Felsöka åtkomst- och sessionskontroller för administratörsanvändare

Den här artikeln ger Microsoft Defender for Cloud Apps administratörer vägledning om hur du undersöker och löser vanliga problem med åtkomst- och sessionskontroll som administratörer upplever.

Obs!

Felsökning som rör proxyfunktioner är endast relevant för sessioner som inte har konfigurerats för skydd i webbläsaren med Microsoft Edge.

Kontrollera minimikraven

Innan du börjar felsöka kontrollerar du att din miljö uppfyller följande minimikrav för åtkomst- och sessionskontroller.

Krav Beskrivning
Licensiering Kontrollera att du har en giltig licens för Microsoft Defender for Cloud Apps.
Single Sign-On (SSO) Appar måste konfigureras med någon av de SSO-lösningar som stöds:

– Microsoft Entra ID med SAML 2.0 eller OpenID Connect 2.0
– Icke-Microsoft IdP med SAML 2.0
Webbläsarstöd Sessionskontroller är tillgängliga för webbläsarbaserade sessioner i de senaste versionerna av följande webbläsare:

– Microsoft Edge
– Google Chrome
- Mozilla Firefox
- Apple Safari

Skydd i webbläsaren för Microsoft Edge har också specifika krav, inklusive användaren som är inloggad med sin arbetsprofil. Mer information finns i Krav för webbläsarskydd.
Stilleståndstid Defender for Cloud Apps kan du definiera standardbeteendet som ska tillämpas om det uppstår avbrott i tjänsten, till exempel om en komponent inte fungerar som den ska.

Om de normala principkontrollerna till exempel inte kan tillämpas kan du välja att härda (blockera) eller kringgå (tillåt) användare från att vidta åtgärder för potentiellt känsligt innehåll.

Om du vill konfigurera standardbeteendet vid systemavbrott går du i Microsoft Defender XDR till Inställningar>Appkontroll för villkorsstyrd åtkomst>Standardbeteende>Tillåt eller Blockera åtkomst.

Krav för webbläsarskydd

Om du använder webbläsarskydd med Microsoft Edge och fortfarande hanteras av en omvänd proxy kontrollerar du att du uppfyller följande ytterligare krav:

  • Funktionen är aktiverad i inställningarna för Defender. Mer information finns i Konfigurera inställningar för webbläsarskydd.

  • Alla principer som användaren omfattas av stöds för Microsoft Edge for Business. Om en användare hanteras av en annan princip som inte stöds av Microsoft Edge for Business hanteras de alltid av den omvända proxyn. Mer information finns i Krav för webbläsarskydd.

  • Du använder en plattform som stöds, inklusive ett operativsystem, en identitetsplattform och en Edge-version som stöds. Mer information finns i Krav för webbläsarskydd.

Referens för felsökningsproblem för administratörer

Använd följande tabell för att hitta problemet du försöker felsöka:

Typ av problem Frågor
Problem med nätverksvillkor Nätverksfel vid navigering till en webbläsarsida

Långsamma inloggningar

Fler överväganden för nätverksvillkor
Problem med enhetsidentifiering Felidentifierade Intune-kompatibla eller Microsoft Entra hybrid-anslutna enheter

Klientcertifikat visas inte när de borde

Klientcertifikat visas inte när de borde
Klientcertifikat uppmanas vid varje inloggningstillfälle

Fler överväganden för enhetsidentifiering
Problem vid registrering av en app Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

Appstatus: Fortsätt installationenDet går inte att konfigurera kontroller för interna appar

Alternativet för att begära sessionskontroll visas
Problem med att skapa åtkomst- och sessionsprinciper I Principer för villkorsstyrd åtkomst kan du inte se alternativet för appkontroll för villkorsstyrd åtkomst

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

Det går inte att skapa sessionsprinciper för en app

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

Det går inte att välja Åtgärd: Skydda

Fler överväganden för registrering av appar
Diagnostisera och felsöka med verktygsfältet Admin Visa Kringgå proxy-session

Spela in en session

Lägga till domäner för din app

Problem med nätverksvillkor

Vanliga problem med nätverksvillkor som kan uppstå är:

Nätverksfel vid navigering till en webbläsarsida

När du först konfigurerar Defender for Cloud Apps åtkomst- och sessionskontroller för en app kan vanliga nätverksfel uppstå: Den här webbplatsen är inte säker och det finns ingen internetanslutning. Dessa meddelanden kan tyda på ett allmänt nätverkskonfigurationsfel.

Rekommenderade steg

  1. Konfigurera brandväggen så att den fungerar med Defender for Cloud Apps med hjälp av de Azure IP-adresser och DNS-namn som är relevanta för din miljö.

    1. Lägg till utgående port 443 för följande IP-adresser och DNS-namn för ditt Defender for Cloud Apps datacenter.
    2. Starta om enheten och webbläsarsessionen
    3. Kontrollera att inloggningen fungerar som förväntat
  2. Aktivera TLS 1.2 i webbläsarens Internetalternativ. Till exempel:

    Webbläsare Steg
    Microsoft Internet Explorer 1. Öppna Internet Explorer
    2. Välj verktyg>fliken Internetalternativ>Avancerat
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Microsoft Edge/Edge-Chromium 1. Öppna sökningen från aktivitetsfältet och sök efter "Internetalternativ"
    2. Välj Internetalternativ
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Google Chrome 1. Öppna Google Chrome
    2. Längst upp till höger väljer du Fler (3 lodräta punkter) >Inställningar
    3. Längst ned väljer du Avancerat
    4. Under System väljer du Öppna proxyinställningar
    5. På fliken Avancerat går du till Säkerhet och väljer TLS 1.2
    6. Välj OK
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Mozilla Firefox 1. Öppna Mozilla Firefox
    2. I adressfältet och sök efter "about:config"
    3. I sökrutan söker du efter "TLS"
    4. Dubbelklicka på posten för security.tls.version.min
    5. Ange heltalsvärdet till 3 för att framtvinga TLS 1.2 som den lägsta version som krävs
    6. Välj Spara (markera till höger om värderutan)
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Safari Om du använder Safari version 7 eller senare aktiveras TLS 1.2 automatiskt

Defender for Cloud Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering:

  • Interna klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när de konfigureras med sessionskontroll.
  • SaaS-appar som använder TLS 1.1 eller lägre visas i webbläsaren som TLS 1.2+ när de konfigureras med Defender for Cloud Apps.

Tips

Sessionskontroller är byggda för att fungera med alla webbläsare på alla större plattformar på alla operativsystem, men vi stöder de senaste versionerna av Microsoft Edge, Google Chrome, Mozilla Firefox eller Apple Safari. Du kanske vill blockera eller tillåta åtkomst specifikt till mobilappar eller skrivbordsappar.

Långsamma inloggningar

Proxykedjning och nonce-hantering är några vanliga problem som kan leda till långsam inloggningsprestanda.

Rekommenderade steg

Konfigurera din miljö för att ta bort faktorer som kan orsaka långsamhet under inloggningen. Du kan till exempel ha brandväggar eller kedjekoppling av vidarebefordrande proxyservrar konfigurerade, vilket kopplar samman två eller flera proxyservrar för att nå den avsedda sidan. Du kan också ha andra externa faktorer som påverkar långsamheten.

  1. Fastställ om proxykedjning förekommer i din miljö.
  2. Ta bort eventuella proxyservrar där det är möjligt.

Vissa appar använder en nonce-hash under autentisering för att förhindra återuppspelningsattacker. Som standard förutsätter Defender for Cloud Apps att en app använder nonce. Om appen du arbetar med inte använder nonce inaktiverar du nonce-hantering för den här appen i Defender for Cloud Apps:

  1. I Defender-portalen väljer du Inställningar>Cloud Apps.
  2. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.
  3. I listan över appar väljer du de tre punkterna i slutet av raden på den rad där appen du konfigurerar visas och väljer sedan Redigera för din app.
  4. Välj Nonce-handling för att expandera avsnittet och avmarkera sedan Aktivera nonce-hantering.
  5. Logga ut från appen och stäng alla webbläsarsessioner.
  6. Starta om webbläsaren och logga in på appen igen. Kontrollera att inloggningen fungerar som förväntat.

Fler överväganden för nätverksvillkor

När du felsöker nätverksvillkor bör du även tänka på följande information om Defender for Cloud Apps proxy:

  • Kontrollera om sessionen dirigeras till ett annat datacenter: Defender for Cloud Apps använder Azure datacenter runt om i världen för att optimera prestanda via geoplats.

    Det innebär att en användares session kan finnas utanför en region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.

  • Proxyprestanda: Att härleda en prestandabaslinje beror på många faktorer utanför Defender for Cloud Apps proxy, till exempel:

    • Vilka andra proxyservrar eller gatewayer finns i serien med den här proxyn
    • Varifrån användaren kommer
    • Där målresursen finns
    • Specifika begäranden på sidan

    I allmänhet lägger alla proxyservrar till svarstid. Fördelarna med Defender for Cloud Apps proxy är:

    • Genom att använda den globala tillgängligheten hos Azures domänkontrollanter för att dirigera användare till den närmaste noden baserat på geografisk plats och minska deras tur- och returfördröjning. Azures domänkontrollanter kan geolokaliseras i en omfattning som få andra tjänster i världen kan matcha.

    • Genom att använda integreringen med Villkorsstyrd åtkomst i Microsoft Entra för att endast dirigera de sessioner som du vill förmedla via vår tjänst, i stället för att dirigera alla användares sessioner i alla situationer.

Problem med enhetsidentifiering

Defender for Cloud Apps innehåller följande alternativ för att identifiera en enhets hanteringstillstånd.

  • Microsoft Intune-regelefterlevnad
  • Hybrid-Microsoft Entra-domänansluten
  • Klientcertifikat

Mer information finns i Identitetshanterade enheter med appkontroll för villkorsstyrd åtkomst.

Vanliga problem med enhetsidentifiering som kan uppstå är:

Felidentifierade Intune-kompatibla eller Microsoft Entra hybrid-anslutna enheter

Microsoft Entra villkorlig åtkomst gör att intune-kompatibel och Microsoft Entra hybridansluten enhetsinformation kan skickas direkt till Defender for Cloud Apps. I Defender for Cloud Apps använder du enhetstillståndet som ett filter för åtkomst- eller sessionsprinciper.

Mer information finns i Introduktion till enhetshantering i Microsoft Entra-ID.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga i Defender for Cloud Apps.

  3. För Intune-kompatibel enhetsidentifiering och Microsoft Entra hybridanslutningsidentifiering väljer du Visa konfiguration och kontrollerar att tjänsterna har konfigurerats. Tjänsterna synkroniseras automatiskt från Microsoft Entra-ID och Intune.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med Hybrid Azure AD ansluten, Intune-kompatibel eller båda.

  5. I webbläsaren loggar du in på en enhet som är Microsoft Entra-hybridansluten eller Intune-kompatibel enligt ditt principfilter.

  6. Kontrollera att aktiviteter från dessa enheter fyller i loggen. I Defender for Cloud Apps, på sidan Aktivitetslogg, filtrerar du på Enhetstagg som är Hybrid Azure AD-ansluten, Intune-kompatibel eller båda, beroende på dina principfilter.

  7. Om aktiviteter inte fylls i i Defender for Cloud Apps-aktivitetsloggen går du till Microsoft Entra ID och gör följande:

    1. Under Övervaka>inloggningar kontrollerar du att det finns inloggningsaktiviteter i loggar.

    2. Välj relevant loggpost för den enhet som du loggade in på.

    3. I fönstret Information på fliken Enhetsinformation kontrollerar du att enheten är hanterad (hybrid Azure AD ansluten) eller kompatibel (Intune-kompatibel).

      Om du inte kan verifiera något av tillstånden kan du prova en annan loggpost eller se till att dina enhetsdata är korrekt konfigurerade i Microsoft Entra-ID.

    4. För villkorsstyrd åtkomst kan vissa webbläsare kräva extra konfiguration, till exempel att installera ett tillägg. Mer information finns i Webbläsarstöd för villkorsstyrd åtkomst.

    5. Om du fortfarande inte ser enhetsinformationen på inloggningssidan öppnar du ett supportärende för Microsoft Entra-ID.

Klientcertifikat frågar inte när det är förväntat

Mekanismen för enhetsidentifiering kan begära autentisering från relevanta enheter med hjälp av klientcertifikat. Du kan ladda upp ett X.509-rotcertifikat eller mellanliggande certifikatutfärdarcertifikat (CA), formaterat i PEM-certifikatformatet.

Certifikat måste innehålla certifikatutfärdares offentliga nyckel, som sedan används för att signera klientcertifikaten som visas under en session. Mer information finns i Söka efter enhetshantering utan Microsoft Entra.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga med Defender for Cloud Apps.

  3. Kontrollera att du har laddat upp ett X.509-rotcertifikat eller mellanliggande CA-certifikat. Du måste ladda upp det CA-certifikat som används för signering av din certifikatutfärdare.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med Giltigt klientcertifikat.

  5. Kontrollera att klientcertifikatet är:

    • Distribueras med filformatet PKCS #12, vanligtvis filnamnstillägget .p12 eller .pfx
    • Installerad i användararkivet, inte i enhetsarkivet, på den enhet som du använder för testning
  6. Starta om webbläsarsessionen.

  7. När du loggar in på den skyddade appen:

    • Kontrollera att du omdirigeras till följande URL-syntax: <https://*.managed.access-control.cas.ms/aad_login>
    • Om du använder iOS kontrollerar du att du använder Safari-webbläsaren.
    • Om du använder Firefox måste du också lägga till certifikatet i Firefox eget certifikatarkiv. Alla andra webbläsare använder samma standardcertifikatarkiv.
  8. Kontrollera att du uppmanas att välja klientcertifikatet i webbläsaren.

    Om den inte visas kan du prova en annan webbläsare. De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll. Men mobilappar och skrivbordsappar använder ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.

  9. Kontrollera att aktiviteter från dessa enheter fyller i loggen. I Defender for Cloud Apps går du till sidan Aktivitetslogg och lägger till ett filter för Enhetstagg som är lika med Giltigt klientcertifikat.

  10. Om du fortfarande inte ser meddelandet öppnar du ett supportärende och inkluderar följande information:

    • Information om webbläsaren eller den interna appen där du upplevde problemet
    • Operativsystemversionen, till exempel iOS/Android/Windows 10
    • Ange om prompten fungerar på Microsoft Edge-Chromium

Klientcertifikat efterfrågas vid varje inloggningstillfälle

Om klientcertifikatet dyker upp när du har öppnat en ny flik kan det bero på inställningar som är dolda i Internetalternativ. Kontrollera inställningarna i webbläsaren. Till exempel:

I Microsoft Internet Explorer:

  1. Öppna Internet Explorer och välj fliken Verktyg>Internetalternativ>Avancerat .
  2. Under Säkerhet väljer du Fråga inte efter val av klientcertifikat när det bara finns> ett certifikat Välj Tillämpa>OK.
  3. Starta om webbläsaren och kontrollera att du kan komma åt appen utan de extra uppmaningarna.

I Microsoft Edge/Edge Chromium:

  1. Öppna sökningen från aktivitetsfältet och sök efter Internetalternativ.
  2. Välj InternetAlternativ>Säkerhet>Lokal intranät>anpassad nivå.
  3. Under Diverse>Fråga inte efter val av klientcertifikat när det bara finns ett certifikat väljer du Inaktivera.
  4. Välj OK>Använd>OK.
  5. Starta om webbläsaren och kontrollera att du kan komma åt appen utan de extra uppmaningarna.

Fler överväganden för enhetsidentifiering

När du felsöker enhetsidentifiering kan du kräva återkallande av certifikat för klientcertifikat.

Certifikat som återkallas av certifikatutfärdare är inte längre betrodda. Om du väljer det här alternativet måste alla certifikat skicka CRL-protokollet. Om klientcertifikatet inte innehåller en CRL-slutpunkt kan du inte ansluta från den hanterade enheten.

Problem vid registrering av en app

Microsoft Entra ID-appar integreras automatiskt med Defender for Cloud Apps för villkorsstyrd åtkomst och sessionskontroller. Du måste registrera IdP-appar som inte kommer från Microsoft manuellt, inklusive både katalogappar och anpassade appar.

Mer information finns i:

Vanliga scenarier som kan uppstå när du registrerar en app är:

Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

När du registrerar en icke-Microsoft IdP-app till appkontrollen för villkorsstyrd åtkomst är det sista distributionssteget att låta slutanvändaren navigera till appen. Utför stegen i det här avsnittet om appen inte visas som förväntat på sidan Inställningar > Molnappar > Anslutna appar > Appar för appkontroll för villkorlig åtkomst.

Rekommenderade steg

  1. Kontrollera att din app uppfyller följande krav för appkontroll för villkorsstyrd åtkomst:

    • Kontrollera att du har en giltig Defender for Cloud Apps licens.
    • Skapa en duplicerad app.
    • Kontrollera att appen använder SAML-protokollet.
    • Kontrollera att du har registrerat appen fullständigt och att appens status är Ansluten.
  2. Se till att navigera till appen i en ny webbläsarsession med hjälp av ett nytt inkognitoläge eller genom att logga in igen.

Obs!

Entra ID appar visas bara på appkontrollappsidan för villkorsstyrd åtkomst när de har konfigurerats i minst en princip, eller om du har en princip utan någon appspecifikation och en användare har loggat in i appen.

Appstatus: Fortsätt installationen

Statusen för en app kan variera och kan omfatta Fortsätt installation, Ansluten eller Inga aktiviteter.

För appar som är anslutna via icke-Microsoft-identitetsprovidrar (IdP) visas en sida med statusen Fortsätt installation om installationen inte är klar när du öppnar appen. Slutför konfigurationen med hjälp av följande steg.

Rekommenderade steg

  1. Välj Fortsätt installationsprogrammet.

  2. Granska följande artiklar och kontrollera att du har slutfört alla steg som krävs:

    Var särskilt uppmärksam på följande steg:

    1. Se till att du skapar en ny anpassad SAML-app. Du behöver den här appen för att ändra url:er och SAML-attribut som kanske inte är tillgängliga i galleriappar.
    2. Om din identitetsprovider inte tillåter återanvändning av samma identifierare, även kallat entitets-ID eller målgrupp, ändrar du identifieraren för den ursprungliga appen.

Det går inte att konfigurera kontroller för inbyggda appar

Inbyggda appar kan identifieras heuristiskt och du kan använda åtkomstprinciper för att övervaka eller blockera dem. Använd följande steg för att konfigurera kontroller för interna appar.

Rekommenderade steg

  1. I en åtkomstprincip lägger du till ett klientappfilter och anger det lika med Mobil och skrivbord.

  2. Under Åtgärder väljer du Blockera.

  3. Du kan också anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer. Anpassa till exempel det här meddelandet till Du måste använda en webbläsare för att få åtkomst till den här appen.

  4. Testa och verifiera att kontrollen fungerar som förväntat.

Sidan Appen identifieras inte visas

Defender for Cloud Apps kan identifiera över 31 000 appar via molnappkatalogen.

Om du använder en anpassad app som har konfigurerats via Microsoft Entra SSO och som inte är en av de appar som stöds, visas sidan App is not recognized. För att lösa problemet måste du konfigurera appen med appkontrollen för villkorsstyrd åtkomst.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

  2. I banderollen väljer du Visa nya appar.

  3. Leta upp den app som du registrerar i listan över nya appar, välj + tecknet och välj sedan Lägg till.

    1. Välj om appen är en anpassad eller standardapp .
    2. Fortsätt genom guiden och kontrollera att angivna användardefinierade domäner är korrekta för den app som du konfigurerar.
  4. Kontrollera att appen visas på appkontrollappsidan för villkorsstyrd åtkomst .

Alternativet för att begära sessionskontroll visas

När du har onboardat en IdP-app som inte är från Microsoft kan du se alternativet Begär sessionskontroll. Detta beror på att endast katalogappar har inbyggda sessionskontroller. För andra appar måste du gå igenom en självregistreringsprocess.

Följ anvisningarna i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med ip-adresser som inte kommer från Microsoft.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postmeddelandet för den användare som ska registrera appen och välj sedan Spara.

  4. Gå till appen som du driftsätter. Vilken sida du ser beror på om appen känns igen. Gör något av följande beroende på vilken sida du ser:

    • Känns inte igen. Du ser sidan Appen känns inte igen där du uppmanas att konfigurera appen. Gör följande:

      1. Registrera appen för appkontroll för villkorsstyrd åtkomst.
      2. Lägg till domänerna för appen.
      3. Installera appens certifikat.
    • Känns igen. Om din app identifieras visas en registreringssida där du uppmanas att fortsätta appkonfigurationsprocessen.

      Kontrollera att appen är konfigurerad med alla domäner som krävs för att appen ska fungera korrekt och gå sedan tillbaka till appsidan.

Fler överväganden för registrering av appar

När du felsöker appar för onboarding finns det några ytterligare saker att tänka på.

  • Förstå skillnaden mellan principinställningarna för Villkorsstyrd åtkomst i Microsoft Entra: "Endast övervakning", "Blockera nedladdningar" och "Använd anpassad princip"

    I Microsoft Entra principer för villkorsstyrd åtkomst kan du konfigurera följande inbyggda Defender for Cloud Apps kontroller: Övervaka endast och Blockera nedladdningar. Dessa inställningar tillämpar och framtvingar Defender for Cloud Apps proxy-funktion för molnappar och villkor som konfigurerats i Microsoft Entra-ID.

    Om du vill ha mer komplexa principer väljer du Använd anpassad princip, vilket gör att du kan konfigurera åtkomst- och sessionsprinciper i Defender for Cloud Apps.

  • Förstå filteralternativet "Mobila enheter och datorer" i principer för åtkomst

    I Defender for Cloud Apps åtkomstprinciper gäller den resulterande åtkomstprincipen för webbläsarsessioner om inte klientappfiltret är inställt på Mobilt och skrivbord.

    Anledningen till detta är att förhindra oavsiktlig proxying av användarsessioner, vilket kan vara en biprodukt av att använda det här filtret.

Problem med att skapa åtkomst- och sessionsprinciper

Defender for Cloud Apps tillhandahåller följande konfigurerbara principer:

  • Åtkomstprinciper: Används för att övervaka eller blockera åtkomst till webbläsare, mobila appar och/eller skrivbordsappar.
  • Sessionsprinciper. Används för att övervaka, blockera och utföra specifika åtgärder för att förhindra datainfiltrering och exfiltreringsscenarier i webbläsaren.

Om du vill använda dessa principer i Defender for Cloud Apps måste du först konfigurera en princip i Microsoft Entra villkorlig åtkomst för att utöka sessionskontroller:

  1. I Microsoft Entra-principen, under Åtkomstkontroller, väljer du Session>Använd appkontroll för villkorsstyrd åtkomst.

  2. Välj en inbyggd princip (endast övervaka eller Blockera nedladdningar) eller Använd anpassad princip för att ange en avancerad princip i Defender for Cloud Apps.

  3. Välj Välj för att fortsätta.

Vanliga scenarier som kan uppstå när du konfigurerar dessa principer är:

I Principer för villkorsstyrd åtkomst kan du inte se alternativet för appkontroll för villkorsstyrd åtkomst

Om du vill dirigera sessioner till Defender for Cloud Apps måste Microsoft Entra principer för villkorsstyrd åtkomst konfigureras för att inkludera sessionskontroller för appkontroll för villkorsstyrd åtkomst.

Rekommenderade steg

Om du inte ser alternativet Appkontroll för villkorsstyrd åtkomst i principen för villkorsstyrd åtkomst kontrollerar du att du har en giltig licens för Microsoft Entra ID P1 och en giltig Defender for Cloud Apps licens.

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

När du skapar en åtkomst- eller sessionsprincip kan följande felmeddelande visas: Du har inga appar distribuerade med appkontroll för villkorlig åtkomst. Det här felet anger att appen är en icke-Microsoft IdP-app som inte har registrerats för appkontroll för villkorsstyrd åtkomst.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

  2. Om du ser meddelandet Inga appar anslutna använder du följande guider för att distribuera appar:

Om du stöter på problem när du distribuerar appen läser du Problem när du registrerar en app.

Det går inte att skapa sessionsprinciper för en app

När du har registrerat en icke-Microsoft IdP-app för appkontroll för villkorsstyrd åtkomst kan du se alternativet: Begär sessionskontroll på sidan Appkontroll för villkorsstyrd åtkomst.

Obs!

Katalogappar har färdiga sessionskontroller. För andra IdP-appar som inte kommer från Microsoft måste du gå igenom en självregistreringsprocess. Rekommenderade steg

  1. Distribuera appen till sessionsstyrning. Mer information finns i Lägg till anpassade icke-Microsoft-IdP-appar i appkontroll för villkorsstyrd åtkomst.

  2. Skapa en sessionsprincip och välj appfiltret .

  3. Kontrollera att din app nu visas i listrutan.

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

När du använder sessionskontrolltypen Kontrollfilnedladdning (med kontroll) i sessionsprinciper kan du använda inspektionsmetoden för dataklassificeringstjänsten för att söka igenom filerna i realtid och identifiera känsligt innehåll som matchar något av de kriterier som du har konfigurerat.

Om dataklassificeringstjänstens kontrollmetod inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade steg

  1. Kontrollera att sessionskontrolltypen är inställd på Kontrollera filnedladdning (med kontroll).

    Obs!

    Inspektionsmetoden för dataklassificeringstjänsten är endast tillgänglig för alternativet Hämta kontrollfil (med inspektion).

  2. Ta reda på om dataklassificeringstjänstens funktion är tillgänglig i din region:

    • Om funktionen inte är tillgänglig i din region använder du den inbyggda DLP-inspektionsmetoden .
    • Om funktionen är tillgänglig i din region men du fortfarande inte kan se inspektionsmetoden för dataklassificeringstjänsten öppnar du ett supportärende.

Det går inte att välja Åtgärd: Skydda

När du använder sessionskontrolltypen Kontrollera filnedladdning (med kontroll) kan du, förutom åtgärderna Övervaka och Blockera , ange åtgärden Skydda i sessionsprinciper. Med den här åtgärden kan du tillåta filnedladdningar med alternativet att kryptera eller tillämpa behörigheter för filen baserat på villkor, innehållsgranskning eller både och.

Om åtgärden Skydda inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade steg

  1. Om åtgärden Skydda inte är tillgänglig eller är nedtonad kontrollerar du att du har en Microsoft Purview-licens. Mer information finns i Microsoft Purview Information Protection integration.

  2. Om åtgärden Skydda är tillgänglig men inte ser lämpliga etiketter.

    1. I Defender for Cloud Apps går du till menyraden och väljer inställningsikonen >Microsoft Information Protection och kontrollerar att integreringen är aktiverad.

    2. För Office-etiketter kontrollerar du att Enhetlig etikettering är markerat i Microsoft Purview-portalen.

Diagnostisera och felsöka med verktygsfältet Admin Visa

Verktygsfältet Admin Visa finns längst ned på skärmen och innehåller verktyg som administratörsanvändare kan använda för att diagnostisera och felsöka problem med appkontroll för villkorsstyrd åtkomst.

Om du vill visa verktygsfältet Administratörsvy måste du lägga till specifika administratörsanvändarkonton i listan Registrering/underhåll av appar i inställningarna för Defender-portalen.

Så här lägger du till en användare i listan registrering/underhåll av appar:

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Rulla nedåt och under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postadressen för den administratörsanvändare som du vill lägga till.

  4. Välj alternativet Aktivera dessa användare att kringgå appkontrollen för villkorsstyrd åtkomst inifrån en proxied session och välj sedan Spara.

    Till exempel:

    Skärmbild av inställningar för registrering/underhåll av appar.

Nästa gång en av användarna i listan startar en ny session i en app som stöds där de är administratör visas verktygsfältet Admin Visa längst ned i webbläsaren.

Följande bild visar till exempel verktygsfältet Admin Visa längst ned i ett webbläsarfönster när du använder OneNote i webbläsaren:

Skärmbild av verktygsfältet Admin Visa.

I följande avsnitt beskrivs hur du använder verktygsfältet Admin Visa för att testa och felsöka.

Testläge

Som administratörsanvändare kanske du vill testa kommande korrigeringar av proxyfel innan den senaste versionen distribueras helt till alla klienter. Ge feedback om buggkorrigeringen till Microsofts supportteam för att påskynda lanseringscyklerna.

I testläge är det bara administratörsanvändarna som exponeras för ändringar som tillhandahålls i felkorrigeringarna. Det finns ingen effekt på andra användare.

  • Om du vill aktivera testläge går du till verktygsfältet Admin Visa och väljer Testläge.
  • När du är klar med testningen väljer du Sluttestläge för att återgå till de vanliga funktionerna.

Kringgå proxysession

Om du använder en icke-Edge-webbläsare och har problem med att komma åt eller läsa in ditt program kanske du vill kontrollera om problemet gäller proxyn för villkorsstyrd åtkomst genom att köra programmet utan proxyn.

Om du vill kringgå proxyn går du till verktygsfältet Admin Visa och väljer Kringgå upplevelse. Bekräfta att sessionen kringgås genom att kontrollera att URL:en inte har något suffix.

Proxyn för villkorsstyrd åtkomst används igen i nästa session.

Mer information finns i Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst och webbläsarskydd med Microsoft Edge for Business (förhandsversion).

Andra inloggningen (kallas även "andra inloggningen")

Vissa program har mer än en djuplänk för att logga in. Om du inte definierar inloggningslänkarna i appinställningarna kan användarna omdirigeras till en okänd sida när de loggar in och blockerar deras åtkomst.

Integreringen mellan IDP:er, till exempel Microsoft Entra-ID, baseras på att fånga upp en appinloggning och omdirigera den. Det innebär att webbläsarinloggningar inte kan styras direkt utan att utlösa en andra inloggning. För att utlösa en andra inloggning måste vi använda en andra inloggnings-URL specifikt för det ändamålet.

Om appen använder en nonce kan den andra inloggningen vara transparent för användarna eller så uppmanas de att logga in igen.

Om den inte är transparent för slutanvändaren lägger du till den andra inloggnings-URL:en i appinställningarna:

Gå till Inställningar > Molnappar > Anslutna appar > För villkorlig åtkomst appkontrollappar

Välj relevant app och välj sedan de tre punkterna.

Välj Redigera app\Avancerad inloggningskonfiguration.

Lägg till den andra inloggnings-URL:en enligt beskrivningen på felsidan.

Om du är säker på att appen inte använder en nonce kan du inaktivera detta genom att redigera appinställningarna enligt beskrivningen i Långsamma inloggningar.

Spela in en session

Du kanske vill hjälpa till med rotorsaksanalysen av ett problem genom att skicka en sessionsinspelning till Microsofts supporttekniker. Använd verktygsfältet Admin Visa för att spela in sessionen.

Obs!

Alla personuppgifter tas bort från inspelningarna.

Så här spelar du in en session:

  1. I verktygsfältet Admin Visa väljer du Arkivhandlingssession. När du uppmanas till det väljer du Fortsätt för att acceptera villkoren. Till exempel:

    Skärmbild av dialogrutan för sessionsinspelning av sekretesspolicyn.

  2. Logga in på din app om det behövs för att börja simulera sessionen.

  3. När du är klar med inspelningen av scenariot väljer du Stoppa inspelning i verktygsfältet Admin Visa.

Så här visar du dina inspelade sessioner:

När du är klar med inspelningen visar du de inspelade sessionerna genom att välja Sessionsinspelningar i verktygsfältet Admin Visa. En lista över inspelade sessioner från de senaste 48 timmarna visas. Till exempel:

Skärmbild av sessionsinspelningar.

Om du vill hantera dina inspelningar väljer du en fil och sedan Ta bort eller Ladda ned efter behov. Till exempel:

Skärmbild av att ladda ned eller ta bort en inspelning.

Lägga till domäner för din app

Genom att koppla rätt domäner till en app kan Defender for Cloud Apps framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från den domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Om en administratör bläddrar i en proxierad app till en okänd domän, som Defender for Cloud Apps inte anser vara en del av samma app eller någon annan app, visas meddelandet Okänd domän, där administratören uppmanas att lägga till domänen så att den skyddas nästa gång. I sådana fall behövs ingen åtgärd om administratören inte vill lägga till domänen.

Obs!

Defender for Cloud Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

Så här lägger du till domäner för din app:

  1. Öppna appen i en webbläsare med verktygsfältet Defender for Cloud Apps Admin Visa synligt på skärmen.

  2. I verktygsfältet Admin Visa väljer du Identifierade domäner.

  3. I fönstret Identifierade domäner antecknar du de domännamn som anges eller exporterar listan som en .csv fil.

    Fönstret Identifierade domäner visar en lista över alla domäner som inte är associerade med appen. Domännamnen är fullständigt kvalificerade.

  4. I Microsoft Defender XDR väljer du Inställningar>Molnappar>Anslutna appar>Appkontrollappar för villkorsstyrd åtkomst.

  5. Leta upp din app i tabellen. Välj alternativmenyn till höger och välj sedan Redigera app.

  6. I fältet Användardefinierade domäner anger du de domäner som du vill associera med den här appen.

    • Om du vill visa listan över domäner som redan har konfigurerats i appen väljer du länken Visa appdomäner .

    • När du lägger till domäner bör du överväga om du vill lägga till specifika domäner eller använda en asterisk (*****en jokertecken för att använda flera domäner samtidigt.

      Till exempel är sub1.contoso.com,sub2.contoso.com exempel på specifika domäner. Om du vill lägga till båda dessa domäner samtidigt, samt andra domäner på samma nivå, använder du *.contoso.com.

Mer information finns i Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.