Поделиться через

Устранение неполадок с доступом и элементами управления сеансами для администраторов

  • Статья

В этой статье Microsoft Defender for Cloud Apps администраторам предоставляется руководство по изучению и устранению распространенных проблем с доступом и управлением сеансами, с которыми сталкиваются администраторы.

Примечание.

Устранение неполадок, связанных с функциональными возможностями прокси-сервера, относится только к сеансам, которые не настроены для защиты в браузере с помощью Microsoft Edge.

Проверка минимальных требований

Прежде чем приступить к устранению неполадок, убедитесь, что ваша среда соответствует приведенным ниже минимальным общим требованиям к элементам управления доступом и сеансами.

Требования Описание
Лицензирование Убедитесь, что у вас есть действительная лицензия на Microsoft Defender for Cloud Apps.
Единый вход Приложения должны быть настроены с помощью одного из поддерживаемых решений единого входа:

— Microsoft Entra ID с помощью SAML 2.0 или OpenID Connect 2.0
— Поставщик удостоверений сторонних поставщиков удостоверений использует SAML 2.0
Поддержка браузеров Элементы управления сеансами доступны для сеансов на основе браузера в последних версиях следующих браузеров:

— Microsoft Edge
— Google Chrome
- Mozilla Firefox
— Apple Safari

Защита в браузере для Microsoft Edge также имеет определенные требования, включая пользователя, выполнившего вход с помощью своего рабочего профиля. Дополнительные сведения см. в разделе Требования к защите в браузере.
Простой Defender for Cloud Apps позволяет определить поведение по умолчанию, применяемое в случае сбоя службы, например неправильного функционирования компонента.

Например, если не удается применить обычные элементы управления политикой, можно настроить усиление защиты (блокировать) или запретить пользователям выполнять действия с потенциально конфиденциальным содержимым.

Чтобы настроить поведение по умолчанию во время простоя системы, в Microsoft Defender XDR перейдите в раздел Параметры>Управление условным доступом> кприложениям По умолчанию поведение>Разрешить или заблокировать доступ.

Требования к защите в браузере

Если вы используете защиту в браузере с Microsoft Edge и по-прежнему обслуживаетесь обратным прокси-сервером, убедитесь, что вы соответствуете следующим дополнительным требованиям:

Справочник по устранению неполадок для администраторов

Используйте следующую таблицу, чтобы найти проблему, которую вы пытаетесь устранить:

Тип проблемы Проблемы
Проблемы с состоянием сети Сетевые ошибки при переходе на страницу браузера

Медленные входы

Дополнительные рекомендации по условиям сети
Проблемы с идентификацией устройств Неправильно Intune совместимых или Microsoft Entra гибридных устройств

Сертификаты клиента не запрашивают, когда ожидается

Сертификаты клиента не запрашивают, когда ожидается
Клиентские сертификаты запрашиваются при каждом входе

Дополнительные рекомендации по идентификации устройств
Проблемы при подключении приложения Приложение не отображается на странице приложений для управления условным доступом

Состояние приложения: продолжитьустановку Не удается настроить элементы управления для собственных приложений

Появится параметр управления сеансом запроса
Проблемы при создании политик доступа и сеансов В политиках условного доступа параметр управления условным доступом для приложений не отображается.

Сообщение об ошибке при создании политики. У вас нет приложений, развернутых с управлением условным доступом.

Не удается создать политики сеансов для приложения

Не удается выбрать метод проверки: служба классификации данных

Не удается выбрать Действие: Защитить

Дополнительные рекомендации по подключению приложений
Диагностика и устранение неполадок с помощью панели инструментов просмотра Администратор Обход сеанса прокси-сервера

Запись сеанса

Добавление доменов для приложения

Проблемы с состоянием сети

Ниже перечислены распространенные проблемы с состоянием сети.

Сетевые ошибки при переходе на страницу браузера

При первой настройке Defender for Cloud Apps управления доступом и сеансом для приложения могут возникнуть распространенные сетевые ошибки: этот сайт не защищен и отсутствует подключение к Интернету. Эти сообщения могут указывать на общую ошибку конфигурации сети.

Рекомендуемые действия

  1. Настройте брандмауэр для работы с Defender for Cloud Apps, используя IP-адреса Azure и DNS-имена, относящиеся к вашей среде.

    1. Добавьте исходящий порт 443 для следующих IP-адресов и DNS-имена для центра обработки данных Defender for Cloud Apps.
    2. Перезапуск устройства и сеанса браузера
    3. Убедитесь, что вход работает должным образом.

  2. Включите TLS 1.2 в параметрах браузера. Например:

    Браузер Действия
    Microsoft Internet Обозреватель 1. Откройте интернет-Обозреватель
    2. Перейдите на вкладку "Инструменты>", вкладка "Параметры> браузера"
    3. В разделе Безопасность выберите TLS 1.2.
    4. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
    5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению
    Microsoft Edge и Edge Chromium 1. Откройте поиск на панели задач и выполните поиск по запросу "Параметры браузера"
    2. Выберите Свойства браузера
    3. В разделе Безопасность выберите TLS 1.2.
    4. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
    5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению
    Google Chrome 1. Откройте Google Chrome
    2. В правом верхнем углу выберите Дополнительно (3 вертикальные точки) >Параметры
    3. В нижней части экрана выберите Дополнительно.
    4. В разделе Система выберите Открыть параметры прокси-сервера.
    5. На вкладке Дополнительно в разделе Безопасность выберите TLS 1.2.
    6. Нажмите кнопку ОК
    7. Перезапустите браузер и убедитесь, что у вас есть доступ к приложению.
    Mozilla Firefox 1. Откройте Mozilla Firefox
    2. В адресной строке и выполните поиск по запросу about:config.
    3. В поле поиска выполните поиск по запросу TLS.
    4. Дважды щелкните запись для security.tls.version.min
    5. Задайте целочисленное значение 3, чтобы принудительно использовать TLS 1.2 в качестве минимальной требуемой версии.
    6. Выберите Сохранить (проверка пометить справа от поля значения)
    7. Перезапустите браузер и убедитесь, что у вас есть доступ к приложению.
    Safari Если вы используете Safari версии 7 или более поздней, tls 1.2 включается автоматически.

Defender for Cloud Apps использует протоколы TLS 1.2+ для обеспечения наилучшего в своем классе шифрования:

  • Собственные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+, недоступны при настройке управления сеансами.
  • Приложения SaaS, использующие TLS 1.1 или более поздней версии, отображаются в браузере как использующие TLS 1.2+ при настройке с Defender for Cloud Apps.

Совет

Хотя элементы управления сеансами предназначены для работы с любым браузером на любой крупной платформе в любой операционной системе, мы поддерживаем последние версии Microsoft Edge, Google Chrome, Mozilla Firefox или Apple Safari. Может потребоваться заблокировать или разрешить доступ к мобильным или классическим приложениям.

Медленные входы

Цепочка прокси-сервера и обработка без использования — это некоторые из распространенных проблем, которые могут привести к снижению производительности входа.

Рекомендуемые действия

Настройте среду, чтобы удалить все факторы, которые могут привести к замедлению во время входа. Например, у вас могут быть настроены брандмауэры или прямая цепочка прокси-серверов, которая подключает два или более прокси-серверов для перехода на заданную страницу. Также могут быть другие внешние факторы, влияющие на медленность.

  1. Определите, происходит ли цепочка прокси-сервера в вашей среде.
  2. По возможности удалите все прокси-серверы прямого перенаправления.

Некоторые приложения используют хэш nonce во время проверки подлинности, чтобы предотвратить атаки на воспроизведение. По умолчанию Defender for Cloud Apps предполагает, что приложение использует nonce. Если приложение, с которым вы работаете, не использует nonce, отключите обработку nonce для этого приложения в Defender for Cloud Apps:

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения.
  2. В разделе Подключенные приложения выберите Приложения для управления условным доступом.
  3. В списке приложений в строке, в которой отображается настраиваемая программа, выберите три точки в конце строки, а затем выберите Изменить для приложения.
  4. Выберите Nonce-handling (Обработка без поддержки), чтобы развернуть раздел, а затем снимите флажок Включить обработку nonce.
  5. Выйдите из приложения и закройте все сеансы браузера.
  6. Перезапустите браузер и снова войдите в приложение. Убедитесь, что вход работает должным образом.

Дополнительные рекомендации по условиям сети

При устранении неполадок в сети также учитывайте следующие примечания о прокси-сервере Defender for Cloud Apps:

  • Проверьте, направляется ли сеанс в другой центр обработки данных: Defender for Cloud Apps использует центры обработки данных Azure по всему миру для оптимизации производительности за счет геолокации.

    Это означает, что сеанс пользователя может быть размещен за пределами региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности данные сеанса не хранятся в этих центрах обработки данных.

  • Производительность прокси-сервера. Получение базовых показателей производительности зависит от многих факторов за пределами прокси-сервера Defender for Cloud Apps, например:

    • Какие другие прокси-серверы или шлюзы находятся рядом с этим прокси-сервером
    • Откуда приходит пользователь
    • Расположение целевого ресурса
    • Конкретные запросы на странице

    Как правило, любой прокси-сервер добавляет задержку. Преимущества прокси-сервера Defender for Cloud Apps:

    • Использование глобальной доступности контроллеров домена Azure для геолокации пользователей до ближайшего узла и уменьшения их расстояния в оба пути. Контроллеры домена Azure могут геораспределяться в масштабах, которые имеют немногие службы по всему миру.

    • Интеграция с Microsoft Entra условного доступа позволяет направлять в службу только те сеансы, которые вы хотите использовать для прокси-сервера, а не всех пользователей во всех ситуациях.

Проблемы с идентификацией устройств

Defender for Cloud Apps предоставляет следующие параметры для определения состояния управления устройством.

  • соответствие Microsoft Intune
  • Присоединено к гибридному домену Microsoft Entra
  • Сертификаты клиента

Дополнительные сведения см. в разделе Устройства, управляемые удостоверениями, с помощью управления приложениями условного доступа.

Ниже перечислены распространенные проблемы с идентификацией устройств.

Неправильно Intune совместимых или Microsoft Entra гибридных устройств

Условный доступ Microsoft Entra позволяет Intune совместимым и Microsoft Entra сведения об устройстве, присоединенном к гибридной среде, передаваться непосредственно Defender for Cloud Apps. В Defender for Cloud Apps используйте состояние устройства в качестве фильтра для политик доступа или сеансов.

Дополнительные сведения см. в статье Общие сведения об управлении устройствами в Microsoft Entra ID.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения.

  2. В разделе Управление условным доступом к приложениям выберите Идентификатор устройства. На этой странице показаны параметры идентификации устройств, доступные в Defender for Cloud Apps.

  3. Для Intune соответствующей идентификации устройств и Microsoft Entra идентификации с гибридным присоединением выберите Просмотр конфигурации и убедитесь, что службы настроены. Службы автоматически синхронизируются из Microsoft Entra ID и Intune соответственно.

  4. Создайте политику доступа или сеанса с фильтром тега устройства, равным гибридному Azure AD присоединено, Intune совместимо или и то, и другое.

  5. В браузере войдите на устройство, которое Microsoft Entra гибридное присоединение или Intune соответствует фильтру политики.

  6. Убедитесь, что действия с этих устройств заполняют журнал. В Defender for Cloud Apps на странице Журнал действийвыполните фильтрацию по тегу устройства, равному гибридному Azure AD присоединено, Intune совместимо или по обоим фильтрам политики.

  7. Если действия не заполнялись в журнале действий Defender for Cloud Apps, перейдите по Microsoft Entra ID и выполните следующие действия.

    1. В разделе Мониторинг>входов убедитесь, что в журналах есть действия входа.

    2. Выберите соответствующую запись журнала для устройства, на которое вы вошли.

    3. В области Сведения на вкладке Сведения убедитесь, что устройство является управляемым (гибридное Azure AD присоединено) или совместимо (Intune соответствует).

      Если вы не можете проверить ни одно из состояний, попробуйте выполнить другую запись в журнале или убедитесь, что данные устройства настроены правильно в Microsoft Entra ID.

    4. Для условного доступа для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.

    5. Если сведения об устройстве по-прежнему не отображаются на странице "Входы", отправьте запрос в службу поддержки для Microsoft Entra ID.

Сертификаты клиента не запрашивают, когда ожидается

Механизм идентификации устройств может запрашивать проверку подлинности с соответствующих устройств с помощью клиентских сертификатов. Вы можете отправить корневой сертификат X.509 или сертификат промежуточного центра сертификации (ЦС), отформатированный в формате сертификата PEM.

Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса. Дополнительные сведения см. в разделе Проверка управления устройствами без Microsoft Entra.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения.

  2. В разделе Управление условным доступом к приложениям выберите Идентификатор устройства. На этой странице показаны параметры идентификации устройств, доступные с помощью Defender for Cloud Apps.

  3. Убедитесь, что вы отправили корневой или промежуточный сертификат ЦС X.509. Необходимо отправить сертификат ЦС, который используется для подписи для центра сертификации.

  4. Создайте политику доступа или сеанса с фильтром тега устройства , равным Допустимому сертификату клиента.

  5. Убедитесь, что сертификат клиента:

    • Развертывается с использованием формата файла PKCS #12, как правило, с расширением P12 или PFX
    • Устанавливается в хранилище пользователей, а не в хранилище устройств, на устройстве, которое вы используете для тестирования

  6. Перезапустите сеанс браузера.

  7. При входе в защищенное приложение:

    • Убедитесь, что вы перенаправлены по следующему синтаксису URL-адреса: <https://*.managed.access-control.cas.ms/aad_login>
    • Если вы используете iOS, убедитесь, что используете браузер Safari.
    • Если вы используете Firefox, необходимо также добавить сертификат в собственное хранилище сертификатов Firefox. Все остальные браузеры используют то же хранилище сертификатов по умолчанию.

  8. Убедитесь, что в браузере запрашивается сертификат клиента.

    Если он не отображается, попробуйте использовать другой браузер. Большинство основных браузеров поддерживают выполнение проверка сертификата клиента. Однако мобильные и классические приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверка и, следовательно, влиять на проверку подлинности для этих приложений.

  9. Убедитесь, что действия с этих устройств заполняют журнал. В Defender for Cloud Apps на странице Журнал действий добавьте фильтр по тегу устройства, равный Допустимому сертификату клиента.

  10. Если запрос по-прежнему не отображается, откройте запрос в службу поддержки и добавьте следующие сведения:

    • Сведения о браузере или собственном приложении, в котором возникла проблема
    • Версия операционной системы, например iOS/Android/Windows 10
    • Укажите, работает ли запрос в Microsoft Edge Chromium

Клиентские сертификаты запрашиваются при каждом входе

Если после открытия новой вкладки отображается сертификат клиента, возможно, это связано с параметрами, скрытыми в свойствах браузера. Проверьте параметры в браузере. Например:

В Microsoft Internet Обозреватель:

  1. Откройте интернет-Обозреватель и перейдитена вкладкуСервис>Дополнительные параметры> браузера.
  2. В разделе Безопасность выберите Не запрашивать выбор сертификата клиента, если существует> только один сертификат Нажмите кнопку Применить>ОК.
  3. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению без дополнительных запросов.

В Microsoft Edge и Edge Chromium:

  1. Откройте поиск на панели задач и выполните поиск по запросу Свойства браузера.
  2. Выберите Internet Options>Security> Local intranetCustom level (Настраиваемый уровень безопасностилокальной интрасети>).
  3. В разделе Прочее>Не запрашивать выбор сертификата клиента, если существует только один сертификат, выберите Отключить.
  4. Нажмите кнопку ОК>Применить>ОК.
  5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению без дополнительных запросов.

Дополнительные рекомендации по идентификации устройств

При устранении неполадок с идентификацией устройств можно требовать отзыва сертификатов для сертификатов клиента.

Сертификаты, отзываемые ЦС, больше не являются доверенными. При выборе этого параметра требуется, чтобы все сертификаты передавали протокол CRL. Если сертификат клиента не содержит конечную точку списка отзыва сертификатов, вы не сможете подключиться с управляемого устройства.

Проблемы при подключении приложения

Microsoft Entra ID приложения автоматически подключены к Defender for Cloud Apps для условного доступа и элементов управления сеансами. Необходимо вручную подключить приложения поставщика удостоверений, отличные от Майкрософт, включая каталог и пользовательские приложения.

Дополнительные сведения см. в разделе:

Распространенные сценарии, с которыми вы можете столкнуться при подключении приложения:

Приложение не отображается на странице приложений для управления условным доступом

При подключении приложения поставщика удостоверений сторонних поставщиков удостоверений к управлению приложениями условного доступа последний шаг развертывания заключается в том, чтобы конечный пользователь переходили к приложению. Выполните действия, описанные в этом разделе, если приложение не отображается на ожидаемой странице Параметры Облачные > приложения > Подключенные приложения > для управления условным доступом к приложениям .

Рекомендуемые действия

  1. Убедитесь, что приложение соответствует следующим предварительным требованиям для управления условным доступом:

    • Убедитесь, что у вас есть действительная лицензия Defender for Cloud Apps.
    • Создайте повторяющееся приложение.
    • Убедитесь, что приложение использует протокол SAML.
    • Убедитесь, что вы полностью подключили приложение и укажите состояние "Подключено".

  2. Обязательно перейдите к приложению в новом сеансе браузера, используя новый режим инкогнито или выполнив вход еще раз.

Примечание.

Приложения entra ID отображаются на странице приложений управления условным доступом только после настройки по крайней мере в одной политике или если у вас есть политика без спецификации приложения и пользователь вошел в приложение.

Состояние приложения: продолжить настройку

Состояние приложения может отличаться и может включать в себя Продолжить установку, Подключено или Нет действий.

Если настройка не завершена для приложений, подключенных через поставщиков удостоверений, отличных от Майкрософт, при доступе к приложению отображается страница с состоянием Продолжить установку. Чтобы завершить настройку, выполните следующие действия.

Рекомендуемые действия

  1. Выберите Продолжить установку.

  2. Просмотрите следующие статьи и убедитесь, что вы выполнили все необходимые действия.

    Обратите особое внимание на следующие действия.

    1. Убедитесь, что вы создали пользовательское приложение SAML. Это приложение требуется для изменения URL-адресов и атрибутов SAML, которые могут быть недоступны в приложениях коллекции.
    2. Если поставщик удостоверений не разрешает повторное использование того же идентификатора, также известного как Идентификатор сущности или Аудитория, измените идентификатор исходного приложения.

Не удается настроить элементы управления для встроенных приложений

Встроенные приложения можно обнаружить эвристически, и вы можете использовать политики доступа для их мониторинга или блокировки. Чтобы настроить элементы управления для собственных приложений, выполните следующие действия.

Рекомендуемые действия

  1. В политике доступа добавьте фильтр клиентского приложения и присвойте ему значение Мобильные и настольные приложения.

  2. В разделе Действия выберите Блокировать.

  3. При необходимости настройте сообщение о блокировке, которое пользователи получают, когда им не удается скачать файлы. Например, настройте это сообщение на . Для доступа к этому приложению необходимо использовать веб-браузер.

  4. Протестируйте и убедитесь, что элемент управления работает должным образом.

Отображается страница "Приложение не распознано"

Defender for Cloud Apps могут распознавать более 31 000 приложений через каталог облачных приложений.

Если вы используете пользовательское приложение, настроенное с помощью Microsoft Entra единого входа и не является одним из поддерживаемых приложений, вы столкнулись с страницей Приложение не распознано. Чтобы устранить эту проблему, необходимо настроить для приложения элемент управления условным доступом.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

  2. В баннере выберите Просмотреть новые приложения.

  3. В списке новых приложений найдите приложение, которое вы используете, выберите + знак и нажмите кнопку Добавить.

    1. Выберите, является ли приложение пользовательским или стандартным .
    2. Перейдите к мастеру и убедитесь, что указанные пользовательские домены указаны правильно для настраиваемого приложения.

  4. Убедитесь, что приложение отображается на странице приложений управления условным доступом .

Появится параметр управления сеансом запроса

После подключения к приложению поставщика удостоверений сторонних поставщиков удостоверений вы можете увидеть параметр Управление сеансом запроса . Это происходит из-за того, что только приложения каталога имеют встроенные элементы управления сеансами. Для любого другого приложения необходимо выполнить процесс самостоятельного подключения.

Следуйте инструкциям, приведенным в статье Развертывание элемента управления условным доступом для пользовательских приложений с поставщиком удостоверений, отличных от Майкрософт.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения.

  2. В разделе Управление условным доступом к приложениям выберите Подключение и обслуживание приложений.

  3. Введите имя участника или адрес электронной почты пользователя, который будет подключить приложение, а затем нажмите кнопку Сохранить.

  4. Перейдите в приложение, которое вы развертываете. Видимая страница зависит от того, распознается ли приложение. В зависимости от страницы выполните одно из следующих действий:

    • Не распознано. Отобразится страница "Приложение не распознано ", на которую предлагается настроить приложение. Выполните следующие действия.

      1. Подключение приложения для управления условным доступом.
      2. Добавьте домены для приложения.
      3. Установите сертификаты приложения.

    • Распознано. Если приложение распознано, появится страница подключения с предложением продолжить процесс настройки приложения.

      Убедитесь, что приложение настроено со всеми доменами, необходимыми для правильной работы приложения, а затем вернитесь на страницу приложения.

Дополнительные рекомендации по подключению приложений

При устранении неполадок при подключении приложений необходимо учитывать некоторые дополнительные моменты.

  • Узнайте разницу между параметрами политики условного доступа Microsoft Entra: "Только мониторинг", "Блокировать загрузки" и "Использовать настраиваемую политику".

    В Microsoft Entra политик условного доступа можно настроить следующие встроенные элементы управления Defender for Cloud Apps: Только мониторинг и Блокировать загрузки. Эти параметры применяют и применяют функцию прокси-сервера Defender for Cloud Apps для облачных приложений и условий, настроенных в Microsoft Entra ID.

    Для более сложных политик выберите Использовать настраиваемую политику, которая позволяет настраивать политики доступа и сеансов в Defender for Cloud Apps.

  • Общие сведения о параметре фильтра клиентских приложений "Мобильные и настольные приложения" в политиках доступа

    В Defender for Cloud Apps политиках доступа, если для фильтра клиентского приложения не задано значение Мобильные и настольные устройства, результирующая политика доступа применяется к сеансам браузера.

    Причина этого заключается в том, чтобы предотвратить непреднамеренное прокси-использование сеансов пользователей, что может быть побочным результатом использования этого фильтра.

Проблемы при создании политик доступа и сеансов

Defender for Cloud Apps предоставляет следующие настраиваемые политики:

  • Политики доступа. Используется для мониторинга или блокировки доступа к браузерным, мобильным и (или) классическим приложениям.
  • Политики сеансов. Используется для мониторинга, блокировки и выполнения определенных действий, чтобы предотвратить проникновение и кражу данных в браузере.

Чтобы использовать эти политики в Defender for Cloud Apps, необходимо сначала настроить политику в Microsoft Entra условного доступа для расширения элементов управления сеансами:

  1. В политике Microsoft Entra в разделе Элементы управления доступом выберите Сеанс>Использовать управление условным доступом к приложениям.

  2. Выберите встроенную политику (Только мониторинг или Блокировать загрузки) или Используйте пользовательскую политику, чтобы задать расширенную политику в Defender for Cloud Apps.

  3. Нажмите кнопку Выбрать , чтобы продолжить.

Ниже приведены распространенные сценарии, с которыми вы можете столкнуться при настройке этих политик.

В политиках условного доступа параметр управления условным доступом для приложений не отображается.

Чтобы маршрутизировать сеансы в Defender for Cloud Apps, Microsoft Entra политики условного доступа должны быть настроены для включения элементов управления сеансами управления условным доступом приложений.

Рекомендуемые действия

Если вы не видите параметр Управление условным доступом к приложениям в политике условного доступа, убедитесь, что у вас есть действительная лицензия на Microsoft Entra ID P1 и действительная лицензия Defender for Cloud Apps.

Сообщение об ошибке при создании политики. У вас нет приложений, развернутых с управлением условным доступом.

При создании политики доступа или сеанса может появиться следующее сообщение об ошибке: У вас нет приложений, развернутых с управлением условным доступом. Эта ошибка указывает, что приложение является приложением поставщика удостоверений сторонних поставщиков удостоверений, которое не было подключено для управления условным доступом к приложениям.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

  2. Если появится сообщение Нет подключенных приложений, используйте следующие руководства для развертывания приложений:

Если при развертывании приложения возникают проблемы, см. статью Проблемы при подключении приложения.

Не удается создать политики сеансов для приложения

После подключения приложения поставщика удостоверений сторонних поставщиков удостоверений для управления приложениями условного доступа на странице Приложений для управления условным доступом может появись параметр Запросить управление сеансом.

Примечание.

В приложениях каталога есть встроенные элементы управления сеансами. Для любых других приложений поставщика удостоверений, отличных от Майкрософт, необходимо пройти процесс самостоятельного подключения. Рекомендуемые действия

  1. Разверните приложение в элементе управления сеансом. Дополнительные сведения см. в разделе Подключение пользовательских приложений поставщика удостоверений сторонних поставщиков удостоверений для управления условным доступом.

  2. Создайте политику сеанса и выберите фильтр приложений .

  3. Убедитесь, что ваше приложение теперь указано в раскрывающемся списке.

Не удается выбрать метод проверки: служба классификации данных

В политиках сеансов при использовании типа элемента управления скачиванием файлов управления (с проверкой) можно использовать метод проверки службы классификации данных для сканирования файлов в режиме реального времени и обнаружения конфиденциального содержимого, соответствующего любому из настроенных условий.

Если метод проверки службы классификации данных недоступен, выполните следующие действия для изучения проблемы.

Рекомендуемые действия

  1. Убедитесь, что для параметра Тип элемента управления сеансом задано значение Control file download (with inspection)).

    Примечание.

    Метод проверки службы классификации данных доступен только для параметра Скачивание файла управления (с проверкой).

  2. Определите, доступна ли функция службы классификации данных в вашем регионе:

    • Если функция недоступна в вашем регионе, используйте встроенный метод проверки защиты от потери данных .
    • Если функция доступна в вашем регионе, но вы по-прежнему не видите метод проверки Службы классификации данных , отправьте запрос в службу поддержки.

Не удается выбрать Действие: Защитить

В политиках сеанса при использовании типа элемента управления сеансом для скачивания файла управления (с проверкой) в дополнение к действиям Мониторинг и Блокировка можно указать действие Защитить . Это действие позволяет разрешить скачивание файлов с возможностью шифрования или применения разрешений к файлу в зависимости от условий, проверки содержимого или и того, и другого.

Если действие Защитить недоступно, выполните следующие действия, чтобы изучить проблему.

Рекомендуемые действия

  1. Если действие Защитить недоступно или неактивно, убедитесь, что у вас есть лицензия Microsoft Purview. Дополнительные сведения см. в разделе интеграция Защита информации Microsoft Purview.

  2. Если действие Защитить доступно, но не отображает соответствующие метки.

    1. В Defender for Cloud Apps в строке меню щелкните значок > параметров Microsoft Information Protection и убедитесь, что интеграция включена.

    2. Для меток Office на портале Microsoft Purview убедитесь, что выбран пункт Унифицированные метки .

Диагностика и устранение неполадок с помощью панели инструментов просмотра Администратор

Панель инструментов Администратор Вид находится в нижней части экрана и предоставляет пользователям-администраторам средства для диагностики и устранения проблем с управлением условным доступом к приложениям.

Чтобы просмотреть панель инструментов просмотра Администратор, необходимо добавить определенные учетные записи администраторов в список Подключение и обслуживание приложений в параметрах Microsoft Defender XDR.

Чтобы добавить пользователя в список подключения и обслуживания приложений, выполните следующие действия.

  1. В Microsoft Defender XDR выберите Параметры Облачные>приложения.

  2. Прокрутите вниз и в разделе Управление условным доступом к приложениям выберите Подключение и обслуживание приложений.

  3. Введите имя участника или адрес электронной почты для пользователя администратора, которого вы хотите добавить.

  4. Выберите параметр Разрешить этим пользователям обходить управление условным доступом к приложениям внутри прокси-сеанса , а затем нажмите кнопку Сохранить.

    Например:

    Снимок экрана: параметры подключения и обслуживания приложений.

В следующий раз, когда один из перечисленных пользователей запускает новый сеанс в поддерживаемом приложении, где он является администратором, в нижней части браузера отображается панель инструментов представления Администратор.

Например, на следующем рисунке показана панель инструментов Администратор Вид в нижней части окна браузера при использовании OneNote в браузере:

Снимок экрана: панель инструментов просмотра Администратор.

В следующих разделах описывается использование панели инструментов Администратор View для тестирования и устранения неполадок.

Тестовый режим

Как администратор, вы можете протестировать предстоящие исправления ошибок прокси-сервера, прежде чем последний выпуск будет полностью развернут для всех клиентов. Предоставьте свой отзыв об исправлении ошибок в службу поддержки Майкрософт, чтобы ускорить циклы выпуска.

В тестовом режиме все изменения, указанные в исправлениях ошибок, доступны только пользователям администраторов. Это не влияет на других пользователей.

  • Чтобы включить тестовый режим, на панели инструментов Администратор Вид выберите Режим тестирования.
  • Завершив тестирование, выберите Завершить тестовый режим , чтобы вернуться к обычной функциональности.

Обход сеанса прокси-сервера

Если вы используете браузер, отличный от Edge и испытываете трудности с доступом к приложению или его загрузкой, вы можете проверить, связана ли проблема с прокси-сервером условного доступа, запустив приложение без прокси-сервера.

Чтобы обойти прокси-сервер, на панели инструментов представления Администратор выберите Обход интерфейса. Убедитесь, что сеанс обошел стороной, отметив, что URL-адрес не имеет суффиксов.

Прокси-сервер условного доступа снова используется в следующем сеансе.

Дополнительные сведения см. в разделах Microsoft Defender for Cloud Apps управление условным доступом изащита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия).

Второй вход (также известный как "second login")

Некоторые приложения имеют несколько глубоких ссылок для входа. Если вы не определите ссылки для входа в параметры приложения, пользователи могут перенаправляться на нераспознанную страницу при входе, блокируя их доступ.

Интеграция между поставщиками удостоверений, такими как Microsoft Entra ID, основана на перехвате входа в приложение и перенаправлении его. Это означает, что входы в браузер нельзя контролировать напрямую без активации второго входа. Чтобы активировать второй вход, необходимо использовать второй URL-адрес входа специально для этой цели.

Если приложение использует nonce, второй вход может быть прозрачным для пользователей или им будет предложено снова войти.

Если он не является прозрачным для конечного пользователя, добавьте второй URL-адрес входа в параметры приложения:

Перейдите в раздел Параметры Облачные > приложения > Подключенные приложения > с условным доступом Приложения управления приложениями

Выберите соответствующее приложение, а затем выберите три точки.

Выберите Изменить приложение\Расширенная конфигурация входа.

Добавьте второй URL-адрес входа, как указано на странице ошибки.

Если вы уверены, что приложение не использует nonce, его можно отключить, изменив параметры приложений, как описано в разделе Медленный вход.

Запись сеанса

Вы можете помочь в анализе первопричин проблемы, отправив запись сеанса инженерам службы поддержки Майкрософт. Используйте панель инструментов Администратор View для записи сеанса.

Примечание.

Все персональные данные удаляются из записей.

Чтобы записать сеанс, выполните приведенные далее действия.

  1. На панели инструментов Администратор Вид выберите Запись сеанса. При появлении запроса выберите Продолжить , чтобы принять условия. Например:

    Снимок экрана: диалоговое окно заявления о конфиденциальности записи сеанса.

  2. При необходимости войдите в приложение, чтобы начать имитацию сеанса.

  3. Завершив запись сценария, убедитесь, что на панели инструментов Администратор вид выберите Остановить запись.

Чтобы просмотреть записанные сеансы, выполните приведенные далее действия.

После завершения записи просмотрите записанные сеансы, выбрав Записи сеансов на панели инструментов Администратор Вид. Появится список записанных сеансов за предыдущие 48 часов. Например:

Снимок экрана: записи сеансов.

Чтобы управлять записями, выберите файл, а затем выберите Удалить или Скачать по мере необходимости. Например:

Снимок экрана: скачивание или удаление записи.

Добавление доменов для приложения

Связывание правильных доменов с приложением позволяет Defender for Cloud Apps применять политики и действия аудита.

Например, если вы настроили политику, которая блокирует скачивание файлов для связанного домена, скачивание файлов приложением из этого домена будет заблокировано. Однако скачивание файлов приложением из доменов, не связанных с приложением, не будет заблокировано, и действие не будет проверяться в журнале действий.

Если администратор просматривает в прокси-приложении нераспознанный домен, который Defender for Cloud Apps не считает частью того же приложения или любого другого приложения, появится сообщение "Нераспознанный домен", предлагающее администратору добавить домен, чтобы он был защищен в следующий раз. В таких случаях, если администратор не хочет добавлять домен, никаких действий не требуется.

Примечание.

Defender for Cloud Apps по-прежнему добавляет суффикс к доменам, не связанным с приложением, чтобы обеспечить удобство взаимодействия с пользователем.

Чтобы добавить домены для приложения, выполните приведенные далее действия.

  1. Откройте приложение в браузере, на экране отображается панель инструментов Defender for Cloud Apps Администратор Вид.

  2. На панели инструментов Администратор Вид выберите Обнаруженные домены.

  3. В области Обнаруженные домены запишите перечисленные доменные имена или экспортируйте список в виде файла .csv.

    На панели Обнаруженные домены отображается список всех доменов, которые не связаны с приложением. Доменные имена являются полными.

  4. В Microsoft Defender XDR выберите Параметры>Облачные приложения>Подключенные приложения>Условный доступ к приложениям управления приложениями.

  5. Найдите приложение в таблице. Выберите меню параметров справа, а затем выберите Изменить приложение.

  6. В поле Определяемые пользователем домены введите домены, которые нужно связать с этим приложением.

    • Чтобы просмотреть список доменов, уже настроенных в приложении, выберите ссылку Просмотреть домены приложения .

    • При добавлении доменов учтите, хотите ли вы добавить определенные домены, или используйте звездочку (***** как подстановочный знак для использования нескольких доменов одновременно.

      Например, sub1.contoso.comsub2.contoso.com это примеры определенных доменов. Чтобы добавить оба этих домена одновременно, а также другие одноуровневые домены, используйте .*.contoso.com

Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.

Связанные материалы