針對系統管理員使用者的存取和會話控制進行疑難解答
本文提供 Microsoft Defender for Cloud Apps 系統管理員如何調查和解決系統管理員所遇到的常見存取和會話控制問題的指引。
注意事項
任何與 Proxy 功能相關的疑難解答,僅與未針對使用 Microsoft Edge 進行瀏覽器內保護的會話相關。
檢查最低需求
開始進行疑難解答之前,請確定您的環境符合下列存取和會話控制的最低一般需求。
| 需求 | 描述 |
|---|---|
| 授權 | 請確定您擁有有效的 Microsoft Defender for Cloud Apps 授權。 |
| 單 Sign-On (SSO) | 應用程式必須設定其中一個支援的 SSO 解決方案: - Microsoft Entra ID 使用 SAML 2.0 或 OpenID Connect 2.0 - 使用 SAML 2.0 的非Microsoft IdP |
| 瀏覽器支援 | 工作階段控制元件適用於下列瀏覽器最新版本的瀏覽器型工作階段: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge 的瀏覽器內保護也有特定需求,包括使用者使用其工作配置檔登入。 如需詳細資訊,請參閱 瀏覽器內保護需求。 |
| 停機 | Defender for Cloud Apps 可讓您定義發生服務中斷時要套用的預設行為,例如元件無法正常運作。 例如,當無法強制執行一般原則控件時,您可能會選擇強化 (區塊) 或略過 (允許) 使用者對潛在敏感性內容採取動作。 若要在系統停機期間設定預設行為,請在 Microsoft Defender 全面偵測回應 中,移至 [設定>條件式存取應用程控>預設行為>允許] 或 [封鎖存取]。 |
瀏覽器內保護需求
如果您使用 瀏覽器內保護搭配 Microsoft Edge ,且仍然由反向 Proxy 提供服務,請確定您符合下列其他需求:
此功能會在您的 Defender 全面偵測回應 設定中開啟。 如需詳細資訊, 請參閱設定瀏覽器內保護設定。
商務用 Microsoft Edge 支援使用者涵蓋的所有原則。 如果使用者是由 商務用 Microsoft Edge 不支援的另一個原則提供服務,則一律由反向 Proxy 提供服務。 如需詳細資訊,請參閱 瀏覽器內保護需求。
您使用的是支持的平臺,包括支援的操作系統、身分識別平臺和Edge版本。 如需詳細資訊,請參閱 瀏覽器內保護需求。
系統管理員疑難解答問題的參考
使用下表來尋找您嘗試進行疑難解答的問題:
網路條件問題
您可能會遇到的常見網路條件問題包括:
瀏覽至瀏覽器頁面時發生網路錯誤
當您第一次設定應用程式 Defender for Cloud Apps 存取和會話控制時,可能發生的常見網路錯誤包括:此網站不安全,且沒有因特網連線。 這些訊息可能表示一般網路設定錯誤。
建議的步驟
使用與您環境相關的 Azure IP 位址和 DNS 名稱,將防火牆設定為使用 Defender for Cloud Apps。
- 為您的 Defender for Cloud Apps 資料中心新增下列IP位址和 DNS 名稱的輸出埠 443。
- 重新啟動您的裝置和瀏覽器會話
- 確認登入如預期般運作
在瀏覽器的因特網選項中啟用 TLS 1.2。 例如:
瀏覽器 步驟 Microsoft Internet Explorer 1.開啟 Internet Explorer
2.選取 [工具>] [因特網選項] [>進階] 索引標籤
3.在 [ 安全性] 底下,選取 [TLS 1.2]
4.選取 [ 套用],然後選取 [ 確定]
5.重新啟動瀏覽器,並確認您可以存取應用程式Microsoft Edge / Edge Chromium 1.從任務列開啟搜尋,並搜尋「因特網選項」
2.選取 [因特網選項]
3.在 [ 安全性] 底下,選取 [TLS 1.2]
4.選取 [ 套用],然後選取 [ 確定]
5.重新啟動瀏覽器,並確認您可以存取應用程式Google Chrome 1.開啟 Google Chrome
2.在右上方選取 [ 更多 (3 個垂直點) >設定]
3.在底部,選取 [ 進階]
4.在 [系統] 底下,選取 [ 開啟 Proxy 設定]
5.在 [ 進階 ] 索引卷標的 [ 安全性] 下,選取 [TLS 1.2]
6.選取 [確定]
7.重新啟動瀏覽器,並確認您能夠存取應用程式Mozilla Firefox 1.開啟 Mozilla Firefox
2.在網址列中搜尋 “about:config”
3.在 [搜尋] 方塊中,搜尋 “TLS”
4.按兩下 security.tls.version.min 的專案
5.將整數值設定為 3 以強制 TLS 1.2 作為最小必要版本
6 .選取 值方塊右側的 [儲存 (複選標記)
7.重新啟動瀏覽器,並確認您能夠存取應用程式Safari 如果您使用Safari第7版或更新版本,則會自動啟用TLS 1.2
Defender for Cloud Apps 使用傳輸層安全性 (TLS) 通訊協定 1.2+ 來提供一流的加密:
- 使用會話控制項設定時,無法存取不支援 TLS 1.2+ 的原生用戶端應用程式和瀏覽器。
- 使用 TLS 1.1 或更低版本的 SaaS 應用程式在使用 Defender for Cloud Apps 設定時,會在瀏覽器中顯示為使用 TLS 1.2+。
提示
雖然會話控件是為了在任何操作系統上的任何主要平臺上使用任何瀏覽器而建置,但我們支援最新版的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 您可能想要封鎖或允許特別存取行動裝置或傳統型應用程式。
緩慢的登入
Proxy 鏈結和 nonce 處理是一些可能導致登入效能變慢的常見問題。
建議的步驟
設定您的環境,以移除在登入期間可能會造成緩慢的任何因素。 例如,您可能已設定防火牆或轉送 Proxy 鏈結,這會連接兩部或多部 Proxy 伺服器以瀏覽至預定的頁面。 您可能也有其他影響速度緩慢的外部因素。
- 識別您的環境中是否發生 Proxy 鏈結。
- 盡可能移除任何正向 Proxy。
某些應用程式會在驗證期間使用 nonce 哈希來防止重新執行攻擊。 根據預設,Defender for Cloud Apps 會假設應用程式使用 nonce。 如果您使用的應用程式未使用 nonce,請在 Defender for Cloud Apps 中停用此應用程式的 nonce 處理:
- 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。
- 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控應用程式]。
- 在應用程式清單中,於您要設定的應用程式出現的數據列上,選取數據列結尾的三個點,然後選取 [為您的應用程式 編輯 ]。
- 選取 [Nonce-handling ] 展開區段,然後清除 [ 啟用 nonce 處理]。
- 註銷應用程式並關閉所有瀏覽器會話。
- 重新啟動瀏覽器,然後再次登入應用程式。 確認登入如預期般運作。
網路條件的更多考慮
針對網路狀況進行疑難解答時,也請考慮下列有關 Defender for Cloud Apps Proxy 的注意事項:
確認您的工作階段是否正路由傳送至另一個資料中心:Defender for Cloud Apps 使用世界各地的 Azure 資料中心,透過地理位置將效能優化。
這表示使用者的會話可能會裝載在區域外部,視流量模式及其位置而定。 不過,為了保護您的隱私權,這些數據中心不會儲存任何會話數據。
Proxy 效能:衍生效能基準取決於 Defender for Cloud Apps Proxy 以外的許多因素,例如:
- 其他 Proxy 或閘道在此 Proxy 的數列中
- 使用者的來源
- 目標資源所在的位置
- 頁面上的特定要求
一般而言,任何 Proxy 都會增加延遲。 Defender for Cloud Apps Proxy 的優點如下:
使用 Azure 域控制器的全域可用性,將使用者地理位置到最接近的節點,並減少其來回距離。 Azure 域控制器可以依全球少數服務的規模進行地理位置。
使用與 Microsoft Entra 條件式存取的整合,只會將您想要 Proxy 的會話路由傳送至我們的服務,而不是所有情況下的所有使用者。
裝置識別問題
Defender for Cloud Apps 提供下列選項來識別裝置的管理狀態。
- Microsoft Intune 合規性
- 已加入混合式 Microsoft Entra 網域
- 客戶端憑證
如需詳細資訊,請參閱 使用條件式存取應用程控的身分識別受控裝置。
您可能會遇到的常見裝置識別問題包括:
Intune 符合規範或 Microsoft Entra 混合式聯結裝置的識別錯誤
Microsoft Entra 條件式存取可讓 Intune 相容且 Microsoft Entra 混合式聯結裝置資訊直接傳遞至 Defender for Cloud Apps。 在 Defender for Cloud Apps 中,使用裝置狀態作為存取或會話原則的篩選條件。
如需詳細資訊,請參閱 Microsoft Entra ID 中的裝置管理簡介。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。
在 [條件式存取應用程控] 下,選取 [ 裝置識別]。 此頁面會顯示 Defender for Cloud Apps 中可用的裝置識別選項。
如需 Intune 符合規範的裝置識別和 Microsoft Entra 混合式聯結識別,請選取 [檢視設定],並確認服務已設定。 服務會分別從 Microsoft Entra ID和 Intune 自動同步處理。
建立存取或會話原則,其中裝置卷標篩選條件等於已加入混合式 Azure AD、Intune 相容或兩者皆相同。
在瀏覽器中,根據您的原則篩選器,登入 Microsoft Entra 混合式聯結或 Intune 相容的裝置。
確認來自這些裝置的活動正在填入記錄檔。 在 Defender for Cloud Apps 中,在 [活動記錄] 頁面上,根據您的原則篩選條件,篩選裝置標籤等於已加入混合式 Azure AD、Intune 相容或兩者。
如果活動未填入 Defender for Cloud Apps 活動記錄中,請移至 Microsoft Entra ID 並執行下列步驟:
在 [監視>登入] 底下,確認記錄中有登入活動。
選取您登入之裝置的相關記錄專案。
在 [詳細數據] 窗格的 [裝置資訊] 索引標籤上,確認裝置已 ( 已加入混合式 Azure AD ) 或相容 (Intune 符合規範) 。
如果您無法驗證任一狀態,請嘗試另一個記錄專案,或確定您的裝置數據已在 Microsoft Entra ID 中正確設定。
針對條件式存取,某些瀏覽器可能需要額外的設定,例如安裝擴充功能。 如需詳細資訊,請 參閱條件式存取瀏覽器支援。
如果您在 [登入] 頁面中仍然看不到裝置資訊,請開啟 Microsoft Entra ID 的支援票證。
用戶端憑證未在預期時提示
裝置識別機制可以使用客戶端憑證向相關裝置要求驗證。 您可以將 X.509 跟證書或中繼證書頒發機構單位上傳 (CA) 憑證,格式為 PEM 憑證格式。
憑證必須包含 CA 的公鑰,然後用來簽署工作階段期間顯示的客戶端憑證。 如需詳細資訊,請參閱檢查裝置管理而不使用 Microsoft Entra。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。
在 [條件式存取應用程控] 下,選取 [ 裝置識別]。 此頁面會顯示 Defender for Cloud Apps 可用的裝置識別選項。
確認您已上傳 X.509 根或中繼 CA 憑證。 您必須上傳用來簽署證書頒發機構單位的 CA 憑證。
使用 裝置標籤篩選 條件等於 有效客戶端憑證來建立存取或會話原則。
請確定您的客戶端憑證為:
- 使用 PKCS #12 檔案格式部署,通常是 .p12 或 .pfx 擴展名
- 安裝在您用於測試之裝置的使用者存放區,而不是裝置存放區
重新啟動瀏覽器會話。
登入受保護的應用程式時:
- 確認您已重新導向至下列 URL 語法:
<https://*.managed.access-control.cas.ms/aad_login> - 如果您使用 iOS,請確定您使用的是 Safari 瀏覽器。
- 如果您使用 Firefox,也必須將 憑證新增至 Firefox 自己的證書存儲。 所有其他瀏覽器都會使用相同的預設證書存儲。
- 確認您已重新導向至下列 URL 語法:
驗證您的瀏覽器中是否提示客戶端憑證。
如果未出現,請嘗試不同的瀏覽器。 大部分的主要瀏覽器都支援執行客戶端憑證檢查。 不過,行動和桌面應用程式通常會使用內建瀏覽器,而這些瀏覽器可能不支援這項檢查,因此會影響這些應用程式的驗證。
確認來自這些裝置的活動正在填入記錄檔。 在 Defender for Cloud Apps 中,在 [活動記錄] 頁面上,新增 [裝置卷標] 上的篩選條件,等於 [有效客戶端憑證]。
如果您仍然看不到提示,請開啟 支援票證 並包含下列資訊:
- 您遇到問題的瀏覽器或原生應用程式詳細資料
- 操作系統版本,例如iOS/Android/Windows 10
- 提及提示是否正在處理 Microsoft Edge Chromium
每次登入時都會提示客戶端憑證
如果您在開啟新的索引標籤之後遇到客戶端憑證突然出現,這可能是因為因特 網選項內隱藏了設定。 在瀏覽器中確認您的設定。 例如:
在 Microsoft Internet Explorer 中:
- 開啟 Internet Explorer,然後選取 [工具>] [因特網選項] [進階] > 索引標籤。
- 在 [ 安全性] 底下,選取 [當只有一個憑證存在> 時,不要提示選取用戶端憑證][選取 [套用>確定]。
- 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。
在 Microsoft Edge/ Edge Chromium:
- 從任務列開啟搜尋,並搜尋 [因特網選項]。
- 選 取 [因特網選項>安全>性近端內部網络>自定義層級]。
- > 在 [其他不要在只有一個憑證存在時提示選取客戶端憑證] 下,選取 [停用]。
- 選取 [確定>套用>確定]。
- 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。
裝置識別的更多考慮
針對裝置識別進行疑難解答時,您可以要求撤銷客戶端憑證的憑證。
CA 撤銷的憑證已不再受信任。 選取此選項需要所有憑證都通過CRL通訊協定。 如果您的用戶端憑證不包含 CRL 端點,您就無法從受控裝置連線。
將應用程式上線時發生問題
Microsoft Entra ID 應用程式會自動上線以 Defender for Cloud Apps 條件式存取和會話控件。 您必須手動將非Microsoft IdP 應用程式上線,包括目錄和自定義應用程式。
如需詳細資訊,請參閱:
您在上線應用程式時可能會遇到的常見案例包括:
應用程式不會出現在條件式存取應用程控應用程式頁面上
將非Microsoft的IdP應用程式上線至條件式存取應用程控時,最後一個部署步驟是讓使用者流覽至應用程式。 如果應用程式未出現在 [設定>雲端應用程式連線的應用程式>>][條件式存取應用程控應用程式] 頁面上,請執行本節中的步驟。
建議的步驟
請確定您的應用程式符合下列條件式存取應用程式符合下列條件式存取應用程式的必要條件:
- 請確定您擁有有效的 Defender for Cloud Apps 授權。
- 建立重複的應用程式。
- 請確定應用程式使用 SAML 通訊協定。
- 驗證您已將應用程式完全上線,且應用程式的狀態為 [已連線]。
請務必使用新的 incognito 模式或再次登入,在新的瀏覽器會話中瀏覽至應用程式。
注意事項
在至少一個原則中設定了 Entra ID 應用程式之後,或如果您的原則沒有任何應用程式規格,且使用者已登入應用程式,則 Entra ID 應用程式只會出現在 [ 條件式存取應用程控 應用程式] 頁面上。
應用程式狀態:繼續安裝
應用程式的狀態可能會有所不同,而且可以包含 [繼續安裝]、[ 已連線] 或 [ 沒有活動]。
對於透過非Microsoft識別提供者連線的應用程式, (IdP) ,如果安裝程式尚未完成,在存取應用程式時,您會看到狀態為 [ 繼續安裝] 的頁面。 使用下列步驟來完成設定。
建議的步驟
選取 [繼續安裝]。
檢閱下列文章,並確認您已完成所有必要的步驟:
請特別注意下列步驟:
- 請務必建立新的自定義 SAML 應用程式。 您需要此應用程式來變更資源庫應用程式中可能無法使用的 URL 和 SAML 屬性。
- 如果您的識別提供者不允許重複使用相同的標識碼,也稱為 實體標識 碼或 物件,請變更原始應用程式的標識符。
無法設定內建應用程式的控制件
您可以啟發學習偵測內建應用程式,而且您可以使用存取原則來監視或封鎖它們。 使用下列步驟來設定原生應用程式的控制件。
建議的步驟
在存取原則中,新增用戶端應用程式篩選,並將其設定為等於行動和桌面。
在 [ 動作] 底下,選取 [ 封鎖]。
或者,自定義使用者無法下載檔時所收到的封鎖訊息。 例如,將此訊息自定義為 您必須使用網頁瀏覽器來存取此應用程式。
測試並驗證控制項是否如預期般運作。
[無法辨識應用程式] 頁面隨即出現
Defender for Cloud Apps 可以透過雲端應用程式目錄來辨識超過 31,000 個應用程式。
如果您使用的是透過 Microsoft Entra SSO 設定的自訂應用程式,而且不是其中一個支援的應用程式,您會遇到 [無法辨識應用程式] 頁面。 若要解決此問題,您必須使用條件式存取應用程控來設定應用程式。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控應用程式]。
在橫幅中,選 取 [檢視新的應用程式]。
在新應用程式清單中,找出您要上線的應用程式,選 + 取符號,然後選取 [ 新增]。
- 選取應用程式是 自定義 還是 標準 應用程式。
- 繼續進行精靈,確定指定 的使用者定義網域 對您要設定的應用程式是正確的。
確認應用程式出現在 [條件式存取應用程控應用程式 ] 頁面中。
要求會話控件選項隨即出現
將非Microsoft的 IdP 應用程式上線之後,您可能會看到 [要求工作階段控制 ] 選項。 這是因為只有目錄應用程式具有現成可用的會話控制件。 對於任何其他應用程式,您必須完成自我上線程式。
請遵循為 具有非Microsoft IDP 的自定義應用程式部署條件式存取應用程控中的指示。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。
在 [條件式存取應用程控] 下,選取 [應用程式上線/維護]。
輸入將要上線應用程式之使用者的主體名稱或電子郵件,然後選取 [ 儲存]。
移至您要部署的應用程式。 您看到的頁面取決於是否可辨識應用程式。 視您看到的頁面而定,執行下列其中一項:
無法辨識。 您會看到 [ 無法辨識的應用程式 ] 頁面,提示您設定應用程式。 執行下列步驟:
- 將應用程式上線以進行條件式存取應用程控。
- 新增應用程式的網域。
- 安裝應用程式的憑證。
已辨識。 如果您的應用程式已辨識,您會看到一個上線頁面,提示您繼續進行應用程式設定程式。
請確定應用程式已設定為應用程式正常運作所需的所有網域,然後返回應用程式頁面。
將應用程式上線的更多考慮
針對上線應用程式進行疑難解答時,有一些額外的事項需要考慮。
瞭解 Microsoft Entra 條件式存取原則設定之間的差異:「僅監視」、「封鎖下載」和「使用自定義原則」
在 Microsoft Entra 條件式存取原則中,您可以設定下列內建 Defender for Cloud Apps 控件:僅監視和封鎖下載。 這些設定適用於雲端應用程式的 Defender for Cloud Apps Proxy 功能,以及在 Microsoft Entra ID 中設定的條件。
如需更複雜的原則,請選取 [使用自定義原則],這可讓您在 Defender for Cloud Apps 中設定存取和會話原則。
瞭解存取原則中的 [行動和桌面] 用戶端應用程式篩選選項
在 Defender for Cloud Apps 存取原則中,除非 [用戶端應用程式篩選] 設定為 [行動和桌面],否則產生的存取原則會套用至瀏覽器會話。
這是因為為了避免不小心 Proxy 用戶會話,這可能是使用此篩選條件的副產品。
建立存取和會話原則時的問題
Defender for Cloud Apps 提供下列可設定的原則:
若要在 Defender for Cloud Apps 中使用這些原則,您必須先在 Microsoft Entra 條件式存取中設定原則,以擴充會話控件:
在 Microsoft Entra 原則的 [訪問控制] 下,選取 [會話>使用條件式存取應用程控]。
選取內建原則 (僅監視或封鎖下載) 或使用自定義原則在 Defender for Cloud Apps 中設定進階原則。
選 取 [選取 ] 以繼續。
設定這些原則時可能會遇到的常見案例包括:
- 在條件式存取原則中,您看不到條件式存取應用程控選項
- 建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式
- 無法建立應用程式的會話原則
- 無法選擇 檢查方法: 數據分類服務
- 無法選擇 [動作: 保護]
在條件式存取原則中,您看不到條件式存取應用程控選項
若要將會話路由傳送至 Defender for Cloud Apps,Microsoft Entra 條件式存取原則必須設定為包含條件式存取應用程控項。
建議的步驟
如果您在條件式存取原則中看不到 [條件式存取應用程控] 選項,請確定您具有 Microsoft Entra ID P1 的有效授權,以及有效的 Defender for Cloud Apps 授權。
建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式
建立存取或會話原則時,您可能會看到下列錯誤訊息: 您沒有任何使用條件式存取應用程控部署的應用程式。 此錯誤表示應用程式是尚未上線以進行條件式存取應用程控的非Microsoft IdP 應用程式。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控應用程式]。
如果您看到訊息 [沒有連線的應用程式],請使用下列指南來部署應用程式:
如果您在部署應用程式時遇到任何問題,請參閱 將應用程式上線時的問題。
無法建立應用程式的會話原則
將條件式存取應用程控的非Microsoft IdP 應用程式上線之後,您可以在 [ 條件式存取應用程控應用程式 ] 頁面中看到選項: 要求會話控件。
注意事項
目錄應用程式 具有現成可用的會話控件。 對於任何其他非Microsoft的IdP應用程式,您必須經歷自我上線程式。 建議的步驟
將您的應用程式部署至工作階段控制項。 如需詳細資訊, 請參閱將條件式存取應用程控的非Microsoft IdP 自定義應用程序上線。
建立工作階段原則,然後選取 [應用程式] 篩選條件。
確定您的應用程式現在已列在下拉式清單中。
無法選擇檢查方法:數據分類服務
在會話原則中,使用 具有檢查) 工作階段控件類型的控制檔案下載 (時,您可以使用 資料分類服務 檢查方法即時掃描您的檔案,並偵測符合您已設定之任何準則的敏感性內容。
如果無法使用 數據分類服務 檢查方法,請使用下列步驟來調查問題。
建議的步驟
確認 [工作階段] 控制檔案下載 (,並檢查) 。
注意事項
數據分類服務檢查方法僅適用於 [控制檔案下載] (與檢查) 選項。
判斷您的區域中是否提供資料分類服務功能:
- 如果您的區域中無法使用此功能,請使用 內建 DLP 檢查方法。
- 如果您的區域中有可用的功能,但您仍然看不到 數據分類服務 檢查方法,請開啟 支援票證。
無法選擇 [動作:保護]
在工作階段原則中,使用 控制檔案下載 (與檢查) 會話控件類型時,除了 監視 和 封鎖 動作之外,您還可以指定 保護 動作。 此動作可讓您允許檔案下載,並選擇根據條件、內容檢查或兩者將許可權加密或套用至檔案。
如果無法使用 [保護 ] 動作,請使用下列步驟來調查問題。
建議的步驟
如果 [ 保護 ] 動作無法使用或呈現灰色,請確認您有 Microsoft Purview 授權。 如需詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
如果 [ 保護 ] 動作可用,但看不到適當的標籤。
在 Defender for Cloud Apps 中,選取功能表欄中的設定圖示>Microsoft 資訊保護,並確認已啟用整合。
針對 Office 標籤,請在 Microsoft Purview 入口網站中,確定已選取 [統一卷標 ]。
使用 [管理員 檢視] 工具列進行診斷和疑難解答
[管理員 檢視] 工具列位於畫面底部,並提供工具讓系統管理員使用者診斷條件式存取應用程控的問題並進行疑難解答。
若要檢視 管理員 檢視工具列,您必須務必將特定的系統管理員用戶帳戶新增至 Microsoft Defender 全面偵測回應 設定中的 [應用程式上線/ 維護] 清單。
若要將使用者新增至應用程式上線/維護清單:
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式]。
向下捲動,然後在 [條件式存取應用程控] 底下,選取 [應用程式上線/維護]。
輸入您要新增之系統管理員使用者的主體名稱或電子郵件位址。
選取 [ 讓這些使用者從 Proxy 會話內略過條件式存取應用程控 ] 選項,然後選取 [ 儲存]。
例如:
下次當其中一個列出的使用者以系統管理員身分在支援的應用程式中啟動新會話時,管理員 檢視工具列會顯示在瀏覽器底部。
例如,下圖顯示在瀏覽器中使用 OneNote 時,顯示在瀏覽器視窗底部的 [管理員 檢視] 工具列:
下列各節說明如何使用 [管理員 檢視] 工具列來進行測試和疑難解答。
測試模式
身為系統管理員使用者,您可能想要在最新版本完全推出至所有租使用者之前,先測試即將推出的 Proxy 錯誤修正。 將錯誤修正的意見反應提供給Microsoft支援小組,以協助加速發行週期。
處於測試模式時,只有系統管理員用戶會公開到錯誤修正中提供的任何變更。 不會影響其他使用者。
- 若要開啟測試模式,請在 [管理員 檢視] 工具列中,選取 [測試模式]。
- 當您完成測試時,請選取 [結束測試模式 ] 以返回一般功能。
略過 Proxy 會話
如果您使用非 Edge 瀏覽器,且無法存取或載入您的應用程式,您可以在沒有 Proxy 的情況下執行應用程式,以確認問題是否與條件式存取 Proxy 有關。
若要略過 Proxy,請在 [管理員 檢視] 工具欄中,選取 [略過體驗]。 請注意 URL 沒有後綴,以確認工作階段已略過。
條件式存取 Proxy 會在下一個會話中再次使用。
如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 條件式存取應用程控和使用 商務用 Microsoft Edge (Preview) 的瀏覽器內保護。
第二次登入 (也稱為「第二次登入」)
有些應用程式有多個深層連結可登入。 除非您在應用程式設定中定義登入連結,否則使用者在登入時可能會重新導向至無法辨識的頁面,並封鎖其存取。
Microsoft Entra ID等IDP之間的整合是以攔截應用程式登入和重新導向為基礎。 這表示在未觸發第二次登入的情況下,無法直接控制瀏覽器登入。 若要觸發第二次登入,我們必須特別針對該目的採用第二個登入 URL。
如果應用程式使用 nonce,則第二次登入對使用者而言可能是透明的,或者系統會提示他們再次登入。
如果使用者不透明,請將第二個登入 URL 新增至應用程式設定:
移至設定雲端應用程式連線>應用程式>>條件式存取應用程控應用程式
選取相關的應用程式,然後選取三個點。
選 取 [編輯應用程式\進階登入設定]。
新增錯誤頁面中所述的第二個登入 URL。
如果您確信應用程式不會使用 nonce,您可以編輯應用程式設定來停用此功能,如 慢速登入中所述。
記錄會話
您可能想要將會話錄製傳送給Microsoft支持工程師,以協助分析問題的根本原因。 使用 [管理員 檢視] 工具列來記錄您的會話。
注意事項
所有個人資料都會從錄製中移除。
若要記錄工作階段:
在 [管理員 檢視] 工具列中,選取 [記錄會話]。 出現提示時,請選取 [繼續 ] 以接受條款。 例如:
視需要登入您的應用程式,以開始模擬會話。
當您完成錄製案例時,請務必選取 [管理員 檢視] 工具列中的 [停止錄製]。
若要檢視錄製的工作階段:
完成錄製之後,請從 [檢視] 工具列中選取 [會話錄製],以檢視錄製的會話 管理員。 前 48 小時的已錄製會話清單隨即出現。 例如:
若要管理您的錄製,請選取檔案,然後視需要選取 [刪除 ] 或 [下載 ]。 例如:
為您的應用程式新增網域
將正確的網域關聯至應用程式可讓 Defender for Cloud Apps 強制執行原則和稽核活動。
例如,如果您已設定原則來封鎖下載相關聯網域的檔案,則應用程式從該網域下載的檔案將會遭到封鎖。 不過,應用程式從與應用程式無關的網域下載的檔案將不會遭到封鎖,而且不會在活動記錄中稽核動作。
如果系統管理員在 Proxy 應用程式中流覽至無法辨識的網域,該 Defender for Cloud Apps 不會考慮相同應用程式或任何其他應用程式的一部分,則會出現無法辨識的網域訊息,提示系統管理員新增網域,以便下次受到保護。 在這種情況下,如果系統管理員不想要新增網域,就不需要採取任何動作。
注意事項
Defender for Cloud Apps 仍會將後綴新增至未與應用程式相關聯的網域,以確保順暢的用戶體驗。
若要為您的應用程式新增網域:
在瀏覽器中開啟您的應用程式,畫面上會顯示 Defender for Cloud Apps 管理員 [檢視] 工具列。
在 [管理員 檢視] 工具列中,選取 [探索到的網域]。
在 [ 探索到的網域 ] 窗格中,記下列出的域名,或將清單匯出為 .csv 檔。
[ 探索到的網域 ] 窗格會顯示未與應用程式相關聯的所有網域清單。 功能變數名稱是完整的。
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定雲端>應用程式連線應用程式>>條件式存取應用程控應用程式]。
在資料表中找出您的應用程式。 選取右側的選項功能表,然後選取 [ 編輯應用程式]。
在 [ 用戶定義的網域 ] 字段中,輸入您要與此應用程式建立關聯的網域。
若要檢視應用程式中已設定的網域清單,請選取 [ 檢視應用程式網域] 連結。
新增網域時,請考慮是否要新增特定網域,或使用星號 (***** 通配符一次使用多個網域。
例如,
sub1.contoso.comsub2.contoso.com是特定網域的範例。 若要同時新增這兩個網域以及其他同層級網域,請使用*.contoso.com。
如需詳細資訊,請參閱使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式。