Jaa

Käyttöoikeuksien ja istunnon ohjausobjektien vianmääritys loppukäyttäjille

  • Artikkeli

Tässä artikkelissa annetaan Microsoft Defender for Cloud Apps järjestelmänvalvojille ohjeita yleisten käyttöoikeus- ja istunnonhallintaongelmien tutkimiseen ja ratkaisemiseen loppukäyttäjien kokemien ongelmien mukaisesti.

Tarkista vähimmäisvaatimukset

Ennen kuin aloitat vianmäärityksen, varmista, että ympäristösi täyttää seuraavat käytön ja istunnon hallinnan yleiset vähimmäisvaatimukset.

Vaatimus Kuvaus
Käyttöoikeuspalvelu Varmista, että sinulla on kelvollinen Microsoft Defender for Cloud Apps käyttöoikeus.
Yksittäinen Sign-On (SSO) Sovellukset on määritettävä jollakin tuetuista kertakirjautumisratkaisuista:

- Microsoft Entra ID SAML 2.0:n tai OpenID Connect 2.0:n avulla
- Muu kuin Microsoft IdP käyttää SAML 2.0:aa
Selaimen tuki Istunnon ohjausobjektit ovat käytettävissä selainpohjaisissa istunnoissa seuraavien selainten uusimmissa versioissa:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edgen selainsuojauksessa on myös tiettyjä vaatimuksia, kuten työprofiililla kirjautunut käyttäjä. Lisätietoja on artikkelissa Selaimen suojausvaatimukset.
Seisokkeja Defender for Cloud Apps avulla voit määrittää oletustoiminnan, jota käytetään, jos palvelussa ilmenee häiriöitä, kuten se, että osa ei toimi oikein.

Voit esimerkiksi kovetuttaa (estää) tai ohittaa (sallia) käyttäjiä ryhtymästä toimiin mahdollisesti luottamuksellisessa sisällössä, kun normaaleja käytäntöohjausobjekteja ei voida pakottaa.

Jos haluat määrittää oletustoiminnan järjestelmän käyttökatkon aikana, siirry Microsoft Defender XDR kohtaan Asetukset>Ehdollisen käyttöoikeuden sovelluksen ohjausobjektin>oletustoiminta>Salli tai Estä käyttö.

Käyttäjän valvontasivua ei näytetä

Kun reitität käyttäjän Defender for Cloud Apps kautta, voit ilmoittaa käyttäjälle, että hänen istuntoaan valvotaan. Oletusarvoisesti käyttäjien valvontasivu on käytössä.

Tässä osiossa kuvataan vianmääritysvaiheet, jotka suosittelemme suoritettavaksi, jos käyttäjän valvontasivu on käytössä, mutta se ei näy odotetulla tavalla.

Suositellut vaiheet

  1. Valitse Microsoft Defender-portaalissa Asetukset>Pilvisovellukset.

  2. Valitse Ehdollisen käyttöoikeuden sovelluksen hallinta -kohdassa Käyttäjän valvonta. Tällä sivulla näkyvät Defender for Cloud Apps käytettävissä olevat käyttäjien valvontavaihtoehdot. Esimerkki:

    Näyttökuva käyttäjän valvonta-asetuksista.

  3. Varmista, että Ilmoita käyttäjille, että heidän toimintaansa valvotaan -vaihtoehto on valittuna.

  4. Valitse, haluatko käyttää oletusviestiä vai antaa mukautetun viestin:

    Viestin tyyppi Tiedot
    Oletus Otsikko:
    Kohteen [sovelluksen nimi näkyy tässä] käyttöä valvotaan
    Leipäteksti:
    Organisaatiosi sallii tuotteen [Sovelluksen nimi näkyy tässä] käytön valvontatilassa parantaakseen suojausta. Käyttöoikeus on käytettävissä vain selaimessa.
    Tapa Otsikko:
    Tämän ruudun avulla voit antaa mukautetun otsikon, joka kertoo käyttäjille, että heitä valvotaan.
    Leipäteksti:
    Tämän ruudun avulla voit lisätä käyttäjälle muita mukautettuja tietoja, kuten sen, keiden on vastattava kysymyksiin, ja tukee seuraavia syötteitä: vain teksti, RTF- ja hyperlinkit.

  5. Valitse Esikatselu , jos haluat tarkistaa käyttäjän valvontasivun, joka tulee näkyviin ennen sovelluksen käyttöä.

  6. Valitse Tallenna.

Sovellusta ei voi käyttää muun kuin Microsoftin tunnistetietopalvelun kautta

Jos loppukäyttäjä saa yleisen virheen kirjauduttuaan sovellukseen muusta kuin Microsoftin tunnistetietopalvelusta, vahvista määritys, joka ei ole Microsoft IdP.

Suositellut vaiheet

  1. Valitse Microsoft Defender-portaalissa Asetukset>Pilvisovellukset.

  2. Valitse Yhdistetyt sovellukset -kohdassa Ehdollisen käytön sovellusten hallintasovellukset.

  3. Valitse sovellusluettelosta riviltä, jolla sovellusta ei voi käyttää, kolme pistettä rivin lopusta ja valitse sitten Muokkaa sovellusta.

  4. Varmista, että ladattu SAML-varmenne on oikea.

    1. Varmista, että sovelluksen määrityksissä on kelvolliset SSO-URL-osoitteet.

    2. Varmista, että mukautetun sovelluksen määritteet ja arvot näkyvät tunnistetietojen tarjoajan asetuksissa.

    Esimerkki:

    Näyttökuva SAML-tietosivusta. .

  5. Jos et edelleenkään voi käyttää sovellusta, avaa tukipyyntö.

Jokin meni vikaan -sivu tulee näkyviin

Joskus käynnistysistunnon aikana näyttöön saattaa tulla Jokin meni pieleen -sivu. Näin voi käydä, kun:

  • Käyttäjä kirjautuu sisään, kun hän on ollut käyttämättömänä jonkin aikaa
  • Selaimen ja sivun lataaminen kestää odotettua kauemmin
  • Muuta kuin Microsoft IdP -sovellusta ei ole määritetty oikein

Suositellut vaiheet

  1. Jos loppukäyttäjä yrittää käyttää sovellusta, joka on määritetty käyttäen muuta kuin Microsoft IdP:tä, katso Kohta Sovelluksen käyttö ei ole Mahdollista muulta kuin Microsoft IdP:ltä ja sovelluksen tila: Jatka asennusta.

  2. Jos loppukäyttäjä saavutti tämän sivun odottamatta, toimi seuraavasti:

    1. Käynnistä selainistunto uudelleen.
    2. Tyhjennä historiatiedot, evästeet ja välimuisti selaimesta.

Leikepöydän toimintoja tai tiedoston ohjausobjekteja ei estetä

Leikepöydän toimintojen, kuten leikkaus-, kopiointi-, liittämis- ja tiedostoohjausobjektien, kuten lataamisen, lataamisen ja tulostamisen, estäminen edellyttää tietojen suodatus- ja soluttautumisskenaarioita.

Tämän ansiosta yritykset voivat tasapainottaa loppukäyttäjien suojausta ja tuottavuutta. Jos sinulla on ongelmia näiden ominaisuuksien kanssa, tutki ongelma seuraavien ohjeiden avulla.

Suositellut vaiheet

Jos istuntoa käynnistetään, tarkista käytäntö seuraavien vaiheiden avulla:

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaToimintaloki.

  2. Käytä lisäsuodatinta, valitse Käytössä oleva toiminto ja määritä sen arvoksi Blocked.

  3. Varmista, että tiedostotoiminnot on estetty:

    1. Jos aktiviteetti on olemassa, laajenna aktiviteetin laatikkoa napsauttamalla aktiviteettia.

    2. Valitse toimintolaatikon Yleiset-välilehdestä vastaavat käytännöt -linkki varmistaaksesi, että käyttöönotettu käytäntö on olemassa.

    3. Jos et näe käytäntöäsi, katso Ongelmia käyttö- ja istuntokäytäntöjen luomisessa.

    4. Jos näet Käytön estetty/sallittu oletustoiminnan vuoksi, tämä ilmaisee, että järjestelmä oli poissa käytöstä ja että oletustoimintaa käytettiin.

      1. Jos haluat muuttaa oletustoimintaa, valitse Microsoft Defender Portaalissa Asetukset. Valitse sitten Pilvisovellukset. Valitse sitten ehdollisten käyttöoikeuksien sovellusohjausobjektistaOletustoiminta ja määritä oletustoiminnaksi Salli tai Estä käyttöoikeus.

      2. Siirry Microsoft 365 -hallintaportaaliin ja valvo järjestelmän käyttökatkoja koskevat ilmoitukset.

  4. Jos et edelleenkään näe estettyä toimintaa, avaa tukipyyntö.

Lataukset eivät ole suojattuja

Loppukäyttäjänä arkaluontoisten tietojen lataaminen hallitsemattomassa laitteessa voi olla tarpeen. Näissä tilanteissa voit suojata tiedostoja Microsoft Purview Information Protection avulla.

Jos loppukäyttäjä ei pysty salaamaan asiakirjaa, tutki ongelma seuraavien ohjeiden avulla.

Suositellut vaiheet

  1. Valitse Microsoft Defender-portaalin Pilvisovellukset-kohdastaToimintaloki.

  2. Käytä lisäsuodatinta, valitse Käytössä oleva toiminto ja määritä sen arvoksi Suojattu.

  3. Varmista, että tiedostotoiminnot on estetty:

    1. Jos aktiviteetti on olemassa, laajenna toimintolaatikkoa napsauttamalla aktiviteettia

    2. Valitse toimintolaatikon Yleiset-välilehdestä vastaavat käytännöt -linkki varmistaaksesi, että käyttöönotettu käytäntö on olemassa.

    3. Jos et näe käytäntöäsi, katso Ongelmia käyttö- ja istuntokäytäntöjen luomisessa.

    4. Jos näet Käytön estetty/sallittu oletustoiminnan vuoksi, tämä ilmaisee, että järjestelmä oli poissa käytöstä ja että oletustoimintaa käytettiin.

      1. Jos haluat muuttaa oletustoimintaa, valitse Microsoft Defender Portaalissa Asetukset. Valitse sitten Pilvisovellukset. Valitse sitten ehdollisten käyttöoikeuksien sovellusohjausobjektistaOletustoiminta ja määritä oletustoiminnaksi Salli tai Estä käyttöoikeus.

      2. Siirry Microsoft 365 Service Health -koontinäyttöön ja valvo järjestelmän käyttökatkoja koskevat ilmoitukset.

    5. Jos suojaat tiedostoa luottamuksellisuustunnisteella tai mukautetuilla käyttöoikeuksilla, varmista Toiminnon kuvaus -kohdassa, että tiedostotunniste on jokin seuraavista tuetuista tiedostotyypeistä:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF , jos yhdistetty tunniste on käytössä

    Jos tiedostotyyppiä ei tueta, istuntokäytännössä voit valita Estä minkä tahansa tiedoston lataaminen, jota alkuperäinen suojaus ei tue tai jossa alkuperäinen suojaus ei onnistu.

  4. Jos et edelleenkään näe estettyä toimintaa, avaa tukipyyntö.

Siirtyminen liitetyn sovelluksen tiettyyn URL-osoitteeseen ja siirtyminen yleiselle sivulle

Joissakin tilanteissa linkkiin siirtyminen saattaa johtaa siihen, että käyttäjä siirtyy sovelluksen aloitussivulle linkin koko polun sijaan.

Vihje

Defender for Cloud Apps ylläpitää luetteloa sovelluksista, joiden tiedetään kärsivän kontekstin menetyksestä. Lisätietoja on kohdassa Kontekstin menetyksen rajoitukset.

Suositellut vaiheet

Jos käytät muuta selainta kuin Microsoft Edgeä ja käyttäjä tulee sovelluksen aloitussivulle linkin koko polun sijaan, ratkaise ongelma liittämällä .mcas.ms se alkuperäiseen URL-osoitteeseen.

Jos esimerkiksi alkuperäinen URL-osoite on:

https://www.github.com/organization/threads/threadnumber, muuta arvoksi https://www.github.com.mcas.ms/organization/threads/threadnumber

Microsoft Edgen käyttäjät hyötyvät selaimen suojauksesta, heitä ei ohjata käänteiseen välityspalvelimeen eikä heidän pitäisi tarvita .mcas.ms jälkiliitettä. Jos sovelluksessa on kontekstin menettämistä, avaa tukipalvelupyyntö.

Latausten estäminen estää PDF-esiversioiden käytön

Toisinaan, kun esikatselet tai tulostat PDF-tiedostoja, sovellukset aloittavat tiedoston lataamisen. Tämä saa Defender for Cloud Apps puuttumaan asiaan sen varmistamiseksi, että lataus estetään ja että tietoja ei vuodeta ympäristöstäsi.

Jos olet esimerkiksi luonut istuntokäytännön Outlook Web Accessin (OWA) latausten estämiseksi, PDF-tiedostojen esikatselu tai tulostaminen saatetaan estää seuraavankaltaisen viestin kanssa:

Näyttökuva latauksen estämästä viestistä.

Jotta esikatselu voidaan sallia, Exchange-järjestelmänvalvojan on suoritettava seuraavat vaiheet:

  1. Lataa Exchange Online PowerShell Module.

  2. Muodosta yhteys moduuliin. Lisätietoja on artikkelissa Yhteyden muodostaminen Exchange Online PowerShelliin.

  3. Kun olet muodostanut yhteyden Exchange Online PowerShelliin, päivitä käytännön parametrit Set-OwaMailboxPolicy cmdlet-komennolla:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Huomautus

    OwaMailboxPolicy-Default-käytäntö on OWA:n oletuskäytännön nimi Exchange Online. Jotkin asiakkaat ovat saattaneet ottaa käyttöön muita OWA-käytäntöjä tai luoda mukautetun OWA-käytännön eri nimellä. Jos sinulla on useita OWA-käytäntöjä, niitä voidaan soveltaa tiettyihin käyttäjiin. Siksi sinun on myös päivitettävä ne, jotta ne sisältävät täyden kattavuuden.

  4. Kun nämä parametrit on määritetty, suorita OWA:ssa testi PDF-tiedostolla ja istuntokäytännöllä, joka on määritetty estämään lataukset. Lataa-vaihtoehto tulee poistaa avattavasta valikosta, ja voit esikatsella tiedostoa. Esimerkki:

    Näyttökuva PDF-esikatselusta, jota ei ole estetty.

Näyttöön tulee samankaltainen sivustovaroitus

Pahantahtoiset toimijat voivat luoda URL-osoitteita, jotka muistuttavat muiden sivustojen URL-osoitteita, tekeytyäkseen käyttäjiksi ja huijatakseen käyttäjiä uskomaan, että he selaavat toiselle sivustolle. Jotkin selaimet yrittävät tunnistaa tämän ongelman ja varoittaa käyttäjiä ennen URL-osoitteen käyttöä tai käytön estämistä.

Joissakin harvinaisissa tapauksissa istunnon hallinnassa olevat käyttäjät saavat selaimelta viestin, joka ilmaisee epäilyttävän sivuston käytön. Syynä tähän on selain, joka käsittelee jälkiliitettämää toimialuetta (esimerkiksi: .mcas.ms) epäilyttävänä.

Tämä viesti näkyy vain Chrome-käyttäjille, sillä Microsoft Edgen käyttäjät hyötyvät selaimen suojauksesta ilman käänteistä välityspalvelinarkkitehtuuria. Esimerkki:

Näyttökuva samanlaisesta sivustovaroituksesta Chromessa.

Jos näyttöön tulee tällainen viesti, ota yhteyttä Microsoftin tukeen ja ota yhteyttä kyseiseen selaimen toimittajaan.

Lisää huomioon otettavia seikkoja sovellusten vianmäärityksessä

Sovellusten vianmäärityksessä on otettava huomioon myös seuraavat seikat:

  • Istunnon ohjausobjektit tukevat nykyaikaisia selaimia Defender for Cloud Apps istunnon ohjausobjektit sisältävät nyt uuden Microsoft Edge -selaimen tuen Chromium perusteella. Vaikka tuemme edelleen Internet Explorerin uusimpia versioita ja Microsoft Edgen vanhaa versiota, tuki on rajoitettu, ja suosittelemme käyttämään uutta Microsoft Edge -selainta.

  • Istunnon ohjausobjektit suojaavat rajoituksia, Co-Auth Defender for Cloud Apps istunnon ohjausobjektit eivät tue suojaustoiminnon otsikointia. Lisätietoja on artikkelissa Luottamuksellisuustunnisteilla salattujen tiedostojen yhteismuokkaamisen ottaminen käyttöön.

Aiheeseen liittyvä sisältö