管理员用户访问和会话控制疑难解答

本文为 Microsoft Defender for Cloud Apps 管理员提供了有关如何调查和解决管理员遇到的常见访问和会话控制问题的指南。

注意

与代理功能相关的任何故障排除仅与未配置为 使用 Microsoft Edge 进行浏览器内保护 的会话相关。

查看最低要求

在开始故障排除之前,请确保环境至少满足以下访问和会话控制最低常规要求。

要求 说明
许可 确保拥有有效的 Microsoft Defender for Cloud Apps 许可证
单一登录 (SSO) 应用必须配置以下受支持的 SSO 解决方案之一:

- 使用 SAML 2.0 或 OpenID Connect 2.0 的 Microsoft Entra ID
- 使用 SAML 2.0 的非 Microsoft IdP
浏览器支持 在以下最新版本的浏览器中,会话控制可用于基于浏览器的会话:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edge 的浏览器内保护还具有特定要求,包括用户使用工作配置文件登录。 有关详细信息,请参阅浏览器内保护要求
故障时间 Defender for Cloud Apps 允许定义服务中断时(例如组件无法正常运行)应用采取的默认行为。

例如,当无法强制实施正常的策略控制时,可以选择强化(阻止)或旁路(允许)用户操作潜在敏感内容。

要配置系统停机期间的默认行为,在 Microsoft Defender XDR 中转至设置>条件访问应用控制>默认行为>允许阻止访问。

浏览器内保护要求

如果正在使用 Microsoft Edge 浏览器内保护功能,但仍由反向代理提供服务,请确保满足以下附加要求:

  • 此功能已在 Defender XDR 设置中打开。 有关详细信息,请参阅配置浏览器内的保护设置

  • Microsoft Edge for Business 支持用户涵盖的所有策略。 如果用户由 Microsoft Edge for Business 支持的另一个策略提供服务,则它们始终由反向代理提供服务。 有关详细信息,请参阅浏览器内保护要求

  • 您使用的是受支持的平台,包括受支持的操作系统、标识平台和 Edge 版本。 有关详细信息,请参阅浏览器内保护要求

管理员问题疑难解答参考

使用下表查找要尝试进行疑难解答的问题:

问题类型 问题
网络条件问题 导航到浏览器页面时出现网络错误

登录速度慢

有关网络条件的更多注意事项
设备标识问题 错误标识符合 Intune 或已建立 Microsoft Entra 混合联接设备

客户端证书未按预期提示

客户端证书未按预期提示
每次登录都会提示客户端证书

有关设备标识的更多注意事项
加入应用时出现问题 应用未在“条件访问应用控制”应用页面上出现

应用状态:继续设置无法为本机应用配置控制

显示“请求会话控制”选项
创建访问和会话策略时出现问题 在条件访问策略中,看不到“条件访问应用控制”选项

创建策略时出现错误消息:没有使用条件访问应用控制部署的任何应用

无法为应用创建会话策略

无法选择“检查方法:数据分类服务”

无法选择“操作:保护”

有关加入应用的更多注意事项
使用“管理员视图”工具栏诊断和排除故障 旁路代理会话

记录会话

为应用添加域

网络条件问题

可能遇到的常见网络状况问题包括:

导航到浏览器页面时出现网络错误

首次为应用设置 Defender for Cloud Apps 访问和会话控制时,可能出现的常见网络错误包括:此站点不安全没有互联网连接。 这些消息可以指示一般网络配置错误。

建议的步骤

  1. 使用与环境相关的 Azure IP 地址和 DNS 名称将防火墙配置为与 Defender for Cloud Apps 配合使用。

    1. Defender for Cloud Apps 数据中心添加以下 IP 地址和 DNS 名称的出站端口 443
    2. 重启设备和浏览器会话
    3. 验证登录是否按预期方式工作
  2. 在浏览器的 Internet 选项中启用 TLS 1.2。 例如:

    浏览器 步骤
    Microsoft Internet Explorer 1. 打开 Internet Explorer
    2. 选择工具>Internet 选项>高级选项卡
    3. 在安全性下,选择 TLS 1.2
    4. 依次选择应用确定
    5. 重启浏览器并验证是否可以访问应用
    Microsoft Edge / Edge Chromium 1. 从任务栏打开搜索,然后搜索“Internet 选项”
    2. 选择 Internet 选项
    3. 在安全性下,选择 TLS 1.2
    4. 依次选择应用确定
    5. 重启浏览器并验证是否可以访问应用
    Google Chrome 1. 打开 Google Chrome
    2. 在右上角,选择更多(3 个竖直排列的点)>设置
    3. 在底部,选择高级
    4. 在系统下,选择打开代理设置
    5. 在高级选项卡的安全性下,选择 TLS 1.2
    6. 选择确定
    7. 重启浏览器并验证是否能够访问应用
    Mozilla Firefox 1. 打开 Mozilla Firefox
    2. 在地址栏中搜索“about:config”
    3. 在搜索框中,搜索“TLS”
    4. 双击 security.tls.version.min 条目
    5. 将整数值设置为 3 以强制使用 TLS 1.2 作为所需的最低版本
    6. 选择保存(值框右侧的复选标记)
    7. 重启浏览器并验证是否能够访问应用
    Safari 如果使用的是 Safari 7 或更高版本,则会自动启用 TLS 1.2

Defender for Cloud Apps 使用传输层安全性 (TLS) 协议 1.2+ 提供一流的加密:

  • 使用会话控制配置时,将无法访问不支持 TLS 1.2+ 的本机客户端应用和浏览器。
  • 使用 Defender for Cloud Apps 配置时,使用 TLS 1.1 或更低版本的 SaaS 应用程序在浏览器中会显示为使用 TLS 1.2+。

提示

会话控件希望能适配所有操作系统上主要平台的浏览器,但目前支持最新版本的 Microsoft Edge、Google Chrome、Mozilla Firefox 和 Apple Safari。 你可能想要阻止或允许专门访问移动或桌面应用。

登录速度慢

代理链接和 nonce 处理是可能导致登录性能缓慢的一些常见问题。

建议的步骤

将环境配置为移除在登录过程中可能导致缓慢的所有因素。 例如,你可能已配置防火墙或正向代理链,这会连接两台或更多代理服务器以导航到预期页面。 你可能还有其他影响缓慢的外部因素。

  1. 确定环境中是否存在代理链接。
  2. 尽可能移除所有正向代理。

某些应用在身份验证期间使用 nonce 哈希来防止重放攻击。 默认情况下,Defender for Cloud Apps 假定应用使用 nonce。 如果正在使用的应用不使用 nonce,则在 Defender for Cloud Apps 中为此应用禁用 nonce 处理。

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps
  2. 在“连接的应用”下,选择“条件访问应用控制应用”。
  3. 在应用列表中显示要配置的应用的行上,选择行末尾的三个点,然后针对应用选择编辑
  4. 选择 Nonce 处理展开该部分,然后清除启用 nonce 处理
  5. 退出登录应用并关闭所有浏览器会话。
  6. 重启浏览器,并再次登录应用。 验证登录是否按预期方式工作。

有关网络条件的更多注意事项

对网络状况进行故障排除时,还需要考虑以下有关 Defender for Cloud Apps 代理的注意事项。

  • 验证会话是否正被路由到其他数据中心:Defender for Cloud Apps 使用世界各地的 Azure 数据中心通过地理位置优化性能。

    这意味着,用户会话可能托管在某个区域之外,具体取决于流量模式及其位置。 但是,为了保护隐私,这些数据中心不会存储任何会话数据。

  • 代理性能:派生性能基线取决于 Defender for Cloud Apps 代理之外的许多因素,例如:

    • 与此代理串联的其他代理或网关
    • 用户所在位置
    • 目标资源所在位置
    • 页面上的特定请求

    通常,任何代理都会增加延迟。 Defender for Cloud Apps 代理的优点包括:

    • 使用 Azure 域控制器的全球可用性,将用户地理定位到最近的节点并缩短其往返距离。 Azure 域控制器可以按全球少数服务具有的比例进行地理定位。

    • 使用与 Microsoft Entra 条件访问的集成,仅将想要代理的会话路由到我们的服务,而不是所有情况下的所有用户。

设备标识问题

Defender for Cloud Apps 提供了以下用于标识设备管理状态的选项。

  • Microsoft Intune 合规性
  • 已加入混合 Microsoft Entra 域
  • 客户端证书

有关详细信息,请参阅使用条件访问应用控制的身份管理设备

可能会遇到的常见设备标识问题包括:

错误标识符合 Intune 或已建立 Microsoft Entra 混合联接设备

Microsoft Entra 条件访问允许符合 Intune 和已建立 Microsoft Entra 混合联接设备信息直接传到 Defender for Cloud Apps。 在 Defender for Cloud Apps 中,使用设备状态作为访问或会话策略的筛选器。

有关详细信息,请参阅 Microsoft Entra ID 中的设备管理简介

建议的步骤

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps

  2. 在“条件访问应用控制”下,选择“设备标识”。 此页面显示 Defender for Cloud Apps 中的可用设备标识选项。

  3. 对于符合 Intune 设备标识已建立 Microsoft Entra 混合联接标识,分别选择查看配置并验证服务是否已设置。 这些服务分别从 Microsoft Entra ID 和 Intune 自动同步。

  4. 创建访问或会话策略,设备标记筛选器设置为已建立混合 Azure AD 联接和/或符合 Intune

  5. 在浏览器中,根据策略筛选器登录到已建立 Microsoft Entra 混合联接或符合 Intune 的设备。

  6. 验证这些设备中的活动是否正在填充日志。 在 Defender for Cloud Apps 的活动日志页中,设备标记筛选器设置为已建立混合 Azure AD 联接和/或符合 Intune,具体取决于策略筛选器。

  7. 如果未在 Defender for Cloud Apps 活动日志中填充活动,转到 Microsoft Entra ID,然后执行以下步骤:

    1. 监视>登录下,验证日志中是否存在登录活动。

    2. 针对所登录的设备选择相关的日志项目。

    3. 详细信息窗格中的设备信息选项卡上,验证该设备是托管的(加入了混合 Azure AD)或是符合的(符合 Intune)。

      如果无法验证任一状态,请尝试其他日志项目,或确保设备数据在 Microsoft Entra ID 中正确配置。

    4. 对于条件访问,某些浏览器可能需要额外的配置,例如安装扩展模块。 有关详细信息,请参阅条件访问控制器支持

    5. 如果在登录页面中仍然看不到设备信息,请创建 Microsoft Entra ID 的支持票证。

客户端证书未按预期提示

设备标识机制可使用客户端证书向相关设备请求身份验证。 可以上传采用 PEM 证书格式的 X.509 根或中间证书颁发机构 (CA) 证书。

这些证书必须包含 CA 的公钥,并将用于会话期间的客户端证书签名。 有关详细信息,请参阅 在没有 Microsoft Entra 的情况下检查设备管理

建议的步骤

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps

  2. 在“条件访问应用控制”下,选择“设备标识”。 此页面显示 Defender for Cloud Apps 中的可用设备标识选项。

  3. 验证是否已上传 X.509 根或中间 CA 证书。 必须上传用于签署证书颁发机构的 CA 证书。

  4. 创建设备标记筛选器设置为有效客户端证书的访问或会话策略。

  5. 确保客户端证书满足以下要求:

    • 使用 PKCS #12 文件格式(通常为 .p12.pfx 文件扩展名)部署
    • 安装在用于测试设备的用户存储中,而不是设备存储中
  6. 重启浏览器会话。

  7. 登录到受保护的应用时:

    • 验证是否已重定向到以下 URL 语法:<https://*.managed.access-control.cas.ms/aad_login>
    • 如果正在使用 iOS,确保当前使用的是 Safari 浏览器。
    • 如果正在使用 Firefox,还必须将证书添加到 Firefox 自己的证书存储中。 所有其他浏览器均使用相同的默认证书存储。
  8. 验证浏览器中是否提示客户端证书。

    如果未显示,请尝试其他浏览器。 大多数主浏览器都支持客户端证书检查。 但是,移动和桌面应用通常使用可能不支持此检查的内置浏览器,因此会影响这些应用的身份验证。

  9. 验证这些设备中的活动是否正在填充日志。 在 Defender for Cloud Apps 的活动日志页面中,在设备标签上添加过滤器等于有效客户端证书

  10. 如果仍未看到提示,创建支持票证并包含以下信息:

    • 遇到问题的浏览器或本机应用的详细信息
    • 操作系统版本,例如 iOS/Android/Windows 10
    • 提及提示是否适用于 Microsoft Edge Chromium

每次登录都会提示客户端证书

如果在打开新选项卡后遇到客户端证书弹出的情况,这可能是由于 Internet 选项中隐藏的设置造成的。 在浏览器中验证设置。 例如:

在 Microsoft Internet Explorer 中

  1. 打开 Internet Explorer,选择工具>Internet 选项>高级选项卡。
  2. 在安全下,选择只存在一个证书时不提示进行客户端证书选择>选择应用>确定
  3. 重启浏览器并验证是否可以在没有额外提示的情况下访问该应用。

在 Microsoft Edge / Edge Chromium 中

  1. 从任务栏打开搜索,然后搜索 Internet 选项
  2. 选择 Internet 选项>安全>本地 Intranet>自定义级别
  3. 杂项>只存在一个证书时不提示进行客户端证书选择下,选择禁用
  4. 选择确定>应用>确定
  5. 重启浏览器并验证是否可以在没有额外提示的情况下访问该应用。

有关设备标识的更多注意事项

对设备标识进行故障排除时,可能需要对客户端证书进行证书吊销。

CA 吊销的证书不再受信任。 要选择此选项,需要所有证书传递 CRL 协议。 如果客户端证书不包含 CRL 端点,则无法从托管设备进行连接。

加入应用时出现问题

Microsoft Entra ID 应用会自动加入到 Defender for Cloud Apps 来实现条件访问与会话控制。 必须手动加入非 Microsoft IdP 应用,包括目录应用和自定义应用。

有关详细信息,请参阅:

加入应用时可能会遇到的常见应用场景包括:

应用未在“条件访问应用控制”应用页面上出现

将非 Microsoft IdP 应用加入条件访问应用控制时,最后一个部署步骤是让最终用户导航到该应用。 如果此应用未按预期显示在设置 > 云应用 > 已连接的应用 > 条件访问应用控制应用页面上,则请执行本节中的步骤。

建议的步骤

  1. 确保应用满足以下条件访问应用控制先决条件:

    • 确保拥有有效的 Defender for Cloud Apps 许可证。
    • 创建重复的应用。
    • 确保应用使用 SAML 协议。
    • 验证是否已完全加入应用,并且应用的状态为已连接
  2. 确保使用新的 incognito 模式或再次登录,以在新的浏览器会话中导航到应用。

注意

仅当在至少一个策略中配置 Entra ID 应用后,或是存在一个没有任何应用规范的策略且有用户已登录到应用时,该应用才会显示在条件访问应用控制应用页面上。

应用状态:继续设置

应用的状态可能有所不同,包括继续设置已连接无活动

对于通过非 Microsoft 标识提供者 (IdP) 连接的应用,如果设置未完成,则访问应用时会看到一个状态为继续设置的页面。 按照以下步骤完成设置。

建议的步骤

  1. 选择继续设置

  2. 查看以下文章并验证是否已完成所有必要步骤:

    请特别注意以下步骤:

    1. 确保创建新的自定义 SAML 应用。 需要此应用才能更改库应用中可能不可用的 URL 和 SAML 属性。
    2. 如果标识提供者不允许重用同一标识符(也称为实体 ID受众),请更改原始应用的标识符。

无法为内置应用配置控件

通过启发式手段可检测到内置应用,而你可使用访问策略来监视或阻止它们。 按照以下步骤为本机应用配置控制。

建议的步骤

  1. 访问策略中,添加客户端应用筛选器,然后将其设为移动和桌面

  2. 操作下,选择阻止

  3. (可选)自定义当用户无法下载文件时获得的阻止消息。 例如,将此消息自定义为必须使用 Web 浏览器访问此应用

  4. 测试并验证控制是否按预期工作。

显示无法识别应用页面

Defender for Cloud Apps 可通过云应用目录识别超过 31,000 个应用。

如果正在使用通过 Microsoft Entra SSO 配置的自定义应用,并且该应用不是受支持的应用之一,则会遇到无法识别应用页面。 要解决此问题,必须为此应用配置条件访问应用控制。

建议的步骤

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps。 在“连接的应用”下,选择“条件访问应用控制应用”。

  2. 在横幅中,选择“查看新应用”。

  3. 在新应用列表中,找到要加入的应用,选择 + 符号,然后选择添加

    1. 选择应用是自定义还是标准应用。
    2. 继续执行向导,确保为要配置的应用指定正确的用户定义的域
  4. 验证应用是否出现在条件访问应用控制应用页面上。

显示“请求会话控制”选项

加入非 Microsoft IdP 应用后,可能会看到请求会话控制选项。 之所以发生上述情况,是因为只有目录应用才具有现成的会话控制。 对于任何其他应用,必须完成自行加入过程。

请按使用非 Microsoft IdP 为自定义应用部署条件访问应用控制中的说明进行操作。

建议的步骤

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps

  2. 在“条件访问应用控制”下,选择“应用加入/维护”。

  3. 输入要加入该应用的用户的主体名称或电子邮件地址,然后选择保存

  4. 转到要部署的应用。 显示的页面取决于应用是否可识别。 根据看到的页面执行以下操作之一:

    • 无法识别。 你会看到一个无法识别应用页面,提示你配置应用。 执行以下步骤:

      1. 加入应用以进行条件访问应用控制。
      2. 添加该应用的域。
      3. 安装该应用的证书。
    • 已识别。 如果已识别应用,则会显示一个加入页面,提示你继续应用程序配置过程。

      请确保此应用配置了其正常运行所需的所有域,然后返回到应用页面。

有关加入应用的更多注意事项

对加入应用进行故障排除时,需要考虑一些额外的事项。

  • 了解 Microsoft Entra 条件访问策略设置之间的差异:“仅监视”、“阻止下载”和“使用自定义策略”

    在 Microsoft Entra 条件访问策略中,可以配置以下内置 Defender for Cloud Apps 控制:仅监视阻止下载。 这些设置将对 Microsoft Entra ID 中配置的云应用和条件应用和执行 Defender for Cloud Apps 代理功能。

    对于更复杂的策略,请选择使用自定义策略,以在 Defender for Cloud Apps 中配置访问和会话策略。

  • 了解访问策略中的“移动和桌面”客户端应用筛选器选项

    在 Defender for Cloud Apps 访问策略中,除非“客户端应用”筛选器设置为“移动和桌面”,否则生成的访问策略将仅适用于浏览器会话。

    此举的目的是防止无意中设置用户会话代理,这可能是使用此筛选器造成的。

创建访问和会话策略时出现问题

Defender for Cloud Apps 提供以下可配置策略:

  • 访问策略:用于监视或阻止访问浏览器、移动和/或桌面应用。
  • 会话策略。 用于监视、阻止和执行特定操作,以防止浏览器中的数据渗透和外泄应用场景。

要在 Defender for Cloud Apps 中使用这些策略,必须先在 Microsoft Entra 条件访问中配置策略以扩展会话控制:

  1. 在 Microsoft Entra 策略中的访问控制下,选择会话>使用条件访问应用控制

  2. 选择内置策略(仅监视阻止下载),或使用自定义策略在 Defender for Cloud Apps 中设置高级策略。

  3. 选择选择以继续操作。

配置这些策略时可能会遇到的常见应用场景包括:

在条件访问策略中,看不到“条件访问应用控制”选项

将会话路由到 Defender for Cloud Apps,必须将 Microsoft Entra 条件访问策略配置为包含条件访问应用控制会话控制。

建议的步骤

如果在条件访问策略中未看到条件访问应用控制选项,请确保拥有 Microsoft Entra ID P1 的有效许可证以及有效的 Defender for Cloud Apps 许可证。

创建策略时出现错误消息:没有使用条件访问应用控制部署的任何应用

创建访问或会话策略时,可能会看到以下错误消息:没有使用条件访问应用控制部署的任何应用。 此错误表示此应用是尚未加入条件访问应用控制的非 Microsoft IdP 应用。

建议的步骤

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps。 在“连接的应用”下,选择“条件访问应用控制应用”。

  2. 如果看到消息未连接应用,请按照以下指南部署应用:

如果在部署应用时遇到任何问题,请参阅加入应用时出现问题

无法为应用创建会话策略

加入非 Microsoft IdP 应用以进行条件访问应用控制后,在条件访问应用控制应用页面上可能会出现以下选项:请求会话控制

注意

目录应用具有现成的会话控制。 对于所有其他非 Microsoft IdP 应用,必须完成自行加入流程。 建议的步骤

  1. 将应用部署到会话控制。 有关详细信息,请参阅为条件访问应用控制加入非 Microsoft IdP 自定义应用

  2. 创建会话策略并选择应用筛选器。

  3. 确保应用现在列在下拉列表中。

无法选择“检查方法:数据分类服务”

在会话策略中,使用控制文件下载(并检查)会话控制类型时,可以使用数据分类服务检查方法实时扫描文件,并检测与配置的任何条件匹配的敏感内容。

如果数据分类服务检查方法不可用,请使用以下步骤调查问题。

建议的步骤

  1. 验证会话控制类型是否设置为控制文件下载(并检查)

    注意

    数据分类服务检查方法仅适用于控制文件下载(并检查)选项。

  2. 确定数据分类服务功能在你的区域中是否可用:

    • 如果该功能在你的区域中不可用,请使用内置 DLP 检查方法。
    • 如果该功能在你的区域中可用,但仍看不到数据分类服务检查方法,请创建支持票证

无法选择“操作:保护”

在会话策略中,使用控制文件下载(并检查)会话控制类型时,除了监视阻止操作外,还可以指定保护操作。 通过此操作,可以允许文件下载,并可选择根据条件和/或内容检查对文件进行加密或应用权限。

如果保护操作不可用,请按照以下步骤调查问题。

建议的步骤

  1. 如果保护操作不可用或呈灰色显示,请验证是否具有 Microsoft Purview 许可证。 有关详细信息,请参阅 Microsoft Purview 信息保护集成

  2. 如果保护操作可用,但看不到相应的标签。

    1. 在 Defender for Cloud Apps 的菜单栏中,选择设置图标 >Microsoft 信息保护,然后验证是否启用了集成。

    2. 对于 Office 标签,请在 Microsoft Purview 门户中确保已选择统一标记

使用“管理员视图”工具栏诊断和故障排除

管理员视图工具栏位于屏幕底部,其中包含诸多工具,以供管理员用户对使用条件访问应用控制时遇到的问题进行诊断和故障排除。

要查看管理员视图工具栏,必须确保将特定的管理员用户帐户添加至 Microsoft Defender XDR 设置中的应用加入/维护列表。

将用户添加到应用加入/维护列表

  1. 在 Microsoft Defender XDR 中,选择设置>Cloud Apps

  2. 向下滚动,在条件访问应用控制下,选择应用载入/维护

  3. 输入要添加的管理员用户的主体名称或电子邮件地址。

  4. 选中支持这些用户从代理会话内部旁路条件访问应用控制选项,然后选择保存

    例如:

    应用载入/维护设置的屏幕截图。

下次列出的用户之一在其作为管理员的受支持应用中启动新会话时,浏览器底部会显示管理员视图工具栏。

例如,下图显示了在浏览器中使用 OneNote 时浏览器窗口底部显示的管理员视图工具栏:

管理员视图工具栏的屏幕截图。

以下部分介绍了如何使用管理员视图工具栏进行测试和故障排除。

测试模式

作为管理员用户,你可能希望在最新版本完全推广给所有租户之前,测试即将推出的代理缺陷修复程序。 向 Microsoft 支持团队提供有关缺陷修复的反馈,以帮助加快发布周期。

在测试模式下,只有管理员用户才能看见缺陷修复程序中的所有更改。 其他用户不受影响。

  • 要打开测试模式,在管理员视图工具栏中选择测试模式
  • 完成测试后,选择结束测试模式以恢复为常规功能。

旁路代理会话

如果使用的是非 Edge 浏览器且在访问或加载应用程序时遇到问题,则可能需通过运行没有代理的应用程序来验证问题是否与条件访问代理有关。

要旁路代理,在管理员视图工具栏中选择旁路体验。 通过指出 URL 未加后缀来确认已旁路会话。

条件访问代理在下一个会话中再次使用。

有关详细信息,请参阅 Microsoft Defender for Cloud Apps 条件访问应用控制使用 Microsoft Edge for Business(预览版)进行浏览器内保护

第二次登录(也称为“二次登录”)

某些应用程序有多个用于登录的深层链接。 除非在应用设置中定义登录链接,否则用户在登录时可能会重定向到无法识别的页面,从而阻止其访问。

IdP(如 Microsoft Entra ID)之间的集成基于拦截应用程序登录并将其重定向。 这意味着,如果不触发第二次登录,就无法直接控制浏览器登录。 若要触发第二次登录,我们需要专门为此目的使用第二个登录 URL。

如果应用程序使用随机数,则第二次登录对用户可能是透明的,或者系统会提示用户再次登录。

如果它对最终用户不透明,请将第二个登录 URL 添加到应用设置:

转到设置 > 云应用 > 连接的应用 > 条件访问应用控制应用

选择相关应用程序,然后选择三个点。

选择编辑应用\高级登录配置

添加错误页中的第二次登录 URL。

如果您确信应用程序不使用随机数,可以按照慢速登录中所述编辑应用程序设置来禁用此功能。

记录会话

你可能希望通过向 Microsoft 支持工程师发送会话记录来帮助分析问题的根本原因。 使用管理员视图工具栏记录会话。

注意

所有个人数据都将从记录中移除。

要记录会话

  1. 管理员视图工具栏中,选择记录会话。 出现提示时,选择继续接受条款。 例如:

    会话记录隐私声明对话框的屏幕截图。

  2. 如果需要开始模拟会话,请登录应用。

  3. 完成应用场景记录后,确保在管理员视图工具栏中选择停止记录

要查看记录的会话

完成记录后,可通过在管理员视图工具栏中选择会话记录来查看记录的会话。 将显示过去 48 小时记录的会话列表。 例如:

会话记录的屏幕截图。

要管理记录内容,选择文件,然后根据需要选择删除下载。 例如:

下载或删除记录内容的屏幕截图。

为应用添加域

将正确的域关联到允许 Defender for Cloud Apps 强制实施策略和审核活动的应用。

例如,如果你已配置阻止下载关联域的文件的策略,则会阻止应用从该域下载文件。 但是,将不会阻止应用从未与应用关联的域下载文件,并且不会在活动日志中审核该操作。

如果管理员在代理应用中浏览到无法识别的域,则 Defender for Cloud Apps 不认为该应用是同一应用或任何其他应用的一部分,则会显示无法识别的域消息,提示管理员添加域,以便下次对其进行保护。 在这种情况下,如果管理员不想添加域,则无需执行任何操作。

注意

Defender for Cloud Apps 仍会为没有与应用关联的域添加后缀,以保证无缝用户体验。

若要为应用添加域

  1. 在浏览器中打开应用,且可在屏幕上看到 Defender for Cloud Apps 管理员视图工具栏

  2. 管理员视图工具栏中,选择发现的域

  3. 发现的域窗格中,记下列出的域名或将此列表导出为 .csv 文件。

    发现的域窗格将显示未与此应用关联的所有域的列表。 域名是完全限定的。

  4. 在 Microsoft Defender XDR 中,选择设置>云应用>已连接的应用>条件访问应用控制应用

  5. 在表中找到应用。 选择右侧的“选项”菜单,然后选择编辑应用

  6. 用户定义的域字段中,输入要与此应用关联的域。

    • 若要查看此应用中已配置的域的列表,请选择查看应用域链接。

    • 添加域时,请考虑是要添加特定域,还是使用星号(利用 ***** 通配符可一次性使用多个域)。

      例如,sub1.contoso.comsub2.contoso.com 即为特定域的示例。 若要同时添加这两个域以及其他同级域,请使用 *.contoso.com

有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用