排查管理员用户的访问权限和会话控制问题
本文为Microsoft Defender for Cloud Apps管理员提供了有关如何调查和解决管理员遇到的常见访问和会话控制问题的指南。
注意
与代理功能相关的任何故障排除仅与未使用 Microsoft Edge 配置浏览器内保护的会话相关。
检查最低要求
在开始故障排除之前,请确保你的环境满足以下访问和会话控制的最低一般要求。
| 要求 | 说明 |
|---|---|
| 许可 | 确保拥有Microsoft Defender for Cloud Apps的有效许可证。 |
| 单一登录 (SSO) | 必须使用受支持的 SSO 解决方案之一配置应用: - 使用 SAML 2.0 或 OpenID Connect 2.0 Microsoft Entra ID - 使用 SAML 2.0 的非Microsoft IdP |
| 浏览器支持 | 会话控件可用于以下浏览器的最新版本上基于浏览器的会话: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge 的浏览器内保护也有特定要求,包括使用其工作配置文件登录的用户。 有关详细信息,请参阅 浏览器内保护要求。 |
| 故障时间 | Defender for Cloud Apps允许定义在发生服务中断(例如组件无法正常运行)时应用的默认行为。 例如,当无法强制实施常规策略控制时,可以选择强化 (阻止) 或绕过 (允许) 用户对潜在敏感内容执行操作。 若要在系统停机期间配置默认行为,请在Microsoft Defender XDR中,转到“设置>条件访问应用控制>默认行为>允许或阻止访问”。 |
浏览器内保护要求
如果对 Microsoft Edge 使用浏览器内保护 ,并且仍由反向代理提供服务,请确保满足以下其他要求:
此功能已在Defender XDR设置中打开。 有关详细信息,请参阅 配置浏览器内保护设置。
Microsoft Edge 商业版支持用户所涵盖的所有策略。 如果Microsoft Edge 商业版不支持的另一个策略为用户提供服务,则始终由反向代理为用户提供服务。 有关详细信息,请参阅 浏览器内保护要求。
你使用的是受支持的平台,包括支持的操作系统、标识平台和 Edge 版本。 有关详细信息,请参阅 浏览器内保护要求。
管理员故障排除问题的参考
使用下表查找尝试排查的问题:
网络条件问题
可能会遇到的常见网络状况问题包括:
导航到浏览器页面时出现网络错误
首次为应用设置Defender for Cloud Apps访问和会话控制时,可能会出现的常见网络错误包括:此站点不安全且没有 Internet 连接。 这些消息可能指示一般网络配置错误。
建议的步骤
使用与环境相关的 Azure IP 地址和 DNS 名称,将防火墙配置为使用Defender for Cloud Apps。
- 为Defender for Cloud Apps数据中心添加以下 IP 地址和 DNS 名称的出站端口 443。
- 重启设备和浏览器会话
- 验证登录是否按预期工作
在浏览器的 Internet 选项中启用 TLS 1.2。 例如:
浏览器 步骤 Microsoft Internet Explorer 1. 打开 Internet Explorer
2. 选择 “工具>”“Internet 选项>”“前进 ”选项卡
3. 在 “安全性”下,选择“ TLS 1.2”
4.选择“ 应用”,然后选择“ 确定”
5.重启浏览器并验证是否可以访问应用Microsoft Edge/Edge Chromium 1.从任务栏打开搜索并搜索“Internet 选项”
2. 选择 “Internet 选项”
3. 在 “安全性”下,选择“ TLS 1.2”
4.选择“ 应用”,然后选择“ 确定”
5.重启浏览器并验证是否可以访问应用Google Chrome 1. 打开 Google Chrome
2. 在右上角,选择“ 更多 (3 个垂直点) >设置”
3.在底部,选择“高级”
4.在“ 系统”下,选择“ 打开代理设置”
5.在“ 高级 ”选项卡上的“ 安全性”下,选择“ TLS 1.2”
6.选择 “确定”
7.重启浏览器并验证你是否能够访问应用Mozilla Firefox 1. 打开 Mozilla Firefox
2. 在地址栏中搜索“about:config”
3. 在“搜索”框中,搜索“TLS”
4.双击 security.tls.version.min 的条目
5. 将整数值设置为 3 以强制 TLS 1.2 作为所需的最低版本
6.选择值框右侧的“保存 (检查 标记)
7.重启浏览器并验证你是否能够访问应用Safari 如果使用 Safari 版本 7 或更高版本,则会自动启用 TLS 1.2
Defender for Cloud Apps使用传输层安全性 (TLS) 协议 1.2+ 来提供一流的加密:
- 使用会话控制进行配置时,无法访问不支持 TLS 1.2+ 的本机客户端应用和浏览器。
- 使用 TLS 1.1 或更低版本的 SaaS 应用在浏览器中显示为使用 TLS 1.2+ 配置Defender for Cloud Apps。
提示
虽然会话控件是针对任何操作系统上任何主要平台上的任何浏览器而构建的,但我们支持最新版本的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 你可能想要专门阻止或允许访问移动或桌面应用。
登录缓慢
代理链接和 nonce 处理是一些可能导致登录性能缓慢的常见问题。
建议的步骤
配置环境以删除可能导致登录过程中速度缓慢的任何因素。 例如,你可能已配置防火墙或转发代理链接,用于连接两个或多个代理服务器以导航到预期页面。 你可能还存在影响速度的其他外部因素。
- 确定环境中是否发生代理链接。
- 尽可能删除任何转发代理。
某些应用在身份验证期间使用 nonce 哈希来防止重播攻击。 默认情况下,Defender for Cloud Apps假定应用使用 nonce。 如果你使用的应用不使用 nonce,请在 Defender for Cloud Apps 中禁用此应用的 nonce 处理:
- 在“Microsoft Defender XDR”中,选择“设置>云应用”。
- 在 “连接的应用”下,选择“ 条件访问应用控制应用”。
- 在应用列表中,在显示要配置的应用的行上,选择行末尾的三个点,然后为应用选择 “编辑 ”。
- 选择“ Nonce 处理 ”以展开该部分,然后清除 “启用 nonce 处理”。
- 注销应用并关闭所有浏览器会话。
- 重启浏览器并再次登录到应用。 验证登录是否按预期工作。
有关网络条件的更多注意事项
排查网络状况问题时,还要考虑以下有关Defender for Cloud Apps代理的说明:
验证会话是否路由到另一个数据中心:Defender for Cloud Apps使用世界各地的 Azure 数据中心通过地理位置优化性能。
这意味着,用户的会话可能托管在某个区域之外,具体取决于流量模式及其位置。 但是,为了保护你的隐私,这些数据中心不会存储任何会话数据。
代理性能:派生性能基线取决于Defender for Cloud Apps代理之外的许多因素,例如:
- 与此代理串联的其他代理或网关
- 用户来自何处
- 目标资源所在的位置
- 页面上的特定请求
通常,任何代理都会增加延迟。 Defender for Cloud Apps代理的优点是:
使用 Azure 域控制器的全球可用性将用户异地分配到最近的节点,并缩短其往返距离。 Azure 域控制器可以按全球很少有服务的规模进行地理定位。
使用与 Microsoft Entra 条件访问的集成,仅将要代理的会话路由到我们的服务,而不是在所有情况下的所有用户。
设备标识问题
Defender for Cloud Apps提供了以下用于标识设备的管理状态的选项。
- Microsoft Intune合规性
- 已加入混合Microsoft Entra域
- 客户端证书
有关详细信息,请参阅 具有条件访问应用控制的标识管理设备。
可能会遇到的常见设备标识问题包括:
错误识别Intune合规或Microsoft Entra混合联接的设备
Microsoft Entra条件访问允许将符合Intune和Microsoft Entra混合联接的设备信息直接传递给Defender for Cloud Apps。 在 Defender for Cloud Apps 中,使用设备状态作为访问或会话策略的筛选器。
有关详细信息,请参阅 Microsoft Entra ID 中的设备管理简介。
建议的步骤
在“Microsoft Defender XDR”中,选择“设置>云应用”。
在 “条件访问应用控制”下,选择“ 设备标识”。 此页显示 Defender for Cloud Apps 中可用的设备标识选项。
对于Intune合规的设备标识和Microsoft Entra混合联接标识,请选择“查看配置”并验证是否已设置服务。 服务分别从Microsoft Entra ID和Intune自动同步。
创建访问或会话策略,其设备标记筛选器等于已加入混合 Azure AD,Intune合规,或同时满足这两者。
在浏览器中,根据策略筛选器登录到Microsoft Entra混合联接或Intune合规的设备。
验证这些设备中的活动是否正在填充日志。 在Defender for Cloud Apps的“活动日志”页上,根据策略筛选器筛选“设备标记”是否等于已加入混合 Azure AD,Intune符合这两者。
如果未在Defender for Cloud Apps活动日志中填充活动,请转到Microsoft Entra ID并执行以下步骤:
在 “监视>登录”下,验证日志中是否存在登录活动。
为登录的设备选择相关日志条目。
在“详细信息”窗格中的“设备信息”选项卡上,验证设备是否为托管 (已加入混合 Azure AD) 或合规 (Intune 合规) 。
如果无法验证任一状态,请尝试另一个日志条目,或确保在 Microsoft Entra ID 中正确配置设备数据。
对于条件访问,某些浏览器可能需要额外的配置,例如安装扩展。 有关详细信息,请参阅 条件访问浏览器支持。
如果在“登录”页中仍然看不到设备信息,请为Microsoft Entra ID开具支持票证。
客户端证书未按预期提示
设备标识机制可以使用客户端证书从相关设备请求身份验证。 可以上传 X.509 根证书颁发机构或中间证书颁发机构 (CA) 证书,格式为 PEM 证书格式。
证书必须包含 CA 的公钥,该公钥随后用于对会话期间提供的客户端证书进行签名。 有关详细信息,请参阅在不Microsoft Entra的情况下检查设备管理。
建议的步骤
在“Microsoft Defender XDR”中,选择“设置>云应用”。
在 “条件访问应用控制”下,选择“ 设备标识”。 此页显示Defender for Cloud Apps提供的设备标识选项。
验证是否上传了 X.509 根或中间 CA 证书。 必须上传用于为证书颁发机构签名的 CA 证书。
创建 设备标记 筛选器等于 “有效客户端证书”的访问或会话策略。
确保客户端证书为:
- 使用 PKCS #12 文件格式部署,通常为 .p12 或 .pfx 文件扩展名
- 安装在用于测试的设备的用户存储中,而不是设备存储中
重启浏览器会话。
登录到受保护的应用时:
- 验证是否已重定向到以下 URL 语法:
<https://*.managed.access-control.cas.ms/aad_login> - 如果使用的是 iOS,请确保使用 Safari 浏览器。
- 如果使用的是 Firefox,还必须 将证书添加到 Firefox 自己的证书存储区。 所有其他浏览器使用相同的默认证书存储。
- 验证是否已重定向到以下 URL 语法:
验证浏览器中是否提示了客户端证书。
如果未显示,请尝试其他浏览器。 大多数主要浏览器都支持执行客户端证书检查。 但是,移动和桌面应用通常使用可能不支持此检查因此会影响这些应用的身份验证的内置浏览器。
验证这些设备中的活动是否正在填充日志。 在Defender for Cloud Apps的“活动日志”页上,对“设备标记”添加一个等于“有效客户端证书”的筛选器。
如果仍未看到提示,请打开 支持票证 并包含以下信息:
- 遇到问题的浏览器或本机应用的详细信息
- 操作系统版本,例如 iOS/Android/Windows 10
- 提及提示是否正在处理 Microsoft Edge Chromium
每次登录时都会提示客户端证书
如果在打开新选项卡后遇到客户端证书弹出,这可能是由于 Internet 选项中隐藏的设置造成的。 在浏览器中验证设置。 例如:
在 Microsoft Internet Explorer 中:
- 打开 Internet Explorer,然后选择 “工具>”“Internet 选项>”“高级 ”选项卡。
- 在“ 安全性”下,选择“ 当只有一个证书存在> 时不提示选择客户端证书”,选择 “应用>确定”。
- 重启浏览器并验证是否可以在没有额外提示的情况下访问应用。
在 Microsoft Edge/Edge Chromium中:
- 从任务栏打开搜索并搜索 “Internet 选项”。
- 选择“ Internet 选项>安全>本地 Intranet>自定义级别”。
- 在 “杂项>”“当只有一个证书存在时不提示选择客户端证书”下,选择“ 禁用”。
- 选择 “确定>应用>确定”。
- 重启浏览器并验证是否可以在没有额外提示的情况下访问应用。
有关设备标识的更多注意事项
排查设备标识问题时,可以要求对客户端证书吊销证书。
CA 吊销的证书不再受信任。 选择此选项需要所有证书才能通过 CRL 协议。 如果客户端证书不包含 CRL 终结点,则无法从托管设备进行连接。
载入应用时出现的问题
Microsoft Entra ID应用会自动载入到条件访问和会话控制Defender for Cloud Apps。 必须手动载入非Microsoft IdP 应用,包括目录应用和自定义应用。
有关更多信息,请参阅:
加入应用时可能会遇到的常见方案包括:
应用不会显示在条件访问应用控制应用页上
将非Microsoft IdP 应用加入条件访问应用控制时,最终部署步骤是让最终用户导航到该应用。 如果应用未显示在“设置>”云应用“”连接的应用>>条件访问应用控制应用“页面上,请执行本部分中的步骤。
建议的步骤
确保应用满足以下条件访问应用控制先决条件:
- 请确保拥有有效的Defender for Cloud Apps许可证。
- 创建重复的应用。
- 确保应用使用 SAML 协议。
- 验证是否已完全载入应用,并且应用的状态为 “已连接”。
确保在新的浏览器会话中导航到应用,方法是使用新的 incognito 模式或再次登录。
注意
Entra ID 应用仅在至少在一个策略中配置后显示在 条件访问应用控制应用 页上,或者如果你有一个没有任何应用规范的策略,并且用户已登录到应用。
应用状态:继续安装
应用的状态可能有所不同,可以包括“继续设置”、“已连接”或“无活动”。
对于通过非Microsoft标识提供者 (IdP) 连接的应用,如果设置未完成,在访问应用时会看到一个状态为 “继续设置”的页面。 使用以下步骤完成设置。
建议的步骤
选择“ 继续安装”。
查看以下文章,并验证是否已完成所需的所有步骤:
请特别注意以下步骤:
- 请确保创建新的自定义 SAML 应用。 需要此应用来更改库应用中可能不可用的 URL 和 SAML 属性。
- 如果标识提供者不允许重复使用相同的标识符(也称为 实体 ID 或 受众),请更改原始应用的标识符。
无法为内置应用配置控件
可以启发式检测内置应用,并且可以使用访问策略来监视或阻止它们。 使用以下步骤为本机应用配置控件。
建议的步骤
在访问策略中,添加客户端应用筛选器,并将其设置为“移动”和“桌面”。
在 “操作”下,选择“ 阻止”。
(可选)自定义用户在无法下载文件时获取的阻止消息。 例如,将此消息自定义为 必须使用 Web 浏览器才能访问此应用。
测试并验证控件是否按预期工作。
显示“无法识别应用”页面
Defender for Cloud Apps可以通过云应用目录识别超过 31,000 个应用。
如果使用的自定义应用是通过 Microsoft Entra SSO 配置的,并且不是受支持的应用之一,则会出现“应用无法识别”页面。 若要解决此问题,必须使用条件访问应用控制配置应用。
建议的步骤
在“Microsoft Defender XDR”中,选择“设置>云应用”。 在 “连接的应用”下,选择“ 条件访问应用控制应用”。
在横幅中,选择“ 查看新应用”。
在新应用列表中,找到要载入的应用,选择 + 符号,然后选择 “添加”。
- 选择应用是 自定义 应用还是 标准 应用。
- 继续执行向导,确保指定的 用户定义域 对于要配置的应用是正确的。
验证应用是否显示在 “条件访问应用控制应用 ”页中。
出现“请求会话控制”选项
载入非Microsoft IdP 应用后,可能会看到 “请求会话控制 ”选项。 这是因为只有目录应用具有现装的会话控件。 对于任何其他应用,必须完成自载入过程。
按照 为具有非Microsoft IdP 的自定义应用部署条件访问应用控件中的说明进行操作。
建议的步骤
在“Microsoft Defender XDR”中,选择“设置>云应用”。
在 “条件访问应用控制”下,选择“ 应用载入/维护”。
输入将载入应用的用户的主体名称或电子邮件,然后选择“ 保存”。
转到要部署的应用。 你看到的页面取决于应用是否被识别。 根据看到的页面执行以下操作之一:
无法识别。 你将看到一个 无法识别的应用 页面,提示你配置应用。 执行以下步骤:
- 载入应用以用于条件访问应用控制。
- 添加应用的域。
- 安装应用的证书。
已识别。 如果你的应用被识别,你将看到一个载入页面,提示你继续应用配置过程。
确保应用配置了应用正常运行所需的所有域,然后返回到应用页面。
有关载入应用的更多注意事项
在对载入应用进行故障排除时,需要考虑一些额外的事项。
了解Microsoft Entra条件访问策略设置之间的差异:“仅监视”、“阻止下载”和“使用自定义策略”
在Microsoft Entra条件访问策略中,可以配置以下内置Defender for Cloud Apps控件:仅监视和阻止下载。 这些设置对在 Microsoft Entra ID 中配置的云应用和条件应用并强制实施Defender for Cloud Apps代理功能。
对于更复杂的策略,请选择“使用自定义策略”,这样就可以在 Defender for Cloud Apps 中配置访问和会话策略。
了解访问策略中的“移动和桌面”客户端应用筛选器选项
在Defender for Cloud Apps访问策略中,除非“客户端应用筛选器”设置为“移动和桌面”,否则生成的访问策略将应用于浏览器会话。
这样做的原因是防止无意中代理用户会话,这可能是使用此筛选器的副产品。
创建访问和会话策略时出现的问题
Defender for Cloud Apps提供以下可配置策略:
若要在 Defender for Cloud Apps 中使用这些策略,必须先在Microsoft Entra条件访问中配置策略,以扩展会话控制:
在Microsoft Entra策略的“访问控制”下,选择“会话>使用条件访问应用控制”。
选择“仅监视 (”或“阻止下载) ”的内置策略,或使用自定义策略在 Defender for Cloud Apps 中设置高级策略。
选择 “选择” 以继续。
配置这些策略时可能会遇到的常见方案包括:
在条件访问策略中,看不到条件访问应用控制选项
若要将会话路由到Defender for Cloud Apps,必须将Microsoft Entra条件访问策略配置为包含条件访问应用控制会话控制。
建议的步骤
如果在条件访问策略中看不到“条件访问应用控制”选项,请确保具有Microsoft Entra ID P1 的有效许可证和有效的Defender for Cloud Apps许可证。
创建策略时出现错误消息:没有使用条件访问应用控制部署任何应用
创建访问或会话策略时,可能会看到以下错误消息: 未部署任何具有条件访问应用控制的应用。 此错误指示该应用是尚未加入条件访问应用控制的非Microsoft IdP 应用。
建议的步骤
在“Microsoft Defender XDR”中,选择“设置>云应用”。 在 “连接的应用”下,选择“ 条件访问应用控制应用”。
如果看到消息 “未连接应用”,请使用以下指南部署应用:
如果在部署应用时遇到任何问题,请参阅 载入应用时出现的问题。
无法为应用创建会话策略
为条件访问应用控制载入非Microsoft IdP 应用后,在 条件访问应用控制应用 页中,你可能会看到选项: 请求会话控制。
注意
目录应用 具有现装的会话控件。 对于任何其他非Microsoft IdP 应用,必须完成自载入过程。 建议的步骤
将应用部署到会话控制。 有关详细信息,请参阅 为条件访问应用控制载入非Microsoft IdP 自定义应用。
创建会话策略并选择“ 应用 ”筛选器。
请确保你的应用现在已列在下拉列表中。
无法选择检查方法:数据分类服务
在会话策略中,将 控制文件下载 (与检查) 会话控制类型结合使用时,可以使用 数据分类服务 检查方法实时扫描文件并检测符合配置的任何条件的敏感内容。
如果 数据分类服务 检查方法不可用,请使用以下步骤来调查问题。
建议的步骤
使用检查) 验证 会话控件类型 是否设置为 “控制文件下载 (。
注意
数据分类服务检查方法仅适用于带有检查) 选项的控制文件下载 (。
确定 数据分类服务 功能是否在你的 区域中可用:
- 如果此功能在你的区域中不可用,请使用 内置 DLP 检查方法。
- 如果该功能在你的区域中可用,但你仍然看不到 数据分类服务 检查方法,请开具 支持票证。
无法选择“操作:保护”
在会话策略中,使用 控制文件下载 (检查) 会话控制类型时,除了 监视 和 阻止 操作外,还可以指定 “保护 ”操作。 通过此操作,可以使用选项允许下载文件,以便根据条件和/或内容检查对文件加密或应用权限。
如果 “保护 ”操作不可用,请使用以下步骤调查问题。
建议的步骤
如果 “保护 ”操作不可用或灰显,请验证是否具有 Microsoft Purview 许可证。 有关详细信息,请参阅Microsoft Purview 信息保护集成。
如果 “保护 ”操作可用,但未看到相应的标签。
在Defender for Cloud Apps菜单栏中,选择Microsoft信息保护的设置图标>,并验证是否已启用集成。
对于 Office 标签,请在 Microsoft Purview 门户中,确保已选择 “统一标签 ”。
使用管理员视图工具栏进行诊断和故障排除
管理员视图工具栏位于屏幕底部,为管理员用户提供用于诊断和排查条件访问应用控制问题的工具。
若要查看“管理员视图”工具栏,必须确保将特定管理员用户帐户添加到Microsoft Defender XDR设置中的应用载入/维护列表。
将用户添加到应用载入/维护列表:
在“Microsoft Defender XDR”中,选择“设置>云应用”。
向下滚动,然后在 “条件访问应用控制”下,选择“ 应用载入/维护”。
输入要添加的管理员用户的主体名称或电子邮件地址。
选择“ 允许这些用户从代理会话内部绕过条件访问应用控制 ”选项,然后选择“ 保存”。
例如:
下次列出的用户之一在作为管理员的受支持应用中启动新会话时,浏览器底部会显示“管理员视图”工具栏。
例如,下图显示了在浏览器中使用 OneNote 时浏览器窗口底部显示的“管理员视图”工具栏:
以下部分介绍如何使用管理员视图工具栏进行测试和故障排除。
测试模式
作为管理员用户,你可能希望在最新版本完全推出到所有租户之前测试即将推出的代理 bug 修复。 向Microsoft支持团队提供有关 bug 修复的反馈,以帮助加快发布周期。
处于测试模式时,只有管理员用户才会受到 bug 修复中提供的任何更改。 对其他用户没有影响。
- 若要打开测试模式,请在“视图”工具栏管理员,选择“测试模式”。
- 完成测试后,选择“ 结束测试模式 ”以返回到常规功能。
绕过代理会话
如果使用的是非 Edge 浏览器,并且难以访问或加载应用程序,则可能需要通过在不使用代理的情况下运行应用程序来验证问题是否出在条件访问代理上。
若要绕过代理,请在“管理员视图”工具栏中,选择“绕过体验”。 通过指出 URL 没有后缀,确认已绕过会话。
条件访问代理在下一个会话中再次使用。
有关详细信息,请参阅使用 Microsoft Edge 商业版 (预览版) Microsoft Defender for Cloud Apps条件访问应用控制和浏览器内保护。
第二次登录 (也称为“第二个登录名”)
某些应用程序有多个用于登录的深层链接。 除非你在应用设置中定义登录链接,否则用户在登录时可能会被重定向到无法识别的页面,从而阻止其访问。
Microsoft Entra ID等 IdP 之间的集成基于截获应用登录并重定向应用登录。 这意味着,如果不触发第二次登录,就无法直接控制浏览器登录。 若要触发第二次登录,需要专门使用第二个登录 URL。
如果应用使用 nonce,则第二次登录可能对用户透明,或者系统会提示他们再次登录。
如果对最终用户不透明,请将第二个登录 URL 添加到应用设置:
转到 “设置” > “云应用 > ”“连接的应用 > ”条件访问“”应用控制应用”
选择相关应用,然后选择三个点。
选择 “编辑应用\高级登录配置”。
添加错误页中提到的第二个登录 URL。
如果你确信应用不使用 nonce,可以通过编辑应用设置来禁用此功能,如 慢速登录中所述。
录制会话
你可能希望通过向Microsoft支持工程师发送会话记录来帮助分析问题的根本原因。 使用“管理员视图”工具栏录制会话。
注意
将从录制中删除所有个人数据。
录制会话:
在“管理员视图”工具栏中,选择“记录会话”。 出现提示时,选择“ 继续 ”以接受条款。 例如:
如果需要,请登录到应用以开始模拟会话。
录制完方案后,请确保在“视图”工具栏中选择“管理员停止录制”。
若要查看录制的会话:
完成录制后,通过从“视图”工具栏中选择“会话录制”来查看录制 管理员的会话。 将显示过去 48 小时内录制的会话列表。 例如:
若要管理录制内容,请选择一个文件,然后选择“ 删除 ”或“ 根据需要下载 ”。 例如:
为应用添加域
将正确的域关联到应用允许Defender for Cloud Apps强制实施策略和审核活动。
例如,如果已配置阻止下载关联域的文件的策略,则会阻止应用从该域下载文件。 但是,不会阻止应用从与应用关联的域下载文件,并且不会在活动日志中审核该操作。
如果管理员在代理应用中浏览到无法识别的域,该Defender for Cloud Apps不考虑同一应用或任何其他应用的一部分,则将显示“无法识别的域”消息,提示管理员添加域,以便下次对其进行保护。 在这种情况下,如果管理员不想添加域,则无需执行任何操作。
注意
Defender for Cloud Apps仍向与应用不关联的域添加后缀,以确保无缝用户体验。
若要为应用添加域,请执行以下操作:
在浏览器中打开应用,屏幕上会显示Defender for Cloud Apps管理员“视图”工具栏。
在“管理员视图”工具栏中,选择“已发现域”。
在“ 发现的域 ”窗格中,记下列出的域名,或将列表导出为 .csv 文件。
“ 发现域 ”窗格显示所有未与应用关联的域的列表。 域名是完全限定的。
在“Microsoft Defender XDR”中,选择“设置>云应用>连接应用>条件访问应用控制应用”。
在表中找到你的应用。 选择右侧的选项菜单,然后选择 “编辑应用”。
在 “用户定义的域” 字段中,输入要与此应用关联的域。
若要查看已在应用中配置的域列表,请选择“ 查看应用域 ”链接。
添加域时,请考虑是要添加特定域,还是使用星号 (***** 通配符一次使用多个域。
例如,
sub1.contoso.comsub2.contoso.com是特定域的示例。 若要同时添加这两个域以及其他同级域,请使用*.contoso.com。
有关详细信息,请参阅使用Microsoft Defender for Cloud Apps条件访问应用控制保护应用。