共用方式為

針對使用者的存取和會話控件進行疑難解答

  • 發行項

本文為 Microsoft Defender for Cloud Apps 系統管理員提供如何調查及解決使用者所遇到的常見存取和會話控制問題的指引。

檢查最低需求

開始進行疑難解答之前,請確定您的環境符合下列存取和會話控制的最低一般需求。

需求 描述
授權 請確定您擁有有效的 Microsoft Defender for Cloud Apps 授權
單 Sign-On (SSO) 應用程式必須使用其中一個支援的單一登錄 (SSO) 解決方案進行設定:

- Microsoft Entra ID 使用 SAML 2.0 或 OpenID Connect 2.0
- 使用 SAML 2.0 的非Microsoft IdP
瀏覽器支援 工作階段控制元件適用於下列瀏覽器最新版本的瀏覽器型工作階段:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Microsoft Edge 的瀏覽器內保護也有特定需求,包括使用者使用其工作配置檔登入。 如需詳細資訊,請參閱 瀏覽器內保護需求
停機 Defender for Cloud Apps 可讓您定義發生服務中斷時要套用的預設行為,例如元件無法正常運作。

例如,您可以選擇強化 (封鎖) 或略過 (允許) 使用者在無法強制執行一般原則控件時,對潛在敏感性內容採取動作。

若要在系統停機期間設定預設行為,請在 Microsoft Defender 全面偵測回應 中,移至 [設定>條件式存取應用程控>預設行為>允許] 或 [封鎖存取]。

用戶監視頁面未出現

透過 Defender for Cloud Apps 路由傳送使用者時,您可以通知使用者其會話受到監視。 根據預設,會啟用使用者監視頁面。

本節說明如果使用者監視頁面已啟用但未如預期般顯示,建議您採取的疑難解答步驟。

建議的步驟

  1. 在 Microsoft Defender 入口網站中,選取 [設定雲端>應用程式]

  2. 條件式存取應用程控下,選取 [ 用戶監視]。 此頁面會顯示 Defender for Cloud Apps 中可用的使用者監視選項。 例如:

    用戶監視選項的螢幕快照。

  3. 確認已選取 [ 通知使用者正在監視其活動 ] 選項。

  4. 選取您要使用預設訊息還是提供自訂訊息:

    訊息類型 詳細資料
    Default 標頭
    [應用程式名稱會顯示在這裡] 的存取權會受到監視
    本文
    為了改善安全性,您的組織允許在監視模式中存取 [應用程式名稱會顯示在這裡]。 只能從網頁瀏覽器存取。
    自訂 標頭
    使用此方塊提供自定義標題,以通知用戶他們正受到監視。
    本文
    使用此方塊為使用者新增其他自定義資訊,例如與問題連絡的人員,並支援下列輸入:純文本、RTF 文字、超連結。

  5. 選取 [預覽 ] 以確認存取應用程式之前出現的使用者監視頁面。

  6. 選取 [儲存]

無法從非Microsoft識別提供者存取應用程式

如果終端使用者在從非Microsoft識別提供者登入應用程式後收到一般失敗,請驗證非Microsoft IdP 組態。

建議的步驟

  1. 在 Microsoft Defender 入口網站中,選取 [設定雲端>應用程式]

  2. 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控應用程式]

  3. 在應用程式清單中,於您無法存取的應用程式出現的數據列上,選取數據列結尾的三個點,然後選取 [ 編輯應用程式]

  4. 驗證已上傳的 SAML 憑證是否正確。

    1. 確認應用程式組態中已提供有效的 SSO URL。

    2. 驗證自定義應用程式中的屬性和值是否反映在識別提供者設定中。

    例如:

    [SAML 資訊] 頁面的螢幕快照

  5. 如果您仍然無法存取應用程式,請開啟 支援票證

[發生錯誤] 頁面隨即出現

有時在 Proxy 工作階段期間,可能會出現 [ 發生錯誤] 頁面。 當下列情況時,可能會發生這種情況:

  • 用戶在閑置一段時間之後登入
  • 重新整理瀏覽器和頁面載入所花費的時間超出預期
  • 未正確設定非Microsoft IdP 應用程式

建議的步驟

  1. 如果終端用戶嘗試存取使用非Microsoft IdP 設定的應用程式,請參閱無法從非Microsoft IdP 存取應用程式應用程式狀態:繼續安裝。

  2. 如果使用者意外到達此頁面,請執行下列動作:

    1. 重新啟動瀏覽器會話。
    2. 從瀏覽器清除歷程記錄、Cookie 和快取。

剪貼簿動作或檔案控制件未遭到封鎖

需要能夠封鎖剪貼簿動作,例如剪下、複製、貼上和檔控件,例如下載、上傳和列印,以防止數據外泄和滲透案例。

此功能可讓公司平衡使用者的安全性和生產力。 如果您遇到這些功能的問題,請使用下列步驟來調查問題。

建議的步驟

如果會話正在進行 Proxy 處理,請使用下列步驟來驗證原則:

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [活動記錄]

  2. 使用進階篩選器,選取 [ 套用動作] ,並將其值設定為 [ 已封鎖]

  3. 確認有封鎖的檔案活動:

    1. 如果有活動,請按兩下活動來展開活動隱藏式選單。

    2. 在活動隱藏式選單的 [ 一般 ] 索引標籤上,選取相符的原則連結,以確認您強制執行的原則存在。

    3. 如果您沒有看到原則,請參閱 建立存取和會話原則時的問題

    4. 如果您看到 因為預設行為而封鎖/允許存取,這表示系統已關閉,且已套用預設行為。

      1. 若要變更默認行為,請在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 然後在 [條件式存取應用程控] 下,選取 [ 預設行為],並將默認行為設定為 [ 允許 ] 或 [封鎖 存取]。

      2. 移至 Microsoft 365 系統管理入口網站 ,並監視有關系統停機的通知。

  4. 如果您仍然看不到封鎖的活動,請開啟 支援票證

下載未受到保護

身為終端使用者,可能需要在非受控裝置上下載敏感數據。 在這些案例中,您可以使用 Microsoft Purview 資訊保護 來保護檔。

如果終端用戶無法成功加密檔,請使用下列步驟來調查問題。

建議的步驟

  1. 在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,選取 [活動記錄]

  2. 使用進階篩選器,選取 [ 套用動作] ,並將其值設定為 [ 受保護]

  3. 確認有封鎖的檔案活動:

    1. 如果有活動,請按兩下活動來展開活動隱藏式選單

    2. 在活動隱藏式選單的 [ 一般 ] 索引標籤上,選取相符的原則連結,以確認您強制執行的原則存在。

    3. 如果您沒有看到原則,請參閱 建立存取和會話原則時的問題

    4. 如果您看到 因為預設行為而封鎖/允許存取,這表示系統已關閉,且已套用預設行為。

      1. 若要變更默認行為,請在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 然後在 [條件式存取應用程控] 下,選取 [ 預設行為],並將默認行為設定為 [ 允許 ] 或 [封鎖 存取]。

      2. 移至 Microsoft 365 服務健康情況儀錶板 ,並監視有關系統停機的通知。

    5. 如果您要使用敏感度標籤或自訂許可權來保護檔案,請在 [活動描述] 中,確定擴展名是下列其中一種支援的檔案類型:

      • Word:d ocm、docx、dotm、dotx

      • Excel:xlam、xlsm、xlsx、xltx

      • PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx

      • 如果已啟用統一標籤,則為 PDF

    如果不支援檔案類型,您可以在工作階段原則中選取 [封鎖下載原生保護不支援或原生保護失敗的任何檔案] 。

  4. 如果您仍然看不到封鎖的活動,請開啟 支援票證

流覽至後綴應用程式的特定 URL,然後登陸一般頁面

在某些情況覽至連結可能會導致使用者登陸應用程式的首頁,而不是連結的完整路徑。

提示

Defender for Cloud Apps 維護已知會遭受內容遺失的應用程式清單。 如需詳細資訊,請參閱 內容遺失限制

建議的步驟

如果您使用 Microsoft Edge 以外的瀏覽器,且使用者登陸應用程式的首頁,而不是連結的完整路徑,請藉由附加 .mcas.ms 至原始 URL 來解決問題。

例如,如果原始 URL 為:

https://www.github.com/organization/threads/threadnumber,將它變更為 https://www.github.com.mcas.ms/organization/threads/threadnumber

Microsoft Edge 使用者受益於瀏覽器內保護、不會重新導向至反向 Proxy,而且不應該需要 .mcas.ms 新增後綴。 針對遇到內容遺失的應用程式,請開啟 支援票證

封鎖下載會導致 PDF 預覽遭到封鎖

有時候,當您預覽或列印 PDF 檔案時,應用程式會起始檔案的下載。 這會導致 Defender for Cloud Apps 介入,以確保下載遭到封鎖,且數據不會從您的環境外洩。

例如,如果您建立會話原則來封鎖下載 Outlook Web Access (OWA) ,則預覽或列印 PDF 檔案可能會遭到封鎖,並顯示如下的訊息:

下載封鎖訊息的螢幕快照。

若要允許預覽,Exchange 系統管理員應該執行下列步驟:

  1. 下載 Exchange Online PowerShell 模組

  2. 線上到模組。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。

  3. 線上到 Exchange Online PowerShell 之後,請使用 Set-OwaMailboxPolicy Cmdlet 來更新原則中的參數:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    注意事項

    OwaMailboxPolicy-Default 原則是 Exchange Online 中的預設 OWA 原則名稱。 有些客戶可能已部署其他或建立名稱不同的自定義 OWA 原則。 如果您有多個 OWA 原則,它們可能會套用至特定使用者。 因此,您也必須更新它們,才能擁有完整的涵蓋範圍。

  4. 設定這些參數之後,請使用 PDF 檔案和設定為封鎖下載的會話原則,在 OWA 上執行測試。 [ 下載 ] 選項應該從下拉式清單中移除,您可以預覽檔案。 例如:

    未封鎖 PDF 預覽的螢幕快照。

類似的網站警告隨即出現

惡意執行者可以製作類似其他網站 URL 的 URL,以模擬和誘使用戶相信他們正流覽至另一個網站。 某些瀏覽器會嘗試偵測此行為,並在存取 URL 或封鎖存取之前警告使用者。

在某些罕見的情況下,會話控制下的使用者會從瀏覽器接收訊息,指出可疑的網站存取。 這是因為瀏覽器會將後綴網域 (例如: .mcas.ms) 視為可疑。

此訊息只會針對 Chrome 使用者顯示,因為Microsoft Edge 使用者可受益於瀏覽器內保護,而不需要反向 Proxy 架構。 例如:

Chrome 中類似網站警告的螢幕快照。

如果您收到類似這樣的訊息,請連絡Microsoft支持人員,以向相關的瀏覽器廠商解決此問題。

針對應用程式進行疑難解答的更多考慮

針對應用程式進行疑難解答時,還有一些其他事項需要考慮:

  • 新式瀏覽器 Defender for Cloud Apps 工作話控制件的作業階段控制項支援現在包含以 Chromium 為基礎的新Microsoft Edge 瀏覽器支援。 雖然我們會繼續支援最新版本的 Internet Explorer 和舊版的 Microsoft Edge,但支援有限,建議您使用新的 Microsoft Edge 瀏覽器。

  • 會話控件 Co-Auth Defender for Cloud Apps 會話控件不支援「保護」動作下的標籤限制。 如需詳細資訊,請參閱 針對使用敏感度標籤加密的檔案啟用共同撰寫。

相關內容