Řešení potíží s řízením přístupu a relací pro uživatele s rolí správce

Tento článek poskytuje správcům Microsoft Defender for Cloud Apps pokyny k prozkoumání a řešení běžných problémů s přístupem a řízením relací, s nimiž se setkávají správci.

Poznámka

Jakékoli řešení potíží související s funkcemi proxy serveru je relevantní jenom pro relace, které nejsou nakonfigurované pro ochranu v prohlížeči pomocí Microsoft Edge.

Kontrola minimálních požadavků

Než začnete s řešením potíží, ujistěte se, že vaše prostředí splňuje následující minimální obecné požadavky na řízení přístupu a relací.

Požadavek Popis
Licencování Ujistěte se, že máte platnou licenci pro Microsoft Defender for Cloud Apps.
Jednotné přihlášení (SSO) Aplikace musí být nakonfigurované s jedním z podporovaných řešení jednotného přihlašování:

– Microsoft Entra ID pomocí SAML 2.0 nebo OpenID Connect 2.0
– Zprostředkovatel identity jiný než Microsoft používající SAML 2.0
Podpora prohlížeče Ovládací prvky relací jsou k dispozici pro relace založené na prohlížeči v nejnovějších verzích následujících prohlížečů:

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Ochrana v prohlížeči pro Microsoft Edge má také specifické požadavky, včetně uživatele přihlášeného pomocí svého pracovního profilu. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.
Výpadek Defender for Cloud Apps umožňuje definovat výchozí chování, které se použije v případě výpadku služby, například pokud komponenta nefunguje správně.

Pokud například není možné vynutit běžné mechanismy zásad, můžete se rozhodnout uživatelům zpřísnit přístup (zablokovat ho) nebo ho obejít (povolit) při provádění akcí s potenciálně citlivým obsahem.

Pokud chcete nakonfigurovat výchozí chování během výpadku systému, přejděte v Microsoft Defender XDR na Nastavení> Řízení >podmíněného přístupu aplikací> Povolit nebo Blokovat přístup.

Požadavky na ochranu v prohlížeči

Pokud používáte ochranu v prohlížeči s Microsoft Edgem a stále se obsluhuje reverzním proxy serverem, ujistěte se, že splňujete následující další požadavky:

  • Tato funkce je zapnutá v nastavení Defender. Další informace najdete v tématu Konfigurace nastavení ochrany v prohlížeči.

  • Všechny zásady, které se na uživatele vztahují, jsou v Microsoft Edge for Business podporovány. Pokud je uživatel obsluhován jinými zásadami, které Microsoft Edge pro firmy nepodporuje, je vždy obsluhován reverzním proxy serverem. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.

  • Používáte podporovanou platformu, včetně podporovaného operačního systému, platformy identit a verze Edge. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.

Referenční informace o řešení potíží pro správce

Problém, který se pokoušíte vyřešit, najdete v následující tabulce:

Typ problému Problémy
Problémy se stavem sítě Chyby sítě při přechodu na stránku prohlížeče

Pomalá přihlášení

Další důležité informace o podmínkách sítě
Problémy s identifikací zařízení Nesprávně identifikovaná zařízení kompatibilní s Intune nebo hybridně připojená k Microsoft Entra

Klientské certifikáty se nezobrazují podle očekávání.

Klientské certifikáty se nezobrazují podle očekávání.
Při každém přihlášení se zobrazuje výzva k výběru klientského certifikátu

Další důležité informace o identifikaci zařízení
Problémy při onboardingu aplikace Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu

Stav aplikace: Pokračovat v instalaciNejde nakonfigurovat ovládací prvky pro nativní aplikace

Zobrazí se možnost požádat o ovládání relace.
Problémy při vytváření zásad přístupu a relací V zásadách podmíněného přístupu se možnost řízení podmíněného přístupu k aplikacím nezobrazuje.

Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s řízením podmíněného přístupu aplikací

Pro aplikaci nejde vytvořit zásady relací

Nejde zvolit metodu kontroly: Služba klasifikace dat

Nelze vybrat akci: Chránit

Další důležité informace o onboardingových aplikacích
Diagnostikujte a řešte potíže pomocí panelu nástrojů zobrazení Správce Obejití relace serveru proxy

Zaznamenat relaci

Přidání domén pro vaši aplikaci

Problémy se stavem sítě

Mezi běžné problémy se stavem sítě, se kterými se můžete setkat, patří:

Chyby sítě při přechodu na stránku prohlížeče

Při prvním nastavování Defender for Cloud Apps řízení přístupu a relací pro aplikaci může docházet k běžným síťovým chybám: Tento web není zabezpečený a není k dispozici připojení k internetu. Tyto zprávy můžou znamenat obecnou chybu konfigurace sítě.

Doporučený postup

  1. Nakonfigurujte bránu firewall tak, aby fungovala s Defender for Cloud Apps pomocí Azure IP adres a názvů DNS relevantních pro vaše prostředí.

    1. Přidejte odchozí port 443 pro následující IP adresy a názvy DNS pro datové centrum Defender for Cloud Apps.
    2. Restartujte své zařízení a relaci v prohlížeči.
    3. Ověřte, že přihlášení funguje podle očekávání.
  2. V možnostech internetu v prohlížeči povolte protokol TLS 1.2. Příklady:

    Prohlížeč Kroky
    Microsoft Internet Explorer 1. Otevřete Internet Explorer.
    2. Vyberte Nástroje Internet>Options>Advance karta
    3. V části Zabezpečení vyberte TLS 1.2.
    4. Vyberte Použít a pak vyberte OK.
    5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
    Microsoft Edge / Edge Chromium 1. Otevřete hledání z hlavního panelu a vyhledejte "Možnosti Internetu".
    2. Vyberte Možnosti internetu.
    3. V části Zabezpečení vyberte TLS 1.2.
    4. Vyberte Použít a pak vyberte OK.
    5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
    Google Chrome 1. Otevřete Google Chrome.
    2. V pravém horním rohu vyberte Další (3 svislé tečky) >Nastavení
    3. V dolní části vyberte Upřesnit
    4. V části Systém vyberte Otevřít nastavení proxy serveru.
    5. Na kartě Upřesnit v části Zabezpečení vyberte TLS 1.2.
    6. Vyberte OK.
    7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
    Mozilla Firefox 1. Otevřete Mozilla Firefox.
    2. Na panelu Adresa vyhledejte "about:config"
    3. Do vyhledávacího pole vyhledejte "TLS".
    4. Dvakrát klikněte na položku security.tls.version.min.
    5. Nastavte celočíselnou hodnotu na 3, aby se jako minimální požadovaná verze vynutil protokol TLS 1.2.
    6. Vyberte Uložit (zaškrtněte políčko napravo od pole hodnoty).
    7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
    Safari Pokud používáte Safari verze 7 nebo vyšší, protokol TLS 1.2 se automaticky povolí.

Defender for Cloud Apps k zajištění nejlepšího šifrování ve své třídě používá protokoly TLS (Transport Layer Security) verze 1.2 nebo novější:

  • Nativní klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nejsou při konfiguraci řízení relací přístupné.
  • Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se v prohlížeči zobrazí jako používající protokol TLS 1.2 nebo novější, pokud jsou nakonfigurované s Defender for Cloud Apps.

Tip

I když jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na libovolné hlavní platformě operačního systému, podporujeme nejnovější verze Microsoft Edge, Google Chrome, Mozilla Firefox nebo Apple Safari. Můžete chtít zablokovat nebo povolit přístup konkrétně k mobilním nebo desktopovým aplikacím.

Pomalá přihlášení

Řetězení proxy serverů a zpracování hodnot nonce patří mezi běžné problémy, které mohou vést k pomalému přihlašování.

Doporučený postup

Nakonfigurujte prostředí tak, aby odebralo všechny faktory, které můžou způsobovat zpomalení při přihlašování. Můžete mít například nakonfigurované brány firewall nebo řetězení proxy serverů pro přesměrování, které propojuje dva či více proxy serverů, aby bylo možné přejít na cílovou stránku. Můžete mít také jiné vnější faktory, které mají vliv na zpomalení.

  1. Zjistěte, zda ve vašem prostředí dochází k řetězení proxy serverů.
  2. Pokud je to možné, odstraňte všechny dopředné proxy servery.

Některé aplikace používají při ověřování hodnotu hash nonce, aby se zabránilo opakovaným útokům. Ve výchozím nastavení Defender for Cloud Apps předpokládá, že aplikace používá nonce. Pokud aplikace, se kterou pracujete, nepoužívá nonce, vypněte pro ni v aplikaci Defender for Cloud Apps zpracování nonce:

  1. Na portálu Defender vyberte Nastavení>cloudových aplikací.
  2. V části Připojené aplikace vyberte Aplikace řízení podmíněného přístupu k aplikacím.
  3. V seznamu aplikací na řádku, na kterém se zobrazí aplikace, kterou konfigurujete, vyberte tři tečky na konci řádku a pak vyberte Upravit pro vaši aplikaci.
  4. Vyberte možnost Zpracování nonce, rozbalte oddíl a potom zrušte zaškrtnutí možnosti Povolit zpracování nonce.
  5. Odhlaste se z aplikace a ukončete všechny relace v prohlížeči.
  6. Restartujte prohlížeč a znovu se přihlaste k aplikaci. Ověřte, že přihlášení funguje podle očekávání.

Další důležité informace o podmínkách sítě

Při řešení potíží se síťovými podmínkami vezměte v úvahu také následující poznámky k Defender for Cloud Apps proxy serveru:

  • Ověřte, jestli se vaše relace směruje do jiného datového centra: Defender for Cloud Apps používá Azure datacentra po celém světě k optimalizaci výkonu prostřednictvím geografické polohy.

    To znamená, že uživatelská relace může být hostována mimo danou oblast v závislosti na charakteru provozu a poloze uživatele. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.

  • Výkon proxy serveru: Odvození standardních hodnot výkonu závisí na mnoha faktorech mimo Defender for Cloud Apps proxy serveru, například:

    • Jaké další proxy servery nebo brány jsou v řadě s tímto proxy serverem
    • Odkud uživatel pochází
    • Kde se nachází cílový prostředek
    • Konkrétní požadavky na stránce

    Obecně platí, že latenci zvyšuje každý proxy server. Mezi výhody Defender for Cloud Apps proxy serveru patří:

    • Využití globální dostupnosti řadičů domény Azure k určení geografické polohy uživatelů a jejich směrování k nejbližšímu uzlu, čímž se zkrátí jejich obousměrná vzdálenost. Řadiče domény Azure dokážou geograficky určovat polohu v rozsahu, jakého dosahuje jen málokterá služba na světě.

    • Pomocí integrace s Podmíněným přístupem Microsoft Entra můžete přes naši službu směrovat jako proxy pouze relace, které chcete, namísto všech uživatelů za všech okolností.

Problémy s identifikací zařízení

Defender for Cloud Apps poskytuje následující možnosti pro identifikaci stavu správy zařízení.

  • Dodržování předpisů v Microsoft Intune
  • Připojení k hybridní Microsoft Entra doméně
  • Klientské certifikáty

Další informace najdete v tématu Zařízení spravovaná identitou s řízením podmíněného přístupu k aplikacím.

Mezi běžné problémy s identifikací zařízení, se kterými se můžete setkat, patří:

Chybně zjištěná zařízení kompatibilní s Intune nebo Microsoft Entra zařízení připojená k hybridnímu připojení

Podmíněný přístup Microsoft Entra umožňuje předávat přímo do Defender for Cloud Apps informace o zařízeních vyhovujících zásadám Intune a o zařízeních hybridně připojených k Microsoft Entra. V Defender for Cloud Apps použijte stav zařízení jako filtr pro zásady přístupu nebo zásady relací.

Další informace najdete v tématu Úvod do správy zařízení v Microsoft Entra ID.

Doporučený postup

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte Identifikace zařízení. Tato stránka zobrazuje možnosti identifikace zařízení dostupné v Defender for Cloud Apps.

  3. Pro identifikaci zařízení vyhovujících zásadám Intune a identifikaci zařízení hybridně připojených k Microsoft Entra v uvedeném pořadí vyberte Zobrazit konfiguraci a ověřte, že jsou služby nastaveny. Služby se automaticky synchronizují z Microsoft Entra ID a Intune.

  4. Vytvořte zásadu přístupu nebo relace s filtrem Značka zařízení nastaveným na hybridně připojené k Azure AD, vyhovující zásadám Intune nebo obě hodnoty.

  5. V prohlížeči se přihlaste na zařízení, které je podle filtru zásad hybridně připojené k Microsoft Entra nebo je v souladu se službou Intune.

  6. Ověřte, že se události z těchto zařízení zapisují do protokolu. V Defender for Cloud Apps na stránce Protokol aktivitfiltrujte podle značky zařízení, která je rovna připojení k hybridní službě Azure AD, vyhovující Intune nebo obojímu, a to na základě filtrů zásad.

  7. Pokud se aktivity nezobrazují v protokolu aktivit Defender for Cloud Apps, přejděte do Microsoft Entra ID a proveďte následující kroky:

    1. V části Monitorování>Přihlášení ověřte, že v protokolech jsou zaznamenané aktivity přihlašování.

    2. Vyberte příslušnou položku protokolu pro zařízení, ke které jste se přihlásili.

    3. V podokně Podrobnosti na kartě Informace o zařízení ověřte, že zařízení je spravované (připojené službou Hybrid Azure AD) nebo kompatibilní (kompatibilní s Intune).

      Pokud některý z těchto stavů nemůžete ověřit, zkuste jinou položku protokolu nebo se ujistěte, že jsou data zařízení správně nakonfigurovaná v Microsoft Entra ID.

    4. U podmíněného přístupu můžou některé prohlížeče vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.

    5. Pokud se na stránce Přihlášení stále nezobrazují informace o zařízení, vytvořte žádost o podporu pro službu Microsoft Entra ID.

Klientské certifikáty se nezobrazují podle očekávání.

Mechanismus identifikace zařízení může požadovat ověření od příslušných zařízení pomocí klientských certifikátů. Můžete nahrát certifikát kořenové nebo zprostředkující certifikační autority X.509 ve formátu certifikátu PEM.

Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů předložených během relace. Další informace najdete v tématu Kontrola správy zařízení bez Microsoft Entra.

Doporučený postup

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte Identifikace zařízení. Tato stránka zobrazuje možnosti identifikace zařízení dostupné u Defender for Cloud Apps.

  3. Ověřte, že jste nahráli kořenový certifikát certifikační autority X.509 nebo její zprostředkující certifikát. Musíte nahrát certifikát certifikační autority, který se používá k podpisu pro vaši certifikační autoritu.

  4. Vytvořte zásadu přístupu nebo relace s filtrem Štítek zařízení nastaveným na Platný klientský certifikát.

  5. Ujistěte se, že váš klientský certifikát je:

    • Nasazeno ve formátu souboru PKCS #12, obvykle s příponou .p12 nebo .pfx
    • Nainstalované v uživatelském úložišti zařízení, které používáte k testování, nikoli v úložišti zařízení.
  6. Restartujte relaci prohlížeče.

  7. Při přihlašování k chráněné aplikaci:

    • Ověřte, že jste přesměrováni na následující syntaxi adresy URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Pokud používáte iOS, ujistěte se, že používáte prohlížeč Safari.
    • Pokud používáte Firefox, musíte certifikát přidat také do vlastního úložiště certifikátů Firefoxu. Všechny ostatní prohlížeče používají stejné výchozí úložiště certifikátů.
  8. Ověřte, že se v prohlížeči zobrazila výzva k zadání klientského certifikátu.

    Pokud se nezobrazí, zkuste jiný prohlížeč. Většina hlavních prohlížečů podporuje kontrolu klientských certifikátů. Mobilní a desktopové aplikace ale často používají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto ovlivňují ověřování těchto aplikací.

  9. Ověřte, že se události z těchto zařízení zapisují do protokolu. V Defender for Cloud Apps na stránce Protokol aktivit přidejte filtr na Značka zařízení s hodnotou Platný klientský certifikát.

  10. Pokud se výzva stále nezobrazuje, otevřete lístek podpory a uveďte následující informace:

    • Podrobnosti o prohlížeči nebo nativní aplikaci, ve které došlo k problému
    • Verze operačního systému, například iOS, Android nebo Windows 10
    • Zmínka o tom, jestli výzva funguje v aplikaci Microsoft Edge Chromium

Při každém přihlášení jsou vyžadovány klientské certifikáty

Pokud se po otevření nové karty zobrazuje výzva ke klientskému certifikátu, může to být způsobeno nastavením skrytým v Možnostech Internetu. Ověřte nastavení v prohlížeči. Příklady:

V Microsoft Internet Exploreru:

  1. Otevřete Internet Explorer a vyberte Nástroje>Možnosti internetu>kartu Upřesnit.
  2. V části Zabezpečení vyberte Nevybídávejte výzvu k výběru klientského certifikátu, pokud existuje> jenom jeden certifikát, vyberte Použít>OK.
  3. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.

V prohlížeči Microsoft Edge / Edge Chromium:

  1. Otevřete hledání z hlavního panelu a vyhledejte Možnosti Internetu.
  2. Vyberte Možnosti Internetu Zabezpečení>>Místní intranet>Vlastní úroveň.
  3. V části Různé>Nevybídávejte výzvu k výběru klientského certifikátu, pokud existuje pouze jeden certifikát, vyberte Zakázat.
  4. Vyberte OK>Použít>OK.
  5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.

Další důležité informace o identifikaci zařízení

Při řešení potíží s identifikací zařízení můžete vyžadovat odvolání certifikátů pro klientské certifikáty.

Certifikáty odvolané certifikační autoritou už nejsou důvěryhodné. Výběr této možnosti vyžaduje, aby všechny certifikáty prošly protokolem CRL. Pokud váš klientský certifikát neobsahuje koncový bod seznamu CRL, nemůžete se ze spravovaného zařízení připojit.

Problémy při onboardingu aplikace

aplikace Microsoft Entra ID se automaticky onboardují do Defender for Cloud Apps pro řízení podmíněného přístupu a relací. Aplikace jiných zprostředkovatelů identity (IdP) než Microsoft, včetně katalogových i vlastních aplikací, musíte ručně přidat.

Další informace najdete tady:

Mezi běžné scénáře, se kterými se můžete setkat při onboardingu aplikace, patří:

Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu

Při připojování aplikace poskytovatele identity (IdP) jiného než Microsoft do řízení aplikací v podmíněném přístupu je posledním krokem nasazení to, aby koncový uživatel přešel do aplikace. Postupujte podle kroků v této části, pokud se aplikace nezobrazuje na stránce Nastavení > Cloudové aplikace > Připojené aplikace > Aplikace Řízení aplikací podmíněného přístupu podle očekávání.

Doporučený postup

  1. Ujistěte se, že vaše aplikace splňuje následující požadavky na řízení podmíněného přístupu k aplikacím:

    • Ujistěte se, že máte platnou Defender for Cloud Apps licenci.
    • Vytvořte duplicitní aplikaci.
    • Ujistěte se, že aplikace používá protokol SAML.
    • Ověřte, že jste aplikaci plně onboardovali a že je ve stavu Připojeno.
  2. Nezapomeňte přejít do aplikace v nové relaci prohlížeče pomocí nového anonymního režimu nebo opětovným přihlášením.

Poznámka

Entra ID aplikace se na stránce Aplikace Řízení podmíněného přístupu k aplikacím zobrazí až po jejich konfiguraci v alespoň jedné zásadě nebo pokud máte zásadu bez specifikace aplikace a uživatel se k aplikaci přihlásil.

Stav aplikace: Pokračovat v instalaci

Stav aplikace se může lišit a může zahrnovat Pokračovat v nastavení, Připojeno nebo Žádné aktivity.

U aplikací připojených prostřednictvím zprostředkovatelů identity od jiných společností než Microsoftu se při přístupu k aplikaci zobrazí stránka se stavem Pokračovat v instalaci, pokud nastavení není dokončené. K dokončení instalace použijte následující postup.

Doporučený postup

  1. Vyberte Pokračovat v instalaci.

  2. Projděte si následující články a ověřte, že jste dokončili všechny požadované kroky:

    Věnujte zvláštní pozornost následujícím krokům:

    1. Ujistěte se, že jste vytvořili novou vlastní aplikaci SAML. Tuto aplikaci potřebujete ke změně adres URL a atributů SAML, které nemusí být dostupné v aplikacích galerie.
    2. Pokud váš zprostředkovatel identity neumožňuje opakované použití stejného identifikátoru, označovaného také jako ID entity nebo cílová skupina, změňte identifikátor původní aplikace.

Nejde nakonfigurovat ovládací prvky pro předdefinované aplikace

Integrované aplikace je možné detekovat heuristicky a pomocí zásad přístupu je monitorovat nebo blokovat. Pomocí následujícího postupu nakonfigurujte ovládací prvky pro nativní aplikace.

Doporučený postup

  1. V zásadách přístupu přidejte filtr klientské aplikace a nastavte ho na mobilní a desktopový.

  2. V části Akce vyberte Blokovat.

  3. Volitelně můžete přizpůsobit blokující zprávu, která se uživatelům zobrazí, když nebudou moct stahovat soubory. Například přizpůsobit tuto zprávu na : Pro přístup k této aplikaci musíte použít webový prohlížeč.

  4. Otestujte a ověřte, že ovládací prvek funguje podle očekávání.

Zobrazí se stránka Aplikace se nerozpoznala

Defender for Cloud Apps rozpozná přes 31 000 aplikací prostřednictvím katalogu cloudových aplikací.

Pokud používáte vlastní aplikaci, která je nakonfigurovaná prostřednictvím Microsoft Entra jednotného přihlašování a není jednou z podporovaných aplikací, narazíte na stránku Aplikace není rozpoznána. Pokud chcete tento problém vyřešit, musíte aplikaci nakonfigurovat pomocí řízení podmíněného přístupu k aplikacím.

Doporučený postup

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace. V části Připojené aplikace vyberte Aplikace řízení podmíněného přístupu k aplikacím.

  2. V banneru vyberte Zobrazit nové aplikace.

  3. V seznamu nových aplikací vyhledejte aplikaci, kterou onboardujete, vyberte znaménko + a pak vyberte Přidat.

    1. Vyberte, jestli se jedná o vlastní nebo standardní aplikaci.
    2. Pokračujte v průvodci a ujistěte se, že zadané uživatelem definované domény jsou pro aplikaci, kterou konfigurujete, správné.
  4. Ověřte, že se aplikace zobrazuje na stránce Aplikace nástroje Conditional Access App Control.

Zobrazí se možnost požádat o převzetí řízení relace.

Po připojení aplikace jiného zprostředkovatele identity než Microsoftu se může zobrazit možnost Vyžadovat řízení relace. K tomu dochází, protože pouze katalogové aplikace mají předdefinované řízení relace. U jakékoli jiné aplikace musíte projít procesem automatického onboardingu.

Postupujte podle pokynů v článku Nasazení řízení aplikací s podmíněným přístupem pro vlastní aplikace se zprostředkovateli identity jinými než Microsoft.

Doporučený postup

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikací.

  3. Zadejte hlavní název nebo e-mail uživatele, který bude aplikaci onboardovat, a pak vyberte Uložit.

  4. Přejděte do aplikace, kterou nasazujete. Zobrazená stránka závisí na tom, jestli je aplikace rozpoznána. Podle toho, jaká stránka se zobrazí, udělejte jednu z těchto věcí:

    • Nerozpoznalo se. Zobrazí se stránka Aplikace nerozpoznaná s výzvou ke konfiguraci aplikace. Proveďte následující kroky:

      1. Začleňte aplikaci do řízení aplikací v podmíněném přístupu.
      2. Přidejte domény pro aplikaci.
      3. Nainstalujte certifikáty aplikace.
    • Bylo rozpoznáno. Pokud je vaše aplikace rozpoznána, zobrazí se stránka onboardingu s výzvou k pokračování v procesu konfigurace aplikace.

      Ujistěte se, že je aplikace nakonfigurovaná se všemi doménami potřebnými k tomu, aby aplikace fungovala správně, a pak se vraťte na stránku aplikace.

Další důležité informace o onboardingových aplikacích

Při řešení problémů při zavádění aplikací je třeba vzít v úvahu ještě několik dalších věcí.

  • Vysvětlení rozdílu mezi Microsoft Entra nastavením zásad podmíněného přístupu: "Pouze monitorování", "Blokovat stahování" a "Použít vlastní zásady"

    V Microsoft Entra zásadách podmíněného přístupu můžete nakonfigurovat následující předdefinované ovládací prvky Defender for Cloud Apps: Jenom monitorovat a Blokovat stahování. Tato nastavení se vztahují na funkci proxy programu Defender for Cloud Apps a vynucují ji pro cloudové aplikace a podmínky nakonfigurované v Microsoft Entra ID.

    U složitějších zásad vyberte Použít vlastní zásady, které vám umožní nakonfigurovat zásady přístupu a relací v Defender for Cloud Apps.

  • Vysvětlení možnosti filtru mobilních a desktopových klientských aplikací v zásadách přístupu

    V zásadách přístupu v Defender for Cloud Apps platí, že pokud filtr Klientská aplikace není nastavený na Mobilní a stolní počítač, výsledná zásada přístupu se vztahuje na relace prohlížeče.

    Důvodem je zabránit nechtěnému proxyování uživatelských relací, k němuž může při použití tohoto filtru docházet jako k vedlejšímu efektu.

Problémy při vytváření zásad přístupu a relací

Defender for Cloud Apps poskytuje následující konfigurovatelné zásady:

  • Zásady přístupu: Slouží k monitorování nebo blokování přístupu k prohlížeči, mobilním a desktopovým aplikacím.
  • Zásady relací. Používá se k monitorování, blokování a provádění konkrétních akcí, aby se zabránilo scénářům infiltrace a exfiltrace dat v prohlížeči.

Pokud chcete tyto zásady použít v Defender for Cloud Apps, musíte nejprve nakonfigurovat zásadu v Microsoft Entra podmíněný přístup, abyste rozšířili řízení relací:

  1. V zásadě Microsoft Entra v části Řízení přístupu vyberte Relace>Použít řízení aplikací podmíněného přístupu.

  2. Vyberte předdefinované zásady (jenom monitorovat nebo Blokovat stahování) nebo Použít vlastní zásady k nastavení rozšířených zásad v Defender for Cloud Apps.

  3. Vyberte Vybrat a pokračujte.

Mezi běžné scénáře, se kterými se můžete setkat při konfiguraci těchto zásad, patří:

V zásadách podmíněného přístupu se možnost řízení podmíněného přístupu k aplikacím nezobrazuje.

Aby bylo možné směrovat relace do Defender for Cloud Apps, musí být zásady podmíněného přístupu Microsoft Entra nakonfigurovány tak, aby zahrnovaly ovládací prvky relace pro řízení aplikací pomocí podmíněného přístupu.

Doporučený postup

Pokud v zásadách podmíněného přístupu nevidíte možnost Řízení podmíněného přístupu k aplikacím, ujistěte se, že máte platnou licenci pro Microsoft Entra ID P1 a platnou Defender for Cloud Apps licenci.

Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s řízením podmíněného přístupu aplikací

Při vytváření zásad přístupu nebo relací se může zobrazit následující chybová zpráva: Nemáte nasazené žádné aplikace s řízením podmíněného přístupu aplikací. Tato chyba značí, že se jedná o aplikaci jiného zprostředkovatele identity než microsoftu, která není nasazená pro řízení podmíněného přístupu k aplikacím.

Doporučený postup

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace. V části Připojené aplikace vyberte Aplikace řízení podmíněného přístupu k aplikacím.

  2. Pokud se zobrazí zpráva Nejsou připojené žádné aplikace, nasaďte aplikace pomocí následujících průvodců:

Pokud při nasazování aplikace narazíte na nějaké problémy, přečtěte si téma Problémy při onboardingu aplikace.

Pro aplikaci nejde vytvořit zásady relací

Po onboardingu aplikace zprostředkovatele identity jiného uživatele než Microsoftu pro řízení podmíněného přístupu k aplikacím se na stránce aplikace Řízení podmíněného přístupu může zobrazit možnost Požádat o řízení relace.

Poznámka

Aplikace katalogu mají předefinované ovládací prvky relací. U všech ostatních aplikací poskytovatele identity (IdP), které nepocházejí od Microsoftu, musíte projít samoobslužným procesem onboardingu. Doporučený postup

  1. Nasaďte svou aplikaci do řízení relací. Další informace najdete v tématu Začlenění vlastních aplikací jiných než Microsoft IdP pro řízení aplikací v podmíněném přístupu.

  2. Vytvořte zásadu relace a vyberte filtr App.

  3. Ujistěte se, že je vaše aplikace teď uvedená v rozevíracím seznamu.

Nejde zvolit metodu kontroly: Služba klasifikace dat

V zásadách relací můžete při použití typu řízení relace pro stahování souborů (s kontrolou) použít kontrolní metodu Služby klasifikace dat ke kontrole souborů v reálném čase a detekci citlivého obsahu, který splňuje některá z nakonfigurovaných kritérií.

Pokud není metoda kontroly služby klasifikace dat dostupná, pomocí následujících kroků problém vyšetřete.

Doporučený postup

  1. Ověřte, že je typ řízení relace nastaven na Řízení stahování souboru (s inspekcí).

    Poznámka

    Metoda kontroly služby klasifikace dat je k dispozici pouze pro možnost Stažení kontrolního souboru (s kontrolou).

  2. Zjistěte, jestli je funkce Služby klasifikace dat dostupná ve vaší oblasti:

    • Pokud tato funkce není ve vaší oblasti dostupná, použijte metodu kontroly integrované funkce DLP.
    • Pokud je tato funkce ve vaší oblasti dostupná, ale stále nevidíte metodu kontroly služby Klasifikace dat , otevřete lístek podpory.

Nelze vybrat akci: Ochránit

V zásadách relací můžete při použití typu řízení relace pro stahování souborů (s kontrolou) kromě akcí Sledovat a Blokovat zadat akci Chránit . Tato akce umožňuje povolit stahování souborů s možností zašifrovat nebo použít oprávnění k souboru na základě podmínek, kontroly obsahu nebo obojího.

Pokud akce Chránit není dostupná, pomocí následujících kroků problém vyšetřete.

Doporučený postup

  1. Pokud akce Chránit není k dispozici nebo je neaktivní, ověřte, že máte licenci Microsoft Purview. Další informace najdete v tématu integrace Microsoft Purview Information Protection.

  2. Pokud je akce Chránit dostupná, ale nezobrazují se příslušné popisky.

    1. V Defender for Cloud Apps v řádku nabídek vyberte ikonu > nastavení Microsoft Information Protection a ověřte, že je integrace povolená.

    2. U popisků Office se na portálu Microsoft Purview ujistěte, že je vybraná možnost Sjednocené popisování .

Diagnostikujte a řešte potíže pomocí panelu nástrojů zobrazení Správce

Panel nástrojů Zobrazení správce se nachází ve spodní části obrazovky a poskytuje správcům nástroje k diagnostice a řešení potíží s řízením aplikací pro podmíněný přístup.

Pokud chcete zobrazit panel nástrojů Zobrazení pro správce, musíte zajistit, aby byly konkrétní uživatelské účty správců přidány v nastavení portálu Defender do seznamu zavádění / údržba aplikace.

Přidání uživatele do seznamu onboardingu a údržby aplikace:

  1. V Microsoft Defender XDR vyberte Nastavení>Cloudové aplikace.

  2. Posuňte se dolů a v části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikací.

  3. Zadejte hlavní název nebo e-mailovou adresu správce, kterého chcete přidat.

  4. Vyberte možnost Povolit těmto uživatelům obejít řízení podmíněného přístupu k aplikacím z relace proxy serveru a pak vyberte Uložit.

    Příklady:

    Snímek obrazovky s nastavením onboardingu a údržby aplikace

Až jeden z uvedených uživatelů příště zahájí novou relaci v podporované aplikaci, ve které má roli správce, v dolní části prohlížeče se zobrazí panel nástrojů Zobrazení správce.

Například na následujícím obrázku je vidět panel nástrojů Admin View v dolní části okna prohlížeče při používání OneNotu v prohlížeči:

Snímek obrazovky panelu nástrojů zobrazení správce.

Následující části popisují, jak pomocí panelu nástrojů Admin View testovat a řešit potíže.

Testovací režim

Jako uživatel s rolí správce můžete chtít otestovat chystané opravy chyb proxy serveru předtím, než bude nejnovější verze plně vydána pro všechny tenanty. Poskytněte svůj názor na opravu chyby týmu podpory Microsoftu, který vám pomůže urychlit cykly vydávání verzí.

V testovacím režimu jsou všem změnám v opravách chyb vystaveni jenom správci. Na ostatní uživatele to nemá žádný vliv.

  • Testovací režim zapnete tak, že na panelu nástrojů Správa Zobrazení vyberete Testovací režim.
  • Po dokončení testování se výběrem možnosti Ukončit testovací režim vraťte k běžným funkcím.

Obejití relace proxy serveru

Pokud používáte jiný prohlížeč než Edge a máte potíže s přístupem k aplikaci nebo s načítáním aplikace, můžete zkontrolovat, jestli je problém s proxy serverem podmíněného přístupu spuštěním aplikace bez proxy serveru.

Chcete-li obejít proxy, na panelu nástrojů Admin View vyberte možnost Bypass experience. Ověřte, že je relace vynechána, a to tak, že adresa URL nemá příponu.

Proxy server podmíněného přístupu se znovu použije při příští relaci.

Další informace najdete v tématech Microsoft Defender for Cloud Apps řízení podmíněného přístupu k aplikacím a Ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).

Druhé přihlášení (označované také jako druhé přihlášení)

Některé aplikace mají pro přihlášení více než jeden přímý odkaz. Pokud v nastavení aplikace nedefinujete přihlašovací odkazy, můžou být uživatelé při přihlášení přesměrováni na nerozpoznanou stránku, která jim zablokuje přístup.

Integrace mezi zprostředkovateli identity (IdP), jako je Microsoft Entra ID, je založena na zachycení přihlášení k aplikaci a jeho přesměrování. To znamená, že přihlášení prohlížeče není možné řídit přímo bez aktivace druhého přihlášení. Abychom mohli aktivovat druhé přihlášení, musíme pro tento účel použít adresu URL pro druhé přihlášení.

Pokud aplikace používá znak nonce, může být druhé přihlášení pro uživatele transparentní nebo se jim zobrazí výzva, aby se znovu přihlásili.

Pokud není pro koncového uživatele transparentní, přidejte do nastavení aplikace druhou přihlašovací adresu URL:

Přejděte na Nastavení > Cloudové aplikace > Připojené aplikace > Podmíněný přístup K aplikacím Řízení aplikací

Vyberte příslušnou aplikaci a pak vyberte tři tečky.

Vyberte Upravit aplikaci\Upřesnit konfiguraci přihlášení.

Přidejte druhou přihlašovací adresu URL, jak je uvedeno na chybové stránce.

Pokud jste si jisti, že aplikace nepoužívá nonce, můžete to zakázat úpravou nastavení aplikace, jak je popsáno v části Pomalé přihlašování.

Zaznamenat relaci

Možná budete chtít pomoct s analýzou původní příčiny problému odesláním záznamu relace technikům podpory Microsoftu. Pomocí panelu nástrojů Admin View nahrajte relaci.

Poznámka

Z nahrávek se odeberou všechny osobní údaje.

Nahrání relace:

  1. Na panelu nástrojů v Zobrazení správce vyberte možnost Zaznamenat relaci. Po zobrazení výzvy vyberte Pokračovat a přijměte podmínky. Příklady:

    Snímek obrazovky s dialogovým oknem s prohlášením o zásadách ochrany osobních údajů pro záznam relace

  2. V případě potřeby se přihlaste do aplikace a zahajte simulaci relace.

  3. Po dokončení nahrávání scénáře nezapomeňte na panelu nástrojů Správa Zobrazení vybrat Zastavit nahrávání.

Zobrazení nahraných relací:

Po dokončení nahrávání se můžete podívat na nahrané relace tak, že na panelu nástrojů Správa Zobrazení vyberete Záznamy relací. Zobrazí se seznam zaznamenaných relací z předchozích 48 hodin. Příklady:

Snímek obrazovky s nahrávkami relací

Pokud chcete záznamy spravovat, vyberte soubor a pak podle potřeby vyberte Odstranit nebo Stáhnout . Příklady:

Snímek obrazovky se stažením nebo odstraněním nahrávky

Přidání domén pro vaši aplikaci

Přidružení správných domén k aplikaci umožňuje Defender for Cloud Apps vynucovat zásady a aktivity auditu.

Pokud jste například nakonfigurovali zásadu, která blokuje stahování souborů pro přidruženou doménu, bude stahování souborů z této domény aplikací blokováno. Soubory stažené aplikací z domén, které nejsou přidružené k aplikaci, se ale nebudou blokovat a akce nebude auditována v protokolu aktivit.

Pokud správce přejde v proxy aplikaci do nerozpoznané domény, která Defender for Cloud Apps nezohlední část stejné nebo jiné aplikace, zobrazí se zpráva Nerozpoznaná doména s výzvou, aby doménu přidal, aby byla příště chráněná. V takových případech, pokud správce nechce přidat doménu, není potřeba žádná akce.

Poznámka

Defender for Cloud Apps stále přidává příponu k doménám, které nejsou přidružené k aplikaci, aby se zajistilo bezproblémové uživatelské prostředí.

Přidání domén pro aplikaci:

  1. Otevřete svou aplikaci v prohlížeči tak, aby na obrazovce byl viditelný panel nástrojů zobrazení správce Defender for Cloud Apps.

  2. Na panelu nástrojů zobrazení Admin View vyberte možnost Zjištěné domény.

  3. V podokně Zjištěné domény si poznamenejte uvedené názvy domén nebo seznam exportujte jako .csv soubor.

    Podokno Zjištěné domény zobrazuje seznam všech domén, které nejsou přidružené k aplikaci. Názvy domén jsou plně kvalifikované.

  4. V Microsoft Defender XDR vyberte Nastavení>Připojené cloudové aplikace>>Podmíněné aplikace Řízení přístupu k aplikacím.

  5. Vyhledejte aplikaci v tabulce. Vyberte nabídku možností na pravé straně a pak vyberte Upravit aplikaci.

  6. Do pole Domény definované uživatelem zadejte domény, které chcete přidružit k této aplikaci.

    • Pokud chcete zobrazit seznam domén, které jsou už v aplikaci nakonfigurované, vyberte odkaz Zobrazit domény aplikace .

    • Při přidávání domén zvažte, jestli chcete přidat konkrétní domény, nebo použít hvězdičku (***** zástupný znak pro použití více domén najednou.

      Například sub1.contoso.com,sub2.contoso.com jsou příklady konkrétních domén. Pokud chcete přidat obě tyto domény najednou i další domény na stejné úrovni, použijte *.contoso.com.

Další informace najdete v tématu Ochrana aplikací pomocí Microsoft Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.