Jaa

Järjestelmänvalvojan käyttäjien käyttöoikeuksien ja istunnon ohjausobjektien vianmääritys

  • Artikkeli

Tässä artikkelissa annetaan Microsoft Defender for Cloud Apps järjestelmänvalvojille ohjeita yleisiin käyttöoikeuksiin ja istunnonhallintaan liittyvien ongelmien tutkimiseen ja ratkaisemiseen järjestelmänvalvojien kokemien ongelmien mukaisesti.

Huomautus

Kaikki välityspalvelimen toimintoihin liittyvät vianmääritykset koskevat vain istuntoja, joita ei ole määritetty microsoft Edgen suojaukseen selaimessa.

Tarkista vähimmäisvaatimukset

Ennen kuin aloitat vianmäärityksen, varmista, että ympäristösi täyttää seuraavat käytön ja istunnon hallinnan yleiset vähimmäisvaatimukset.

Vaatimus Kuvaus
Käyttöoikeuspalvelu Varmista, että sinulla on kelvollinen Microsoft Defender for Cloud Apps käyttöoikeus.
Yksittäinen Sign-On (SSO) Sovellukset on määritettävä jollakin tuetuista kertakirjautumisratkaisuista:

- Microsoft Entra ID SAML 2.0:n tai OpenID Connect 2.0:n avulla
- Muu kuin Microsoft IdP käyttää SAML 2.0:aa
Selaimen tuki Istunnon ohjausobjektit ovat käytettävissä selainpohjaisissa istunnoissa seuraavien selainten uusimmissa versioissa:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edgen selainsuojauksessa on myös tiettyjä vaatimuksia, kuten työprofiililla kirjautunut käyttäjä. Lisätietoja on artikkelissa Selaimen suojausvaatimukset.
Seisokkeja Defender for Cloud Apps avulla voit määrittää oletustoiminnan, jota käytetään, jos palvelussa ilmenee häiriöitä, kuten se, että osa ei toimi oikein.

Jos esimerkiksi normaaleja käytäntöohjausobjekteja ei voida pakottaa, voit kovettua (estää) tai ohittaa (sallia) käyttäjiä ryhtymästä toimiin mahdollisesti arkaluontoisessa sisällössä.

Jos haluat määrittää oletustoiminnan järjestelmän käyttökatkon aikana, siirry Microsoft Defender XDR kohtaan Asetukset>Ehdollisen käyttöoikeuden sovelluksen ohjausobjektin>oletustoiminta>Salli tai Estä käyttö.

Selaimen suojausvaatimukset

Jos käytät selaimensisisäistä suojausta Microsoft Edgen kanssa ja käytät edelleen käänteistä välityspalvelinta, varmista, että täytät seuraavat lisävaatimukset:

  • Ominaisuus on käytössä Defender XDR asetuksissa. Lisätietoja on artikkelissa Selaimen suojausasetusten määrittäminen.

  • Microsoft Edge for Business tukevat kaikkia käytäntöjä, joita käyttäjä koskee. Jos käyttäjälle annetaan toinen käytäntö, jota Microsoft Edge for Business ei tue, hän saa aina käänteisen välityspalvelimen. Lisätietoja on artikkelissa Selaimen suojausvaatimukset.

  • Käytössäsi on tuettu ympäristö, joka sisältää tuetun käyttöjärjestelmän, käyttäjätietoympäristön ja Edge-version. Lisätietoja on artikkelissa Selaimen suojausvaatimukset.

Tietoja järjestelmänvalvojien vianmäärityksestä

Seuraavan taulukon avulla voit etsiä ongelman, jota yrität tehdä vianmäärityksessä:

Ongelman tyyppi Kysymyksiä
Verkko-ehto-ongelmat Verkkovirheitä siirryttäessä selainsivulle

Hitaat kirjautumiset

Muita huomioon otettavia seikkoja verkko-olosuhteissa
Laitteen tunnistusongelmat Väärin tunnistetut Intune yhteensopivia tai Microsoft Entra yhdistelmäliitetyissä laitteissa

Asiakasvarmenteita ei kehoteta tarvittaessa

Asiakasvarmenteita ei kehoteta tarvittaessa
Asiakasvarmenteet saavat kehotteen jokaisen sisäänkirjautumisen yhteydessä

Lisää huomioitavia seikkoja laitteen tunnistamisessa
Ongelmia sovelluksen käyttöönotossa Sovellus ei näy ehdollisten käyttöoikeuksien sovellusten hallintasovellusten sivulla

Sovelluksen tila: Jatka asennustaEi voi määrittää ohjausobjekteja alkuperäisille sovelluksille

Pyyntöistunnon hallinta -vaihtoehto tulee näkyviin
Ongelmia luotaessa käyttöoikeus- ja istuntokäytäntöjä Ehdollisten käyttöoikeuksien käytännöissä et näe ehdollisen käyttöoikeuden sovelluksen hallintavaihtoehtoa

Virhesanoma käytäntöä luotaessa: Sinulla ei ole sovelluksia, jotka olisi otettu käyttöön ehdollisen käyttöoikeuden sovellusohjausobjektilla

Istuntokäytäntöjä ei voi luoda sovellukselle

Tarkastusmenetelmää ei voi valita: Tietojen luokituspalvelu

Toimintoa ei voi valita: Suojaa

Lisää huomioon otettavia seikkoja sovellusten perehdyttämiseen
Hallinta Näytä -työkalurivin vianmääritys ja vianmääritys Ohita välityspalvelinistunto

Istunnon tallentaminen

Toimialueiden lisääminen sovellukseen

Verkko-ehto-ongelmat

Yleisiä verkko-ongelmia, joita saattaa ilmetä:

Verkkovirheitä siirryttäessä selainsivulle

Kun määrität sovelluksen Defender for Cloud Apps käyttöä ja istunnon hallintaa ensimmäistä kertaa, yleisiä verkkovirheitä voi ilmetä: Tämä sivusto ei ole suojattu eikä Internet-yhteyttä ole. Nämä sanomat voivat ilmaista yleisen verkkomääritysvirheen.

Suositellut vaiheet

  1. Määritä palomuuri toimimaan Defender for Cloud Apps kanssa käyttämällä ympäristöösi liittyviä Azuren IP-osoitteita ja DNS-nimiä.

    1. Lisää lähtevä portti 443 seuraaville IP-osoitteille ja DNS-nimille Defender for Cloud Apps palvelinkeskuksellesi.
    2. Käynnistä laite ja selainistunto uudelleen
    3. Varmista, että sisäänkirjautuminen toimii odotetulla tavalla

  2. Ota TLS 1.2 käyttöön selaimen Internet-asetuksissa. Esimerkki:

    Selain Ohjeet
    Microsoft Internet Explorer 1. Avaa Internet Explorer
    2. Valitse Työkalut>Internet-asetukset>Etukäteen-välilehti
    3. Valitse Suojaus-kohdastaTLS 1.2
    4. Valitse Käytä ja valitse sitten OK
    5. Käynnistä selain uudelleen ja varmista, että voit käyttää sovellusta
    Microsoft Edge / Edge Chromium 1. Avaa haku tehtäväpalkista ja etsi hakusanalla "Internet-asetukset"
    2. Valitse Internet-asetukset
    3. Valitse Suojaus-kohdastaTLS 1.2
    4. Valitse Käytä ja valitse sitten OK
    5. Käynnistä selain uudelleen ja varmista, että voit käyttää sovellusta
    Google Chrome 1. Avaa Google Chrome
    2. Valitse oikeasta yläkulmasta Enemmän (3 pystysuuntaista pistettä) >Asetukset
    3. Valitse alareunasta Lisäasetukset
    4. Valitse Järjestelmä-kohdassaAvaa välityspalvelimen asetukset
    5. Valitse Lisäasetukset-välilehdenSuojaus-kohdastaTLS 1.2
    6. Valitse OK
    7. Käynnistä selain uudelleen ja varmista, että pystyt käyttämään sovellusta
    Mozilla Firefox 1. Avaa Mozilla Firefox
    2. Etsi osoiterivillä hakusanalla about:config
    3. Etsi hakuruudusta "TLS"
    4. Kaksoisnapsauta security.tls.version.min merkintää
    5. Aseta kokonaislukuarvoksi 3, jotta TLS 1.2 pakotetaan vähimmäisversioksi
    6. Valitse Tallenna (valintamerkki arvoruudun oikealla puolella)
    7. Käynnistä selain uudelleen ja varmista, että pystyt käyttämään sovellusta
    Safari Jos käytät Vähintään Safari-versiota 7, TLS 1.2 on automaattisesti käytössä

Defender for Cloud Apps käyttää TLS (Transport Layer Security) -protokollia 1.2+ luokan parhaan salauksen tarjoamiseen:

  • Alkuperäiset asiakassovellukset ja selaimet, jotka eivät tue TLS 1.2+:a, eivät ole käytettävissä, kun ne on määritetty istunnon hallinnan avulla.
  • SaaS-sovellukset, jotka käyttävät TLS 1.1:tä tai pienempää, näkyvät selaimessa TLS 1.2+:n muodossa, kun ne on määritetty Defender for Cloud Apps.

Vihje

Vaikka istunnon ohjausobjektit on rakennettu toimimaan minkä tahansa käyttöjärjestelmän kaikkien tärkeimpien käyttöympäristöjen selaimen kanssa, tuemme Microsoft Edgen, Google Chromen, Mozilla Firefoxin tai Apple Safarin uusimpia versioita. Haluat ehkä estää tai sallia erityisesti mobiili- tai työpöytäsovellusten käytön.

Hitaat kirjautumiset

Välityspalvelimen ketjutus ja nonce-käsittely ovat yleisiä ongelmia, jotka voivat hidastaa kirjautumisen suorituskykyä.

Suositellut vaiheet

Määritä ympäristösi poistamaan kaikki tekijät, jotka saattavat aiheuttaa hitautta sisäänkirjautumisen aikana. Sinulla voi olla esimerkiksi määritettynä palomuurit tai välityspalvelimen ketjutus edelleen, joka yhdistää vähintään kaksi välityspalvelinta siirtyäkseen aiotulle sivulle. Sinulla voi olla myös muita ulkoisia tekijöitä, jotka vaikuttavat hitauteen.

  1. Määritä, tapahtuuko välityspalvelimen ketjutus ympäristössäsi.
  2. Poista kaikki välitysvälityspaikat mahdollisuuksien mukaan.

Jotkin sovellukset käyttävät nonce-hajautusarvoa todennuksen aikana estääkseen uudelleen toistamisen hyökkäykset. oletusarvoisesti Defender for Cloud Apps olettaa, että sovellus käyttää nonce-esiintymää. Jos käyttämäsi sovellus ei käytä nonce-esiintymää, poista nonce-käsittely käytöstä tässä sovelluksessa Defender for Cloud Apps:

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset.
  2. Valitse Yhdistetyt sovellukset -kohdassa Ehdollisen käytön sovellusten hallintasovellukset.
  3. Valitse sovellusluettelosta riviltä, jolla sovellus määritetään, kolme pistettä rivin lopusta ja valitse sitten sovellukselle Muokkaa .
  4. Laajenna osio valitsemalla Nonce-handling ja tyhjennä sitten Ota esiin nonce-käsittely.
  5. Kirjaudu ulos sovelluksesta ja sulje kaikki selainistunnot.
  6. Käynnistä selain uudelleen ja kirjaudu sovellukseen uudelleen. Varmista, että sisäänkirjautuminen toimii odotetulla tavalla.

Muita huomioon otettavia seikkoja verkko-olosuhteissa

Verkko-ehtojen vianmäärityksen aikana ota huomioon myös seuraavat Defender for Cloud Apps välityspalvelinta koskevat huomautukset:

  • Varmista, reititetäänkö istunto toiseen palvelinkeskukseen: Defender for Cloud Apps käyttää Azuren palvelinkeskuksia ympäri maailmaa suorituskyvyn optimoimiseen maantieteellisen sijainnin avulla.

    Tämä tarkoittaa sitä, että käyttäjän istuntoa voidaan isännöidä alueen ulkopuolella liikennekuvioiden ja niiden sijainnin mukaan. Tietosuojasi turvaamiseksi istuntotietoja ei kuitenkaan tallenneta näihin palvelinkeskuksiin.

  • Välityspalvelimen suorituskyky: Suorituskyvyn perusaikataulun määrittäminen riippuu useista Defender for Cloud Apps välityspalvelimen ulkopuolisista tekijöistä, kuten:

    • Mitkä muut välityspalvelimet tai yhdyskäytävät istuvat sarjassa tämän välityspalvelimen kanssa
    • Mistä käyttäjä tulee
    • Kohderesurssin sijainti
    • Sivulla olevat tietyt pyynnöt

    Yleensä mikä tahansa välityspalvelin lisää viivettä. Defender for Cloud Apps välityspalvelimen edut ovat seuraavat:

    • Azure-toimialueen ohjauskoneiden yleisen käytettävyyden käyttäminen käyttäjien geopaikantamiseen lähimpään solmuun ja edestakaisen etäisyyden pienentämiseen. Azure-toimialueen ohjauskoneet voivat maantieteellisesti sijoittaa sijaintia sellaisessa mittakaavassa, jota vain harvoilla palveluilla ympäri maailmaa on.

    • Käyttämällä integrointia Microsoft Entra ehdollisen käyttöoikeuden kanssa voit reitittää vain istunnot, jotka haluat välityspalvelimeen, palveluumme kaikkien käyttäjien sijaan kaikissa tilanteissa.

Laitteen tunnistusongelmat

Defender for Cloud Apps tarjoaa seuraavat vaihtoehdot laitteen hallintatilan tunnistamiseen.

  • Microsoft Intune yhteensopivuus
  • Yhdistelmäkäyttöinen Microsoft Entra liitetty toimialue
  • Asiakasvarmenteet

Lisätietoja on artikkelissa Käyttäjätietojen hallitsemista laitteissa, joissa on Ehdollinen käyttö -sovelluksen hallinta.

Yleisiä laitteen tunnistusongelmia, joita saattaa ilmetä:

Väärin tunnistetut Intune yhteensopivia tai Microsoft Entra yhdistelmäliitetyissä laitteissa

Microsoft Entra Ehdollinen käyttö mahdollistaa Intune-yhteensopivien ja Microsoft Entra yhdistelmäliittämän laitetietojen välittämisen suoraan Defender for Cloud Apps. Käytä Defender for Cloud Apps laitteen tilaa käyttö- tai istuntokäytäntöjen suodattimena.

Lisätietoja on artikkelissa Johdanto laitehallintaan Microsoft Entra ID.

Suositellut vaiheet

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset.

  2. Valitse Ehdollisten käyttöoikeuksien sovellusten hallinta -kohdassa Laitetunnus. Tällä sivulla näkyvät Defender for Cloud Apps käytettävissä olevat laitteen tunnistusasetukset.

  3. Jos haluat Intune yhteensopivan laitetunnistuksen ja Microsoft Entra yhdistelmäliitoksen tunnistetiedot, valitse Näytä määritykset ja varmista, että palvelut on määritetty. Palvelut synkronoidaan automaattisesti Microsoft Entra ID ja Intune.

  4. Luo käyttöoikeus- tai istuntokäytäntö, jonka Device Tag -suodatin vastaa hybrid-Azure AD liitetty, Intune yhteensopiva tai molemmat.

  5. Kirjaudu selaimessa laitteeseen, joka on Microsoft Entra yhdistelmäliittämäsi tai Intune yhteensopiva käytäntösuodattimen perusteella.

  6. Varmista, että näiden laitteiden toiminnot täyttävät lokin. Defender for Cloud Apps Aktiivisuusloki-sivullavoit suodattaaLaitetunnisteen arvoksi Yhdistelmä Azure AD liitetty, Intune yhteensopiva tai molemmat käytäntösuodattimien perusteella.

  7. Jos toimintoja ei täytetä Defender for Cloud Apps toimintolokissa, siirry Microsoft Entra ID ja toimi seuraavasti:

    1. TarkistaKirjautumistenvalvonta> -kohdasta, että lokeissa on kirjautumistoimintoja.

    2. Valitse haluamasi lokimerkintä laitteelle, jossa kirjauduit sisään.

    3. Tarkista Tiedot-ruudunLaitetiedot-välilehdessä, että laite on hallittu (yhdistelmä Azure AD liitetty) tai yhteensopiva (Intune yhteensopiva).

      Jos et pysty tarkistamaan kumpaakaan tilaa, kokeile toista lokimerkintää tai varmista, että laitteen tiedot on määritetty oikein Microsoft Entra ID.

    4. Ehdollista käyttöä varten jotkin selaimet saattavat vaatia lisämäärityksiä, kuten laajennuksen asentamista. Lisätietoja on artikkelissa Ehdollisen käytön selaimen tuki.

    5. Jos et edelleenkään näe laitteen tietoja Kirjautumiset-sivulla, avaa tukipyyntö Microsoft Entra ID.

Asiakasvarmenteita ei kehoteta tarvittaessa

Laitteen tunnistusmekanismi voi pyytää todentamista asiaankuuluvilta laitteilta asiakasvarmenteiden avulla. Voit ladata palvelimeen X.509-pää- tai välivarmenteiden myöntäjän (CA) varmenteen, joka on muotoiltu PEM-varmennemuodossa.

Varmenteissa on oltava varmenteiden myöntäjän julkinen avain, jota käytetään istunnon aikana esitettyjen asiakasvarmenteiden allekirjoittamiseen. Lisätietoja on kohdassa Laitteiden hallinnan tarkistaminen ilman Microsoft Entra.

Suositellut vaiheet

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset.

  2. Valitse Ehdollisten käyttöoikeuksien sovellusten hallinta -kohdassa Laitetunnus. Tällä sivulla näkyvät laitteen tunnistusasetukset, jotka ovat käytettävissä Defender for Cloud Apps kanssa.

  3. Varmista, että latasit X.509-päävarmenteen tai keskitason varmenteiden myöntäjän varmenteen. Sinun on ladattava varmenteiden myöntäjän varmenne, jota käytetään varmenteiden myöntäjän allekirjoittamiseen.

  4. Luo käyttöoikeus- tai istuntokäytäntö, jonka Laitetunniste-suodatin vastaa kelvollista asiakasvarmennetta.

  5. Varmista, että asiakasvarmenne on:

    • Otettu käyttöön pkcs #12 -tiedostomuodossa, yleensä .p12- tai .pfx-tiedostotunnisteessa
    • Asennettuna testaukseen käyttämäsi laitteen käyttäjäsäilöön, ei laitesäilöön

  6. Käynnistä selainistunto uudelleen.

  7. Kun kirjaudut sisään suojattuun sovellukseen:

    • Varmista, että sinut on uudelleenohjattu seuraavaan URL-syntaksiin: <https://*.managed.access-control.cas.ms/aad_login>
    • Jos käytössäsi on iOS, varmista, että käytät Safari-selainta.
    • Jos käytät Firefoxia, sinun on lisättävä varmenne myös Firefoxin omaan varmennesäilöön. Kaikki muut selaimet käyttävät samaa oletusvarmennesäilöä.

  8. Varmista, että asiakasvarmenne pyydetään selaimessasi.

    Jos sitä ei näy, kokeile toista selainta. Useimmat selaimet tukevat asiakasvarmenteen tarkistusta. Mobiili- ja työpöytäsovellukset käyttävät kuitenkin usein sisäisiä selaimia, jotka eivät ehkä tue tätä tarkistusta ja vaikuttavat näin ollen näiden sovellusten todentamiseen.

  9. Varmista, että näiden laitteiden toiminnot täyttävät lokin. Lisää Defender for Cloud Apps Toimintoloki-sivullalaitetunnisteeseensuodatin, joka vastaa kelvollista asiakasvarmennetta.

  10. Jos et edelleenkään näe kehotetta, avaa tukipyyntö ja sisällytä seuraavat tiedot:

    • Sen selaimen tai alkuperäisen sovelluksen tiedot, jossa ongelma ilmeni
    • Käyttöjärjestelmän versio, kuten iOS/Android/Windows 10
    • Mainitse, toimiiko kehote Microsoft Edge Chromium

Asiakasvarmenteet saavat kehotteen jokaisen sisäänkirjautumisen yhteydessä

Jos asiakasvarmenne tulee näkyviin uuden välilehden avaamisen jälkeen, tämä saattaa johtua Internet-asetuksissa piilotetuista asetuksista. Tarkista selaimen asetukset. Esimerkki:

Microsoft Internet Explorerissa:

  1. Avaa Internet Explorer ja valitse Työkalut>Internet-asetukset>Lisäasetukset-välilehti .
  2. Valitse Suojaus-kohdassaÄlä kysy asiakasvarmenteen valintaa, kun vain yksi varmenne on olemassa> Valitse Käytä>OK.
  3. Käynnistä selain uudelleen ja varmista, että voit käyttää sovellusta ilman lisäkehotteita.

Microsoft Edgessä / Edgessä Chromium:

  1. Avaa haku tehtäväpalkista ja etsi Internet-asetukset.
  2. Valitse Internet-asetusten>paikallisen>intranetin>mukautettu suojaustaso.
  3. Valitse Sekalaiset>Älä kysy asiakasvarmenteen valinnasta, kun vain yksi varmenne on olemassa, ja valitse Poista käytöstä.
  4. Valitse OK>Käytä>OK.
  5. Käynnistä selain uudelleen ja varmista, että voit käyttää sovellusta ilman lisäkehotteita.

Lisää huomioitavia seikkoja laitteen tunnistamisessa

Laitetunnuksen vianmäärityksen aikana voit vaatia asiakasvarmenteiden kumousta.

Varmenteet, jotka varmenteiden myöntäjä on kumonnut, eivät ole enää luotettuja. Tämän asetuksen valitseminen edellyttää, että kaikki varmenteet läpäisevät kumouksen kumousprotokollan. Jos asiakasvarmenne ei sisällä crl-päätepistettä, et voi muodostaa yhteyttä hallitusta laitteesta.

Ongelmia sovelluksen käyttöönotossa

Microsoft Entra ID sovellukset lisätään automaattisesti ehdollisten käyttöoikeuksien ja istunnon ohjausobjektien Defender for Cloud Apps. Sinun on otettava manuaalisesti käyttöön muut kuin Microsoft IdP -sovellukset, mukaan lukien sekä luettelosovellukset että mukautetut sovellukset.

Lisätietoja on seuraavissa artikkeleissa:

Yleisiä skenaarioita, joita saatat kohdata sovelluksen käyttöönoton aikana, ovat seuraavat:

Sovellus ei näy ehdollisten käyttöoikeuksien sovellusten hallintasovellusten sivulla

Kun perehdytät muun kuin Microsoft IdP -sovelluksen ehdollisen käytön sovellusten hallintaan, lopullisena käyttöönottovaiheena on, että loppukäyttäjä siirtyy sovellukseen. Toimi tämän osion ohjeiden mukaisesti, jos sovellus ei näy odotetulla Asetukset > Pilvisovellukset > Yhdistetyt sovellukset > Ehdollisen käytön sovelluksen hallinta -sivussa .

Suositellut vaiheet

  1. Varmista, että sovelluksesi täyttää seuraavat ehdollisten käyttöoikeuksien sovellusten valvonnan edellytykset:

    • Varmista, että sinulla on kelvollinen Defender for Cloud Apps käyttöoikeus.
    • Luo sovelluksen kaksoiskappale.
    • Varmista, että sovellus käyttää SAML-protokollaa.
    • Varmista, että olet täysin perehdyttänyt sovelluksen ja että sovelluksen tila on Yhdistetty.

  2. Varmista, että siirryt sovellukseen uudessa selainistunnossa käyttämällä uutta incognito-tilaa tai kirjautumalla uudelleen sisään.

Huomautus

Entra ID -sovellukset näkyvät ehdollisten käyttöoikeuksien sovellusten hallintasovellusten sivulla vain sen jälkeen, kun ne on määritetty vähintään yhdessä käytännössä tai jos sinulla on käytäntö ilman sovellusmäärityksiä ja käyttäjä on kirjautunut sovellukseen.

Sovelluksen tila: Jatka asennusta

Sovelluksen tila voi vaihdella, ja siihen voi kuulua Jatka asennusta, Yhdistetty tai Ei toimintoja.

Jos sovellukset on yhdistetty muiden kuin Microsoftin tunnistetietopalveluiden (IdP) kautta, jos asennus ei ole valmis, näet sovellusta käytettäessä sivun, jonka tila on Jatka asennusta. Viimeistele asennus seuraavien vaiheiden avulla.

Suositellut vaiheet

  1. Valitse Jatka asennusta.

  2. Tarkista seuraavat artikkelit ja varmista, että olet suorittanut kaikki tarvittavat vaiheet:

    Kiinnitä erityistä huomiota seuraaviin vaiheisiin:

    1. Varmista, että luot uuden mukautetun SAML-sovelluksen. Tämän sovelluksen on muutettava URL-osoitteita ja SAML-määritteitä, jotka eivät ehkä ole käytettävissä valikoimasovelluksissa.
    2. Jos tunnistetietopalvelusi ei salli saman tunnisteen, kuten entiteetin tunnuksen tai käyttäjäryhmän, uudelleenkäyttöä, muuta alkuperäisen sovelluksen tunnistetta.

Sisäisille sovelluksille ei voi määrittää ohjausobjekteja

Sisäiset sovellukset voidaan havaita heuristisesti, ja voit käyttää käyttöoikeuskäytäntöjä niiden valvontaan tai estämiseen. Seuraavien vaiheiden avulla voit määrittää ohjausobjektit alkuperäisille sovelluksille.

Suositellut vaiheet

  1. Lisää käyttöoikeuskäytäntöönAsiakassovellus-suodatin ja määritä sen arvoksi Mobiili ja työpöytä.

  2. Valitse Toiminnot-kohdastaEstä.

  3. Vaihtoehtoisesti voit mukauttaa estävää sanomaa, jonka käyttäjät saavat, kun he eivät voi ladata tiedostoja. Voit esimerkiksi mukauttaa tämän sanoman niin, että sinun on käytettävä tätä sovellusta verkkoselaimella.

  4. Testaa ja vahvista, että ohjausobjekti toimii odotetulla tavalla.

Sovellusta ei tunnisteta -sivu tulee näkyviin

Defender for Cloud Apps tunnistavat pilvisovellusluettelon kautta yli 31 000 sovellusta.

Jos käytät mukautettua sovellusta, joka on määritetty Microsoft Entra kertakirjautumisen kautta ja joka ei ole yksi tuetuista sovelluksista, kohtaat sovelluksen, jota ei tunnisteta sivulla. Voit ratkaista ongelman määrittämällä sovellukselle ehdollisten käyttöoikeuksien sovelluksen hallinnan.

Suositellut vaiheet

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset. Valitse Yhdistetyt sovellukset -kohdassa Ehdollisen käytön sovellusten hallintasovellukset.

  2. Valitse bannerissa Näytä uudet sovellukset.

  3. Etsi uusien sovellusten luettelosta sovellus, jota olet perehdyttämässä, valitse + merkki ja valitse sitten Lisää.

    1. Valitse, onko sovellus mukautettu vai vakiosovellus .
    2. Jatka ohjatun toiminnon avulla varmista, että määritetyt käyttäjän määrittämät toimialueet ovat oikeat määritettävälle sovellukselle.

  4. Varmista, että sovellus näkyy Ehdollinen käyttö -sovelluksen hallintasovellusten sivulla.

Pyyntöistunnon hallinta -vaihtoehto tulee näkyviin

Kun olet perehdyttämässä muun kuin Microsoft IdP -sovelluksen, voit nähdä Pyydä istuntoa -asetuksen . Näin tapahtuu, koska vain luettelosovelluksissa on valmiita istunnon ohjausobjekteja. Sinun on käytävä läpi itse perehdytysprosessi kaikille muille sovelluksille.

Noudata ohjeita kohdassa Ehdollisten käyttöoikeuksien sovelluksen hallinta mukautetuissa sovelluksissa, jotka eivät ole Microsoft IDP:tä.

Suositellut vaiheet

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset.

  2. Valitse Ehdollisten käyttöoikeuksien sovellusten hallinta -kohdassa Sovelluksen perehdytys/ylläpito.

  3. Anna sen käyttäjän päänimi tai sähköpostiosoite, joka ottaa sovelluksen käyttöön, ja valitse sitten Tallenna.

  4. Siirry sovellukseen, jota olet ottamassa käyttöön. Näkemäsi sivu riippuu siitä, tunnistetaanko sovellus. Tee jokin seuraavista näkemästäsi sivusta riippuen:

    • Ei tunnistettu. Näkyviin tulee sovellus, jota ei tunnistettu ja joka kehottaa määrittämään sovelluksesi. Toimi seuraavasti:

      1. Perehdytä ehdollisten käyttöoikeuksien sovelluksen hallintasovellus.
      2. Lisää sovelluksen toimialueet.
      3. Asenna sovelluksen varmenteet.

    • Tunnistetaan. Jos sovelluksesi tunnistetaan, näet perehdytyssivun, jossa sinua kehotetaan jatkamaan sovelluksen määritysprosessia.

      Varmista, että sovellukselle on määritetty kaikki toimialueet, joita sovellus tarvitsee toimiakseen oikein, ja palaa sitten sovelluksen sivulle.

Lisää huomioon otettavia seikkoja sovellusten perehdyttämiseen

Perehdyttämissovellusten vianmäärityksessä on huomioitava joitakin lisäasioita.

  • Ymmärrät erot Microsoft Entra ehdollisten käyttöoikeuksien käytäntöasetusten välillä: "Vain valvonta", "Lataamisen estäminen" ja "Käytä mukautettua käytäntöä"

    Ehdollisten käyttöoikeuksien käytännöissä Microsoft Entra voit määrittää seuraavat sisäiset Defender for Cloud Apps ohjausobjektit: Vain valvonta ja Latausten estäminen. Nämä asetukset soveltavat Defender for Cloud Apps-välityspalvelinominaisuutta pilvisovelluksille ja Microsoft Entra ID määritetyille ehdoille.

    Jos haluat monimutkaisempia käytäntöjä, valitse Käytä mukautettua käytäntöä, jonka avulla voit määrittää käyttöoikeus- ja istuntokäytännöt Defender for Cloud Apps.

  • Mobiili- ja työpöytäsovellusten suodatusasetuksen ymmärtäminen käyttöoikeuskäytännöissä

    Jos Defender for Cloud Apps käyttöoikeuskäytännöissä, ellei Asiakassovellus-suodattimen arvoksi ole määritetty Mobiili ja työpöytä, käyttöoikeuskäytäntö koskee selainistuntoja.

    Tämä johtuu siitä, että vältetään käyttäjäistuntojen välityspalvelin, joka voi olla tämän suodattimen käytön sivutuote.

Ongelmia luotaessa käyttöoikeus- ja istuntokäytäntöjä

Defender for Cloud Apps sisältää seuraavat määritettävät käytännöt:

  • Käyttöoikeuskäytännöt: Tämän avulla valvotaan tai estetään selain-, mobiili- ja/tai työpöytäsovellusten käyttöä.
  • Istuntokäytännöt. Käytetään valvomaan, estämään ja suorittamaan tiettyjä toimintoja tietojen soluttautumisen ja suodatusskenaarioiden estämiseksi selaimessa.

Jotta voit käyttää näitä käytäntöjä Defender for Cloud Apps, sinun on ensin määritettävä käytäntö Microsoft Entra Ehdollinen käyttöoikeus istuntojen ohjausobjektien laajentamiseksi:

  1. Valitse Microsoft Entra käytännön Käyttöoikeuksien hallinta -kohdassa Istunto>Käytä ehdollisten käyttöoikeuksien sovellusten hallintaa.

  2. Valitse sisäinen käytäntö (vain valvonta tai latausten estäminen) tai Määritä mukautettu käytäntö Defender for Cloud Apps käyttämällä mukautettua käytäntöä.

  3. Jatka valitsemalla Valitse .

Yleisiä tilanteita, joita saatat kohdata näitä käytäntöjä määritettäessä, ovat seuraavat:

Ehdollisten käyttöoikeuksien käytännöissä et näe ehdollisen käyttöoikeuden sovelluksen hallintavaihtoehtoa

Jotta istuntoja voidaan reitittää Defender for Cloud Apps, Microsoft Entra ehdolliset käyttöoikeuskäytännöt on määritettävä sisältämään ehdollisen käyttöoikeuden sovelluksen valvontaistunnon ohjausobjektit.

Suositellut vaiheet

Jos ehdollisten käyttöoikeuksien sovellusohjausobjekti ei näy ehdollisten käyttöoikeuksien käytännössä, varmista, että sinulla on kelvollinen Microsoft Entra ID P1 -käyttöoikeus ja kelvollinen Defender for Cloud Apps-käyttöoikeus.

Virhesanoma käytäntöä luotaessa: Sinulla ei ole sovelluksia, jotka olisi otettu käyttöön ehdollisen käyttöoikeuden sovellusohjausobjektilla

Kun luot käyttöoikeus- tai istuntokäytäntöä, saatat saada seuraavan virhesanoman: Sinulla ei ole sovelluksia, jotka olisi otettu käyttöön ehdollisen käyttöoikeuden sovelluksen hallinnalla. Tämä virhe ilmaisee, että sovellus on muu kuin Microsoft IdP -sovellus, jota ei ole otettu käyttöön ehdollisten käyttöoikeuksien sovellusten hallinnassa.

Suositellut vaiheet

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset. Valitse Yhdistetyt sovellukset -kohdassa Ehdollisen käytön sovellusten hallintasovellukset.

  2. Jos näyttöön tulee viesti Ei yhdistettyjä sovelluksia, ota sovellukset käyttöön seuraavien ohjeiden avulla:

Jos kohtaat ongelmia sovelluksen käyttöönoton aikana, katso Kohtaa Ongelmia sovelluksen käyttöönotossa.

Istuntokäytäntöjä ei voi luoda sovellukselle

Kun olet perehdyttäneet ehdollisten käyttöoikeuksien sovellusten hallinnan muun kuin Microsoft IdP -sovelluksen, voit nähdä Ehdollisten käyttöoikeuksien sovellusten hallinta - sivulla asetuksen Pyydä istunnon hallintaa.

Huomautus

Luettelosovelluksissa on valmiita istunnon ohjausobjekteja. Muiden kuin Microsoft IdP -sovellusten kohdalla sinun on suoritettava itse perehdytysprosessi. Suositellut vaiheet

  1. Ota sovelluksesi käyttöön istunnon hallintaan. Lisätietoja on artikkelissa Muiden kuin Microsoft IdP:n mukautettujen sovellusten käyttöönotto ehdollisten käyttöoikeuksien sovellusten hallinnassa.

  2. Luo istuntokäytäntö ja valitse sovellussuodatin .

  3. Varmista, että sovelluksesi näkyy nyt avattavassa luettelossa.

Tarkastusmenetelmää ei voi valita: Tietojen luokituspalvelu

Kun käytät istuntokäytännöissä Control File Download (with inspection) -istunnon ohjausobjektityyppiä, voit käyttää tietojen luokituspalvelun tarkastusmenetelmää tiedostojen reaaliaikaisen skannaamiseen ja havaitsemaan arkaluontoista sisältöä, joka vastaa mitä tahansa määrittämistäsi ehdoista.

Jos tietojen luokittelupalvelun tarkastusmenetelmä ei ole käytettävissä, tutki ongelma seuraavien ohjeiden avulla.

Suositellut vaiheet

  1. Varmista, että istunnon ohjausobjektin tyypiksi on määritetty Ohjausobjektitiedoston lataaminen (tarkastuksissa).

    Huomautus

    Tietojen luokituspalvelun tarkastusmenetelmä on käytettävissä vain Ohjausobjektitiedoston lataaminen (tarkastus kanssa) -vaihtoehtona.

  2. Määritä, onko tietojen luokituspalvelu ominaisuus käytettävissä alueellasi:

    • Jos ominaisuus ei ole käytettävissä alueellasi, käytä sisäistä DLP-tarkastusmenetelmää .
    • Jos ominaisuus on käytettävissä alueellasi, mutta et vieläkään näe Tietojen luokituspalvelun tarkastus -menetelmää, avaa tukipyyntö.

Toimintoa ei voi valita: Suojaa

Kun käytät istuntokäytännöissä Control File Download (with inspection) -istunnon ohjausobjektityyppiä Monitor - ja Block-toimintojen lisäksi, voit määrittää Suojaa-toiminnon . Tämän toiminnon avulla voit sallia tiedostojen lataamisen ja mahdollisuuden salata tai käyttää tiedoston käyttöoikeuksia ehtojen, sisällön tarkastuksen tai molempien perusteella.

Jos Suojaa-toiminto ei ole käytettävissä, tutki ongelma seuraavien ohjeiden avulla.

Suositellut vaiheet

  1. Jos Suojaa-toiminto ei ole käytettävissä tai se näkyy harmaana, varmista, että sinulla on Microsoft Purview -käyttöoikeus. Lisätietoja on kohdassa Microsoft Purview Information Protection integrointi.

  2. Jos Suojaa-toiminto on käytettävissä, mutta et näe asianmukaisia tunnisteita.

    1. Valitse Defender for Cloud Apps valikkorivillä asetuskuvake >Microsoft Information Protection ja varmista, että integrointi on käytössä.

    2. Varmista , että Office-tunnisteet on valittu Microsoft Purview -portaalissa.

Hallinta Näytä -työkalurivin vianmääritys ja vianmääritys

näytön alareunassa oleva Hallinta Näytä-työkalurivi tarjoaa järjestelmänvalvojan käyttäjille työkaluja, joilla he voivat diagnosoida ja tehdä vianmäärityksen ehdollisten käyttöoikeuksien sovellusten hallinnassa.

Jos haluat tarkastella Hallinta Näytä-työkaluriviä, sinun on varmistettava, että lisäät tietyt järjestelmänvalvojan käyttäjätilit sovelluksen käyttöönotto- ja ylläpitoluetteloon Microsoft Defender XDR asetuksissa.

Käyttäjän lisääminen sovelluksen perehdytys- ja ylläpitoluetteloon:

  1. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset.

  2. Vieritä alaspäin ja valitse Ehdollisten käyttöoikeuksien sovellusten hallinta -kohdasta Sovelluksen perehdytys/ylläpito.

  3. Anna lisättävän järjestelmänvalvojakäyttäjän päänimi tai sähköpostiosoite.

  4. Valitse Ota nämä käyttäjät käyttöön ohittaaksesi ehdollisen käyttöoikeuden sovellusohjausobjektin sovelluskäyttöistunnon sisällä -vaihtoehto ja valitse sitten Tallenna.

    Esimerkki:

    Näyttökuva sovelluksen käyttöönotto- ja ylläpitoasetuksista.

Kun joku luetelluista käyttäjistä seuraavan kerran aloittaa uuden istunnon tuetussa sovelluksessa, jossa hän on järjestelmänvalvoja, Hallinta näytä työkalurivi näkyy selaimen alareunassa.

Esimerkiksi seuraavassa kuvassa näkyy Hallinta Näytä-työkalurivi selainikkunan alareunassa, kun OneNotea käytetään selaimessa:

Näyttökuva Hallinta Näytä-työkalurivistä.

Seuraavissa osissa kuvataan, miten voit testata ja tehdä vianmäärityksen Hallinta Näytä-työkalurivin avulla.

Testitila

Järjestelmänvalvojakäyttäjänä haluat ehkä testata tulevia välityspalvelimen virheenkorjauksia, ennen kuin uusin versio otetaan kokonaan käyttöön kaikille vuokraajille. Anna Microsoftin tukitiimille palautetta virheen korjauksesta julkaisujaksojen nopeuttamiseksi.

Testitilassa vain järjestelmänvalvojan käyttäjät altistuvat ohjelmavirhekorjauksilla annetuille muutoksille. Tällä ei ole vaikutusta muihin käyttäjiin.

  • Jos haluat ottaa testitilan käyttöön, valitse Hallinta Näytä-työkalurivillä Testitila.
  • Kun olet suorittanut testauksen, palaa takaisin normaaliin toimintoon valitsemalla Lopeta testitila .

Ohita välityspalvelinistunto

Jos käytät muuta kuin Edge-selainta ja sinulla on vaikeuksia käyttää tai ladata sovellusta, haluat ehkä tarkistaa, liittyykö ongelma ehdollisen käyttöoikeuden välityspalvelimeen, suorittamalla sovelluksen ilman välityspalvelinta.

Jos haluat ohittaa välityspalvelimen, valitse Hallinta Näytä-työkaluriviltä Ohita käyttökokemus. Vahvista, että istunto ohitetaan, ja ota huomioon, että URL-osoitetta ei ole jälkiliitettä.

Ehdollisen käytön välityspalvelinta käytetään uudelleen seuraavassa istunnossa.

Lisätietoja on kohdassa Microsoft Defender for Cloud Apps Ehdollinen käyttö -sovelluksen hallinta ja selaimensisäinen suojaus Microsoft Edge for Business (esikatselu) kanssa.

Toinen sisäänkirjautuminen (kutsutaan myös toiseksi kirjautumiseksi)

Joissakin sovelluksissa on kirjautumiseen useampi kuin yksi syvä linkki. Ellet määritä kirjautumislinkkejä sovelluksen asetuksissa, käyttäjät saatetaan ohjata tunnistamattomalle sivulle, kun he kirjautuvat sisään, estäen heidän käyttönsä.

IdP:iden, kuten Microsoft Entra ID, välinen integrointi perustuu sovelluksen sisäänkirjautumisen pysäyttämiseen ja uudelleenohjaukseen. Tämä tarkoittaa sitä, että selainkirjautumisia ei voi hallita suoraan käynnistämättä toista sisäänkirjautumista. Jos haluat käynnistää toisen sisäänkirjautumisen, meidän on käytettävä erityisesti toista kirjautumis-URL-osoitetta tätä tarkoitusta varten.

Jos sovellus käyttää nonce-esiintymää, toinen sisäänkirjautuminen voi olla läpinäkyvä käyttäjille tai heitä kehotetaan kirjautumaan uudelleen sisään.

Jos käyttäjä ei näe sitä, lisää sovelluksen asetuksiin toinen kirjautumis-URL-osoite:

Siirry kohtaan Asetukset > Pilvisovellukset > Yhdistetyt sovellukset > Ehdollisen käytön sovellusten hallintasovellukset

Valitse haluamasi sovellus ja valitse sitten kolme pistestä.

Valitse Muokkaa sovellusta\Kehittynyt kirjautumismääritys.

Lisää toinen url-kirjautumisosoite, kuten virhesivulla mainitaan.

Jos olet varma, että sovellus ei käytä nonce-esiintymää, voit poistaa sen käytöstä muokkaamalla sovellusten asetuksia kohdassa Hitaat kirjautumiset kuvatulla tavalla.

Istunnon tallentaminen

Haluat ehkä auttaa ongelman perimmäisen syyn analysointia lähettämällä istunnon tallenteen Microsoftin tuki-insinööreille. Tallenna istunto Hallinta Näytä-työkalurivin avulla.

Huomautus

Kaikki henkilötiedot poistetaan tallenteista.

Istunnon tallentaminen:

  1. Valitse Hallinta Näytä-työkalurivillä Tallenna istunto. Kun näyttöön tulee kehote, hyväksy ehdot valitsemalla Jatka . Esimerkki:

    Näyttökuva istunnon tallennuksen tietosuojatietojen valintaikkunasta.

  2. Kirjaudu sovellukseen tarvittaessa, jotta voit aloittaa istunnon simuloinnin.

  3. Kun olet tallentanut skenaarion, muista valita Näytä Hallinta työkalurivillä Lopeta tallennus.

Voit tarkastella tallennettuja istuntojasi:

Kun olet lopettanut tallentamisen, tarkastele tallennettuja istuntoja valitsemalla IstuntotallenteetHallinta Näytä-työkaluriviltä. Näkyviin tulee luettelo edellisten 48 tunnin tallennetut istunnot. Esimerkki:

Näyttökuva istunnon tallenteista.

Jos haluat hallita tallenteita, valitse tiedosto ja valitse sitten Poista tai Lataa tarvittaessa. Esimerkki:

Näyttökuva tallenteen lataamisesta tai poistamisesta.

Toimialueiden lisääminen sovellukseen

Oikeiden toimialueiden liittäminen sovellukseen mahdollistaa Defender for Cloud Apps käytäntöjen ja valvontatoimien täytäntöönpanon.

Jos olet esimerkiksi määrittänyt käytännön, joka estää tiedostojen lataamisen liittyvälle toimialueelle, sovelluksen kyseiseltä toimialueelta lataamat tiedostot estetään. Sovelluksen lataamia tiedostojen latauksia toimialueilta, joita ei ole liitetty sovellukseen, ei kuitenkaan estetä eikä toimintoa valvota toimintolokissa.

Jos järjestelmänvalvoja selaa sovellusta tunnistamattomaan toimialueeseen, jota Defender for Cloud Apps ei ota huomioon saman sovelluksen tai minkään muun sovelluksen osaa, näyttöön tulee tunnistamaton toimialuesanoma, jossa kehotetaan järjestelmänvalvojaa lisäämään toimialue niin, että se suojataan seuraavalla kerralla. Jos järjestelmänvalvoja ei tässä tapauksessa halua lisätä toimialuetta, mitään toimia ei tarvita.

Huomautus

Defender for Cloud Apps lisää silti jälkiliitettä toimialueisiin, joita ei ole liitetty sovellukseen saumattoman käyttökokemuksen varmistamiseksi.

Toimialueiden lisääminen sovellukseen:

  1. Avaa sovelluksesi selaimessa niin, että Defender for Cloud Apps Hallinta Näytä-työkalurivi näkyy näytössä.

  2. Valitse Hallinta Näytä-työkalurivilläEtsityt toimialueet.

  3. Kirjoita Löytyneet toimialueet -ruudussa muistiin luetteloidut toimialuenimet tai vie luettelo .csv-tiedostona.

    Löydetyt toimialueet -ruudussa näkyy luettelo kaikista toimialueista, joita ei ole liitetty sovellukseen. Toimialuenimet ovat täydellisiä.

  4. Valitse Microsoft Defender XDR Asetukset>Pilvisovellukset Yhdistetyt>sovellukset>Ehdollisen käytön sovellusten hallintasovellukset.

  5. Etsi sovelluksesi taulukosta. Valitse oikeanpuoleinen Asetukset-valikko ja valitse sitten Muokkaa sovellusta.

  6. Kirjoita Käyttäjän määrittämät toimialueet -kenttään toimialueet, jotka haluat liittää tähän sovellukseen.

    • Jos haluat tarkastella sovelluksessa jo määritettyjen toimialueiden luetteloa, valitse Näytä sovelluksen toimialueet -linkki.

    • Kun lisäät toimialueita, harkitse, haluatko lisätä tiettyjä toimialueita vai käyttää tähteä (*****hämärää yleismerkin, jos haluat käyttää useita toimialueita kerralla.

      Esimerkiksi , sub1.contoso.comsub2.contoso.com ovat esimerkkejä tietyistä toimialueista. Jos haluat lisätä molemmat näistä toimialueista kerralla sekä muita rinnakkaistoimialueita, käytä kohdetta *.contoso.com.

Lisätietoja on artikkelissa Sovellusten suojaaminen ehdollisten käyttöoikeuksien Microsoft Defender for Cloud Apps.

Aiheeseen liittyvä sisältö