Dela via

Felsöka åtkomst- och sessionskontroller för slutanvändare

  • Artikel

Den här artikeln ger Microsoft Defender for Cloud Apps administratörer vägledning om hur du undersöker och löser vanliga problem med åtkomst- och sessionskontroll som slutanvändarna upplever.

Kontrollera minimikraven

Innan du börjar felsöka kontrollerar du att din miljö uppfyller följande minimikrav för åtkomst- och sessionskontroller.

Krav Beskrivning
Licensiering Kontrollera att du har en giltig licens för Microsoft Defender for Cloud Apps.
Enkel Sign-On (SSO) Appar måste konfigureras med någon av lösningarna för enkel inloggning (SSO):

– Microsoft Entra ID med SAML 2.0 eller OpenID Connect 2.0
– Icke-Microsoft IdP med SAML 2.0
Webbläsarstöd Sessionskontroller är tillgängliga för webbläsarbaserade sessioner i de senaste versionerna av följande webbläsare:

– Microsoft Edge
– Google Chrome
- Mozilla Firefox
- Apple Safari

Skydd i webbläsaren för Microsoft Edge har också specifika krav, inklusive användaren som är inloggad med sin arbetsprofil. Mer information finns i Krav för webbläsarskydd.
Stilleståndstid Defender for Cloud Apps kan du definiera standardbeteendet som ska tillämpas om det uppstår avbrott i tjänsten, till exempel om en komponent inte fungerar som den ska.

Du kan till exempel välja att härda (blockera) eller kringgå (tillåt) användare från att vidta åtgärder för potentiellt känsligt innehåll när de normala principkontrollerna inte kan tillämpas.

Om du vill konfigurera standardbeteendet under systemavbrott går du i Microsoft Defender XDR till Inställningar>Standardbeteende> för appkontroll > förvillkorsstyrd åtkomstTillåt eller Blockera åtkomst.

Sidan Användarövervakning visas inte

När du dirigerar en användare via Defender for Cloud Apps kan du meddela användaren att deras session övervakas. Som standard är sidan för användarövervakning aktiverad.

I det här avsnittet beskrivs de felsökningssteg som vi rekommenderar att du vidtar om användarövervakningssidan är aktiverad men inte visas som förväntat.

Rekommenderade steg

  1. I Microsoft Defender-portalen väljer du Inställningar>Molnappar.

  2. Under appkontroll för villkorsstyrd åtkomst väljer du Användarövervakning. Den här sidan visar de alternativ för användarövervakning som är tillgängliga i Defender for Cloud Apps. Till exempel:

    Skärmbild av alternativen för användarövervakning.

  3. Kontrollera att alternativet Meddela användare om att deras aktivitet övervakas har valts .

  4. Välj om du vill använda standardmeddelandet eller ange ett anpassat meddelande:

    Meddelandetyp Information
    Standard Sidhuvud:
    Åtkomst till [Appnamn visas här] övervakas
    Body:
    För bättre säkerhet tillåter din organisation åtkomst till [Appnamn visas här] i övervakningsläge. Åtkomst är endast tillgängligt från en webbläsare.
    Anpassat Sidhuvud:
    Använd den här rutan om du vill ange en anpassad rubrik för att informera användarna om att de övervakas.
    Body:
    Använd den här rutan om du vill lägga till annan anpassad information för användaren, till exempel vem som ska kontaktas med frågor, och stöder följande indata: oformaterad text, RTF, hyperlänkar.

  5. Välj Förhandsversion för att verifiera den användarövervakningssida som visas innan du öppnar en app.

  6. Välj Spara.

Det går inte att komma åt appen från en identitetsprovider som inte kommer från Microsoft

Om en slutanvändare får ett allmänt fel efter att ha loggat in i en app från en identitetsprovider som inte kommer från Microsoft verifierar du IdP-konfigurationen som inte kommer från Microsoft.

Rekommenderade steg

  1. I Microsoft Defender-portalen väljer du Inställningar>Molnappar.

  2. Under Anslutna appar väljer du Appkontrollappar för villkorsstyrd åtkomst.

  3. I listan över appar, på raden där appen du inte kan komma åt visas, väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app.

  4. Kontrollera att SAML-certifikatet som laddades upp är korrekt.

    1. Kontrollera att giltiga URL:er för enkel inloggning finns i appkonfigurationen.

    2. Kontrollera att attributen och värdena i den anpassade appen återspeglas i inställningarna för identitetsprovidern.

    Till exempel:

    Skärmbild av sidan SAML-information. .

  5. Om du fortfarande inte kan komma åt appen öppnar du ett supportärende.

Sidan Något gick fel visas

Ibland kan sidan Något gick fel visas under en proxied-session. Detta kan inträffa när:

  • En användare loggar in efter att ha varit inaktiv ett tag
  • Det tar längre tid än förväntat att uppdatera webbläsaren och sidinläsningen
  • IdP-appen som inte är från Microsoft är inte korrekt konfigurerad

Rekommenderade steg

  1. Om slutanvändaren försöker komma åt en app som har konfigurerats med en icke-Microsoft-IdP läser du Inte åtkomst till appen från en icke-Microsoft-IdP och appstatus: Fortsätt installationen.

  2. Om slutanvändaren oväntat nådde den här sidan gör du följande:

    1. Starta om webbläsarsessionen.
    2. Rensa historik, cookies och cacheminne från webbläsaren.

Urklippsåtgärder eller filkontroller blockeras inte

Möjligheten att blockera Åtgärder för Urklipp, till exempel klipp ut, kopiera, klistra in och filkontroller, till exempel ladda ned, ladda upp och skriva ut krävs för att förhindra scenarier för dataexfiltrering och infiltration.

Den här möjligheten gör det möjligt för företag att balansera säkerhet och produktivitet för slutanvändare. Om du har problem med de här funktionerna kan du undersöka problemet med hjälp av följande steg.

Rekommenderade steg

Om sessionen är proxied använder du följande steg för att verifiera principen:

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Aktivitetslogg.

  2. Använd det avancerade filtret, välj Tillämpad åtgärd och ange dess värde lika med Blockerad.

  3. Kontrollera att det finns blockerade filaktiviteter:

    1. Om det finns en aktivitet expanderar du aktivitetslådan genom att klicka på aktiviteten.

    2. På fliken Allmänt i aktivitetslådan väljer du länken för matchade principer för att kontrollera att principen som du framtvingade finns.

    3. Om du inte ser din princip kan du läsa Problem när du skapar åtkomst- och sessionsprinciper.

    4. Om du ser Åtkomst blockerad/tillåten på grund av standardbeteendet indikerar detta att systemet var nere och att standardbeteendet tillämpades.

      1. Om du vill ändra standardbeteendet går du till Microsoft Defender Portal och väljer Inställningar. Välj sedan Cloud Apps. Under Appkontroll för villkorsstyrd åtkomst väljer du Standardbeteende och anger standardbeteendet till Tillåt eller Blockera åtkomst.

      2. Gå till administrationsportalen för Microsoft 365 och övervaka meddelanden om systemavbrott.

  4. Om du fortfarande inte kan se blockerad aktivitet öppnar du ett supportärende.

Nedladdningar skyddas inte

Som slutanvändare kan det vara nödvändigt att ladda ned känsliga data på en ohanterad enhet. I dessa scenarier kan du skydda dokument med Microsoft Purview Information Protection.

Om slutanvändaren inte kan kryptera dokumentet använder du följande steg för att undersöka problemet.

Rekommenderade steg

  1. I Microsoft Defender-portalen går du till Cloud Apps och väljer Aktivitetslogg.

  2. Använd det avancerade filtret, välj Tillämpad åtgärd och ange dess värde lika med Skyddat.

  3. Kontrollera att det finns blockerade filaktiviteter:

    1. Om det finns en aktivitet expanderar du aktivitetslådan genom att klicka på aktiviteten

    2. På fliken Allmänt i aktivitetslådan väljer du länken för matchade principer för att kontrollera att principen som du framtvingade finns.

    3. Om du inte ser din princip kan du läsa Problem när du skapar åtkomst- och sessionsprinciper.

    4. Om du ser Åtkomst blockerad/tillåten på grund av standardbeteendet indikerar detta att systemet var nere och att standardbeteendet tillämpades.

      1. Om du vill ändra standardbeteendet går du till Microsoft Defender Portal och väljer Inställningar. Välj sedan Cloud Apps. Under Appkontroll för villkorsstyrd åtkomst väljer du Standardbeteende och anger standardbeteendet till Tillåt eller Blockera åtkomst.

      2. Gå till Microsoft 365 Service Health-instrumentpanelen och övervaka meddelanden om systemavbrott.

    5. Om du skyddar filen med en känslighetsetikett eller anpassade behörigheter kontrollerar du i aktivitetsbeskrivningen att filnamnstillägget är en av följande filtyper som stöds:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF om enhetlig etikettering är aktiverat

    Om filtypen inte stöds kan du i sessionsprincipen välja Blockera nedladdning av alla filer som inte stöds av det interna skyddet eller där det interna skyddet misslyckas.

  4. Om du fortfarande inte kan se blockerad aktivitet öppnar du ett supportärende.

Navigera till en viss URL för en suffixapp och landa på en allmän sida

I vissa fall kan navigering till en länk resultera i att användaren hamnar på appens startsida i stället för den fullständiga sökvägen till länken.

Tips

Defender for Cloud Apps har en lista över appar som är kända för att drabbas av kontextförlust. Mer information finns i Begränsningar för kontextförlust.

Rekommenderade steg

Om du använder en annan webbläsare än Microsoft Edge och en användare hamnar på appens startsida i stället för den fullständiga sökvägen till länken löser du problemet genom att lägga .mcas.ms till den ursprungliga URL:en.

Om den ursprungliga URL:en till exempel är:

https://www.github.com/organization/threads/threadnumber, ändra till https://www.github.com.mcas.ms/organization/threads/threadnumber

Microsoft Edge-användare drar nytta av webbläsarskydd, omdirigeras inte till en omvänd proxy och bör inte behöva suffixet .mcas.ms tillagt. Öppna ett supportärende för appar som drabbas av kontextförlust.

Blockera nedladdningar gör att PDF-förhandsgranskningar blockeras

När du förhandsgranskar eller skriver ut PDF-filer initierar appar ibland en nedladdning av filen. Detta gör att Defender for Cloud Apps ingriper för att säkerställa att nedladdningen blockeras och att data inte läcker ut från din miljö.

Om du till exempel har skapat en sessionsprincip för att blockera nedladdningar för Outlook Web Access (OWA) kan förhandsgranskning eller utskrift av PDF-filer blockeras med ett meddelande som liknar detta:

Skärmbild av ett meddelande om att nedladdningen har blockerats.

För att tillåta förhandsversionen bör en Exchange-administratör utföra följande steg:

  1. Ladda ned Exchange Online PowerShell-modulen.

  2. Anslut till modulen. Mer information finns i Anslut till Exchange Online PowerShell.

  3. När du har anslutit till Exchange Online PowerShell använder du cmdleten Set-OwaMailboxPolicy för att uppdatera parametrarna i principen:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Obs!

    Principen OwaMailboxPolicy-Default är OWA-standardprincipnamnet i Exchange Online. Vissa kunder kan ha distribuerat ytterligare eller skapat en anpassad OWA-princip med ett annat namn. Om du har flera OWA-principer kan de tillämpas på specifika användare. Därför måste du även uppdatera dem för att få fullständig täckning.

  4. När dessa parametrar har angetts kör du ett test på OWA med en PDF-fil och en sessionsprincip som konfigurerats för att blockera nedladdningar. Alternativet Ladda ned bör tas bort från listrutan och du kan förhandsgranska filen. Till exempel:

    Skärmbild av en PDF-förhandsgranskning som inte har blockerats.

Liknande webbplatsvarning visas

Skadliga aktörer kan skapa URL:er som liknar andra webbplatsers URL:er för att personifiera och lura användare att tro att de bläddrar till en annan webbplats. Vissa webbläsare försöker identifiera det här beteendet och varnar användarna innan de får åtkomst till URL:en eller blockerar åtkomsten.

I vissa sällsynta fall får användare under sessionskontroll ett meddelande från webbläsaren som anger misstänkt webbplatsåtkomst. Anledningen till detta är att webbläsaren behandlar suffixdomänen (till exempel: .mcas.ms) som misstänkt.

Det här meddelandet visas bara för Chrome-användare eftersom Microsoft Edge-användare drar nytta av webbläsarskydd utan omvänd proxyarkitektur. Till exempel:

Skärmbild av en liknande webbplatsvarning i Chrome.

Om du får ett meddelande som detta kontaktar du Microsofts support för att kontakta relevant webbläsarleverantör.

Fler saker att tänka på när du felsöker appar

När du felsöker appar finns det några fler saker att tänka på:

  • Stöd för sessionskontroller för moderna webbläsare Defender for Cloud Apps sessionskontroller innehåller nu stöd för den nya Microsoft Edge-webbläsaren baserat på Chromium. Även om vi fortsätter att stödja de senaste versionerna av Internet Explorer och den äldre versionen av Microsoft Edge är stödet begränsat och vi rekommenderar att du använder den nya Microsoft Edge-webbläsaren.

  • Sessionskontroller skyddar begränsningar Co-Auth etikettering under åtgärden "skydda" stöds inte av Defender for Cloud Apps sessionskontroller. Mer information finns i Aktivera medautentisering för filer som krypterats med känslighetsetiketter.

Relaterat innehåll