Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera wskazówki dla administratorów Microsoft Defender for Cloud Apps dotyczące diagnozowania i rozwiązywania typowych problemów z dostępem i kontrolą sesji napotykanych przez administratorów.
Uwaga
Wszelkie rozwiązywanie problemów związanych z funkcją serwera proxy jest istotne tylko dla sesji, które nie są skonfigurowane do ochrony w przeglądarce Microsoft Edge.
Sprawdzanie wymagań minimalnych
Przed rozpoczęciem rozwiązywania problemów upewnij się, że środowisko spełnia następujące minimalne ogólne wymagania dotyczące kontroli dostępu i sesji.
| Wymaganie | Opis |
|---|---|
| Licencjonowanie: | Upewnij się, że masz ważną licencję na Microsoft Defender for Cloud Apps. |
| Logowanie jednokrotne (SSO) | Aplikacje muszą być skonfigurowane przy użyciu jednego z obsługiwanych rozwiązań logowania jednokrotnego: — identyfikator Microsoft Entra przy użyciu protokołu SAML 2.0 lub OpenID Connect 2.0 — Dostawcy tożsamości spoza firmy Microsoft przy użyciu protokołu SAML 2.0 |
| Obsługa przeglądarki | Kontrolki sesji są dostępne dla sesji opartych na przeglądarce w najnowszych wersjach następujących przeglądarek: — Microsoft Edge - Przeglądarka Google Chrome - Mozilla Firefox — Apple Safari Ochrona w przeglądarce dla przeglądarki Microsoft Edge ma również określone wymagania, w tym użytkownika zalogowanego przy użyciu profilu służbowego. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce. |
| Przestój | Defender for Cloud Apps umożliwia zdefiniowanie domyślnego zachowania, które ma zostać zastosowane w przypadku wystąpienia zakłóceń w działaniu usługi, takich jak składnik, który nie działa poprawnie. Jeśli na przykład nie można wymusić standardowych mechanizmów kontroli zasad, możesz zaostrzyć działanie zasad (zablokować) lub je obejść (zezwolić), aby uniemożliwić użytkownikom wykonywanie działań na potencjalnie poufnych treściach lub na nie zezwolić. Aby skonfigurować domyślne zachowanie podczas przestoju systemu, w Microsoft Defender XDR przejdź do pozycji Ustawienia>Domyślne zachowanie>kontroli dostępu warunkowego w> aplikacjiZezwalaj lub Blokuj dostęp. |
Wymagania dotyczące ochrony w przeglądarce
Jeśli używasz ochrony w przeglądarce w Microsoft Edge i nadal korzystasz z odwrotnego serwera proxy, upewnij się, że spełniasz następujące dodatkowe wymagania:
Ta funkcja jest włączona w ustawieniach Defender. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień ochrony w przeglądarce.
Wszystkie zasady, które dotyczą użytkownika, są obsługiwane w usłudze Microsoft Edge for Business. Jeśli użytkownik podlega innej zasadzie, która nie jest obsługiwana przez Microsoft Edge for Business, jest zawsze obsługiwany przez odwrotny serwer proxy. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.
Używasz obsługiwanej platformy, w tym obsługiwanego systemu operacyjnego, platformy tożsamości i wersji przeglądarki Edge. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące ochrony w przeglądarce.
Informacje o rozwiązywaniu problemów dla administratorów
Skorzystaj z poniższej tabeli, aby znaleźć problem, który próbujesz rozwiązać:
Problemy z warunkami sieci
Typowe problemy z warunkami sieciowymi, które mogą wystąpić, obejmują:
Błędy sieci podczas przechodzenia do strony przeglądarki
Podczas pierwszego konfigurowania Defender for Cloud Apps kontroli dostępu i sesji dla aplikacji mogą wystąpić typowe błędy sieciowe: ta witryna nie jest bezpieczna i nie ma połączenia z Internetem. Te komunikaty mogą wskazywać ogólny błąd konfiguracji sieci.
Czynności zalecane
Skonfiguruj zaporę tak, aby współpracowała z Defender for Cloud Apps, używając adresów IP platformy Azure i nazw DNS odpowiednich dla Twojego środowiska.
- Dodaj wychodzący port 443 dla następujących adresów IP i nazw DNS w centrum danych usługi Defender for Cloud Apps.
- Ponowne uruchamianie urządzenia i sesji przeglądarki
- Sprawdź, czy logowanie działa zgodnie z oczekiwaniami
Włącz protokół TLS 1.2 w opcjach internetowych przeglądarki. Przykład:
Przeglądarka Kroki Microsoft Internet Explorer 1. Otwórz program Internet Explorer
2. Wybierz kartę Zaawansowane w obszarze Narzędzia>Opcje internetowe>
3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2
4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK
5. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacjiMicrosoft Edge/Edge Chromium 1. Otwórz wyszukiwanie na pasku zadań i wyszukaj ciąg "Opcje internetowe"
2. Wybierz opcje internetowe
3. W obszarze Zabezpieczenia wybierz pozycję TLS 1.2
4. Wybierz pozycję Zastosuj, a następnie wybierz przycisk OK
5. Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacjiGoogle Chrome 1. Otwórz program Google Chrome
2. W prawym górnym rogu wybierz pozycję Więcej (3 kropki >) Ustawienia
3. U dołu wybierz pozycję Zaawansowane
4. W obszarze System wybierz pozycję Otwórz ustawienia serwera proxy
5. Na karcie Zaawansowane w obszarze Zabezpieczenia wybierz pozycję TLS 1.2
6. Wybierz przycisk OK
7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacjiMozilla Firefox 1. Otwórz przeglądarkę Mozilla Firefox
2. Na pasku adresu wyszukaj ciąg "about:config"
3. W polu Wyszukiwania wyszukaj ciąg "TLS"
4. Kliknij dwukrotnie wpis security.tls.version.min
5. Ustaw wartość liczby całkowitej na 3, aby wymusić protokół TLS 1.2 jako minimalną wymaganą wersję
6. Wybierz pozycję Zapisz (zaznacz znacznik po prawej stronie pola wartości)
7. Uruchom ponownie przeglądarkę i sprawdź, czy masz dostęp do aplikacjiSafari Jeśli używasz przeglądarki Safari w wersji 7 lub nowszej, protokół TLS 1.2 jest automatycznie włączony
Defender for Cloud Apps używa protokołów TLS (Transport Layer Security) 1.2+ w celu zapewnienia najlepszego w klasie szyfrowania:
- Natywne aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie są dostępne po skonfigurowaniu za pomocą kontrolki sesji.
- Aplikacje SaaS korzystające z protokołu TLS 1.1 lub niższego są wyświetlane w przeglądarce jako używające protokołu TLS 1.2 lub nowszego podczas konfigurowania z Defender for Cloud Apps.
Wskazówka
Kontrolki sesji są tworzone do pracy z dowolną przeglądarką na dowolnej platformie głównej w dowolnym systemie operacyjnym, ale obsługujemy najnowsze wersje przeglądarki Microsoft Edge, Google Chrome, Mozilla Firefox lub Apple Safari. Możesz zablokować lub zezwolić na dostęp specjalnie do aplikacji mobilnych lub klasycznych.
Powolne logowanie
Łańcuch serwera proxy i obsługa nieobsługowa to niektóre typowe problemy, które mogą spowodować niską wydajność logowania.
Czynności zalecane
Skonfiguruj środowisko, aby usunąć wszelkie czynniki, które mogą powodować spowolnienie podczas logowania. Na przykład mogą być skonfigurowane zapory sieciowe lub łańcuchowe połączenie serwerów proxy przekazujących, które łączy dwa lub więcej serwerów proxy, aby dotrzeć do docelowej strony. Możesz również mieć inne czynniki zewnętrzne wpływające na spowolnienie.
- Sprawdź, czy w Twoim środowisku występuje łańcuchowe połączenie serwerów proxy.
- W miarę możliwości usuń wszystkie serwery proxy przekazujące.
Niektóre aplikacje używają skrótu nonce podczas uwierzytelniania, aby zapobiec atakom powtórzeniowym. Domyślnie Defender for Cloud Apps zakłada, że aplikacja używa elementu nonce. Jeśli aplikacja, z którą pracujesz, nie używa nonce, wyłącz obsługę nonce dla tej aplikacji w Defender for Cloud Apps:
- W portalu Defender wybierz pozycję Ustawienia>Aplikacje w chmurze.
- W sekcji Połączone aplikacje wybierz pozycję Aplikacje kontroli aplikacji w dostępie warunkowym.
- Na liście aplikacji w wierszu, w którym jest wyświetlana skonfigurowana aplikacja, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj dla aplikacji.
- Wybierz pozycję Obsługa nonce, aby rozwinąć sekcję, a następnie wyczyść pole wyboru Włącz obsługę nonce.
- Wyloguj się z aplikacji i zamknij wszystkie sesje przeglądarki.
- Uruchom ponownie przeglądarkę i zaloguj się ponownie do aplikacji. Sprawdź, czy logowanie działa zgodnie z oczekiwaniami.
Więcej zagadnień dotyczących warunków sieciowych
Podczas rozwiązywania problemów z warunkami sieciowymi należy również wziąć pod uwagę następujące uwagi dotyczące serwera proxy Defender for Cloud Apps:
Sprawdź, czy sesja jest kierowana do innego centrum danych: Defender for Cloud Apps używa Azure centrów danych na całym świecie do optymalizacji wydajności za pomocą geolokalizacji.
Oznacza to, że sesja użytkownika może być hostowana poza regionem, w zależności od wzorców ruchu i jego lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.
Wydajność serwera proxy: Generowanie punktu odniesienia wydajności zależy od wielu czynników spoza serwera proxy Defender for Cloud Apps, takich jak:
- Jakie inne serwery proxy lub bramy działają szeregowo z tym serwerem proxy
- Skąd pochodzi użytkownik
- Miejsce, w którym znajduje się docelowy zasób
- Określone żądania na stronie
Ogólnie rzecz biorąc, każdy serwer proxy dodaje opóźnienia. Zalety serwera proxy usługi Defender for Cloud Apps obejmują:
Użycie globalnej dostępności kontrolerów domeny Azure do geolokalizacji użytkowników do najbliższego węzła i zmniejszenia ich odległości w obie strony. Kontrolery domeny platformy Azure mogą określać lokalizację geograficzną na skalę, jaką może osiągnąć niewiele usług na świecie.
Korzystanie z integracji z Dostęp warunkowy usługi Microsoft Entra w celu kierowania do naszej usługi tylko tych sesji, które chcesz obsługiwać przez serwer proxy, zamiast wszystkich użytkowników w każdej sytuacji.
Problemy z identyfikacją urządzeń
Defender for Cloud Apps udostępnia następujące opcje identyfikowania stanu zarządzania urządzenia.
- Zgodność z usługą Microsoft Intune
- Przyłączone do domeny hybrydowej Microsoft Entra
- Certyfikaty klienta
Aby uzyskać więcej informacji, zobacz Identity-managed devices with Conditional Access app control (Urządzenia zarządzane tożsamościami z kontrolą aplikacji dostępu warunkowego).
Typowe problemy z identyfikacją urządzeń, które mogą wystąpić, obejmują:
- Błędnie zidentyfikowano urządzenia zgodne z usługą Intune lub Microsoft Entra dołączone hybrydowo
- Certyfikaty klienta nie są wyświetlane, gdy powinny być
- Monity dotyczące certyfikatów klienta pojawiają się przy każdym logowaniu
- Dodatkowe zagadnienia
Błędnie zidentyfikowane urządzenia zgodne z Intune lub hybrydowo dołączone do Microsoft Entra
Dostęp warunkowy w usłudze Microsoft Entra umożliwia bezpośrednie przekazywanie do usługi Defender for Cloud Apps informacji o urządzeniach zgodnych z usługą Intune i urządzeniach dołączonych hybrydowo do usługi Microsoft Entra. W Defender for Cloud Apps użyj stanu urządzenia jako filtru zasad dostępu lub sesji.
Aby uzyskać więcej informacji, zobacz Wprowadzenie do zarządzania urządzeniami w usłudze Microsoft Entra ID.
Czynności zalecane
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.
W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w Defender for Cloud Apps.
W przypadku identyfikacji urządzeń zgodnych z usługą Intune i identyfikacji urządzeń hybrydowo przyłączonych do usługi Microsoft Entra wybierz odpowiednio pozycję Wyświetl konfigurację i sprawdź, czy usługi są skonfigurowane. Usługi są automatycznie synchronizowane odpowiednio z Microsoft Entra ID i Intune.
Utwórz zasadę dostępu lub sesji z filtrem Tag urządzenia ustawionym na połączone z hybrydową usługą Azure AD, zgodne z Intune albo oba.
W przeglądarce zaloguj się na urządzeniu, które jest hybrydowo dołączone do Microsoft Entra lub zgodne z Intune, zgodnie z filtrem zasad.
Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W Defender for Cloud Apps na stronie Dziennik aktywnościfiltruj według znacznika urządzenia ustawionego na Hybrydowo przyłączone do Azure AD, Zgodne z Intune lub obu, w zależności od filtrów zasad.
Jeśli aktywności nie są wyświetlane w dzienniku aktywności Defender for Cloud Apps, przejdź do usługi Microsoft Entra ID i wykonaj następujące czynności:
W obszarze Monitorowanie>Logowania sprawdź, czy w dziennikach są widoczne działania związane z logowaniem.
Wybierz odpowiedni wpis dziennika dla zalogowanego urządzenia.
W panelu Szczegóły, na karcie Informacje o urządzeniu, sprawdź, czy urządzenie ma stan Zarządzane (hybrydowo dołączone do usługi Azure AD) lub Zgodne z zasadami (zgodne z zasadami usługi Intune).
Jeśli nie możesz zweryfikować żadnego z tych stanów, spróbuj użyć innego wpisu dziennika lub upewnij się, że dane urządzenia są poprawnie skonfigurowane w Microsoft Entra identyfikatorze.
W przypadku dostępu warunkowego niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak instalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.
Jeśli nadal nie widzisz informacji o urządzeniu na stronie Logowania, utwórz zgłoszenie do działu pomocy technicznej Microsoft Entra ID.
Certyfikaty klienta nie monitują, gdy są oczekiwane
Mechanizm identyfikacji urządzenia może żądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta. Możesz przesłać certyfikat głównego lub pośredniego urzędu certyfikacji (CA) X.509 w formacie certyfikatu PEM.
Certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta przedstawionych podczas sesji. Aby uzyskać więcej informacji, zobacz Sprawdzanie zarządzania urządzeniami bez Microsoft Entra.
Czynności zalecane
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.
W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Identyfikacja urządzenia. Na tej stronie przedstawiono opcje identyfikacji urządzeń dostępne w Defender for Cloud Apps.
Sprawdź, czy przesłano certyfikat głównego lub pośredniego urzędu certyfikacji X.509. Musisz przesłać certyfikat CA używany do podpisywania certyfikatów Twojego urzędu certyfikacji.
Utwórz zasady dostępu lub sesji przy użyciu filtru Tag urządzenia równego prawidłowemu certyfikatowi klienta.
Upewnij się, że certyfikat klienta to:
- Wdrożono przy użyciu formatu pliku PKCS #12, zazwyczaj rozszerzenia pliku p12 lub pfx
- Zainstalowane w magazynie użytkownika, a nie w magazynie urządzenia, na urządzeniu używanym do testowania
Uruchom ponownie sesję przeglądarki.
Podczas logowania się do chronionej aplikacji:
- Sprawdź, czy nastąpi przekierowanie do następującej składni adresu URL:
<https://*.managed.access-control.cas.ms/aad_login> - Jeśli używasz systemu iOS, upewnij się, że używasz przeglądarki Safari.
- Jeśli używasz przeglądarki Firefox, musisz również dodać certyfikat do własnego magazynu certyfikatów Firefox. Wszystkie inne przeglądarki używają tego samego domyślnego magazynu certyfikatów.
- Sprawdź, czy nastąpi przekierowanie do następującej składni adresu URL:
Sprawdź, czy w przeglądarce jest wyświetlany monit o certyfikat klienta.
Jeśli nie jest wyświetlany, spróbuj użyć innej przeglądarki. Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często używają wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania i w związku z tym mają wpływ na uwierzytelnianie tych aplikacji.
Sprawdź, czy działania z tych urządzeń wypełniają dziennik. W Defender for Cloud Apps na stronie Dziennik aktywności dodaj filtr tagu urządzenia równy prawidłowemu certyfikatowi klienta.
Jeśli nadal nie widzisz monitu, otwórz bilet pomocy technicznej i dołącz następujące informacje:
- Szczegóły przeglądarki lub aplikacji natywnej, w której wystąpił problem
- Wersja systemu operacyjnego, na przykład iOS/Android/Windows 10
- Wspomn, czy monit działa w przeglądarce Microsoft Edge Chromium
Monit o certyfikaty klienta pojawia się przy każdym logowaniu
Jeśli po otwarciu nowej karty pojawia się certyfikat klienta, może to być spowodowane ustawieniami ukrytymi w opcjach internetowych. Sprawdź ustawienia w przeglądarce. Przykład:
W przeglądarce Microsoft Internet Explorer:
- Otwórz program Internet Explorer i wybierz kartę Narzędzia>opcje> internetoweZaawansowane.
- W obszarze Zabezpieczenia wybierz pozycję Nie monituj o wybór certyfikatu klienta, jeśli istnieje> tylko jeden certyfikat Wybierz zastosuj>OK.
- Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.
W przeglądarce Microsoft Edge/edge Chromium:
- Otwórz wyszukiwanie na pasku zadań i wyszukaj pozycję Opcje internetowe.
- Wybierz Opcje internetowe>Zabezpieczenia>Lokalny intranet>Poziom niestandardowy.
- W obszarze Różne>nie monituj o wybór certyfikatu klienta, jeśli istnieje tylko jeden certyfikat, wybierz pozycję Wyłącz.
- Wybierz przycisk OK>Zastosuj>OK.
- Uruchom ponownie przeglądarkę i sprawdź, czy możesz uzyskać dostęp do aplikacji bez dodatkowych monitów.
Więcej zagadnień dotyczących identyfikacji urządzeń
Podczas rozwiązywania problemów z identyfikacją urządzenia można wymagać odwołania certyfikatów dla certyfikatów klienta.
Certyfikaty odwołane przez urząd certyfikacji nie są już zaufane. Wybranie tej opcji wymaga, aby wszystkie certyfikaty przeszły protokół CRL. Jeśli Twój certyfikat klienta nie zawiera punktu końcowego CRL, nie możesz połączyć się z poziomu zarządzanego urządzenia.
Problemy podczas dołączania aplikacji
Aplikacje Microsoft Entra ID są automatycznie wdrażane w usłudze Defender for Cloud Apps na potrzeby dostępu warunkowego i mechanizmów kontroli sesji. Aplikacje IdP inne niż firmy Microsoft, w tym zarówno aplikacje z katalogu, jak i aplikacje niestandardowe, należy wdrożyć ręcznie.
Więcej informacji można znaleźć w następujących artykułach:
- Wdrażanie kontroli dostępu warunkowego dla aplikacji wykazu z adresami IP innych niż Microsoft
- Wdrażanie kontroli dostępu warunkowego dla aplikacji niestandardowych z adresami IP innych niż Microsoft
Typowe scenariusze, które mogą wystąpić podczas wdrażania aplikacji, obejmują:
- Aplikacja nie pojawia się na stronie Aplikacje funkcji Conditional Access App Control
- Stan aplikacji: Kontynuuj instalację
- Nie można skonfigurować kontrolek dla wbudowanych aplikacji
- Opcja żądania przejęcia kontroli nad sesją pojawi się
Aplikacja nie jest wyświetlana na stronie aplikacji kontroli dostępu warunkowego
Podczas dołączania aplikacji innej niż Microsoft IdP do kontroli aplikacji dostępu warunkowego ostatnim krokiem wdrożenia jest przejście użytkownika końcowego do aplikacji. Wykonaj kroki opisane w tej sekcji, jeśli aplikacja nie pojawia się na stronie Ustawienia > Aplikacje w chmurze > Połączone aplikacje > Aplikacje kontroli aplikacji dostępu warunkowego zgodnie z oczekiwaniami.
Czynności zalecane
Upewnij się, że aplikacja spełnia następujące wymagania wstępne dotyczące kontroli dostępu warunkowego:
- Upewnij się, że masz ważną licencję Defender for Cloud Apps.
- Utwórz zduplikowaną aplikację.
- Upewnij się, że aplikacja używa protokołu SAML.
- Sprawdź, czy aplikacja została w pełni wdrożona, a status aplikacji to Połączono.
Pamiętaj, aby przejść do aplikacji w nowej sesji przeglądarki przy użyciu nowego trybu incognito lub zalogować się ponownie.
Uwaga
Aplikacje Entra ID pojawiają się na stronie Aplikacje funkcji Conditional Access App Control dopiero po skonfigurowaniu ich w co najmniej jednej zasadzie albo jeśli masz zasadę bez określenia aplikacji, a użytkownik zalogował się do tej aplikacji.
Stan aplikacji: Kontynuuj instalację
Stan aplikacji może się różnić i może obejmować kontynuowanie instalacji, połączenie lub brak działań.
W przypadku aplikacji połączonych za pośrednictwem dostawców tożsamości innych niż Microsoft (IdP), jeśli konfiguracja nie została ukończona, podczas uzyskiwania dostępu do aplikacji zostanie wyświetlona strona ze stanem Kontynuuj instalację. Wykonaj poniższe kroki, aby ukończyć konfigurację.
Czynności zalecane
Wybierz pozycję Kontynuuj instalację.
Przejrzyj następujące artykuły i sprawdź, czy wykonano wszystkie wymagane kroki:
- Wdrażanie kontroli dostępu warunkowego dla aplikacji wykazu z adresami IP innych niż Microsoft
- Wdrażanie kontroli dostępu warunkowego dla aplikacji niestandardowych z adresami IP innych niż Microsoft
Zwróć szczególną uwagę na następujące kroki:
- Upewnij się, że utworzono nową niestandardową aplikację SAML. Potrzebujesz tej aplikacji, aby zmienić adresy URL i atrybuty SAML, które mogą nie być dostępne w aplikacjach z galerii.
- Jeśli dostawca tożsamości nie zezwala na ponowne użycie tego samego identyfikatora, znanego również jako identyfikator jednostki lub odbiorcy, zmień identyfikator oryginalnej aplikacji.
Nie można skonfigurować kontrolek dla wbudowanych aplikacji
Wbudowane aplikacje można wykrywać heurystycznie, a do monitorowania lub blokowania tych aplikacji można używać zasad dostępu. Wykonaj poniższe kroki, aby skonfigurować kontrolki dla aplikacji natywnych.
Czynności zalecane
W zasadach dostępu dodaj filtr aplikacji klienckiej i ustaw go na wartość Mobile i desktop.
W obszarze Akcje wybierz pozycję Blokuj.
Opcjonalnie dostosuj komunikat blokujący, który użytkownicy otrzymują, gdy nie mogą pobrać plików. Na przykład dostosuj ten komunikat na Musisz użyć przeglądarki internetowej, aby uzyskać dostęp do tej aplikacji.
Przetestuj i sprawdź, czy kontrolka działa zgodnie z oczekiwaniami.
Pojawia się strona „Aplikacja nie jest rozpoznawana”
Defender for Cloud Apps może rozpoznać ponad 31 000 aplikacji za pośrednictwem katalogu aplikacji w chmurze.
Jeśli używasz aplikacji niestandardowej skonfigurowanej za pośrednictwem Microsoft Entra logowania jednokrotnego i nie jest to jedna z obsługiwanych aplikacji, natkniesz się na stronę Aplikacja nie jest rozpoznawana. Aby rozwiązać ten problem, należy skonfigurować aplikację przy użyciu kontroli aplikacji dostępu warunkowego.
Czynności zalecane
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze. W sekcji Połączone aplikacje wybierz pozycję Aplikacje kontroli aplikacji w dostępie warunkowym.
Na banerze wybierz pozycję Wyświetl nowe aplikacje.
Na liście nowych aplikacji znajdź aplikację, którą wdrażasz, wybierz znak +, a następnie wybierz Dodaj.
- Wybierz, czy aplikacja jest aplikacją niestandardową , czy standardową .
- Przejdź przez kreatora i upewnij się, że określone Domeny zdefiniowane przez użytkownika są poprawne dla aplikacji, którą konfigurujesz.
Sprawdź, czy aplikacja jest wyświetlana na stronie Aplikacje kontroli aplikacji dostępu warunkowego .
Zostanie wyświetlona opcja kontroli sesji żądania
Po wdrożeniu aplikacji IdP firmy innej niż Microsoft może zostać wyświetlona opcja Kontrola sesji żądania dostępu. Dzieje się tak, ponieważ tylko aplikacje z katalogu mają domyślnie dostępne mechanizmy kontroli sesji. W przypadku wszystkich innych aplikacji należy samodzielnie przejść proces wdrożenia.
Postępuj zgodnie z instrukcjami w temacie Deploy Conditional Access app control for custom apps with non-Microsoft IdPs (Wdrażanie kontroli aplikacji dostępu warunkowego dla aplikacji niestandardowych z adresami IP innych niż Microsoft).
Czynności zalecane
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.
W obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.
Wprowadź nazwę główną lub adres e-mail użytkownika, który będzie wdrażać aplikację, a następnie wybierz pozycję Zapisz.
Przejdź do aplikacji, którą wdrażasz. Wyświetlona strona zależy od tego, czy aplikacja zostanie rozpoznana. Wykonaj jedną z następujących czynności w zależności od wyświetlonej strony:
Nie rozpoznano. Zobaczysz stronę Aplikacja nie została rozpoznana z monitem o skonfigurowanie aplikacji. Wykonaj następujące kroki:
- Dołącz aplikację do kontroli aplikacji dostępu warunkowego.
- Dodaj domeny dla aplikacji.
- Zainstaluj certyfikaty aplikacji.
Rozpoznano. Jeśli aplikacja zostanie rozpoznana, zobaczysz stronę wdrożenia zachęcającą do kontynuowania procesu konfiguracji aplikacji.
Upewnij się, że aplikacja jest skonfigurowana ze wszystkimi domenami wymaganymi do poprawnego działania aplikacji, a następnie wróć do strony aplikacji.
Więcej zagadnień dotyczących dołączania aplikacji
Podczas rozwiązywania problemów związanych z wdrażaniem aplikacji należy wziąć pod uwagę kilka dodatkowych kwestii.
Omówienie różnicy między ustawieniami zasad dostępu warunkowego Microsoft Entra: "Tylko monitorowanie", "Blokuj pobieranie" i "Użyj zasad niestandardowych"
W zasadach dostępu warunkowego Microsoft Entra można skonfigurować następujące wbudowane mechanizmy kontrolne usługi Defender for Cloud Apps: Tylko monitoruj i Blokuj pobieranie. Te ustawienia określają i wymuszają stosowanie funkcji proxy usługi Defender for Cloud Apps w przypadku aplikacji w chmurze i warunków skonfigurowanych w Microsoft Entra ID.
Aby uzyskać bardziej złożone zasady, wybierz pozycję Użyj zasad niestandardowych, które umożliwiają konfigurowanie zasad dostępu i sesji w Defender for Cloud Apps.
Opis opcji filtru aplikacji klienckich „urządzenia mobilne i komputery stacjonarne” w zasadach dostępu
W zasadach dostępu usługi Defender for Cloud Apps, o ile filtr Aplikacja kliencka nie jest ustawiony na Urządzenia mobilne i komputery stacjonarne, wynikowa zasada dostępu dotyczy sesji przeglądarki.
Powodem tego jest zapobieganie niezamierzonemu pośredniczeniu w sesjach użytkowników, co może być skutkiem ubocznym używania tego filtru.
Problemy podczas tworzenia zasad dostępu i sesji
Defender for Cloud Apps udostępnia następujące konfigurowalne zasady:
- Zasady dostępu: służą do monitorowania lub blokowania dostępu do aplikacji przeglądarki, aplikacji mobilnych i/lub klasycznych.
- Zasady sesji. Służy do monitorowania, blokowania i wykonywania określonych akcji, aby zapobiec infiltracji danych i scenariuszom eksfiltracji w przeglądarce.
Aby używać tych zasad w usłudze Defender for Cloud Apps, należy najpierw skonfigurować zasadę w funkcji Dostęp warunkowy w Microsoft Entra, aby rozszerzyć kontrole sesji:
W zasadach Microsoft Entra w obszarze Kontrolki dostępu wybierz pozycję Sesja>Użyj kontroli aplikacji dostępu warunkowego.
Wybierz wbudowane zasady (Tylko monitorowanie lub Blokuj pobieranie) lub Użyj zasad niestandardowych, aby ustawić zasady zaawansowane w Defender for Cloud Apps.
Wybierz opcję Wybierz, aby kontynuować.
Typowe scenariusze, które mogą wystąpić podczas konfigurowania tych zasad, obejmują:
- W obszarze Zasady dostępu warunkowego nie jest widoczna opcja kontroli dostępu warunkowego aplikacji
- Komunikat o błędzie podczas tworzenia zasady: Nie masz żadnych aplikacji wdrożonych z użyciem kontroli aplikacji w dostępie warunkowym
- Nie można utworzyć zasad sesji dla aplikacji
- Nie można wybrać metody inspekcji: usługa klasyfikacji danych
- Nie można wybrać akcji: Ochrona
W obszarze Zasady dostępu warunkowego nie jest widoczna opcja kontroli dostępu warunkowego aplikacji
Aby kierować sesje do Defender for Cloud Apps, należy skonfigurować zasady dostępu warunkowego w Microsoft Entra tak, aby obejmowały mechanizmy kontroli sesji dla kontroli aplikacji w dostępie warunkowym.
Czynności zalecane
Jeśli nie widzisz opcji Conditional Access App Control w polityce dostępu warunkowego, upewnij się, że masz ważną licencję Microsoft Entra ID P1 i ważną licencję usługi Defender for Cloud Apps.
Komunikat o błędzie podczas tworzenia zasad: Nie masz żadnych aplikacji wdrożonych z kontrolą aplikacji dostępu warunkowego
Podczas tworzenia zasad dostępu lub sesji może zostać wyświetlony następujący komunikat o błędzie: Nie masz żadnych aplikacji wdrożonych z kontrolą aplikacji dostępu warunkowego. Ten błąd wskazuje, że aplikacja jest aplikacją inną niż Microsoft IdP, która nie została dołączona do kontroli aplikacji dostępu warunkowego.
Czynności zalecane
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze. W sekcji Połączone aplikacje wybierz pozycję Aplikacje kontroli aplikacji w dostępie warunkowym.
Jeśli zostanie wyświetlony komunikat Brak połączonych aplikacji, użyj następujących przewodników, aby wdrożyć aplikacje:
Jeśli podczas wdrażania aplikacji wystąpią jakiekolwiek problemy, zobacz Problemy podczas dołączania aplikacji.
Nie można utworzyć zasad sesji dla aplikacji
Po dołączeniu aplikacji innej niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego na stronie Aplikacje kontroli aplikacji dostępu warunkowego może zostać wyświetlona opcja: Kontrola sesji żądania.
Uwaga
Aplikacje z katalogu mają domyślne mechanizmy kontroli sesji. W przypadku innych aplikacji innych niż Microsoft IdP należy przejść przez proces samodzielnego dołączania. Czynności zalecane
Wdróż aplikację do kontroli sesji. Aby uzyskać więcej informacji, zobacz Dołączanie niestandardowych aplikacji innych niż Microsoft IdP na potrzeby kontroli aplikacji dostępu warunkowego.
Utwórz zasady sesji i wybierz filtr Aplikacja .
Upewnij się, że aplikacja znajduje się teraz na liście rozwijanej.
Nie można wybrać metody inspekcji: usługa klasyfikacji danych
W zasadach sesji w przypadku korzystania z typu kontroli pobierania plików kontrolnych (z inspekcją) można użyć metody inspekcji usługi klasyfikacji danych do skanowania plików w czasie rzeczywistym i wykrywania poufnej zawartości zgodnej z dowolnymi skonfigurowanymi kryteriami.
Jeśli metoda inspekcji Data Classification Service nie jest dostępna, wykonaj poniższe kroki, aby zbadać ten problem.
Czynności zalecane
Sprawdź, czy typ kontroli sesji jest ustawiony na Kontrolowanie pobierania plików (z inspekcją).
Uwaga
Metoda inspekcji Usługi klasyfikacji danych jest dostępna tylko dla opcji Pobieranie pliku kontrolnego (z inspekcją).
Określ, czy funkcja usługi klasyfikacji danych jest dostępna w Twoim regionie:
- Jeśli funkcja nie jest dostępna w Twoim regionie, użyj wbudowanej metody inspekcji DLP .
- Jeśli funkcja jest dostępna w Twoim regionie, ale nadal nie widzisz metody inspekcji Data Classification Service, otwórz zgłoszenie do działu pomocy technicznej.
Nie można wybrać akcji: Ochrona
W zasadach sesji podczas używania typu kontroli sesji Kontrolowanie pobierania plików (z inspekcją), oprócz akcji Monitoruj i Blokuj, można określić także akcję Chroń. Ta akcja umożliwia zezwalanie na pobieranie plików z opcją szyfrowania lub stosowania uprawnień do pliku na podstawie warunków, inspekcji zawartości lub obu tych elementów.
Jeśli akcja Ochrona jest niedostępna, wykonaj następujące kroki, aby zbadać problem.
Czynności zalecane
Jeśli opcja Chroń jest niedostępna lub wyszarzona, sprawdź, czy masz licencję Microsoft Purview. Aby uzyskać więcej informacji, zobacz integrację Microsoft Purview Information Protection.
Jeśli akcja Ochrona jest dostępna, ale nie widzi odpowiednich etykiet.
W Defender for Cloud Apps na pasku menu wybierz ikonę > ustawień Microsoft Information Protection i sprawdź, czy integracja jest włączona.
W przypadku etykiet pakietu Office w portalu usługi Microsoft Purview upewnij się, że wybrano pozycję Unified Labeling( Ujednolicone etykietowanie ).
Diagnozowanie i rozwiązywanie problemów za pomocą paska narzędzi Admin View
Pasek narzędzi Widok administratora znajduje się w dolnej części ekranu i udostępnia administratorom narzędzia do diagnozowania i rozwiązywania problemów z kontrolą aplikacji w ramach dostępu warunkowego.
Aby wyświetlić pasek narzędzi Widok administratora, należy pamiętać o dodaniu określonych kont użytkowników administracyjnych do listy Dołączanie aplikacji/konserwacja w ustawieniach portalu Defender.
Aby dodać użytkownika do listy wdrażania / utrzymania aplikacji:
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze.
Przewiń w dół i w obszarze Kontrola dostępu warunkowego aplikacji wybierz pozycję Dołączanie/konserwacja aplikacji.
Wprowadź główną nazwę lub adres e-mail użytkownika administracyjnego, który chcesz dodać.
Wybierz opcję Włącz użytkownikom możliwość pomijania Kontroli aplikacji dostępu warunkowego w sesji pośredniczonej, a następnie wybierz pozycję Zapisz.
Przykład:
Następnym razem, gdy jeden z wymienionych użytkowników uruchomi nową sesję w obsługiwanej aplikacji, w której jest administratorem, pasek narzędzi Administracja Wyświetl zostanie wyświetlony w dolnej części przeglądarki.
Na przykład na poniższej ilustracji przedstawiono pasek narzędzi Administracja Wyświetl wyświetlany w dolnej części okna przeglądarki podczas korzystania z programu OneNote w przeglądarce:
W poniższych sekcjach opisano, jak używać paska narzędzi Widok administratora do testowania i rozwiązywania problemów.
Tryb testowania
Jako administrator możesz chcieć przetestować nadchodzące poprawki błędów związanych z serwerem proxy, zanim najnowsze wydanie zostanie w pełni wdrożone u wszystkich dzierżawców. Przekaż swoją opinię na temat naprawy usterki zespołowi pomocy technicznej firmy Microsoft, aby przyspieszyć cykle wydań.
W trybie testowym tylko użytkownicy administracyjni są narażeni na wszelkie zmiany wprowadzone w poprawkach błędów. Nie ma to wpływu na innych użytkowników.
- Aby włączyć tryb testowy, na pasku narzędzi Widok administratora wybierz Tryb testowy.
- Po zakończeniu testowania wybierz pozycję Zakończ tryb testu , aby powrócić do zwykłej funkcjonalności.
Pomijanie sesji serwera proxy
Jeśli używasz przeglądarki innej niż Edge i masz trudności z uzyskaniem dostępu lub ładowaniem aplikacji, możesz sprawdzić, czy problem dotyczy serwera proxy dostępu warunkowego, uruchamiając aplikację bez serwera proxy.
Aby ominąć serwer proxy, na pasku narzędzi Widok administratora wybierz opcję Tryb obejścia. Potwierdź, że sesja jest omijana, sprawdzając, że adres URL nie ma dodanego sufiksu.
Serwer proxy dostępu warunkowego zostanie ponownie użyty podczas następnej sesji.
Aby uzyskać więcej informacji, zobacz Microsoft Defender for Cloud Apps kontrola aplikacji dostępu warunkowego i ochrona w przeglądarce za pomocą Microsoft Edge for Business (wersja zapoznawcza).
Drugie logowanie (nazywane również "drugim logowaniem")
Niektóre aplikacje mają więcej niż jeden bezpośredni link do logowania. Jeśli nie zdefiniujesz linków logowania w ustawieniach aplikacji, użytkownicy mogą zostać przekierowani do nierozpoznanej strony podczas logowania, blokując im dostęp.
Integracja między adresami IP, takimi jak identyfikator Microsoft Entra, opiera się na przechwyceniu logowania do aplikacji i przekierowaniu go. Oznacza to, że logowania w przeglądarce nie można kontrolować bezpośrednio bez wyzwalania drugiego logowania. Aby wyzwolić drugie logowanie, musimy zastosować drugi adres URL logowania specjalnie do tego celu.
Jeśli aplikacja używa elementu nonce, drugie logowanie może być niewidoczne dla użytkowników lub zostanie wyświetlony monit o ponowne zalogowanie się.
Jeśli nie jest to niewidoczne dla użytkownika końcowego, dodaj drugi adres URL logowania do ustawień aplikacji:
Przejdź do Ustawienia > Aplikacje w chmurze > Połączone aplikacje > Aplikacje kontroli aplikacji dostępu warunkowego
Wybierz odpowiednią aplikację, a następnie wybierz trzy kropki.
Wybierz pozycję Edytuj aplikację\Zaawansowana konfiguracja logowania.
Dodaj drugi adres URL logowania, jak wspomniano na stronie błędu.
Jeśli masz pewność, że aplikacja nie używa elementu nonce, możesz to wyłączyć, edytując ustawienia aplikacji zgodnie z opisem w sekcji Powolne logowania.
Rejestrowanie sesji
Możesz pomóc w analizie głównej przyczyny problemu, wysyłając nagranie sesji do inżynierów pomocy technicznej firmy Microsoft. Użyj paska narzędzi Widok administratora, aby nagrać sesję.
Uwaga
Wszystkie dane osobowe są usuwane z nagrań.
Aby nagrać sesję:
Na pasku narzędzi Admin View wybierz pozycję Nagraj sesję. Po wyświetleniu monitu wybierz pozycję Kontynuuj , aby zaakceptować warunki. Przykład:
W razie potrzeby zaloguj się do aplikacji, aby rozpocząć symulowanie sesji.
Po zakończeniu rejestrowania scenariusza wybierz pozycję Zatrzymaj rejestrowanie na pasku narzędzi Administracja Wyświetl.
Aby wyświetlić zarejestrowane sesje:
Po zakończeniu nagrywania wyświetl zarejestrowane sesje, wybierając pozycję Nagrania sesji na pasku narzędzi Administracja Wyświetl. Zostanie wyświetlona lista zarejestrowanych sesji z poprzednich 48 godzin. Przykład:
Aby zarządzać nagraniami, wybierz plik, a następnie w razie potrzeby wybierz pozycję Usuń lub Pobierz . Przykład:
Dodawanie domen dla aplikacji
Skojarzenie prawidłowych domen z aplikacją umożliwia Defender for Cloud Apps wymuszanie zasad i działań inspekcji.
Jeśli na przykład skonfigurowano zasady, które blokują pobieranie plików dla skojarzonej domeny, pobieranie plików przez aplikację z tej domeny zostanie zablokowane. Jednak pliki pobrane przez aplikację z domen, które nie są skojarzone z aplikacją, nie zostaną zablokowane, a akcja nie zostanie poddana inspekcji w dzienniku aktywności.
Jeśli administrator w aplikacji objętej serwerem proxy przejdzie do nierozpoznanej domeny, której usługa Defender for Cloud Apps nie uznaje za część tej samej aplikacji ani żadnej innej aplikacji, zostanie wyświetlony komunikat Nierozpoznana domena, zachęcający administratora do dodania tej domeny, aby następnym razem była chroniona. W takich przypadkach, jeśli administrator nie chce dodać domeny, nie jest wymagana żadna akcja.
Uwaga
Defender for Cloud Apps nadal dodaje sufiks do domen, które nie są skojarzone z aplikacją, aby zapewnić bezproblemowe środowisko użytkownika.
Aby dodać domeny dla aplikacji:
Otwórz aplikację w przeglądarce, tak aby pasek narzędzi Widok administratora Defender for Cloud Apps był widoczny na ekranie.
Na pasku narzędzi widok Administracja wybierz pozycję Odnalezione domeny.
W okienku Odnalezione domeny zanotuj wymienione nazwy domen lub wyeksportuj listę jako plik .csv.
Okienko Odnalezione domeny zawiera listę wszystkich domen, które nie są skojarzone z aplikacją. Nazwy domenowe są w pełni kwalifikowane.
W Microsoft Defender XDR wybierz pozycję Ustawienia>Aplikacje w chmurze>Połączone aplikacje>Aplikacje funkcji Conditional Access App Control.
Znajdź aplikację w tabeli. Wybierz menu opcji po prawej stronie, a następnie wybierz pozycję Edytuj aplikację.
W polu Domeny zdefiniowane przez użytkownika wprowadź domeny, które chcesz skojarzyć z tą aplikacją.
Aby wyświetlić listę domen już skonfigurowanych w aplikacji, wybierz link Wyświetl domeny aplikacji .
Podczas dodawania domen zastanów się, czy chcesz dodać określone domeny, czy też użyć gwiazdki (*****za symbolem wieloznacznym, aby używać wielu domen jednocześnie.
Na przykład
sub1.contoso.com,sub2.contoso.comsą przykłady określonych domen. Aby dodać obie te domeny jednocześnie, a także inne domeny równorzędne, użyj polecenia*.contoso.com.
Aby uzyskać więcej informacji, zobacz Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego.