Problemen met toegangs- en sessiebesturingselementen voor eindgebruikers oplossen
Dit artikel biedt Microsoft Defender for Cloud Apps beheerders richtlijnen voor het onderzoeken en oplossen van veelvoorkomende problemen met toegangs- en sessiebeheer, zoals ervaren door eindgebruikers.
Minimale vereisten controleren
Voordat u begint met het oplossen van problemen, moet u ervoor zorgen dat uw omgeving voldoet aan de volgende minimale algemene vereisten voor toegangs- en sessiebeheer.
| Vereiste | Omschrijving |
|---|---|
| Licenties | Zorg ervoor dat u een geldige licentie hebt voor Microsoft Defender for Cloud Apps. |
| Eenmalige Sign-On (SSO) | Apps moeten worden geconfigureerd met een van de ondersteunde oplossingen voor eenmalige aanmelding (SSO): - Microsoft Entra ID saml 2.0 of OpenID Connect 2.0 gebruiken - Niet-Microsoft IdP met SAML 2.0 |
| Browserondersteuning | Sessiebesturingselementen zijn beschikbaar voor browsersessies in de nieuwste versies van de volgende browsers: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari In-browserbeveiliging voor Microsoft Edge heeft ook specifieke vereisten, waaronder de gebruiker die is aangemeld met zijn/haar werkprofiel. Zie Beveiligingsvereisten in browser voor meer informatie. |
| Downtime | met Defender for Cloud Apps kunt u het standaardgedrag definiëren dat moet worden toegepast als er een serviceonderbreking is, zoals een onderdeel dat niet correct werkt. U kunt er bijvoorbeeld voor kiezen om gebruikers te beperken (blokkeren) of te omzeilen (toestaan) om acties te ondernemen op mogelijk gevoelige inhoud wanneer de normale beleidsbesturingselementen niet kunnen worden afgedwongen. Als u het standaardgedrag tijdens downtime van het systeem wilt configureren, gaat u in Microsoft Defender XDR naar Instellingen>Voorwaardelijke toegang App-beheer>Standaardgedrag> Toegangtoestaan of blokkeren. |
De pagina Gebruikersbewaking wordt niet weergegeven
Wanneer u een gebruiker door de Defender for Cloud Apps routert, kunt u de gebruiker laten weten dat de sessie wordt bewaakt. De gebruikersbewakingspagina is standaard ingeschakeld.
In deze sectie worden de stappen voor probleemoplossing beschreven die we u aanbevelen als de gebruikersbewakingspagina is ingeschakeld, maar niet wordt weergegeven zoals verwacht.
Aanbevolen stappen
Selecteer in de Microsoft Defender Portal de optie Instellingen>Cloud-apps.
Selecteer onder App-beheer voor voorwaardelijke toegangde optie Gebruikersbewaking. Op deze pagina ziet u de opties voor gebruikersbewaking die beschikbaar zijn in Defender for Cloud Apps. Bijvoorbeeld:
Controleer of de optie Gebruikers waarschuwen dat hun activiteiten worden bewaakt , is geselecteerd.
Selecteer of u het standaardbericht wilt gebruiken of een aangepast bericht wilt opgeven:
Berichttype Details Standaard Koptekst:
Toegang tot [App-naam wordt hier weergegeven] wordt bewaakt
Hoofdtekst:
Voor een betere beveiliging staat uw organisatie toegang toe tot [App-naam wordt hier weergegeven] in de monitormodus. Access is alleen beschikbaar vanuit een webbrowser.Aangepast Koptekst:
Gebruik dit vak om een aangepaste kop op te geven om gebruikers te informeren dat ze worden bewaakt.
Hoofdtekst:
Gebruik dit vak om andere aangepaste informatie voor de gebruiker toe te voegen, zoals met wie contact moet worden opgenomen met vragen, en ondersteunt de volgende invoer: tekst zonder opmaak, rtf-tekst, hyperlinks.Selecteer Voorbeeld om de gebruikersbewakingspagina te controleren die wordt weergegeven voordat u een app opent.
Klik op Opslaan.
Kan geen toegang krijgen tot de app van een niet-Microsoft-id-provider
Als een eindgebruiker een algemene fout ontvangt na het aanmelden bij een app van een niet-Microsoft-id-provider, valideert u de niet-Microsoft IdP-configuratie.
Aanbevolen stappen
Selecteer in de Microsoft Defender Portal de optie Instellingen>Cloud-apps.
Selecteer onder Verbonden apps de optie Apps voor app-beheer voor voorwaardelijke toegang.
Selecteer in de lijst met apps in de rij waarin de app die u niet kunt openen, de drie puntjes aan het einde van de rij en selecteer vervolgens App bewerken.
Controleer of het SAML-certificaat dat is geüpload, juist is.
Controleer of geldige URL's voor eenmalige aanmelding zijn opgegeven in de app-configuratie.
Controleer of de kenmerken en waarden in de aangepaste app worden weergegeven in de instellingen van de id-provider.
Bijvoorbeeld:
Als u nog steeds geen toegang hebt tot de app, opent u een ondersteuningsticket.
De pagina Er is iets misgegaan weergegeven
Soms wordt tijdens een proxied sessie de pagina Iets is misgegaan weergegeven. Dit kan gebeuren wanneer:
- Een gebruiker meldt zich aan nadat hij een tijdje niet actief is
- Het vernieuwen van de browser en het laden van de pagina duurt langer dan verwacht
- De niet-Microsoft IdP-app is niet correct geconfigureerd
Aanbevolen stappen
Als de eindgebruiker toegang probeert te krijgen tot een app die is geconfigureerd met behulp van een niet-Microsoft IdP, raadpleegt u Geen toegang tot app vanuit een niet-Microsoft IdP en app-status: Doorgaan met instellen.
Als de eindgebruiker deze pagina onverwacht heeft bereikt, doet u het volgende:
- Start de browsersessie opnieuw.
- Wis geschiedenis, cookies en cache vanuit de browser.
Klembordacties of bestandsbesturingselementen worden niet geblokkeerd
De mogelijkheid om klembordacties zoals knippen, kopiëren, plakken en bestandsbesturingselementen, zoals downloaden, uploaden en afdrukken, te blokkeren, is vereist om scenario's voor gegevensexfiltratie en infiltratie te voorkomen.
Deze mogelijkheid stelt bedrijven in staat om een evenwicht te vinden tussen beveiliging en productiviteit voor eindgebruikers. Als u problemen ondervindt met deze functies, gebruikt u de volgende stappen om het probleem te onderzoeken.
Aanbevolen stappen
Als de sessie wordt geproxied, gebruikt u de volgende stappen om het beleid te controleren:
Selecteer in de Microsoft Defender Portal onder Cloud Appsde optie Activiteitenlogboek.
Gebruik het geavanceerde filter, selecteer Toegepaste actie en stel de waarde ervan in op Geblokkeerd.
Controleer of er geblokkeerde bestandsactiviteiten zijn:
Als er een activiteit is, vouwt u de activiteitenlade uit door op de activiteit te klikken.
Selecteer op het tabblad Algemeen van de activiteitenlade de koppeling Overeenkomende beleidsregels om te controleren of het beleid dat u hebt afgedwongen aanwezig is.
Als u uw beleid niet ziet, raadpleegt u Problemen bij het maken van toegangs- en sessiebeleid.
Als u Toegang geblokkeerd/toegestaan ziet vanwege standaardgedrag, geeft dit aan dat het systeem niet actief was en dat het standaardgedrag is toegepast.
Als u het standaardgedrag wilt wijzigen, selecteert u instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer vervolgens onder App-beheer voor voorwaardelijke toegangde optie Standaardgedrag en stel het standaardgedrag in op Toegang toestaan of Blokkeren .
Ga naar de Microsoft 365-beheerportal en bewaak meldingen over systeem downtime.
Als u nog steeds geen geblokkeerde activiteit kunt zien, opent u een ondersteuningsticket.
Downloads worden niet beveiligd
Als eindgebruiker kan het nodig zijn om gevoelige gegevens te downloaden op een onbeheerd apparaat. In deze scenario's kunt u documenten beveiligen met Microsoft Purview Informatiebeveiliging.
Als de eindgebruiker het document niet kan versleutelen, gebruikt u de volgende stappen om het probleem te onderzoeken.
Aanbevolen stappen
Selecteer in de Microsoft Defender Portal onder Cloud Appsde optie Activiteitenlogboek.
Gebruik het geavanceerde filter, selecteer Toegepaste actie en stel de waarde ervan gelijk aan Beveiligd in.
Controleer of er geblokkeerde bestandsactiviteiten zijn:
Als er een activiteit is, vouwt u de activiteitenlade uit door op de activiteit te klikken
Selecteer op het tabblad Algemeen van de activiteitenlade de koppeling Overeenkomende beleidsregels om te controleren of het beleid dat u hebt afgedwongen aanwezig is.
Als u uw beleid niet ziet, raadpleegt u Problemen bij het maken van toegangs- en sessiebeleid.
Als u Toegang geblokkeerd/toegestaan ziet vanwege standaardgedrag, geeft dit aan dat het systeem niet actief was en dat het standaardgedrag is toegepast.
Als u het standaardgedrag wilt wijzigen, selecteert u instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer vervolgens onder App-beheer voor voorwaardelijke toegangde optie Standaardgedrag en stel het standaardgedrag in op Toegang toestaan of Blokkeren .
Ga naar het Microsoft 365 Service Health Dashboard en bewaak meldingen over systeem downtime.
Als u het bestand beveiligt met een vertrouwelijkheidslabel of aangepaste machtigingen, controleert u in de beschrijving van de activiteit of de bestandsextensie een van de volgende ondersteunde bestandstypen is:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF als Unified Labeling is ingeschakeld
Als het bestandstype niet wordt ondersteund, kunt u in het sessiebeleid Het downloaden van een bestand blokkeren selecteren dat niet wordt ondersteund door systeemeigen beveiliging of waarbij systeemeigen beveiliging is mislukt.
Als u nog steeds geen geblokkeerde activiteit kunt zien, opent u een ondersteuningsticket.
Navigeren naar een bepaalde URL van een app met achtervoegsel en landen op een algemene pagina
In sommige scenario's kan het navigeren naar een koppeling ertoe leiden dat de gebruiker op de startpagina van de app komt in plaats van het volledige pad van de koppeling.
Tip
Defender for Cloud Apps houdt een lijst bij met apps waarvan bekend is dat ze te maken hebben met contextverlies. Zie Beperkingen voor contextverlies voor meer informatie.
Aanbevolen stappen
Als u een andere browser dan Microsoft Edge gebruikt en een gebruiker op de startpagina van de app terechtkomt in plaats van het volledige pad van de koppeling, lost u het probleem op door toe te voegen .mcas.ms aan de oorspronkelijke URL.
Als de oorspronkelijke URL bijvoorbeeld is:
https://www.github.com/organization/threads/threadnumber, wijzigt u deze in https://www.github.com.mcas.ms/organization/threads/threadnumber
Microsoft Edge-gebruikers profiteren van in-browserbeveiliging, worden niet omgeleid naar een omgekeerde proxy en hoeven het .mcas.ms achtervoegsel niet toe te voegen. Open een ondersteuningsticket voor apps die contextverlies ondervinden.
Als u downloads blokkeert, worden PDF-voorbeelden geblokkeerd
Wanneer u PDF-bestanden bekijkt of afdrukt, starten apps af en toe een download van het bestand. Dit zorgt ervoor dat Defender for Cloud Apps ingrijpt om ervoor te zorgen dat het downloaden wordt geblokkeerd en dat er geen gegevens uit uw omgeving worden gelekt.
Als u bijvoorbeeld een sessiebeleid hebt gemaakt om downloads voor Outlook Web Access (OWA) te blokkeren, wordt het weergeven of afdrukken van PDF-bestanden mogelijk geblokkeerd, met een bericht zoals dit:
Als u de preview wilt toestaan, moet een Exchange-beheerder de volgende stappen uitvoeren:
Download de Exchange Online PowerShell-module.
Maak verbinding met de module. Raadpleeg Verbinding maken met Exchange Online PowerShell voor meer informatie.
Nadat u verbinding hebt gemaakt met de Exchange Online PowerShell, gebruikt u de cmdlet Set-OwaMailboxPolicy om de parameters in het beleid bij te werken:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseOpmerking
Het beleid OwaMailboxPolicy-Default is de standaardnaam van het OWA-beleid in Exchange Online. Sommige klanten hebben mogelijk extra OWA-beleid geïmplementeerd of een aangepast OWA-beleid met een andere naam gemaakt. Als u meerdere OWA-beleidsregels hebt, kunnen deze worden toegepast op specifieke gebruikers. Daarom moet u ze ook bijwerken om volledige dekking te hebben.
Nadat deze parameters zijn ingesteld, voert u een test uit op OWA met een PDF-bestand en een sessiebeleid dat is geconfigureerd om downloads te blokkeren. De optie Downloaden moet worden verwijderd uit de vervolgkeuzelijst en u kunt een voorbeeld van het bestand bekijken. Bijvoorbeeld:
Waarschuwing voor vergelijkbare site wordt weergegeven
Kwaadwillende actoren kunnen URL's maken die vergelijkbaar zijn met de URL's van andere sites om gebruikers te imiteren en te misleiden om te geloven dat ze naar een andere site surfen. Sommige browsers proberen dit gedrag te detecteren en waarschuwen gebruikers voordat ze de URL openen of de toegang blokkeren.
In sommige zeldzame gevallen ontvangen gebruikers onder sessiebeheer een bericht van de browser dat verdachte toegang tot de site aangeeft. De reden hiervoor is dat de browser het achtervoegseldomein (bijvoorbeeld: .mcas.ms) als verdacht behandelt.
Dit bericht wordt alleen weergegeven voor Chrome-gebruikers, omdat Microsoft Edge-gebruikers profiteren van in-browserbeveiliging, zonder de omgekeerde proxyarchitectuur. Bijvoorbeeld:
Als u een bericht zoals dit ontvangt, neemt u contact op met de ondersteuning van Microsoft om dit aan de relevante browserleverancier te doen.
Meer overwegingen voor het oplossen van problemen met apps
Bij het oplossen van problemen met apps moet u rekening houden met een aantal andere dingen:
Ondersteuning voor sessiebeheer voor moderne browsers Defender for Cloud Apps sessiebesturingselementen bevat nu ondersteuning voor de nieuwe Microsoft Edge-browser op basis van Chromium. Hoewel we de meest recente versies van Internet Explorer en de verouderde versie van Microsoft Edge blijven ondersteunen, is de ondersteuning beperkt en raden we u aan de nieuwe Microsoft Edge-browser te gebruiken.
Sessiebesturingselementen beschermen de beperking Co-Auth labelen onder de actie 'beveiligen' niet wordt ondersteund door Defender for Cloud Apps sessiebesturingselementen. Zie Cocreatie inschakelen voor bestanden die zijn versleuteld met vertrouwelijkheidslabels voor meer informatie.