Устранение неполадок с доступом и элементами управления сеансами для конечных пользователей
В этой статье Microsoft Defender for Cloud Apps администраторам предоставляется руководство по изучению и устранению распространенных проблем с доступом и управлением сеансами, с которыми сталкиваются конечные пользователи.
Проверка минимальных требований
Прежде чем приступить к устранению неполадок, убедитесь, что ваша среда соответствует приведенным ниже минимальным общим требованиям к элементам управления доступом и сеансами.
| Требования | Описание |
|---|---|
| Лицензирование | Убедитесь, что у вас есть действительная лицензия на Microsoft Defender for Cloud Apps. |
| Единый вход | Приложения должны быть настроены с помощью одного из поддерживаемых решений единого входа. — Microsoft Entra ID с помощью SAML 2.0 или OpenID Connect 2.0 — Поставщик удостоверений сторонних поставщиков удостоверений использует SAML 2.0 |
| Поддержка браузеров | Элементы управления сеансами доступны для сеансов на основе браузера в последних версиях следующих браузеров: — Microsoft Edge — Google Chrome - Mozilla Firefox — Apple Safari Защита в браузере для Microsoft Edge также имеет определенные требования, включая пользователя, выполнившего вход с помощью своего рабочего профиля. Дополнительные сведения см. в разделе Требования к защите в браузере. |
| Простой | Defender for Cloud Apps позволяет определить поведение по умолчанию, применяемое в случае сбоя службы, например неправильного функционирования компонента. Например, вы можете запретить (блокировать) или обходить (разрешить) пользователям выполнять действия с потенциально конфиденциальным содержимым, если не удается применить обычные элементы управления политикой. Чтобы настроить поведение по умолчанию во время простоя системы, в Microsoft Defender XDR перейдите в раздел Параметры>Управление условным доступом> кприложениям По умолчанию поведение>Разрешить или заблокировать доступ. |
Страница мониторинга пользователей не отображается
При маршрутизации пользователя через Defender for Cloud Apps можно уведомить пользователя о том, что его сеанс отслеживается. По умолчанию страница мониторинга пользователей включена.
В этом разделе описаны действия по устранению неполадок, которые рекомендуется выполнить, если страница мониторинга пользователей включена, но не отображается должным образом.
Рекомендуемые действия
На портале Microsoft Defender выберите Параметры Облачные>приложения.
В разделе Управление условным доступом к приложениям выберите Мониторинг пользователей. На этой странице показаны параметры мониторинга пользователей, доступные в Defender for Cloud Apps. Например:
Убедитесь, что выбран параметр Уведомлять пользователей о том, что их действия отслеживаются .
Выберите, нужно ли использовать сообщение по умолчанию или предоставить пользовательское сообщение:
Тип сообщения Сведения По умолчанию Заголовок:
Доступ к [Имя приложения будет отображаться здесь] отслеживается
Текст:
Для повышения безопасности ваша организация разрешает доступ к [Имя приложения будет отображаться здесь] в режиме мониторинга. Доступ доступен только в веб-браузере.Custom Заголовок:
Используйте это поле для предоставления пользовательского заголовка для информирования пользователей о том, что они отслеживаются.
Текст:
Используйте это поле для добавления других пользовательских сведений для пользователя, например, к кому обращаться с вопросами, и поддерживает следующие входные данные: обычный текст, форматированный текст, гиперссылки.Выберите Предварительный просмотр , чтобы проверить страницу мониторинга пользователей, которая отображается перед доступом к приложению.
Выберите Сохранить.
Не удается получить доступ к приложению от поставщика удостоверений сторонних поставщиков
Если пользователь получает общий сбой после входа в приложение от поставщика удостоверений, отличного от Майкрософт, проверьте конфигурацию поставщика удостоверений, отличного от Майкрософт.
Рекомендуемые действия
На портале Microsoft Defender выберите Параметры Облачные>приложения.
В разделе Подключенные приложения выберите Приложения для управления условным доступом.
В списке приложений в строке, в которой отображается приложение, к которому вы не можете получить доступ, выберите три точки в конце строки, а затем выберите Изменить приложение.
Проверьте правильность отправленного сертификата SAML.
Убедитесь, что в конфигурации приложения указаны допустимые URL-адреса единого входа.
Убедитесь, что атрибуты и значения в пользовательском приложении отражаются в параметрах поставщика удостоверений.
Например:
Если вы по-прежнему не можете получить доступ к приложению, откройте запрос в службу поддержки.
Откроется страница "Что-то пошло не так"
Иногда во время сеанса с прокси-сервером может появиться страница Что-то пошло не так . Это может произойти, когда:
- Пользователь входит в систему после простоя в течение некоторого времени
- Обновление браузера и загрузка страницы занимает больше времени, чем ожидалось
- Приложение поставщика удостоверений сторонних поставщиков удостоверений настроено неправильно
Рекомендуемые действия
Если пользователь пытается получить доступ к приложению, настроенное с помощью поставщика удостоверений, отличного от Майкрософт, см. статью Не удается получить доступ к приложению из состояния поставщика удостоверений и приложений сторонних поставщиков удостоверений : Продолжить настройку.
Если пользователь неожиданно достиг этой страницы, сделайте следующее:
- Перезапустите сеанс браузера.
- Очистите журнал, файлы cookie и кэш из браузера.
Действия буфера обмена или элементы управления файлами не блокируются
Возможность блокировать действия буфера обмена, такие как вырезать, копировать, вставить и элементы управления файлами, такие как скачивание, отправка и печать, необходима для предотвращения сценариев кражи данных и проникновения.
Эта возможность позволяет компаниям сбалансировать безопасность и производительность для конечных пользователей. Если у вас возникли проблемы с этими функциями, выполните следующие действия, чтобы изучить проблему.
Рекомендуемые действия
Если сеанс находится в прокси-сервере, выполните следующие действия, чтобы проверить политику:
На портале Microsoft Defender в разделе Облачные приложения выберите Журнал действий.
Используйте расширенный фильтр, выберите Примененное действие и задайте для его значения значение Заблокировано.
Убедитесь, что действия с файлами заблокированы:
Если есть действие, разверните панель действий, щелкнув действие.
На вкладке Общие панели действий выберите ссылку на соответствующие политики, чтобы убедиться, что примененная политика присутствует.
Если политика не отображается, см. раздел Проблемы при создании политик доступа и сеансов.
Если отображается сообщение Access заблокировано или разрешено из-за поведения по умолчанию, это означает, что система не работает, и применено поведение по умолчанию.
Чтобы изменить поведение по умолчанию, на портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. Затем в разделе Управление условным доступом к приложениям выберите Поведение по умолчанию и присвойте по умолчанию значение Разрешить или Заблокировать доступ.
Перейдите на портал администрирования Microsoft 365 и отслеживайте уведомления о простоях системы.
Если вы по-прежнему не видите заблокированные действия, отправьте запрос в службу поддержки.
Скачиваемые файлы не защищены
Для конечного пользователя может потребоваться скачивание конфиденциальных данных на неуправляемое устройство. В этих сценариях можно защитить документы с помощью Защита информации Microsoft Purview.
Если пользователю не удается успешно зашифровать документ, выполните следующие действия, чтобы изучить проблему.
Рекомендуемые действия
На портале Microsoft Defender в разделе Облачные приложения выберите Журнал действий.
Используйте расширенный фильтр, выберите Примененное действие и задайте для нее значение Protected.
Убедитесь, что действия с файлами заблокированы:
Если есть действие, разверните панель действий, щелкнув действие.
На вкладке Общие панели действий выберите ссылку на соответствующие политики, чтобы убедиться, что примененная политика присутствует.
Если политика не отображается, см. раздел Проблемы при создании политик доступа и сеансов.
Если отображается сообщение Access заблокировано или разрешено из-за поведения по умолчанию, это означает, что система не работает, и применено поведение по умолчанию.
Чтобы изменить поведение по умолчанию, на портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. Затем в разделе Управление условным доступом к приложениям выберите Поведение по умолчанию и присвойте по умолчанию значение Разрешить или Заблокировать доступ.
Перейдите на панель мониторинга работоспособности служб Microsoft 365 и отслеживайте уведомления о простоях системы.
Если вы защищаете файл с помощью метки конфиденциальности или пользовательских разрешений, в описании действия убедитесь, что расширение файла является одним из следующих поддерживаемых типов файлов:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF , если включена унифицированная маркировка
Если тип файла не поддерживается, в политике сеанса можно выбрать Блокировать скачивание любого файла, который не поддерживается собственной защитой или где собственная защита не работает.
Если вы по-прежнему не видите заблокированные действия, отправьте запрос в службу поддержки.
Переход к определенному URL-адресу приложения с суффиксами и размещение на общей странице
В некоторых сценариях переход по ссылке может привести к тому, что пользователь перейдет на домашнюю страницу приложения, а не на полный путь к ссылке.
Совет
Defender for Cloud Apps ведет список приложений, которые, как известно, страдают от потери контекста. Дополнительные сведения см. в разделе Ограничения потери контекста.
Рекомендуемые действия
Если вы используете браузер, отличный от Microsoft Edge, и пользователь попадает на домашнюю страницу приложения вместо полного пути ссылки, устраните проблему, добавив .mcas.ms к исходному URL-адресу.
Например, если исходный URL-адрес:
https://www.github.com/organization/threads/threadnumber, измените его на https://www.github.com.mcas.ms/organization/threads/threadnumber
Пользователи Microsoft Edge получают преимущества защиты в браузере, не перенаправляются на обратный прокси-сервер и не нуждаются в добавлении суффикса .mcas.ms . Для приложений с потерей контекста откройте запрос в службу поддержки.
Блокировка загрузки приводит к блокировке предварительных просмотров PDF
Иногда при просмотре или печати PDF-файлов приложения инициируют скачивание файла. Это приводит к тому, что Defender for Cloud Apps вмешается, чтобы обеспечить блокировку загрузки и не утечку данных из вашей среды.
Например, если вы создали политику сеанса для блокировки загрузки для Outlook Web Access (OWA), то предварительный просмотр или печать PDF-файлов может быть заблокирован с таким сообщением:
Чтобы разрешить предварительную версию, администратор Exchange должен выполнить следующие действия.
Скачайте Exchange Online модуль PowerShell.
Подключитесь к модулю. Дополнительные сведения см. в статье Connect to Exchange Online PowerShell.
После подключения к Exchange Online PowerShell используйте командлет Set-OwaMailboxPolicy, чтобы обновить параметры в политике:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseПримечание.
Политика OwaMailboxPolicy-Default — это имя политики OWA по умолчанию в Exchange Online. Некоторые клиенты могут развернуть дополнительную или создать настраиваемую политику OWA с другим именем. Если у вас есть несколько политик OWA, они могут применяться к определенным пользователям. Поэтому вам также потребуется обновить их, чтобы обеспечить полное покрытие.
После установки этих параметров выполните тест в OWA с PDF-файлом и политикой сеанса, настроенной для блокировки загрузки. Параметр Скачать должен быть удален из раскрывающегося списка, и вы можете просмотреть файл. Например:
Появится предупреждение аналогичного сайта
Злоумышленники могут создавать URL-адреса, похожие на URL-адреса других сайтов, чтобы олицетворять и обманывать пользователей, чтобы поверить, что они переходят на другой сайт. Некоторые браузеры пытаются обнаружить это поведение и предупреждают пользователей перед доступом к URL-адресу или блокируют доступ.
В некоторых редких случаях пользователи, управляющие сеансом, получают из браузера сообщение о подозрительном доступе к сайту. Это связано с тем, что браузер обрабатывает домен суффиксами (например, .mcas.ms) как подозрительный.
Это сообщение отображается только для пользователей Chrome, так как пользователи Microsoft Edge получают преимущества защиты в браузере без архитектуры обратного прокси-сервера. Например:
Если вы получили подобное сообщение, обратитесь в службу поддержки Майкрософт, чтобы обратиться к соответствующему поставщику браузера.
Дополнительные рекомендации по устранению неполадок приложений
При устранении неполадок приложений следует учитывать еще несколько моментов:
Поддержка элементов управления сеансами для современных браузеров Defender for Cloud Apps элементов управления сеансами теперь включает поддержку нового браузера Microsoft Edge на основе Chromium. Хотя мы продолжаем поддерживать последние версии Интернет-Обозреватель и устаревшую версию Microsoft Edge, эта поддержка ограничена, и мы рекомендуем использовать новый браузер Microsoft Edge.
Элементы управления сеансом защищают ограничения Co-Auth метки в действии "защитить" не поддерживаются Defender for Cloud Apps элементами управления сеансом. Дополнительные сведения см. в статье Включение совместного редактирования для файлов, зашифрованных с помощью меток конфиденциальности.