yerleşik DLP inceleme yöntemini kullanın.
- Bu özellik bölgenizde kullanılabiliyorsa ancak Yine de Veri Sınıflandırma Hizmeti inceleme yöntemini göremiyorsanız bir destek bileti açın.
Eylem: Koru'yu seçemiyorum
Oturum ilkelerinde, İzleme ve Engelleme eylemlerine ek olarak Denetim dosyası indirme (inceleme ile) oturum denetim türünü kullanırken Koru eylemini belirtebilirsiniz. Bu eylem, dosya indirmelerine, koşullara, içerik incelemesine veya her ikisine bağlı olarak dosyaya şifreleme veya izin uygulama seçeneğiyle izin vermenizi sağlar.
Koru eylemi kullanılamıyorsa, sorunu araştırmak için aşağıdaki adımları kullanın.
Önerilen adımlar
Koru eylemi kullanılamıyorsa veya griyse Microsoft Purview lisansına sahip olduğunuzu doğrulayın. Daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması tümleştirmesi.
Koru eylemi kullanılabilir durumdaysa ancak uygun etiketleri görmüyorsa.
Bulut için Defender Uygulamalar'daki menü çubuğunda ayarlar simgesini >Microsoft Information Protection'ı seçin ve tümleştirmenin etkinleştirildiğini doğrulayın.
Office etiketleri için Microsoft Purview portalında Birleşik Etiketleme'nin seçili olduğundan emin olun.
Yönetici Görünümü araç çubuğuyla tanılama ve sorun giderme
Yönetici Görünümü araç çubuğu ekranınızın en altında yer alır ve yönetici kullanıcıların koşullu erişim uygulama denetimiyle ilgili sorunları tanılaması ve gidermesi için araçlar sağlar.
Yönetici Görünümü araç çubuğunu görüntülemek için, Microsoft Defender XDR ayarlarındaki Uygulama ekleme/bakım listesine belirli yönetici kullanıcı hesaplarını eklediğinizden emin olmanız gerekir.
Uygulama ekleme/bakım listesine kullanıcı eklemek için:
Microsoft Defender XDR'de Ayarlar>Cloud Apps'i seçin.
Ekranı aşağı kaydırın ve Koşullu Erişim Uygulama Denetimi'nin altında Uygulama ekleme/bakım'ı seçin.
Eklemek istediğiniz yönetici kullanıcının asıl adını veya e-posta adresini girin.
Bu kullanıcıların koşullu erişim uygulama denetimini proksitli bir oturum içinden atlamasına izin ver seçeneğini ve ardından Kaydet'i seçin.
Örneğin:
Listelenen kullanıcılardan biri, yönetici oldukları desteklenen bir uygulamada yeni bir oturum başlattığında, tarayıcının alt kısmında Yönetici Görünümü araç çubuğu gösterilir.
Örneğin, aşağıdaki görüntüde, tarayıcıda OneNote kullanılırken tarayıcı penceresinin alt kısmında gösterilen Yönetici Görünümü araç çubuğu gösterilmektedir:
Aşağıdaki bölümlerde, test etmek ve sorun gidermek için Yönetici Görünümü araç çubuğunun nasıl kullanılacağı açıklanmaktadır.
Test modu
Yönetici kullanıcı olarak, en son sürüm tüm kiracılara tamamen sunulmadan önce yaklaşan ara sunucu hata düzeltmelerini test etmek isteyebilirsiniz. Sürüm döngülerini hızlandırmaya yardımcı olmak için Microsoft destek ekibine hata düzeltmesi hakkında geri bildiriminizi sağlayın.
Test modundayken, hata düzeltmelerinde sağlanan değişiklikler yalnızca yönetici kullanıcılara sunulur. Diğer kullanıcılar üzerinde hiçbir etkisi yoktur.
- Test modunu açmak için Yönetici Görünümü araç çubuğunda Test Modu'nu seçin.
- Testinizi bitirdiğinizde, normal işlevselliğe dönmek için Test Modunu Sonlandır'ı seçin.
Proxy oturumlarını atla
Edge olmayan bir tarayıcı kullanıyorsanız ve uygulamanıza erişirken veya uygulamanıza yüklemede zorluk yaşıyorsanız, uygulamayı ara sunucu olmadan çalıştırarak sorunun Koşullu Erişim ara sunucusuyla ilgili olup olmadığını doğrulamak isteyebilirsiniz.
Proxy'yi atlamak için Yönetici Görünümü araç çubuğunda Deneyimi atla'yı seçin. URL'nin son eklenmediğini belirterek oturumun atlandığını onaylayın.
Koşullu Erişim ara sunucusu bir sonraki oturumunuzda yeniden kullanılır.
Daha fazla bilgi için bkz. Bulut için Microsoft Defender Uygulamalar Koşullu Erişim uygulama denetimi ve İş İçin Microsoft Edge (Önizleme) ile tarayıcı içi koruma.
İkinci oturum açma ('ikinci oturum açma' olarak da bilinir)
Bazı uygulamalarda oturum açmak için birden fazla ayrıntılı bağlantı vardır. Uygulama ayarlarında oturum açma bağlantılarını tanımlamadığınız sürece, kullanıcılar oturum açtıklarında tanınmayan bir sayfaya yönlendirilebilir ve erişimleri engellenebilir.
Microsoft Entra ID gibi IdP'ler arasındaki tümleştirme, bir uygulama oturum açma işlemini kesmeye ve yeniden yönlendirmeye dayanır. Bu, tarayıcı oturum açma işlemleri ikinci bir oturum açma tetiklemeden doğrudan denetlenemez anlamına gelir. İkinci bir oturum açmayı tetikleyebilmek için, özellikle bu amaçla ikinci bir oturum açma URL'si kullanmamız gerekir.
Uygulama bir nonce kullanıyorsa, ikinci oturum açma kullanıcılar için saydam olabilir veya yeniden oturum açmaları istenir.
Son kullanıcı için saydam değilse, ikinci oturum açma URL'sini uygulama ayarlarına ekleyin:
Ayarlar > Bulut uygulamaları Bağlı uygulamalar > > Koşullu Erişim Uygulama Denetimi Uygulamaları'na gidin
İlgili uygulamayı ve ardından üç noktayı seçin.
Uygulamayı düzenle\Gelişmiş oturum açma yapılandırması'nı seçin.
Hata sayfasında belirtildiği gibi ikinci oturum açma URL'sini ekleyin.
Uygulamanın bir nonce kullanmadığından eminseniz, Yavaş oturum açma işlemleri bölümünde açıklandığı gibi uygulama ayarlarını düzenleyerek bunu devre dışı bırakabilirsiniz.
Oturumu kaydetme
Microsoft destek mühendislerine oturum kaydı göndererek sorunun kök neden analizine yardımcı olmak isteyebilirsiniz. Oturumunuzu kaydetmek için Yönetici Görünümü araç çubuğunu kullanın.
Not
Tüm kişisel veriler kayıtlardan kaldırılır.
Oturumu kaydetmek için:
Yönetici Görünümü araç çubuğunda Oturumu kaydet'i seçin. İstendiğinde, koşulları kabul etmek için Devam'ı seçin. Örneğin:
Oturumun simülasyonunu yapmaya başlamak için gerekirse uygulamanızda oturum açın.
Senaryoyu kaydetmeyi bitirdiğinizde, Yönetici Görünümü araç çubuğunda Kaydı durdur'u seçtiğinizden emin olun.
Kayıtlı oturumlarınızı görüntülemek için:
Kaydı tamamladıktan sonra, Yönetici Görünümü araç çubuğunda Oturum kayıtları'nı seçerek kaydedilen oturumları görüntüleyin. Önceki 48 saat içinde kaydedilen oturumların listesi görüntülenir. Örneğin:
Kayıtlarınızı yönetmek için bir dosya seçin ve ardından Sil'i veya gerektiğinde İndir'i seçin. Örneğin:
Uygulamanız için etki alanları ekleme
Doğru etki alanlarını bir uygulamayla ilişkilendirmek, Bulut için Defender Uygulamalarının ilkeleri ve denetim etkinliklerini zorunlu kılmasını sağlar.
Örneğin, ilişkili bir etki alanı için dosya indirmeyi engelleyen bir ilke yapılandırdıysanız, uygulama tarafından bu etki alanından dosya indirmeleri engellenir. Ancak uygulama tarafından uygulamayla ilişkilendirilmiş olmayan etki alanlarından dosya indirmeleri engellenmez ve eylem etkinlik günlüğünde denetlenemez.
Yönetici, bir prxied uygulamasında tanınmayan bir etki alanına göz atarsa, bu Bulut için Defender Uygulamalar aynı uygulamanın veya başka bir uygulamanın bir parçası olarak dikkate almazsa, tanınmayan etki alanı iletisi görüntülenir ve yöneticiden etki alanını bir sonraki seferde korunması için eklemesini ister. Böyle durumlarda yönetici etki alanını eklemek istemezse herhangi bir eylem gerekmez.
Not
Bulut için Defender Uygulamaları, sorunsuz bir kullanıcı deneyimi sağlamak için uygulamayla ilişkilendirilmemiş etki alanlarına yine de bir sonek ekler.
Uygulamanız için etki alanları eklemek için:
Bulut için Defender Uygulamalar Yönetici Görünümü araç çubuğu ekranınızda görünür durumda olacak şekilde uygulamanızı bir tarayıcıda açın.
Yönetici Görünümü araç çubuğunda Bulunan etki alanları'nı seçin.
Bulunan etki alanları bölmesinde, listelenen etki alanı adlarını not edin veya listeyi .csv dosyası olarak dışarı aktarın.
Bulunan etki alanları bölmesi, uygulamayla ilişkilendirilmiş olmayan tüm etki alanlarının listesini gösterir. Etki alanı adları tam olarak nitelenir.
Microsoft Defender XDR'de Ayarlar>Cloud Apps>Bağlı uygulamalar>Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
Tabloda uygulamanızı bulun. Sağ taraftaki seçenekler menüsünü ve ardından Uygulamayı düzenle'yi seçin.
Kullanıcı tanımlı etki alanları alanına, bu uygulamayla ilişkilendirmek istediğiniz etki alanlarını girin.
Uygulamada zaten yapılandırılmış etki alanlarının listesini görüntülemek için Uygulama etki alanlarını görüntüle bağlantısını seçin.
Etki alanları eklerken, belirli etki alanları eklemek mi yoksa yıldız işareti mi kullanmak istediğinizi düşünün (***** aynı anda birden çok etki alanı kullanmak için joker karakterdir).
Örneğin,
sub1.contoso.com
sub2.contoso.com
belirli etki alanlarına örnek olarak verilebilir. Hem bu etki alanlarını hem de diğer eşdüzey etki alanlarını aynı anda eklemek için kullanın*.contoso.com
.
Daha fazla bilgi için bkz. Uygulamaları Bulut için Microsoft Defender Uygulamalar Koşullu Erişim uygulama denetimiyle koruma.