Dela via

Felsöka åtkomst- och sessionskontroller för administratörsanvändare

  • Artikel

Den här artikeln ger Microsoft Defender for Cloud Apps administratörer vägledning om hur du undersöker och löser vanliga problem med åtkomst- och sessionskontroll som administratörer upplever.

Obs!

Felsökning som rör proxyfunktioner är endast relevant för sessioner som inte har konfigurerats för skydd i webbläsaren med Microsoft Edge.

Kontrollera minimikraven

Innan du börjar felsöka kontrollerar du att din miljö uppfyller följande minimikrav för åtkomst- och sessionskontroller.

Krav Beskrivning
Licensiering Kontrollera att du har en giltig licens för Microsoft Defender for Cloud Apps.
Enkel Sign-On (SSO) Appar måste konfigureras med någon av de SSO-lösningar som stöds:

– Microsoft Entra ID med SAML 2.0 eller OpenID Connect 2.0
– Icke-Microsoft IdP med SAML 2.0
Webbläsarstöd Sessionskontroller är tillgängliga för webbläsarbaserade sessioner i de senaste versionerna av följande webbläsare:

– Microsoft Edge
– Google Chrome
- Mozilla Firefox
- Apple Safari

Skydd i webbläsaren för Microsoft Edge har också specifika krav, inklusive användaren som är inloggad med sin arbetsprofil. Mer information finns i Krav för webbläsarskydd.
Stilleståndstid Defender for Cloud Apps kan du definiera standardbeteendet som ska tillämpas om det uppstår avbrott i tjänsten, till exempel om en komponent inte fungerar som den ska.

Om de normala principkontrollerna till exempel inte kan tillämpas kan du välja att härda (blockera) eller kringgå (tillåt) användare från att vidta åtgärder för potentiellt känsligt innehåll.

Om du vill konfigurera standardbeteendet under systemavbrott går du i Microsoft Defender XDR till Inställningar>Standardbeteende> för appkontroll > förvillkorsstyrd åtkomstTillåt eller Blockera åtkomst.

Krav för webbläsarskydd

Om du använder webbläsarskydd med Microsoft Edge och fortfarande hanteras av en omvänd proxy kontrollerar du att du uppfyller följande ytterligare krav:

  • Funktionen är aktiverad i inställningarna för Defender XDR. Mer information finns i Konfigurera inställningar för webbläsarskydd.

  • Alla principer som användaren omfattas av stöds för Microsoft Edge for Business. Om en användare hanteras av en annan princip som inte stöds av Microsoft Edge for Business hanteras de alltid av den omvända proxyn. Mer information finns i Krav för webbläsarskydd.

  • Du använder en plattform som stöds, inklusive ett operativsystem, en identitetsplattform och en Edge-version som stöds. Mer information finns i Krav för webbläsarskydd.

Referens för felsökningsproblem för administratörer

Använd följande tabell för att hitta problemet du försöker felsöka:

Typ av problem Frågor
Problem med nätverksvillkor Nätverksfel vid navigering till en webbläsarsida

Långsamma inloggningar

Fler överväganden för nätverksvillkor
Problem med enhetsidentifiering Felidentifierade Intune kompatibla eller Microsoft Entra hybrid-anslutna enheter

Klientcertifikat frågar inte när det är förväntat

Klientcertifikat frågar inte när det är förväntat
Klientcertifikat frågar vid varje inloggning

Fler överväganden för enhetsidentifiering
Problem vid registrering av en app Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

Appstatus: Fortsätt installationenDet går inte att konfigurera kontroller för interna appar

Alternativet för sessionskontroll för begäran visas
Problem med att skapa åtkomst- och sessionsprinciper I Principer för villkorsstyrd åtkomst kan du inte se alternativet för appkontroll för villkorsstyrd åtkomst

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

Det går inte att skapa sessionsprinciper för en app

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

Det går inte att välja Åtgärd: Skydda

Fler överväganden för registrering av appar
Diagnostisera och felsöka med verktygsfältet Admin Visa Kringgå proxysession

Spela in en session

Lägga till domäner för din app

Problem med nätverksvillkor

Vanliga problem med nätverksvillkor som kan uppstå är:

Nätverksfel vid navigering till en webbläsarsida

När du först konfigurerar Defender for Cloud Apps åtkomst- och sessionskontroller för en app kan vanliga nätverksfel uppstå: Den här webbplatsen är inte säker och det finns ingen internetanslutning. Dessa meddelanden kan tyda på ett allmänt nätverkskonfigurationsfel.

Rekommenderade steg

  1. Konfigurera brandväggen så att den fungerar med Defender for Cloud Apps med hjälp av De Azure IP-adresser och DNS-namn som är relevanta för din miljö.

    1. Lägg till utgående port 443 för följande IP-adresser och DNS-namn för ditt Defender for Cloud Apps datacenter.
    2. Starta om enheten och webbläsarsessionen
    3. Kontrollera att inloggningen fungerar som förväntat

  2. Aktivera TLS 1.2 i webbläsarens Internetalternativ. Till exempel:

    Webbläsare Steg
    Microsoft Internet Explorer 1. Öppna Internet Explorer
    2. Välj verktyg>fliken Internetalternativ>Avancerat
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Microsoft Edge/Edge-Chromium 1. Öppna sökningen från aktivitetsfältet och sök efter "Internetalternativ"
    2. Välj Internetalternativ
    3. Under Säkerhet väljer du TLS 1.2
    4. Välj Använd och välj sedan OK
    5. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Google Chrome 1. Öppna Google Chrome
    2. Längst upp till höger väljer du Fler (3 lodräta punkter) >Inställningar
    3. Längst ned väljer du Avancerat
    4. Under System väljer du Öppna proxyinställningar
    5. På fliken Avancerat går du till Säkerhet och väljer TLS 1.2
    6. Välj OK
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Mozilla Firefox 1. Öppna Mozilla Firefox
    2. I adressfältet och sök efter "about:config"
    3. I sökrutan söker du efter "TLS"
    4. Dubbelklicka på posten för security.tls.version.min
    5. Ange heltalsvärdet till 3 för att framtvinga TLS 1.2 som den lägsta version som krävs
    6. Välj Spara (markera till höger om värderutan)
    7. Starta om webbläsaren och kontrollera att du har åtkomst till appen
    Safari Om du använder Safari version 7 eller senare aktiveras TLS 1.2 automatiskt

Defender for Cloud Apps använder TLS-protokoll (Transport Layer Security) 1.2+ för att tillhandahålla förstklassig kryptering:

  • Interna klientappar och webbläsare som inte stöder TLS 1.2+ är inte tillgängliga när de konfigureras med sessionskontroll.
  • SaaS-appar som använder TLS 1.1 eller lägre visas i webbläsaren som TLS 1.2+ när de konfigureras med Defender for Cloud Apps.

Tips

Sessionskontroller är byggda för att fungera med alla webbläsare på alla större plattformar på alla operativsystem, men vi stöder de senaste versionerna av Microsoft Edge, Google Chrome, Mozilla Firefox eller Apple Safari. Du kanske vill blockera eller tillåta åtkomst specifikt till mobilappar eller skrivbordsappar.

Långsamma inloggningar

Proxylänkning och nonce-hantering är några av de vanliga problem som kan leda till långsamma inloggningsprestanda.

Rekommenderade steg

Konfigurera din miljö för att ta bort faktorer som kan orsaka långsamhet under inloggningen. Du kan till exempel ha konfigurerat brandväggar eller vidarebefordran av proxylänkning, som ansluter två eller flera proxyservrar för att navigera till den avsedda sidan. Du kan också ha andra externa faktorer som påverkar långsamheten.

  1. Identifiera om proxylänkning sker i din miljö.
  2. Ta bort eventuella proxyservrar där det är möjligt.

Vissa appar använder en nonce-hash under autentisering för att förhindra återuppspelningsattacker. Som standard förutsätter Defender for Cloud Apps att en app använder en nonce. Om appen du arbetar med inte använder nonce inaktiverar du nonce-hantering för den här appen i Defender for Cloud Apps:

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.
  2. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.
  3. I listan över appar väljer du de tre punkterna i slutet av raden på den rad där appen du konfigurerar visas och väljer sedan Redigera för din app.
  4. Välj Nonce-handling för att expandera avsnittet och avmarkera sedan Aktivera nonce-hantering.
  5. Logga ut från appen och stäng alla webbläsarsessioner.
  6. Starta om webbläsaren och logga in på appen igen. Kontrollera att inloggningen fungerar som förväntat.

Fler överväganden för nätverksvillkor

När du felsöker nätverksvillkor bör du även tänka på följande information om Defender for Cloud Apps proxy:

  • Kontrollera om sessionen dirigeras till ett annat datacenter: Defender for Cloud Apps använder Azure Data Centers runt om i världen för att optimera prestanda via geoplats.

    Det innebär att en användares session kan finnas utanför en region, beroende på trafikmönster och deras plats. Men för att skydda din integritet lagras inga sessionsdata i dessa datacenter.

  • Proxyprestanda: Att härleda en prestandabaslinje beror på många faktorer utanför Defender for Cloud Apps proxy, till exempel:

    • Vilka andra proxyservrar eller gatewayer finns i serien med den här proxyn
    • Varifrån användaren kommer
    • Där målresursen finns
    • Specifika begäranden på sidan

    I allmänhet lägger alla proxyservrar till svarstid. Fördelarna med Defender for Cloud Apps proxy är:

    • Använda den globala tillgängligheten för Azure-domänkontrollanter för att geoplacera användare till närmaste nod och minska avståndet tur och retur. Azure-domänkontrollanter kan geoplacera i en skala som få tjänster runt om i världen har.

    • Använda integreringen med Microsoft Entra villkorsstyrd åtkomst för att endast dirigera de sessioner som du vill proxyservern till vår tjänst, i stället för alla användare i alla situationer.

Problem med enhetsidentifiering

Defender for Cloud Apps innehåller följande alternativ för att identifiera en enhets hanteringstillstånd.

  • Microsoft Intune efterlevnad
  • Hybrid Microsoft Entra domänansluten
  • Klientcertifikat

Mer information finns i Identitetshanterade enheter med appkontroll för villkorsstyrd åtkomst.

Vanliga problem med enhetsidentifiering som kan uppstå är:

Felidentifierade Intune kompatibla eller Microsoft Entra hybrid-anslutna enheter

Microsoft Entra villkorlig åtkomst gör att Intune-kompatibel och Microsoft Entra hybridansluten enhetsinformation kan skickas direkt till Defender for Cloud Apps. I Defender for Cloud Apps använder du enhetstillståndet som ett filter för åtkomst- eller sessionsprinciper.

Mer information finns i Introduktion till enhetshantering i Microsoft Entra ID.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga i Defender for Cloud Apps.

  3. För Intune kompatibel enhetsidentifiering och Microsoft Entra hybridanslutningsidentifiering väljer du Visa konfiguration och kontrollerar att tjänsterna har konfigurerats. Tjänsterna synkroniseras automatiskt från Microsoft Entra ID respektive Intune.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med Hybrid Azure AD ansluten, Intune kompatibel eller båda.

  5. I en webbläsare loggar du in på en enhet som är Microsoft Entra hybridkopplad eller Intune kompatibel baserat på ditt principfilter.

  6. Kontrollera att aktiviteter från dessa enheter fyller i loggen. I Defender for Cloud Apps går du till sidan Aktivitetslogg och filtrerarEnhetstagg som är lika med Hybrid Azure AD ansluten, Intune kompatibel eller båda baserat på dina principfilter.

  7. Om aktiviteter inte fylls i i Defender for Cloud Apps-aktivitetsloggen går du till Microsoft Entra ID och gör följande:

    1. Under Övervaka>inloggningar kontrollerar du att det finns inloggningsaktiviteter i loggar.

    2. Välj relevant loggpost för den enhet som du loggade in på.

    3. I fönstret Information på fliken Enhetsinformation kontrollerar du att enheten är hanterad (hybrid Azure AD ansluten) eller kompatibel (Intune kompatibel).

      Om du inte kan verifiera något av tillstånden kan du prova en annan loggpost eller se till att dina enhetsdata är korrekt konfigurerade i Microsoft Entra ID.

    4. För villkorsstyrd åtkomst kan vissa webbläsare kräva extra konfiguration, till exempel att installera ett tillägg. Mer information finns i Webbläsarstöd för villkorsstyrd åtkomst.

    5. Om du fortfarande inte ser enhetsinformationen på inloggningssidan öppnar du ett supportärende för Microsoft Entra ID.

Klientcertifikat frågar inte när det är förväntat

Mekanismen för enhetsidentifiering kan begära autentisering från relevanta enheter med hjälp av klientcertifikat. Du kan ladda upp ett X.509-rotcertifikat eller mellanliggande certifikatutfärdarcertifikat (CA), formaterat i PEM-certifikatformatet.

Certifikat måste innehålla certifikatutfärdares offentliga nyckel, som sedan används för att signera klientcertifikaten som visas under en session. Mer information finns i Söka efter enhetshantering utan Microsoft Entra.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Enhetsidentifiering. Den här sidan visar de alternativ för enhetsidentifiering som är tillgängliga med Defender for Cloud Apps.

  3. Kontrollera att du har laddat upp ett X.509-rotcertifikat eller mellanliggande CA-certifikat. Du måste ladda upp certifikatutfärdarcertifikatet som används för att signera för certifikatutfärdare.

  4. Skapa en åtkomst- eller sessionsprincip med filtret Enhetstagg lika med Giltigt klientcertifikat.

  5. Kontrollera att klientcertifikatet är:

    • Distribueras med filformatet PKCS #12, vanligtvis filnamnstillägget .p12 eller .pfx
    • Installerad i användararkivet, inte i enhetsarkivet, på den enhet som du använder för testning

  6. Starta om webbläsarsessionen.

  7. När du loggar in på den skyddade appen:

    • Kontrollera att du omdirigeras till följande URL-syntax: <https://*.managed.access-control.cas.ms/aad_login>
    • Om du använder iOS kontrollerar du att du använder Safari-webbläsaren.
    • Om du använder Firefox måste du också lägga till certifikatet i Firefox eget certifikatarkiv. Alla andra webbläsare använder samma standardcertifikatarkiv.

  8. Kontrollera att klientcertifikatet uppmanas i webbläsaren.

    Om den inte visas kan du prova en annan webbläsare. De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll. Men mobilappar och skrivbordsappar använder ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.

  9. Kontrollera att aktiviteter från dessa enheter fyller i loggen. I Defender for Cloud Apps går du till sidan Aktivitetslogg och lägger till ett filter för Enhetstagg som är lika med Giltigt klientcertifikat.

  10. Om du fortfarande inte ser meddelandet öppnar du ett supportärende och inkluderar följande information:

    • Information om webbläsaren eller den interna appen där du upplevde problemet
    • Operativsystemversionen, till exempel iOS/Android/Windows 10
    • Ange om prompten fungerar på Microsoft Edge-Chromium

Klientcertifikat frågar vid varje inloggning

Om klientcertifikatet dyker upp när du har öppnat en ny flik kan det bero på inställningar som är dolda i Internetalternativ. Kontrollera inställningarna i webbläsaren. Till exempel:

I Microsoft Internet Explorer:

  1. Öppna Internet Explorer och välj fliken Verktyg>Internetalternativ>Avancerat .
  2. Under Säkerhet väljer du Fråga inte efter val av klientcertifikat när det bara finns> ett certifikat Välj Tillämpa>OK.
  3. Starta om webbläsaren och kontrollera att du kan komma åt appen utan de extra uppmaningarna.

I Microsoft Edge/Edge Chromium:

  1. Öppna sökningen från aktivitetsfältet och sök efter Internetalternativ.
  2. Välj InternetAlternativ>Säkerhet>Lokal intranät>anpassad nivå.
  3. Under Diverse>Fråga inte efter val av klientcertifikat när det bara finns ett certifikat väljer du Inaktivera.
  4. Välj OK>Använd>OK.
  5. Starta om webbläsaren och kontrollera att du kan komma åt appen utan de extra uppmaningarna.

Fler överväganden för enhetsidentifiering

När du felsöker enhetsidentifiering kan du kräva återkallande av certifikat för klientcertifikat.

Certifikat som återkallas av certifikatutfärdare är inte längre betrodda. Om du väljer det här alternativet måste alla certifikat skicka CRL-protokollet. Om klientcertifikatet inte innehåller en CRL-slutpunkt kan du inte ansluta från den hanterade enheten.

Problem vid registrering av en app

Microsoft Entra ID appar registreras automatiskt för att Defender for Cloud Apps för villkorlig åtkomst och sessionskontroller. Du måste registrera IdP-appar som inte kommer från Microsoft manuellt, inklusive både katalogappar och anpassade appar.

Mer information finns i:

Vanliga scenarier som kan uppstå när du registrerar en app är:

Appen visas inte på appkontrollappsidan för villkorsstyrd åtkomst

När du registrerar en icke-Microsoft IdP-app till appkontrollen för villkorsstyrd åtkomst är det sista distributionssteget att låta slutanvändaren navigera till appen. Utför stegen i det här avsnittet om appen inte visas på sidan Inställningar > Molnappar > Anslutna appar > För villkorlig åtkomst appkontroll för appar förväntas.

Rekommenderade steg

  1. Kontrollera att din app uppfyller följande krav för appkontroll för villkorsstyrd åtkomst:

    • Kontrollera att du har en giltig Defender for Cloud Apps licens.
    • Skapa en duplicerad app.
    • Kontrollera att appen använder SAML-protokollet.
    • Kontrollera att du har registrerat appen fullständigt och att appens status är Ansluten.

  2. Se till att navigera till appen i en ny webbläsarsession med hjälp av ett nytt inkognitoläge eller genom att logga in igen.

Obs!

Entra-ID-appar visas bara på appkontrollappsidan för villkorsstyrd åtkomst när de har konfigurerats i minst en princip, eller om du har en princip utan någon appspecifikation och en användare har loggat in på appen.

Appstatus: Fortsätt installationen

Statusen för en app kan variera och kan omfatta Fortsätt installation, Ansluten eller Inga aktiviteter.

För appar som är anslutna via icke-Microsoft-identitetsprovidrar (IdP) visas en sida med statusen Fortsätt installation om installationen inte är klar när du öppnar appen. Slutför konfigurationen med hjälp av följande steg.

Rekommenderade steg

  1. Välj Fortsätt installationsprogrammet.

  2. Granska följande artiklar och kontrollera att du har slutfört alla steg som krävs:

    Var särskilt uppmärksam på följande steg:

    1. Se till att du skapar en ny anpassad SAML-app. Du behöver den här appen för att ändra url:er och SAML-attribut som kanske inte är tillgängliga i galleriappar.
    2. Om din identitetsprovider inte tillåter återanvändning av samma identifierare, även kallat entitets-ID eller målgrupp, ändrar du identifieraren för den ursprungliga appen.

Det går inte att konfigurera kontroller för inbyggda appar

Inbyggda appar kan identifieras heuristiskt och du kan använda åtkomstprinciper för att övervaka eller blockera dem. Använd följande steg för att konfigurera kontroller för interna appar.

Rekommenderade steg

  1. I en åtkomstprincip lägger du till ett klientappfilter och anger det lika med Mobil och skrivbord.

  2. Under Åtgärder väljer du Blockera.

  3. Du kan också anpassa blockeringsmeddelandet som användarna får när de inte kan ladda ned filer. Anpassa till exempel det här meddelandet till Du måste använda en webbläsare för att få åtkomst till den här appen.

  4. Testa och verifiera att kontrollen fungerar som förväntat.

Sidan Appen känns inte igen visas

Defender for Cloud Apps kan identifiera över 31 000 appar via molnappkatalogen.

Om du använder en anpassad app som har konfigurerats via Microsoft Entra enkel inloggning och inte är en av de appar som stöds visas inte en appsida. För att lösa problemet måste du konfigurera appen med appkontrollen för villkorsstyrd åtkomst.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

  2. I banderollen väljer du Visa nya appar.

  3. Leta upp den app som du registrerar i listan över nya appar, välj + tecknet och välj sedan Lägg till.

    1. Välj om appen är en anpassad eller standardapp .
    2. Fortsätt genom guiden och kontrollera att angivna användardefinierade domäner är korrekta för den app som du konfigurerar.

  4. Kontrollera att appen visas på appkontrollappsidan för villkorsstyrd åtkomst .

Alternativet för sessionskontroll för begäran visas

När du har registrerat en IdP-app som inte kommer från Microsoft kan du se alternativet Förfrågningssessionskontroll . Detta beror på att endast katalogappar har inbyggda sessionskontroller. För andra appar måste du gå igenom en självregistreringsprocess.

Följ anvisningarna i Distribuera appkontroll för villkorsstyrd åtkomst för anpassade appar med ip-adresser som inte kommer från Microsoft.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postmeddelandet för den användare som ska registrera appen och välj sedan Spara.

  4. Gå till den app som du distribuerar. Vilken sida du ser beror på om appen känns igen. Gör något av följande beroende på vilken sida du ser:

    • Känns inte igen. Du ser en app som inte känns igen och som uppmanar dig att konfigurera din app. Gör följande:

      1. Registrera appen för appkontroll för villkorsstyrd åtkomst.
      2. Lägg till domänerna för appen.
      3. Installera appens certifikat.

    • Känns igen. Om din app identifieras visas en registreringssida där du uppmanas att fortsätta appkonfigurationsprocessen.

      Kontrollera att appen är konfigurerad med alla domäner som krävs för att appen ska fungera korrekt och gå sedan tillbaka till appsidan.

Fler överväganden för registrering av appar

När du felsöker för registrering av appar finns det några extra saker att tänka på.

  • Förstå skillnaden mellan principinställningarna för Microsoft Entra villkorlig åtkomst: "Endast övervakare", "Blockera nedladdningar" och "Använd anpassad princip"

    I Microsoft Entra principer för villkorsstyrd åtkomst kan du konfigurera följande inbyggda Defender for Cloud Apps kontroller: Övervaka endast och Blockera nedladdningar. De här inställningarna gäller och framtvingar Defender for Cloud Apps proxyfunktionen för molnappar och villkor som konfigurerats i Microsoft Entra ID.

    Om du vill ha mer komplexa principer väljer du Använd anpassad princip, vilket gör att du kan konfigurera åtkomst- och sessionsprinciper i Defender for Cloud Apps.

  • Förstå filteralternativet "Mobile and Desktop" i åtkomstprinciper

    I Defender for Cloud Apps åtkomstprinciper gäller den resulterande åtkomstprincipen för webbläsarsessioner om inte klientappfiltret är inställt på Mobilt och skrivbord.

    Anledningen till detta är att förhindra oavsiktlig proxying av användarsessioner, vilket kan vara en biprodukt av att använda det här filtret.

Problem med att skapa åtkomst- och sessionsprinciper

Defender for Cloud Apps tillhandahåller följande konfigurerbara principer:

  • Åtkomstprinciper: Används för att övervaka eller blockera åtkomst till webbläsare, mobila appar och/eller skrivbordsappar.
  • Sessionsprinciper. Används för att övervaka, blockera och utföra specifika åtgärder för att förhindra datainfiltrering och exfiltreringsscenarier i webbläsaren.

Om du vill använda dessa principer i Defender for Cloud Apps måste du först konfigurera en princip i Microsoft Entra villkorlig åtkomst för att utöka sessionskontroller:

  1. I Microsoft Entra princip går du till Åtkomstkontroller och väljer SessionUse Conditional Access App Control (Använd > appkontroll för villkorsstyrd åtkomst).

  2. Välj en inbyggd princip (endast övervaka eller Blockera nedladdningar) eller Använd anpassad princip för att ange en avancerad princip i Defender for Cloud Apps.

  3. Välj Välj för att fortsätta.

Vanliga scenarier som kan uppstå när du konfigurerar dessa principer är:

I Principer för villkorsstyrd åtkomst kan du inte se alternativet för appkontroll för villkorsstyrd åtkomst

Om du vill dirigera sessioner till Defender for Cloud Apps måste Microsoft Entra principer för villkorsstyrd åtkomst konfigureras för att inkludera sessionskontroller för appkontroll för villkorsstyrd åtkomst.

Rekommenderade steg

Om du inte ser alternativet Appkontroll för villkorsstyrd åtkomst i principen för villkorsstyrd åtkomst kontrollerar du att du har en giltig licens för Microsoft Entra ID P1 och en giltig Defender for Cloud Apps licens.

Felmeddelande när du skapar en princip: Du har inga appar distribuerade med appkontroll för villkorsstyrd åtkomst

När du skapar en åtkomst- eller sessionsprincip kan följande felmeddelande visas: Du har inga appar distribuerade med appkontroll för villkorlig åtkomst. Det här felet anger att appen är en icke-Microsoft IdP-app som inte har registrerats för appkontroll för villkorsstyrd åtkomst.

Rekommenderade steg

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

  2. Om du ser meddelandet Inga appar anslutna använder du följande guider för att distribuera appar:

Om du stöter på problem när du distribuerar appen läser du Problem när du registrerar en app.

Det går inte att skapa sessionsprinciper för en app

När du har registrerat en icke-Microsoft IdP-app för appkontroll för villkorsstyrd åtkomst kan du se alternativet: Begär sessionskontroll på sidan Appkontroll för villkorsstyrd åtkomst.

Obs!

Katalogappar har färdiga sessionskontroller. För andra IdP-appar som inte kommer från Microsoft måste du gå igenom en självregistreringsprocess. Rekommenderade steg

  1. Distribuera din app till sessionskontrollen. Mer information finns i Publicera anpassade IdP-appar som inte kommer från Microsoft för appkontroll för villkorsstyrd åtkomst.

  2. Skapa en sessionsprincip och välj appfiltret .

  3. Kontrollera att din app nu visas i listrutan.

Det går inte att välja Inspektionsmetod: Dataklassificeringstjänst

När du använder sessionskontrolltypen Kontrollfilnedladdning (med kontroll) i sessionsprinciper kan du använda inspektionsmetoden för dataklassificeringstjänsten för att söka igenom filerna i realtid och identifiera känsligt innehåll som matchar något av de kriterier som du har konfigurerat.

Om dataklassificeringstjänstens kontrollmetod inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade steg

  1. Kontrollera att sessionskontrolltypen är inställd på Kontrollera filnedladdning (med kontroll).

    Obs!

    Inspektionsmetoden för dataklassificeringstjänsten är endast tillgänglig för alternativet Hämta kontrollfil (med inspektion).

  2. Ta reda på om dataklassificeringstjänstens funktion är tillgänglig i din region:

    • Om funktionen inte är tillgänglig i din region använder du den inbyggda DLP-inspektionsmetoden .
    • Om funktionen är tillgänglig i din region men du fortfarande inte kan se inspektionsmetoden för dataklassificeringstjänsten öppnar du ett supportärende.

Det går inte att välja Åtgärd: Skydda

När du använder sessionskontrolltypen Kontrollera filnedladdning (med kontroll) kan du, förutom åtgärderna Övervaka och Blockera , ange åtgärden Skydda i sessionsprinciper. Med den här åtgärden kan du tillåta filnedladdningar med alternativet att kryptera eller tillämpa behörigheter för filen baserat på villkor, innehållsgranskning eller både och.

Om åtgärden Skydda inte är tillgänglig använder du följande steg för att undersöka problemet.

Rekommenderade steg

  1. Om åtgärden Skydda inte är tillgänglig eller är nedtonad kontrollerar du att du har en Microsoft Purview-licens. Mer information finns i Microsoft Purview Information Protection integration.

  2. Om åtgärden Skydda är tillgänglig men inte ser lämpliga etiketter.

    1. I Defender for Cloud Apps går du till menyraden och väljer inställningsikonen >Microsoft Information Protection och kontrollerar att integreringen är aktiverad.

    2. För Office-etiketter kontrollerar du att Enhetlig etikettering är markerat i Microsoft Purview-portalen.

Diagnostisera och felsöka med verktygsfältet Admin Visa

Verktygsfältet Admin Visa finns längst ned på skärmen och innehåller verktyg som administratörsanvändare kan använda för att diagnostisera och felsöka problem med appkontroll för villkorsstyrd åtkomst.

Om du vill visa verktygsfältet Admin Visa måste du lägga till specifika administratörsanvändarkonton i listan Registrering/underhåll av appar i inställningarna för Microsoft Defender XDR.

Så här lägger du till en användare i listan registrering/underhåll av appar:

  1. I Microsoft Defender XDR väljer du Inställningar>Molnappar.

  2. Rulla nedåt och under Appkontroll för villkorsstyrd åtkomst väljer du Registrering/underhåll av appar.

  3. Ange huvudnamnet eller e-postadressen för den administratörsanvändare som du vill lägga till.

  4. Välj alternativet Aktivera dessa användare att kringgå appkontrollen för villkorsstyrd åtkomst inifrån en proxied session och välj sedan Spara.

    Till exempel:

    Skärmbild av inställningar för registrering/underhåll av appar.

Nästa gång en av användarna i listan startar en ny session i en app som stöds där de är administratör visas verktygsfältet Admin Visa längst ned i webbläsaren.

Följande bild visar till exempel verktygsfältet Admin Visa längst ned i ett webbläsarfönster när du använder OneNote i webbläsaren:

Skärmbild av verktygsfältet Admin Visa.

I följande avsnitt beskrivs hur du använder verktygsfältet Admin Visa för att testa och felsöka.

Testläge

Som administratörsanvändare kanske du vill testa kommande korrigeringar av proxyfel innan den senaste versionen distribueras helt till alla klienter. Ge feedback om buggkorrigeringen till Microsofts supportteam för att påskynda lanseringscyklerna.

I testläge är det bara administratörsanvändarna som exponeras för ändringar som tillhandahålls i felkorrigeringarna. Det finns ingen effekt på andra användare.

  • Om du vill aktivera testläge går du till verktygsfältet Admin Visa och väljer Testläge.
  • När du är klar med testningen väljer du Sluttestläge för att återgå till de vanliga funktionerna.

Kringgå proxysession

Om du använder en icke-Edge-webbläsare och har problem med att komma åt eller läsa in ditt program kanske du vill kontrollera om problemet gäller proxyn för villkorsstyrd åtkomst genom att köra programmet utan proxyn.

Om du vill kringgå proxyn går du till verktygsfältet Admin Visa och väljer Kringgå upplevelse. Bekräfta att sessionen kringgås genom att notera att URL:en inte är suffixet.

Proxyn för villkorsstyrd åtkomst används igen i nästa session.

Mer information finns i Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst och webbläsarskydd med Microsoft Edge for Business (förhandsversion).

Andra inloggningen (kallas även "andra inloggningen")

Vissa program har mer än en djuplänk för att logga in. Om du inte definierar inloggningslänkarna i appinställningarna kan användarna omdirigeras till en okänd sida när de loggar in och blockerar deras åtkomst.

Integreringen mellan IDP:er, till exempel Microsoft Entra ID, baseras på att fånga upp en appinloggning och omdirigera den. Det innebär att webbläsarinloggningar inte kan styras direkt utan att utlösa en andra inloggning. För att utlösa en andra inloggning måste vi använda en andra inloggnings-URL specifikt för det ändamålet.

Om appen använder en nonce kan den andra inloggningen vara transparent för användarna eller så uppmanas de att logga in igen.

Om den inte är transparent för slutanvändaren lägger du till den andra inloggnings-URL:en i appinställningarna:

Gå till Inställningar > Molnappar > Anslutna appar > För villkorlig åtkomst appkontrollappar

Välj relevant app och välj sedan de tre punkterna.

Välj Redigera app\Avancerad inloggningskonfiguration.

Lägg till den andra inloggnings-URL:en enligt beskrivningen på felsidan.

Om du är säker på att appen inte använder en nonce kan du inaktivera detta genom att redigera appinställningarna enligt beskrivningen i Långsamma inloggningar.

Spela in en session

Du kanske vill hjälpa till med rotorsaksanalysen av ett problem genom att skicka en sessionsinspelning till Microsofts supporttekniker. Använd verktygsfältet Admin Visa för att spela in sessionen.

Obs!

Alla personuppgifter tas bort från inspelningarna.

Så här spelar du in en session:

  1. I verktygsfältet Admin Visa väljer du Arkivhandlingssession. När du uppmanas till det väljer du Fortsätt för att acceptera villkoren. Till exempel:

    Skärmbild av dialogrutan för sessionsinspelning av sekretesspolicyn.

  2. Logga in på din app om det behövs för att börja simulera sessionen.

  3. När du är klar med inspelningen av scenariot väljer du Stoppa inspelning i verktygsfältet Admin Visa.

Så här visar du dina inspelade sessioner:

När du är klar med inspelningen visar du de inspelade sessionerna genom att välja Sessionsinspelningar i verktygsfältet Admin Visa. En lista över inspelade sessioner från de senaste 48 timmarna visas. Till exempel:

Skärmbild av sessionsinspelningar.

Om du vill hantera dina inspelningar väljer du en fil och sedan Ta bort eller Ladda ned efter behov. Till exempel:

Skärmbild av att ladda ned eller ta bort en inspelning.

Lägga till domäner för din app

Genom att koppla rätt domäner till en app kan Defender for Cloud Apps framtvinga principer och granskningsaktiviteter.

Om du till exempel har konfigurerat en princip som blockerar nedladdning av filer för en associerad domän blockeras filnedladdningar av appen från den domänen. Filnedladdningar av appen från domäner som inte är associerade med appen blockeras dock inte och åtgärden granskas inte i aktivitetsloggen.

Om en administratör bläddrar i en proxierad app till en okänd domän, som Defender for Cloud Apps inte anser vara en del av samma app eller någon annan app, visas meddelandet Okänd domän, där administratören uppmanas att lägga till domänen så att den skyddas nästa gång. I sådana fall behövs ingen åtgärd om administratören inte vill lägga till domänen.

Obs!

Defender for Cloud Apps lägger fortfarande till ett suffix till domäner som inte är associerade med appen för att säkerställa en sömlös användarupplevelse.

Så här lägger du till domäner för din app:

  1. Öppna appen i en webbläsare med verktygsfältet Defender for Cloud Apps Admin Visa synligt på skärmen.

  2. I verktygsfältet Admin Visa väljer du Identifierade domäner.

  3. I fönstret Identifierade domäner antecknar du de domännamn som anges eller exporterar listan som en .csv fil.

    Fönstret Identifierade domäner visar en lista över alla domäner som inte är associerade med appen. Domännamnen är fullständigt kvalificerade.

  4. I Microsoft Defender XDR väljer du Inställningar>Molnappar>Anslutna appar>Appkontrollappar för villkorsstyrd åtkomst.

  5. Leta upp din app i tabellen. Välj alternativmenyn till höger och välj sedan Redigera app.

  6. I fältet Användardefinierade domäner anger du de domäner som du vill associera med den här appen.

    • Om du vill visa listan över domäner som redan har konfigurerats i appen väljer du länken Visa appdomäner .

    • När du lägger till domäner bör du överväga om du vill lägga till specifika domäner eller använda en asterisk (*****en jokertecken för att använda flera domäner samtidigt.

      Till sub1.contoso.comexempel ,sub2.contoso.com är exempel på specifika domäner. Om du vill lägga till båda dessa domäner samtidigt, samt andra domäner på samma nivå, använder du *.contoso.com.

Mer information finns i Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.

Relaterat innehåll