最终用户访问和会话控制疑难解答

  • 项目

本文为 Microsoft Defender for Cloud Apps 管理员介绍如何调查并解决最终用户遇到的常见访问和会话控制问题。

查看最低要求

在开始故障排除之前,请确保环境至少满足以下访问和会话控制最低常规要求。

要求 说明
许可 确保拥有有效的 Microsoft Defender for Cloud Apps 许可证
单一登录 (SSO) 应用程序必须配置受支持的单点登录 (SSO) 解决方案之一:

- 使用 SAML 2.0 或 OpenID Connect 2.0 的 Microsoft Entra ID
- 使用 SAML 2.0 的非 Microsoft IdP
浏览器支持 在以下最新版本的浏览器中,会话控制可用于基于浏览器的会话:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edge 的浏览器内保护还具有特定要求,包括用户使用工作配置文件登录。 有关详细信息,请参阅浏览器内保护要求
故障时间 Defender for Cloud Apps 允许定义服务中断时(例如组件无法正常运行)应用采取的默认行为。

例如,当无法强制实施正常策略控制时,可以选择强化(阻止)或绕过(允许)用户对潜在敏感内容执行操作。

要配置系统停机期间的默认行为,在 Microsoft Defender XDR 中转至“设置”>”条件访问应用控制”>“默认行为”>“允许”或“阻止”访问。

用户监视页面未显示

通过 Defender for Cloud 应用路由用户时,可以通知用户其会话受到监视。 默认情况下,用户监视页处于启用状态。

本部分介绍在用户监控页面已启用但未按预期显示时,我们建议您执行的故障排除步骤。

建议的步骤

  1. 在 Microsoft Defender 门户,选择“设置”>“云应用”

  2. 在“条件访问应用控制”下,选择“用户监视”。 此页面显示了 Defender for Cloud Apps 中的用户监视可选项。 例如:

    Screenshot of the user monitoring options.

  3. 验证是否选择了“通知用户其活动受到监视”选项

  4. 选择要使用默认消息或提供自定义消息:

    消息类型 详细信息
    默认值 标头
    访问[应用名称将在此处显示] 受到监视
    正文:
    为了安全,组织允许在监视模式下访问[应用名称将在此处显示]。 只能通过 Web 浏览器访问。
    自定义 标头
    此框用于填写自定义标题,通知用户正处于受监视状态。
    正文:
    使用此框可以为用户添加其他自定义信息,例如有问题时应与谁联系,并支持以下输入:纯文本、富文本、超链接。

  5. 选择“预览”,以验证在访问应用之前是否显示用户监视页面。

  6. 选择“保存”

非 Microsoft 标识提供者无法访问应用

如果最终用户通过非 Microsoft 标识提供者登录到应用,并遇到常规失败,请验证非 Microsoft IdP 配置。

建议的步骤

  1. 在 Microsoft Defender 门户,选择“设置”>“云应用”

  2. 在“连接的应用”下,选择“条件访问应用控制应用”。

  3. 在应用列表中,选择无法访问的应用所在行末尾的三个点,然后选择“编辑应用”

    1. 验证已上传的 SAML 证书是否正确。

    2. 验证应用配置中是否提供了有效的 SSO URL。

    3. 验证自定义应用中的特性和值是否与标识提供者设置中一致。

    例如:

    Screenshot of the SAML information page.

  4. 如果仍然无法访问应用,请开具支持票证

出现“出错”页面

代理会话期间,可能会显示“出错”页面。 下列情况下测试输入无效:

  • 用户处于空闲状态一段时间后登录
  • 刷新浏览器,页面加载时间比预期长
  • 未正确配置非 Microsoft IdP 应用

建议的步骤

  1. 如果最终用户尝试访问配置为使用非 Microsoft IdP 的应用,请参阅 无法通过非 Microsoft IdP访问应用应用状态:继续设置

  2. 如果最终用户意外到达此页面,请执行以下操作:

    1. 重启浏览器会话。
    2. 清除浏览器历史记录、Cookie 和缓存。

未阻止剪贴板操作或文件控制

阻止剪贴板操作(如剪切、复制、粘贴以及下载、上传和打印等文件控制)的功能是防止数据外泄和渗透应用场景所必需的。

此能力让公司得以平衡最终用户的安全和效率。 如果使用这些功能时遇到问题,请按以下步骤调查问题。

注意

无法阻止对同一 Excel 文档中的数据进行剪切、复制和粘贴。 只有复制到外部位置将受到阻止。

建议的步骤

如果会话正在被代理,请使用以下步骤验证策略:

  1. 在 Microsoft Defender 门户的“云应用”下,选择“活动日志”。

  2. 使用高级筛选器,选择“应用的操作”,并将值设置为“已阻止”

  3. 验证是否存在受阻止的文件活动:

    1. 如果有,请单击活动,展开活动抽屉。

    2. 在活动抽屉的“常规”选项卡上,选择匹配的策略链接,验证强制执行的策略是否存在。

    3. 如果未看到策略,请参阅 创建访问和会话策略时出现的问题

    4. 如果看到“访问由于默认行为而被阻止/允许”,则表明系统已关闭,并且应用了默认行为。

      1. 要更改默认行为,请在 Microsoft Defender 门户中选择“设置”。 然后选择“云应用”。 然后在条件访问应用控制下,选择“默认行为”,并将默认行为设置为“允许”或“阻止”访问。

      2. 转到 Microsoft 365 管理门户,监视系统停机的通知。

  4. 如果仍然看不到阻止的活动,请开具支持票证

下载未受到保护

作为最终用户,可能需要在非托管设备上下载敏感数据。 在这些应用场景中,可以使用 Microsoft Purview 信息保护来保护文档。

如果最终用户无法成功加密文档,请按以下步骤调查问题。

建议的步骤

  1. 在 Microsoft Defender 门户的“云应用”下,选择“活动日志”。

  2. 使用高级筛选器,选择“应用的操作”,并将值设置为“受保护“

  3. 验证是否存在受阻止的文件活动:

    1. 如果有,则单击“活动”展开活动抽屉

    2. 在活动抽屉的“常规”选项卡上,选择匹配的策略链接,验证强制执行的策略是否存在。

    3. 如果未看到策略,请参阅 创建访问和会话策略时出现的问题

    4. 如果看到“访问由于默认行为而被阻止/允许”,则表明系统已关闭,并且应用了默认行为。

      1. 要更改默认行为,请在 Microsoft Defender 门户中选择“设置”。 然后选择“云应用”。 然后在条件访问应用控制下,选择“默认行为”,并将默认行为设置为“允许”或“阻止”访问。

      2. 转到 Microsoft 365 服务运行状况仪表板,监视有关系统停机的通知。

    5. 如果要使用 AIP 标签或自定义权限保护文件,请在“活动说明”中确保文件扩展名是以下支持的文件类型之一:

      • Word:docm、docx、dotm、dotx

      • Excel:xlam、xlsm、xlsx、xltx

      • PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx

      • PDF:如果启用了统一标记

    如果文件类型不受支持,可以在会话策略中,选择“阻止下载不受本机保护支持或本机保护失败的文件”

  4. 如果仍然看不到阻止的活动,请开具支持票证

导航到带后缀应用的特定 URL 并登录通用页面

在某些情况下,导航到链接可能会导致用户登陆应用的主页,而不是链接的完整路径。

提示

Defender for Cloud Apps 维护一个已知受上下文丢失影响的应用程序列表。 有关详细信息,请参阅上下文丢失限制

建议的步骤

如果您使用的是 Microsoft Edge 以外的浏览器,并且用户登陆应用的主页而不是链接的完整路径,请通过追加 .mcas.ms 到原始 URL 来解决问题。

例如,如果原始 URL 是:

https://www.github.com/organization/threads/threadnumber,更改为 https://www.github.com.mcas.ms/organization/threads/threadnumber

Microsoft Edge 用户受益于浏览器内保护,不会重定向到反向代理,也不需要.mcas.ms添加后缀。 对于遇到上下文丢失的应用,请开具支持票证

阻止下载导致 PDF 预览被阻止

有时,当您预览或打印 PDF 文件时,App 会启动文件下载。 这会导致 Defender for Cloud Apps 进行干预,以确保阻止下载,并且不会从环境中泄露数据。

例如,如果创建了会话策略来阻止 Outlook Web Access (OWA) 的下载,则可能会阻止预览或打印 PDF 文件,并显示如下消息:

Screenshot of a Download blocked message.

要允许预览,Exchange 管理员应执行以下步骤:

  1. 安装 Exchange Online PowerShell 模块

  2. 连接到该模块。 要了解详细信息,请参阅 连接到 Exchange Online PowerShell

  3. 连接到 Exchange Online PowerShell 后,使用 Set-OwaMailboxPolicy cmdlet 更新策略中的参数:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    注意

    OwaMailboxPolicy-Default 策略是 Exchange Online 中的默认 OWA 策略名称。 某些客户可能已额外部署,或者创建过名称不同的自定义 OWA 策略。 如果有多个 OWA 策略,可能会应用于特定用户。 因此,还需要更新策略,以完全覆盖所有用户。

  4. 设置这些参数后,使用 PDF 文件和配置为阻止下载的会话策略在 OWA 上运行测试。 在删除下拉列表中的“下载”选项后,才能预览该文件。 例如:

    Screenshot of a PDF preview not blocked.

显示类似的网站警告

恶意参与者可以制造类似于其他网站 URL 的 URL,从而模拟并让用户相信他们正在浏览另一个网站。 某些浏览器会尝试检测此行为,并在访问该 URL 之前警告用户或阻止访问。

在极少数情况下,受会话控制的用户会收到来自浏览器的消息,指示可疑的站点访问。 原因是浏览器将带后缀的域(例如:.mcas.ms)视为可疑域。

此消息仅适用于 Chrome 用户,因为 Microsoft Edge 用户受益于浏览器内保护,而无需反向代理体系结构。 例如:

Screenshot of a similar site warning in Chrome.

如果收到类似消息,请联系 Microsoft 支持人员,与相关的浏览器供应商联系。

第二次登录(也称为“二次登录”)

某些应用程序有多个用于登录的深层链接。 除非在应用设置中定义登录链接,否则用户在登录时可能会重定向到无法识别的页面,从而阻止其访问。

IdP(如 Microsoft Entra ID)之间的集成基于拦截应用程序登录并将其重定向。 这意味着,如果不触发第二次登录,就无法直接控制浏览器登录。 若要触发第二次登录,我们需要专门为此目的使用第二个登录 URL。

如果应用程序使用随机数,则第二次登录对用户可能是透明的,或者系统会提示用户再次登录。

如果它对最终用户不透明,请将第二个登录 URL 添加到应用设置:

  1. 转到“设置‘云应用’连接的应用‘条件访问应用控制应用'”

  2. 选择相关应用程序,然后选择三个点。

  3. 选择编辑应用\高级登录配置

  4. 添加错误页中的第二次登录 URL。

如果您确信应用程序不使用随机数,可以按照慢速登录中所述编辑应用程序设置来禁用此功能。

有关应用程序疑难解答的更多注意事项

对应用程序进行故障排除时,还需要考虑以下事项:

  • 新式浏览器的会话控制支持 Defender for Cloud Apps 会话控制新增支持基于 Chromium 的新 Microsoft Edge 浏览器。 虽然我们仍然支持最新版本的 Internet Explorer 和旧版本的 Microsoft Edge,但支持受到限制,我们建议使用新的 Microsoft Edge 浏览器。

  • 会话控件保护限制 Defender for Cloud 应用会话控件不支持 “protect”操作下的 Co-Auth 标签。 有关详细信息,请参阅为使用敏感度标签加密的文件启用共同创作

后续步骤

有关详细信息,请参阅 管理员用户的访问和会话控制故障排除