共用方式為


針對系統管理員使用者的存取和會話控件進行疑難解答

本文提供 適用於雲端的 Microsoft Defender Apps 系統管理員的指引,說明如何調查及解決系統管理員所經歷的常見存取和會話控制問題。

注意

與 Proxy 功能相關的任何疑難解答,都僅與未使用 Microsoft Edge 設定為瀏覽器內保護的會話相關。

檢查最低需求

開始進行疑難解答之前,請確定您的環境符合下列存取和會話控件的最低一般需求。

需求 描述
授權 請確定您有適用於 適用於雲端的 Microsoft Defender Apps 的有效授權
單一登入 (SSO) 應用程式必須設定為其中一個支援的 SSO 解決方案:

- Microsoft使用 SAML 2.0 或 OpenID Connect 2.0 的 Entra 識別符
- 使用 SAML 2.0 的非Microsoft IdP
瀏覽器支援 工作階段控制元件適用於下列瀏覽器最新版本的瀏覽器型工作階段:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edge 的瀏覽器內保護也有特定需求,包括使用者使用其工作配置檔登入。 如需詳細資訊,請參閱 瀏覽器內保護需求
停機時間 適用於雲端的 Defender Apps 可讓您定義在發生服務中斷時套用的預設行為,例如元件無法正常運作。

例如,當無法強制執行一般原則控制時,您可以選擇強化(封鎖)或略過(允許)使用者對潛在敏感性內容採取動作。

若要在系統停機期間設定預設行為,請在 Microsoft Defender 全面偵測回應 中,移至 [設定>條件式存取應用程控>預設行為>允許] 或 [封鎖存取]。

瀏覽器內保護需求

如果您使用 瀏覽器內保護搭配 Microsoft Edge ,但仍由反向 Proxy 提供服務,請確定您符合下列其他需求:

  • 此功能會在您的 Defender XDR 設定中開啟。 如需詳細資訊,請參閱 設定瀏覽器內保護設定

  • Microsoft商務用 Edge 支援使用者涵蓋的所有原則。 如果使用者由 Microsoft 另一個不受商務用 Edge 支持的原則提供服務,則一律由反向 Proxy 提供服務。 如需詳細資訊,請參閱 瀏覽器內保護需求

  • 您使用支持的平臺,包括支援的操作系統、身分識別平臺和Edge版本。 如需詳細資訊,請參閱 瀏覽器內保護需求

針對系統管理員的問題進行疑難解答的參考

使用下表來找出您嘗試疑難解答的問題:

問題類型 問題
網路條件問題 瀏覽至瀏覽器頁面時的網路錯誤

登入速度緩慢

網路條件的更多考慮
裝置識別問題 錯誤化 Intune 相容或Microsoft Entra 混合式已加入裝置

用戶端憑證未在預期時提示

用戶端憑證未在預期時提示
客戶端憑證會在每次登入時提示

裝置識別的更多考慮
上線應用程式時的問題 應用程式不會出現在條件式存取應用程控應用程式頁面上

應用程式狀態:繼續設定 無法設定原生應用程式的控制項

[要求會話控制] 選項隨即出現
建立存取和會話原則時的問題 在條件式存取原則中,您無法看到條件式存取應用程控選項

建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式

無法為應用程式建立會話原則

無法選擇檢查方法:數據分類服務

無法選擇 [動作:保護]

上線應用程式的其他考慮
使用系統管理員檢視工具列診斷和疑難解答 略過 Proxy 會話

記錄會話

新增應用程式的網域

網路條件問題

您可能會遇到的常見網路狀況問題包括:

瀏覽至瀏覽器頁面時的網路錯誤

當您第一次為應用程式設定 適用於雲端的 Defender 應用程式存取和會話控件時,可能發生的常見網路錯誤包括:此網站不安全且沒有因特網連線。 這些訊息可以指出一般網路設定錯誤。

建議的步驟

  1. 將您的防火牆設定為使用與環境相關的 Azure IP 位址和 DNS 名稱,使用 適用於雲端的 Defender Apps。

    1. 為 適用於雲端的 Defender Apps 資料中心新增下列 IP 位址和 DNS 名稱的輸出埠 443
    2. 重新啟動您的裝置和瀏覽器會話
    3. 確認登入如預期般運作
  2. 在瀏覽器的因特網選項中啟用 TLS 1.2。 例如:

    瀏覽器 步驟
    Microsoft Internet Explorer 1. 開啟 Internet Explorer
    2.選取 [工具>因特網選項進階] 索引標籤>
    3.在 [安全性] 底下,選取 [TLS 1.2]
    4.選取 [ 套用],然後選取 [ 確定]
    5.重新啟動瀏覽器,並確認您可以存取應用程式
    Microsoft Edge / Edge Chromium 1.從任務列開啟搜尋,並搜尋 「因特網選項」
    2.選取 [因特網選項]
    3.在 [安全性] 底下,選取 [TLS 1.2]
    4.選取 [ 套用],然後選取 [ 確定]
    5.重新啟動瀏覽器,並確認您可以存取應用程式
    Google Chrome 1.開啟 Google Chrome
    2.在右上方,選取 [更多 ] (3 個垂直點) >設定
    3.在底部,選取 [ 進階]
    4.在 [系統] 底下,選取 [開啟 Proxy 設定]
    5. 在 [進階] 索引卷標的 [安全性] 底下,選取 [TLS 1.2]
    6.選取 [ 確定]
    7.重新啟動瀏覽器,並確認您可以存取應用程式
    Mozilla Firefox 1. 開啟 Mozilla Firefox
    2.在網址列中搜尋 “about:config”
    3. 在 [搜尋] 方塊中,搜尋 “TLS”
    4.按兩下 security.tls.version.min 的專案
    5.將整數值設定為 3,以強制 TLS 1.2 作為最低必要版本
    6.選取 [儲存 ] (值方塊右邊的複選標記)
    7.重新啟動瀏覽器,並確認您可以存取應用程式
    Safari 如果您使用Safari 7版或更新版本,則會自動啟用TLS 1.2

適用於雲端的 Defender 應用程式使用傳輸層安全性 (TLS) 通訊協定 1.2+ 來提供最佳類別加密:

  • 使用會話控制項設定時,無法存取不支援 TLS 1.2+ 的原生用戶端應用程式和瀏覽器。
  • 使用 TLS 1.1 或更低版本的 SaaS 應用程式會出現在瀏覽器中,如同使用 TLS 1.2+ 設定 適用於雲端的 Defender 應用程式一樣。

提示

雖然會話控件是建置成在任何操作系統上與任何主要平臺上的任何瀏覽器搭配運作,但我們支援最新版的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 您可能想要封鎖或允許特別存取行動或傳統型應用程式。

登入速度緩慢

Proxy 鏈結和非ce 處理是可能導致登入效能緩慢的一些常見問題。

建議的步驟

設定您的環境以移除在登入期間可能造成緩慢的任何因素。 例如,您可能已設定防火牆或轉寄 Proxy 鏈結,這會連接兩部或多部 Proxy 伺服器以瀏覽至預定的頁面。 您也可能有其他影響緩慢的外部因素。

  1. 識別 Proxy 鏈結是否發生在您的環境中。
  2. 盡可能移除任何向前 Proxy。

某些應用程式會在驗證期間使用 nonce 哈希,以防止重新執行攻擊。 根據預設,適用於雲端的 Defender Apps 會假設應用程式使用 nonce。 如果您正在使用的應用程式未使用 nonce,請在 適用於雲端的 Defender Apps 中停用此應用程式的 nonce 處理:

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>雲端應用程式]。
  2. 在 [已連線的應用程式] 下,選取 [條件式存取應用程控應用程式]。
  3. 在應用程式清單中,在您設定的應用程式出現所在的數據列上,選取數據列結尾的三個點,然後針對您的應用程式選取 [ 編輯 ]。
  4. 選取 [Nonce 處理 ] 以展開 區段,然後清除 [ 啟用 Nonce 處理]。
  5. 註銷應用程式,並關閉所有瀏覽器會話。
  6. 重新啟動瀏覽器,然後再次登入應用程式。 確認登入是否如預期般運作。

網路條件的更多考慮

針對網路狀況進行疑難解答時,也請考慮下列有關 適用於雲端的 Defender Apps Proxy 的注意事項:

  • 確認您的會話是否已路由傳送至另一個資料中心:適用於雲端的 Defender 應用程式會使用世界各地的 Azure 資料中心,透過地理位置將效能優化。

    這表示用戶會話可能會裝載於區域外部,視流量模式及其位置而定。 不過,為了保護您的隱私權,這些數據中心不會儲存任何會話數據。

  • Proxy 效能:衍生效能基準取決於 適用於雲端的 Defender Apps Proxy 以外的許多因素,例如:

    • 其他 Proxy 或閘道會與這個 Proxy 一起坐在一起
    • 用戶來自何處
    • 目標資源所在的位置
    • 頁面上的特定要求

    一般而言,任何 Proxy 都會增加延遲。 適用於雲端的 Defender Apps Proxy 的優點如下:

    • 使用 Azure 域控制器的全域可用性,將使用者定位到最接近的節點,並減少其來回距離。 Azure 域控制器可以依全球少數服務的規模進行地理位置定位。

    • 使用與 Microsoft Entra 條件式存取整合,只將您想要 Proxy 的會話路由傳送至我們的服務,而不是所有情況下的所有使用者。

裝置識別問題

適用於雲端的 Defender Apps 提供下列選項來識別裝置的管理狀態。

  • Microsoft Intune 合規性
  • 已加入混合式Microsoft Entra 網域
  • 用戶端憑證

如需詳細資訊,請參閱 使用條件式存取應用程控的身分識別受控裝置。

您可能會遇到的常見裝置識別問題包括:

錯誤化 Intune 相容或Microsoft Entra 混合式已加入裝置

Microsoft Entra 條件式存取可讓 Intune 相容且Microsoft Entra 混合式聯結裝置資訊直接傳遞至 適用於雲端的 Defender Apps。 在 適用於雲端的 Defender Apps 中,使用裝置狀態作為存取或會話原則的篩選條件。

如需詳細資訊,請參閱 Microsoft Entra ID 中的裝置管理簡介。

建議的步驟

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>雲端應用程式]。

  2. 在 [條件式存取應用程控] 底下,選取 [裝置識別]。 此頁面會顯示 適用於雲端的 Defender Apps 中可用的裝置識別選項。

  3. 針對 [Intune 兼容裝置識別 ] 和 [Microsoft Entra 混合式聯結識別 ] 分別選取 [ 檢視 組態],並確認已設定服務。 服務會自動從 Microsoft Entra ID 和 Intune 同步處理。

  4. 建立存取或會話原則, 其裝置卷標 篩選條件等於 加入混合式 Azure AD、 Intune 相容或兩者。

  5. 在瀏覽器中,根據您的原則篩選,登入Microsoft Entra 混合式加入或 Intune 相容的裝置。

  6. 確認來自這些裝置的活動正在填入記錄。 在 [適用於雲端的 Defender Apps] 的 [活動記錄] 頁面上,根據原則篩選,篩選 [裝置捲標] 等於 [已加入混合式 Azure AD]、[Intune 兼容] 或兩者。

  7. 如果未在 適用於雲端的 Defender Apps 活動記錄中填入活動,請移至 Microsoft Entra ID,然後執行下列步驟:

    1. 在 [監視>登入] 下,確認記錄中有登入活動。

    2. 選取您登入之裝置的相關記錄專案。

    3. 在 [詳細資料] 窗格的 [裝置資訊] 索引標籤上,確認裝置為 [受控] (已加入混合式 Azure AD) 或 [相容] (與 Intune 相容)。

      如果您無法確認任一狀態,請嘗試另一個記錄專案,或確定您的裝置數據已在 Microsoft Entra ID 中正確設定。

    4. 針對條件式存取,某些瀏覽器可能需要額外的設定,例如安裝擴充功能。 如需詳細資訊,請參閱 條件式存取瀏覽器支援

    5. 如果您仍然未在 [登入 ] 頁面中看到裝置資訊,請開啟 Microsoft Entra ID 的支援票證。

用戶端憑證未在預期時提示

裝置識別機制可要求使用用戶端憑證驗證相關裝置。 您可以上傳 X.509 跟證書或中繼證書頒發機構單位 (CA) 憑證,格式為 PEM 憑證格式。

憑證必須包含 CA 的公鑰,然後用來簽署工作階段期間呈現的客戶端憑證。 如需詳細資訊,請參閱 檢查裝置管理,而不需Microsoft Entra

建議的步驟

  1. 在 Microsoft Defender 全面偵測回應 中,選取 [設定>雲端應用程式]。

  2. 在 [條件式存取應用程控] 底下,選取 [裝置識別]。 此頁面會顯示 適用於雲端的 Defender Apps 可用的裝置識別選項。

  3. 確認您已上傳 X.509 根或中繼 CA 憑證。 您必須上傳用來為您的證書頒發機構單位簽署的 CA 憑證。

  4. 使用等於有效客戶端憑證的 [裝置卷標 ] 篩選 條件,建立存取或會話原則

  5. 請確定您的客戶端憑證為:

    • 使用 PKCS #12 檔案格式部署,通常是 .p12.pfx 擴展名
    • 安裝在使用者存放區中,而不是您用於測試的裝置存放區
  6. 重新啟動瀏覽器會話。

  7. 登入受保護的應用程式時:

    • 確認您已重新導向至下列 URL 語法: <https://*.managed.access-control.cas.ms/aad_login>
    • 如果您使用 iOS,請確定您使用 Safari 瀏覽器。
    • 如果您使用 Firefox,您也必須 將憑證新增至 Firefox 自己的證書存儲。 所有其他瀏覽器都會使用相同的預設證書存儲。
  8. 驗證您的瀏覽器中是否提示客戶端憑證。

    如果它未出現,請嘗試不同的瀏覽器。 大部分的主要瀏覽器都支援執行客戶端憑證檢查。 不過,行動裝置和桌面應用程式通常會使用不支援這項檢查的內建瀏覽器,因此會影響這些應用程式的驗證。

  9. 確認來自這些裝置的活動正在填入記錄。 在 [適用於雲端的 Defender 應用程式] 的 [活動記錄] 頁面上,將 [裝置卷標] 上的篩選新增[有效客戶端憑證]。

  10. 如果您仍然看不到提示,請開啟 支援票證 並包含下列資訊:

    • 您遇到問題的瀏覽器或原生應用程式詳細資料
    • 操作系統版本,例如iOS/Android/Windows 10
    • 提及提示是否正在處理 Microsoft Edge Chromium

客戶端憑證會在每次登入時提示

如果您在開啟新的索引標籤之後出現客戶端憑證,這可能是因為因特網選項內隱藏的設定。 在瀏覽器中確認您的設定。 例如:

在 Microsoft Internet Explorer 中

  1. 開啟 Internet Explorer,然後選取 [工具>因特網選項>進階] 索引標籤。
  2. 在 [安全性] 底下,選取 [當只有一個憑證存在>時,不要提示選取用戶端憑證] 選取 [選取>確定]。
  3. 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。

在 Microsoft Edge / Edge Chromium 中:

  1. 從任務列開啟搜尋,然後搜尋 因特網選項
  2. 選取 [因特網選項>安全性>本機內部網络>自定義層級]。
  3. 只有一個憑證存在時,[其他>不要提示用戶端憑證] 選取專案,請選取 [停用]。
  4. 選取 [確定套用>確定]。>
  5. 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。

裝置識別的更多考慮

針對裝置識別進行疑難解答時,您可以要求撤銷客戶端憑證。

CA 撤銷的憑證已不再受到信任。 選取此選項需要所有憑證才能傳遞CRL通訊協定。 如果您的用戶端憑證未包含 CRL 端點,您就無法從受管理裝置連線。

上線應用程式時的問題

Microsoft Entra ID 應用程式會自動上線至適用於條件式存取和會話控件的 適用於雲端的 Defender Apps。 您必須手動將非Microsoft IdP 應用程式上線,包括目錄和自定義應用程式。

如需詳細資訊,請參閱

上線應用程式時可能會遇到的常見案例包括:

應用程式不會出現在條件式存取應用程控應用程式頁面上

將非Microsoft IdP 應用程式上線至條件式存取應用程控時,最後一個部署步驟是讓用戶瀏覽至應用程式。 如果應用程式未出現在預期的 [設定>雲端應用程式連線應用程式>] 條件式存取應用程控應用程式>頁面上,請執行本節中的步驟。

建議的步驟

  1. 請確定您的應用程式符合下列條件式存取應用程式符合下列條件式存取應用程式的必要條件:

    • 請確定您有有效的 適用於雲端的 Defender Apps 授權。
    • 建立重複的應用程式。
    • 請確定應用程式使用 SAML 通訊協定。
    • 驗證您已完整上線應用程式,且應用程式的狀態為 [已連線]。
  2. 請務必使用新的 incognito 模式或再次登入,在新的瀏覽器會話中瀏覽至應用程式。

注意

項目標識符應用程式只會出現在 [條件式存取應用程控應用程式 ] 頁面之後,才會在至少一個原則中設定,或者如果您有沒有任何應用程式規格的原則,且使用者已登入應用程式。

應用程式狀態:繼續設定

應用程式的狀態可能會有所不同,而且可以包含 [繼續設定]、[ 已連線] 或 [ 無活動]。

對於透過非Microsoft身分識別提供者 (IdP) 連線的應用程式,如果設定未完成,則存取應用程式時,您會看到狀態為 [繼續設定] 的頁面。 使用下列步驟來完成設定。

建議的步驟

  1. 選取 [ 繼續設定]。

  2. 檢閱下列文章,並確認您已完成所有必要的步驟:

    請特別注意下列步驟:

    1. 請確定您建立新的自訂 SAML 應用程式。 您需要此應用程式來變更資源庫應用程式中可能無法使用的 URL 和 SAML 屬性。
    2. 如果您的識別提供者不允許重複使用相同的標識碼,也稱為 實體標識碼物件,請變更原始應用程式的標識符。

無法設定內建應用程式的控制件

您可以啟發學習方式偵測內建應用程式,而且您可以使用存取原則來監視或封鎖它們。 使用下列步驟來設定原生應用程式的控制件。

建議的步驟

  1. 在存取原則中,新增用戶端應用程式篩選,並將它設定為等於 [行動裝置] 和 [桌面]。

  2. 在 [動作] 底下,選取 [封鎖]。

  3. 選擇性地自定義使用者無法下載檔案時所得到的封鎖訊息。 例如,將此訊息自定義為 您必須使用網頁瀏覽器來存取此應用程式

  4. 測試並驗證控制項是否如預期般運作。

應用程式無法辨識 頁面出現

適用於雲端的 Defender 應用程式可以透過雲端應用程式目錄辨識超過31,000個應用程式。

如果您使用透過 Microsoft Entra SSO 設定的自定義應用程式,而且不是其中一個支援的應用程式,則您遇到 應用程式無法辨識 頁面。 若要解決此問題,您必須使用條件式存取應用程控來設定應用程式。

建議的步驟

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>雲端應用程式]。 在 [已連線的應用程式] 下,選取 [條件式存取應用程控應用程式]。

  2. 在橫幅中,選取 [ 檢視新的應用程式]。

  3. 在新的應用程式清單中,找出您要上線的應用程式、選取 + 符號,然後選取 [ 新增]。

    1. 選取應用程式是 自定義標準 應用程式。
    2. 繼續執行精靈,確定您正在設定的應用程式有指定的 使用者定義網域 正確無誤。
  4. 確認應用程式出現在 [條件式存取應用程控應用程式 ] 頁面中。

[要求會話控制] 選項隨即出現

將非Microsoft IdP 應用程式上線之後,您可能會看到 [要求會話控制 ] 選項。 這是因為只有目錄應用程式具有現用的會話控制項。 對於任何其他應用程式,您必須完成自我上線程式。

請遵循使用非Microsoft IdP 部署自定義應用程式的條件式存取應用程控中的指示。

建議的步驟

  1. 在 Microsoft Defender 全面偵測回應 中,選取 [設定>雲端應用程式]。

  2. 在 [條件式存取應用程控] 底下,選取 [應用程式上線/維護]。

  3. 輸入將上線應用程式之使用者的主體名稱或電子郵件,然後選取 [ 儲存]。

  4. 移至您要部署的應用程式。 您看到的頁面取決於應用程式是否可辨識。 視您看到的頁面而定,執行下列其中一項動作:

    • 無法辨識您會看到無法辨識的應用程式頁面,提示您設定應用程式。 執行下列步驟:

      1. 將應用程式上線以進行條件式存取應用程控。
      2. 新增應用程式的網域。
      3. 安裝應用程式的憑證。
    • 已辨識。 如果您的應用程式已辨識,您會看到上線頁面,提示您繼續應用程式設定程式。

      請確定應用程式已設定為應用程式正常運作所需的所有網域,然後返回應用程式頁面。

上線應用程式的其他考慮

針對上線應用程式進行疑難解答時,需要考慮一些額外的事項。

  • 瞭解Microsoft Entra 條件式存取原則設定之間的差異:「僅限監視」、「封鎖下載」和「使用自定義原則」

    在 Microsoft Entra 條件式存取原則中,您可以設定下列內建 適用於雲端的 Defender Apps 控制件:僅監視和封鎖下載。 這些設定會套用並強制執行雲端應用程式和Microsoft Entra標識符中所設定條件的 適用於雲端的 Defender Apps Proxy 功能。

    如需更複雜的原則,請選取 [使用自定義原則],這可讓您在 適用於雲端的 Defender Apps 中設定存取和會話原則。

  • 瞭解存取原則中的 [行動和桌面] 用戶端應用程式篩選選項

    在 適用於雲端的 Defender Apps 存取原則中,除非 [用戶端應用程式篩選] 設定為 [行動裝置和桌面],否則產生的存取原則會套用至瀏覽器會話。

    原因是為了避免不小心 Proxy 處理用戶會話,這可能是使用此篩選器的副產品。

建立存取和會話原則時的問題

適用於雲端的 Defender Apps 提供下列可設定的原則:

  • 存取原則:用來監視或封鎖瀏覽器、行動和/或傳統型應用程式的存取。
  • 會話原則。 用來監視、封鎖和執行特定動作,以防止瀏覽器中的數據滲透和外洩案例。

若要在 適用於雲端的 Defender Apps 中使用這些原則,您必須先在 Microsoft Entra 條件式存取中設定原則,以擴充會話控件:

  1. 在 [Microsoft Entra 原則的 [存取] 底下,選取 [會話>使用條件式存取應用程控]。

  2. 選取內建原則(監視或封鎖下載),或使用自定義原則在 適用於雲端的 Defender Apps 中設定進階原則。

  3. 選取 [選取] 以繼續。

設定這些原則時可能會遇到的常見案例包括:

在條件式存取原則中,您無法看到條件式存取應用程控選項

若要將會話路由傳送至 適用於雲端的 Defender Apps,Microsoft Entra 條件式存取原則必須設定為包含條件式存取應用程控會話控件。

建議的步驟

如果您在條件式存取原則中看不到 [條件式存取應用程控] 選項,請確定您具有有效的授權,Microsoft Entra ID P1 和有效的 適用於雲端的 Defender Apps 授權。

建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式

建立存取或會話原則時,您可能會看到下列錯誤訊息: 您沒有任何應用程式使用條件式存取應用程控進行部署。 此錯誤表示應用程式是尚未針對條件式存取應用程控上線的非Microsoft IdP 應用程式。

建議的步驟

  1. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>雲端應用程式]。 在 [已連線的應用程式] 下,選取 [條件式存取應用程控應用程式]。

  2. 如果您看到 [未連線應用程式] 訊息,請使用下列指南來部署應用程式:

如果您在部署應用程式時遇到任何問題,請參閱 上線應用程式時發生問題。

無法為應用程式建立會話原則

將條件式存取應用程控的非Microsoft IdP 應用程式上線之後, 在 [條件式存取應用程控應用程式 ] 頁面中,您可能會看到選項: 要求會話控件

注意

目錄應用程式 具有現用的會話控件。 對於任何其他非Microsoft IdP 應用程式,您必須完成自我上線程式。 建議的步驟

  1. 將您的應用程式部署至工作階段控制項。 如需詳細資訊,請參閱 將條件式存取應用程控的非Microsoft IdP 自定義應用程序上線。

  2. 建立工作階段原則,然後選取[ 應用程式 篩選]。

  3. 請確定您的應用程式現在列在下拉式清單中。

無法選擇檢查方法:數據分類服務

在會話原則中 ,使用控制檔案下載(搭配檢查) 會話控件類型時,您可以使用 數據分類服務 檢查方法來實時掃描檔案,並偵測符合您設定之任何準則的敏感性內容。

如果無法使用數據分類服務檢查方法,請使用下列步驟來調查問題。

建議的步驟

  1. 確認 [工作階段] 控制檔案下載】 (檢查)。

    注意

    數據分類服務檢查方法僅適用於控制檔案下載(含檢查)選項。

  2. 判斷數據分類服務功能是否可在您的區域中使用:

    • 如果您的區域無法使用此功能,請使用 內建 DLP 檢查方法。
    • 如果您的區域提供此功能,但您仍然看不到 數據分類服務 檢查方法,請開啟 支援票證

無法選擇 [動作:保護]

在工作階段原則中,除了監視封鎖動作之外,使用控件檔案下載(搭配檢查)會話控件類型時,您還可以指定 [保護] 動作。 此動作可讓您使用 選項允許檔案下載,以根據條件、內容檢查或兩者將許可權加密或套用至檔案。

如果無法使用 [保護] 動作,請使用下列步驟來調查問題。

建議的步驟

  1. 如果 [保護] 動作無法使用或呈現灰色,請確認您有Microsoft Purview 授權。 如需詳細資訊,請參閱 Microsoft Purview 資訊保護 整合

  2. 如果 [保護] 動作可用,但看不到適當的標籤。

    1. 在 適用於雲端的 Defender Apps 的功能表欄中,選取設定圖示>Microsoft 資訊保護,並確認整合已啟用。

    2. 針對 Office 標籤,請在 Microsoft Purview 入口網站中,確定 已選取 [統一卷標 ]。

使用系統管理員檢視工具列診斷和疑難解答

[ 系統管理員檢視 ] 工具列位於畫面底部,並提供工具讓系統管理員用戶診斷和疑難解答條件式存取應用程控的問題。

若要檢視 [系統管理員檢視] 工具列,您必須確定將特定的系統管理員用戶帳戶新增至 Microsoft Defender 全面偵測回應 設定中的 [應用程式上線/維護] 清單。

若要將使用者新增至應用程式上線/維護清單

  1. 在 Microsoft Defender 全面偵測回應 中,選取 [設定>雲端應用程式]。

  2. 向下捲動,然後在 [條件式存取應用程控] 下,選取 [應用程式上線/維護]。

  3. 輸入您要新增之系統管理員使用者的主體名稱或電子郵件位址。

  4. 選取 [ 啟用這些使用者以略過 Proxy 會話 內的條件式存取應用程控] 選項,然後選取 [ 儲存]。

    例如:

    應用程式上線/維護設定的螢幕快照。

下一次,當其中一個列出的用戶在支援的應用程式中啟動新的工作階段時, 系統管理員檢視 工具列會顯示在瀏覽器底部。

例如,下圖顯示 瀏覽器視窗底部的 [系統管理員檢視] 工具列,在瀏覽器中使用 OneNote:

[系統管理員檢視] 工具列的螢幕快照。

下列各節說明如何使用系統管理員 檢視 工具列來測試及疑難解答。

測試模式

身為系統管理員使用者,您可能想要先測試即將推出的 Proxy 錯誤修正,再將最新版本完全推出至所有租使用者。 請向Microsoft支援小組提供有關 Bug 修正的意見反應,以協助加速發行週期。

處於測試模式時,只有系統管理員用戶會公開至錯誤修正中提供的任何變更。 對其他使用者沒有任何影響。

  • 若要開啟測試模式,請在 [ 管理員檢視] 工具列中,選取 [ 測試模式]。
  • 完成測試后,請選取 [結束測試模式 ] 以返回一般功能。

略過 Proxy 會話

如果您使用非 Edge 瀏覽器且難以存取或載入應用程式,您可以執行沒有 Proxy 的應用程式,以確認問題是否與條件式存取 Proxy 搭配使用。

若要略過 Proxy,請在 [ 管理員檢視] 工具欄中,選取 [ 略過體驗]。 確認會話已略過,並指出 URL 未後綴。

下一個會話會再次使用條件式存取 Proxy。

如需詳細資訊,請參閱使用 Microsoft Edge for Business 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控瀏覽器內保護(預覽版)。

第二次登入(也稱為「第二次登入」)

某些應用程式有多個深層連結可登入。 除非您在應用程式設定中定義登入連結,否則使用者在登入時可能會重新導向至無法辨識的頁面,封鎖其存取。

idp,例如 Microsoft Entra ID 之間的整合是以攔截應用程式登入和重新導向為基礎。 這表示瀏覽器登入無法直接控制,而不需要觸發第二次登入。 若要觸發第二次登入,我們需要特別針對該用途採用第二個登入 URL。

如果應用程式使用 nonce,則第二次登入對使用者而言可能是透明的,或系統會提示他們再次登入。

如果使用者不透明,請將第二個登入 URL 新增至應用程式設定:

移至 [設定>][雲端應用程式連線的應用程式>>條件式存取應用程控應用程式]

選取相關的應用程式,然後選取三個點。

選取 [ 編輯應用程式\進階登入設定]。

新增錯誤頁面中所述的第二個登入 URL。

如果您確信應用程式不會使用 nonce,您可以編輯應用程式設定,如慢速登入中所述來停用此功能。

記錄會話

您可以將會話錄製傳送給Microsoft支持工程師,以協助問題的根本原因分析。 使用 [ 系統管理員檢視] 工具列來記錄您的會話。

注意

所有個人資料都會從錄製中移除。

若要記錄工作階段

  1. 在 [ 系統管理員檢視] 工具列中,選取 [ 記錄會話]。 出現提示時,選取 [ 繼續 ] 接受條款。 例如:

    會話錄製隱私聲明對話框的螢幕快照。

  2. 如有需要,請登入您的應用程式,以開始模擬會話。

  3. 當您完成錄製案例時,請務必選取 [系統管理員檢視] 工具列中的 [停止錄製]。

若要檢視錄製的工作階段:

完成錄製之後,請從 [系統管理員檢視] 工具列中選取 [會話錄製] 來檢視錄製的會話。 先前 48 小時內錄製的會話清單隨即出現。 例如:

會話錄製的螢幕快照。

若要管理錄製內容,請選取檔案,然後視需要選取 [刪除] 或 [下載]。 例如:

下載或刪除錄製的螢幕快照。

新增應用程式的網域

將正確的網域與應用程式產生關聯,可讓 適用於雲端的 Defender 應用程式強制執行原則和稽核活動。

例如,如果您已設定一個原則來封鎖下載相關聯網域的檔案,則會封鎖應用程式從該網域下載的檔案。 不過,應用程式從與應用程式無關的網域下載檔案將不會遭到封鎖,而且不會在活動記錄中稽核動作。

如果系統管理員在 Proxied 應用程式中流覽至無法辨識的網域,該 適用於雲端的 Defender 應用程式不會考慮為相同應用程式或任何其他應用程式的一部分,就會顯示 [無法辨識的網域] 訊息,提示系統管理員新增網域,以便下次受到保護。 在這種情況下,如果系統管理員不想新增網域,就不需要採取任何動作。

注意

適用於雲端的 Defender 應用程式仍會將後綴新增至與應用程式無關的網域,以確保順暢的用戶體驗。

若要為您的應用程式新增網域:

  1. 在瀏覽器中開啟您的應用程式,並顯示畫面上 適用於雲端的 Defender [應用程式管理員檢視] 工具列

  2. 在 [ 系統管理員檢視] 工具列中,選取 [探索到的網域]。

  3. 在 [ 探索到的 網域] 窗格中,記下列出的域名,或將清單匯出為.csv檔案。

    [ 探索到的網域] 窗格會顯示與應用程式無關的所有網域清單。 功能變數名稱是完整功能變數名稱。

  4. 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>雲端應用程式>連線的應用程式>] [條件式存取應用程控應用程式]。

  5. 在資料表中找出您的應用程式。 選取右側的選項功能表,然後選取 [ 編輯應用程式]。

  6. 在 [ 用戶定義網域 ] 字段中,輸入您想要與此應用程式建立關聯的網域。

    • 若要檢視應用程式中已設定的網域清單,請選取 [ 檢視應用程式網域 ] 連結。

    • 新增網域時,請考慮是否要新增特定網域,或使用星號(*****通配符一次使用多個網域。

      例如, sub1.contoso.comsub2.contoso.com 是特定網域的範例。 若要同時新增這兩個網域,以及其他同層級網域,請使用 *.contoso.com

如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控來保護應用程式。