Řešení potíží s řízením přístupu a relací pro uživatele s oprávněními správce

Tento článek poskytuje správcům Microsoft Defenderu pro Cloud Apps pokyny k prozkoumání a řešení běžných problémů s řízením přístupu a relací, které mají správci.

Poznámka:

Veškeré řešení potíží souvisejících s funkcemi proxy serveru je relevantní jenom pro relace, které nejsou nakonfigurované pro ochranu v prohlížeči pomocí Microsoft Edge.

Kontrola minimálních požadavků

Než začnete řešit potíže, ujistěte se, že vaše prostředí splňuje následující minimální obecné požadavky na řízení přístupu a relací.

Požadavek	Popis
Licencování	Ujistěte se, že máte platnou licenci pro Microsoft Defender for Cloud Apps.
Jednotné přihlašování (SSO)	Aplikace musí být nakonfigurované s jedním z podporovaných řešení jednotného přihlašování: – ID Microsoft Entra pomocí SAML 2.0 nebo OpenID Připojení 2.0 – Ne microsoft idP pomocí SAML 2.0
Podpora prohlížeče	Ovládací prvky relace jsou k dispozici pro relace založené na prohlížeči v nejnovějších verzích následujících prohlížečů: – Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Ochrana v prohlížeči pro Microsoft Edge má také specifické požadavky, včetně uživatele přihlášeného pomocí svého pracovního profilu. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.
Prostoje	Defender for Cloud Apps umožňuje definovat výchozí chování, které se má použít, pokud dojde k přerušení služby, jako je například to, že komponenta nefunguje správně. Pokud například nelze vynutit normální řízení zásad, můžete se rozhodnout posílit (blokovat) nebo obejít (povolit) uživatelům provádět akce s potenciálně citlivým obsahem. Pokud chcete nakonfigurovat výchozí chování během výpadku systému, přejděte v XDR v programu Microsoft Defender do části Nastavení> Conditional Access App Control>– Výchozí chování>Povolit nebo Blokovat přístup.

Požadavky na ochranu v prohlížeči

Pokud používáte ochranu v prohlížeči s Microsoft Edgem a stále je obsluhuje reverzní proxy server, ujistěte se, že splňujete následující další požadavky:

• Tato funkce je zapnutá v nastavení XDR v programu Defender. Další informace najdete v tématu Konfigurace nastavení ochrany v prohlížeči.

• Všechny zásady, na které se uživatel vztahuje, se podporují pro Microsoft Edge pro firmy. Pokud je uživatel obsluhován jinou zásadou, kterou Microsoft Edge pro firmy nepodporuje , bude ho vždy obsluhovat reverzní proxy server. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.

• Používáte podporovanou platformu, včetně podporovaného operačního systému, platformy identit a verze Edge. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.

Referenční informace o řešení potíží pro správce

Pomocí následující tabulky najděte problém, který se pokoušíte vyřešit:

Typ problému	Problémy
Problémy se stavem sítě	Chyby sítě při přechodu na stránku prohlížeče Pomalé přihlášení Další aspekty podmínek sítě
Problémy s identifikací zařízení	Chybně identifikovaná zařízení kompatibilní s Intune nebo hybridní zařízení připojená k Microsoft Entra Klientské certifikáty se nezobrazují při očekávání. Klientské certifikáty se nezobrazují při očekávání. Klientské certifikáty se zobrazují při každém přihlášení. Další aspekty identifikace zařízení
Problémy při onboardingu aplikace	Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu k aplikacím Stav aplikace: Pokračovat v nastaveníNejde konfigurovat ovládací prvky pro nativní aplikace Zobrazí se stránka aplikace, která není rozpoznána . Zobrazí se možnost řízení relace žádosti. Další důležité informace o onboardingu aplikací
Problémy při vytváření zásad přístupu a relací	V zásadách podmíněného přístupu se možnost Řízení podmíněného přístupu k aplikacím nezobrazuje. Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s podmíněným řízením přístupu k aplikacím Nejde vytvořit zásady relace pro aplikaci Nelze zvolit metodu kontroly: Služba klasifikace dat Nejde zvolit akci: Chránit Další důležité informace o onboardingu aplikací
Diagnostika a řešení potíží s panelem nástrojů Správa Zobrazení	Obejít relaci proxy serveru Záznam relace

Problémy se stavem sítě

Mezi běžné problémy se síťovým stavem, se kterými se můžete setkat, patří:

• Chyby sítě při přechodu na stránku prohlížeče
• Pomalé přihlášení
• Další důležité informace

Chyby sítě při přechodu na stránku prohlížeče

Při prvním nastavování řízení přístupu k Defenderu pro Cloud Apps a řízení relací pro aplikaci můžou nastat běžné chyby sítě: Tento web není zabezpečený a připojení k internetu neexistuje. Tyto zprávy můžou znamenat obecnou chybu konfigurace sítě.

Doporučené kroky

1. Nakonfigurujte bránu firewall tak, aby fungovala s Defenderem for Cloud Apps pomocí IP adres Azure a názvů DNS relevantních pro vaše prostředí.

   1. Přidejte odchozí port 443 pro následující IP adresy a názvy DNS pro datové centrum Defenderu for Cloud Apps.
   2. Restartujte zařízení a relaci prohlížeče.
   3. Ověřte, že přihlášení funguje podle očekávání.

2. Povolte protokol TLS 1.2 v možnostech internetu v prohlížeči. Příklad:

   Prohlížeč	Kroky
   Microsoft Internet Explorer	1. Otevřete Internet Explorer 2. Vyberte Nástroje>Možnosti internetu>v části Upřesnit 3. V části Zabezpečení vyberte PROTOKOL TLS 1.2. 4. Vyberte Použít a pak vyberte OK. 5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
   Microsoft Edge / Edge Chromium	1. Otevřete hledání z hlavního panelu a vyhledejte "Možnosti internetu" 2. Vyberte Možnosti internetu. 3. V části Zabezpečení vyberte PROTOKOL TLS 1.2. 4. Vyberte Použít a pak vyberte OK. 5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
   Google Chrome	1. Otevřete Google Chrome 2. V pravém horním rohu vyberte Více (3 svislé tečky) >Nastavení 3. Dole vyberte Upřesnit. 4. V části Systém vyberte Otevřít nastavení proxy serveru. 5. Na kartě Upřesnit vyberte v části Zabezpečení protokol TLS 1.2. 6. Vyberte OK. 7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
   Mozilla Firefox	1. Otevřete Mozilla Firefox 2. Na panelu Adresa a vyhledejte "about:config" 3. Do vyhledávacího pole vyhledejte "TLS". 4. Poklikejte na položku security.tls.version.min. 5. Nastavte celočíselnou hodnotu na 3, aby se vynutil minimální požadovaná verze protokolu TLS 1.2. 6. Vyberte Uložit (zaškrtnutí vpravo od pole hodnoty) 7. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci.
   Safari	Pokud používáte Safari verze 7 nebo novější, je protokol TLS 1.2 automaticky povolený.

Defender for Cloud Apps používá protokoly TLS (Transport Layer Security) 1.2 nebo novější k zajištění nejlepšího šifrování v rámci třídy:

• Nativní klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nejsou při konfiguraci s řízením relací přístupné.
• Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se v prohlížeči zobrazují jako protokol TLS 1.2 nebo novější, když jsou nakonfigurované v programu Defender for Cloud Apps.

Tip

I když jsou ovládací prvky relací vytvořené tak, aby fungovaly s libovolným prohlížečem na libovolné hlavní platformě v jakémkoli operačním systému, podporujeme nejnovější verze Microsoft Edge, Google Chrome, Mozilla Firefox nebo Apple Safari. Možná budete chtít blokovat nebo povolit přístup konkrétně k mobilním nebo desktopovým aplikacím.

Pomalé přihlášení

Zřetězování proxy serveru a zpracování nesouvisejí s některými běžnými problémy, které můžou vést k pomalému výkonu přihlašování.

Doporučené kroky

Nakonfigurujte prostředí tak, aby při přihlašování odebralo všechny faktory, které můžou způsobovat zpomalení. Můžete mít například nakonfigurované brány firewall nebo přesměrování řetězení proxy serveru, které propojí dva nebo více proxy serverů a přejde na zamýšlenou stránku. Můžete mít také další externí faktory, které ovlivňují zpomalení.

1. Určete, jestli se ve vašem prostředí vyskytuje řetězení proxy serveru.
2. Pokud je to možné, odeberte všechny předávané proxy servery.

Některé aplikace používají během ověřování nonce hash, aby se zabránilo opakovaným útokům. Defender for Cloud Apps ve výchozím nastavení předpokládá, že aplikace používá nece. Pokud aplikace, se kterou pracujete, nepoužívá nic, zakažte pro tuto aplikaci v Defenderu pro Cloud Apps jiné zpracování:

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps.
2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.
3. V seznamu aplikací vyberte na řádku, ve kterém konfigurujete aplikaci, kterou konfigurujete, tři tečky na konci řádku a pak vyberte Upravit pro vaši aplikaci.
4. Výběrem možnosti Zpracování nesouvisecích rozbalte oddíl a zrušte zaškrtnutí políčka Povolit zpracování nesouvisecích.
5. Odhlaste se z aplikace a zavřete všechny relace prohlížeče.
6. Restartujte prohlížeč a znovu se přihlaste k aplikaci. Ověřte, že přihlášení funguje podle očekávání.

Další aspekty podmínek sítě

Při řešení potíží se síťovými podmínkami zvažte také následující poznámky o proxy serveru Defender for Cloud Apps:

• Ověřte, jestli se relace směruje do jiného datového centra: Defender for Cloud Apps používá datacentra Azure po celém světě k optimalizaci výkonu prostřednictvím geografické polohy.

  To znamená, že relace uživatele může být hostována mimo oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.

• Výkon proxy serveru: Odvozování standardních hodnot výkonu závisí na mnoha faktorech mimo proxy server Defenderu pro Cloud Apps, například:

  • Jaké další proxy servery nebo brány jsou v řadě s tímto proxy serverem
  • Odkud uživatel pochází
  • Kde se nachází cílový prostředek
  • Konkrétní požadavky na stránce

  Obecně platí, že všechny proxy servery přidávají latenci. Výhody proxy služby Defender for Cloud Apps jsou:

  • Globální dostupnost řadičů domény Azure k geografickému přidělení uživatelů k nejbližšímu uzlu a snížení jejich vzdálenosti odezvy. Řadiče domény Azure můžou geolokovat ve velkém měřítku, který má několik služeb po celém světě.

  • Integrace s podmíněným přístupem Microsoft Entra umožňuje směrovat pouze relace, které chcete na naši službu proxy, a ne všechny uživatele ve všech situacích.

Problémy s identifikací zařízení

Defender for Cloud Apps poskytuje následující možnosti pro identifikaci stavu správy zařízení.

• Dodržování předpisů v Microsoft Intune
• Hybridní připojení k doméně Microsoft Entra
• Klientské certifikáty

Další informace najdete v tématu Zařízení spravovaná identitou s řízením podmíněného přístupu k aplikacím.

Mezi běžné problémy s identifikací zařízení, se kterými se můžete setkat, patří:

• Chybně identifikovaná zařízení kompatibilní s Intune nebo hybridní zařízení připojená k Microsoft Entra
• Klientské certifikáty se nezobrazují při očekávání.
• Klientské certifikáty se zobrazují při každém přihlášení.
• Další důležité informace

Chybně identifikovaná zařízení kompatibilní s Intune nebo hybridní zařízení připojená k Microsoft Entra

Podmíněný přístup Microsoft Entra umožňuje předávat informace o zařízeních kompatibilních s Intune a Microsoft Entra, které jsou připojené k hybridnímu zařízení, přímo do Defenderu for Cloud Apps. V Programu Defender for Cloud Apps použijte stav zařízení jako filtr pro zásady přístupu nebo relací.

Další informace naleznete v tématu Úvod do správy zařízení v Microsoft Entra ID.

Doporučené kroky

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps.

2. V části Řízení podmíněného přístupu k aplikacím vyberte identifikaci zařízení. Tato stránka zobrazuje možnosti identifikace zařízení dostupné v Defenderu pro Cloud Apps.

3. V případě identifikace zařízení kompatibilního s Intune a identifikací hybridního připojení Microsoft Entra vyberte Zobrazit konfiguraci a ověřte, že jsou služby nastavené. Služby se automaticky synchronizují z MICROSOFT Entra ID a Intune.

4. Vytvořte zásadu přístupu nebo relace s filtrem značek zařízení, který se rovná hybridní službě Azure AD, kompatibilní s Intune nebo obojímu.

5. V prohlížeči se přihlaste k zařízení, které je hybridním připojeným k Microsoft Entra nebo kompatibilním s Intune na základě filtru zásad.

6. Ověřte, že aktivity z těchto zařízení naplňují protokol. V Programu Defender for Cloud Apps na stránce protokolu aktivit vyfiltrujte značku zařízení, která se rovná hybridní službě Azure AD, kompatibilní s Intune nebo obojí na základě filtrů zásad.

7. Pokud se aktivity nenaplňují v protokolu aktivit Defenderu for Cloud Apps, přejděte na ID Microsoft Entra a proveďte následující kroky:

   1. V části Monitorování>přihlášení ověřte, že protokoly obsahují přihlašovací aktivity.

   2. Vyberte příslušnou položku protokolu pro zařízení, ke které jste se přihlásili.

   3. V podokně Podrobnosti na kartě Informace o zařízení ověřte, že je zařízení Spravované (zařízení připojené službou Hybrid Azure AD Join) nebo Dodržující předpisy (zařízení dodržující předpisy Intune).

      Pokud nemůžete ověřit ani jeden stav, zkuste jinou položku protokolu nebo se ujistěte, že jsou data vašeho zařízení správně nakonfigurovaná v Microsoft Entra ID.

   4. U podmíněného přístupu můžou některé prohlížeče vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.

   5. Pokud se na přihlašovací stránce stále nezobrazují informace o zařízení, otevřete lístek podpory pro MICROSOFT Entra ID.

Klientské certifikáty se nezobrazují při očekávání.

Identifikační mechanismus zařízení může požadovat ověření z příslušných zařízení pomocí klientských certifikátů. Můžete nahrát kořenový nebo zprostředkující certifikát certifikační autority (CA) X.509 formátovaný ve formátu certifikátu PEM.

Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů prezentovaných během relace. Další informace naleznete v tématu Kontrola správy zařízení bez Microsoft Entra.

Doporučené kroky

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps.

2. V části Řízení podmíněného přístupu k aplikacím vyberte identifikaci zařízení. Na této stránce se zobrazují možnosti identifikace zařízení dostupné v Programu Defender for Cloud Apps.

3. Ověřte, že jste nahráli kořenový nebo zprostředkující certifikát certifikační autority X.509. Musíte nahrát certifikát certifikační autority, který se používá k podepsání vaší certifikační autority.

4. Vytvořte zásadu přístupu nebo relace s filtrem značky zařízení, který se rovná platnému klientskému certifikátu.

5. Ujistěte se, že váš klientský certifikát je:

   • Nasazené pomocí formátu souboru PKCS #12, obvykle přípony souboru .p12 nebo .pfx
   • Nainstalované v uživatelském úložišti, ne v úložišti zařízení, které používáte k testování

6. Restartujte relaci prohlížeče.

7. Při přihlašování k chráněné aplikaci:

   • Ověřte, že jste přesměrováni na následující syntaxi adresy URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Pokud používáte iOS, ujistěte se, že používáte prohlížeč Safari.
   • Pokud používáte Firefox, musíte ho také přidat do vlastního úložiště certifikátů Firefoxu. Všechny ostatní prohlížeče používají stejné výchozí úložiště certifikátů.

8. Ověřte, že se v prohlížeči zobrazí výzva k zadání klientského certifikátu.

   Pokud se nezobrazí, zkuste jiný prohlížeč. Většina hlavních prohlížečů podporuje kontrolu klientského certifikátu. Mobilní a desktopové aplikace ale často používají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto ovlivňují ověřování těchto aplikací.

9. Ověřte, že aktivity z těchto zařízení naplňují protokol. V programu Defender for Cloud Apps na stránce protokolu aktivit přidejte filtr na značku zařízení, která se rovná platnému klientskému certifikátu.

10. Pokud se výzva pořád nezobrazuje, otevřete lístek podpory a uveďte následující informace:

    • Podrobnosti o prohlížeči nebo nativní aplikaci, u které došlo k problému
    • Verze operačního systému, jako je iOS/Android/Windows 10
    • Zmínka o tom, jestli na příkazovém řádku pracuje Microsoft Edge Chromium

Klientské certifikáty se zobrazují při každém přihlášení.

Pokud se po otevření nové karty zobrazí klientský certifikát, může to být způsobené nastavením skrytým v možnostech internetu. Ověřte nastavení v prohlížeči. Příklad:

V Aplikaci Microsoft Internet Explorer:

1. Otevřete Internet Explorer a vyberte Kartu Nástroje>>Možnosti internetu Upřesnit.
2. V části Zabezpečení vyberte Možnost Nevybídejte výzvu k výběru klientského certifikátu, pokud existuje> pouze jeden certifikát, vyberte Použít>OK.
3. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.

Microsoft Edge / Edge Chromium:

1. Otevřete hledání z hlavního panelu a vyhledejte možnosti internetu.
2. Vyberte Vlastní úroveň zabezpečení místního intranetu v>možnostech internetu.>>
3. V části Různé>nevybírejte výzvu k výběru klientského certifikátu, pokud existuje jenom jeden certifikát, vyberte Zakázat.
4. Vyberte OK>Použít>OK.
5. Restartujte prohlížeč a ověřte, že máte přístup k aplikaci bez dalších výzev.

Další aspekty identifikace zařízení

Při řešení potíží s identifikací zařízení můžete vyžadovat odvolání certifikátu pro klientské certifikáty.

Certifikáty odvolané certifikační autoritou už nejsou důvěryhodné. Výběr této možnosti vyžaduje, aby všechny certifikáty předávaly protokol CRL. Pokud váš klientský certifikát neobsahuje koncový bod seznamu CRL, nemůžete se připojit ze spravovaného zařízení.

Problémy při onboardingu aplikace

Pro řízení přístupu a relací můžete připojit následující typy aplikací:

• Aplikace katalogu: Aplikace, které se dodávají s ovládacími prvky relace, jsou zastaralé, jak je uvedeno popiskem ovládacího prvku Relace.

• Všechny (vlastní) aplikace: Vlastní obchodní (LOB) nebo místní aplikace je možné připojit k řízení relací správcem.

Příklad:

Při onboardingu aplikace se ujistěte, že jste pečlivě postupovali podle průvodců nasazením proxy serveru. Další informace naleznete v tématu:

1. Nasazení aplikací katalogu pomocí ovládacích prvků relací
2. Nasazení vlastních obchodních aplikací, nefeaturovaných aplikací SaaS a místních aplikací hostovaných prostřednictvím proxy aplikací Microsoft Entra s ovládacími prvky relace

Mezi běžné scénáře, se kterými se můžete setkat při onboardingu aplikace, patří:

• Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu k aplikacím
• Stav aplikace: Pokračovat v instalaci
• Nejde nakonfigurovat ovládací prvky pro nativní aplikace
• Zobrazí se stránka aplikace, která není rozpoznána .
• Zobrazí se možnost řízení relace žádosti.
• Další důležité informace

Aplikace se nezobrazuje na stránce aplikace řízení podmíněného přístupu k aplikacím

Při onboardingu aplikace do řízení podmíněného přístupu k aplikacím je posledním krokem nasazení přechod koncového uživatele do aplikace. Pokud se aplikace nezobrazuje podle očekávání, proveďte kroky v této části.

Doporučené kroky

1. Ujistěte se, že vaše aplikace splňuje následující požadavky na aplikaci podmíněného přístupu v závislosti na vašem poskytovateli identity:

   • ID Microsoft Entra:

     1. Kromě licence Defender for Cloud Apps se ujistěte, že máte platnou licenci pro Microsoft Entra ID P1.
     2. Ujistěte se, že aplikace používá protokol SAML 2.0 nebo OpenID Připojení.
     3. Ujistěte se, že jednotné přihlašování aplikace v Microsoft Entra ID.

   • Jiné společnosti než Microsoft:

     1. Ujistěte se, že máte platnou licenci Defender for Cloud Apps.
     2. Vytvořte duplicitní aplikaci.
     3. Ujistěte se, že aplikace používá protokol SAML.
     4. Ověřte, že jste aplikaci plně onboardovali a že je stav aplikace Připojení.

2. V zásadách Microsoft Entra v rámci relace se ujistěte, že je relace nucena směrovat do Defenderu for Cloud Apps. To zase umožňuje, aby se aplikace zobrazovala na stránce aplikace Řízení podmíněného přístupu k aplikacím následujícím způsobem:

   • Je vybráno řízení podmíněného přístupu k aplikacím.
   • V rozevíracím seznamu předdefinovaných zásad je vybráno pouze monitorování.

3. Nezapomeňte přejít do aplikace v nové relaci prohlížeče pomocí nového anonymního režimu nebo opětovným přihlášením.

Stav aplikace: Pokračovat v instalaci

Stav aplikace se může lišit a může obsahovat možnost Pokračovat v nastavení, Připojení nebo Žádné aktivity.

U aplikací připojených prostřednictvím zprostředkovatelů identity jiných společností než Microsoft (IdP), pokud nastavení není dokončené, při přístupu k aplikaci se zobrazí stránka se stavem Pokračovat v instalaci. Dokončete instalaci pomocí následujících kroků.

Doporučené kroky

1. Vyberte Pokračovat v instalaci.

2. Projděte si průvodce nasazením a ověřte, že jste dokončili všechny kroky. Věnujte zvláštní pozornost následujícím poznámkám:

   1. Ujistěte se, že vytvoříte novou vlastní aplikaci SAML. Tuto aplikaci potřebujete ke změně adres URL a atributů SAML, které nemusí být dostupné v aplikacích galerie.
   2. Pokud váš zprostředkovatel identity nepovoluje opakované použití stejného identifikátoru, označovaného také jako ID entity nebo cílová skupina, změňte identifikátor původní aplikace.

Nejde nakonfigurovat ovládací prvky pro nativní aplikace

Nativní aplikace se dají rozpoznat heristicky a pomocí zásad přístupu je můžete monitorovat nebo blokovat. Ke konfiguraci ovládacích prvků pro nativní aplikace použijte následující postup.

Doporučené kroky

1. V zásadách přístupu přidejte filtr klientské aplikace a nastavte ho na Mobile a Desktop.

2. V části Akce vyberte Blokovat.

3. Volitelně můžete přizpůsobit blokující zprávu, kterou uživatelé dostanou, když nemůžou stahovat soubory. Pokud chcete získat přístup k této aplikaci, musíte například tuto zprávu přizpůsobit webovému prohlížeči.

4. Otestujte a ověřte, že ovládací prvek funguje podle očekávání.

Zobrazí se stránka aplikace, která není rozpoznána .

Defender for Cloud Apps dokáže rozpoznat více než 31 000 aplikací prostřednictvím katalogu cloudových aplikací.

Pokud používáte vlastní aplikaci nakonfigurovanou prostřednictvím jednotného přihlašování Microsoft Entra a není jednou z podporovaných aplikací, narazíte na stránku aplikace, která není rozpoznána . Pokud chcete tento problém vyřešit, musíte aplikaci nakonfigurovat v řízení podmíněného přístupu k aplikacím.

Doporučené kroky

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.

2. V banneru vyberte Zobrazit nové aplikace.

3. V seznamu nových aplikací vyhledejte aplikaci, kterou zprovozníte, vyberte + znaménko a pak vyberte Přidat.

   1. Vyberte, jestli je aplikace vlastní nebo standardní .
   2. Pokračujte v průvodci a ujistěte se, že jsou pro aplikaci, kterou konfigurujete, správné zadané uživatelem definované domény .

4. Ověřte, že se aplikace zobrazí na stránce aplikace řízení podmíněného přístupu.

Zobrazí se možnost řízení relace žádosti.

Po přidání aplikace se může zobrazit možnost řízení relace žádosti. K tomu dochází, protože pouze aplikace katalogu mají předběžné ovládací prvky relace. U jakékoli jiné aplikace musíte projít procesem samoobslužného onboardingu.

Doporučené kroky

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps.

2. V části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikace.

3. Zadejte hlavní název uživatele nebo e-mail pro uživatele, kteří budou aplikaci připojovat, a pak vyberte Uložit.

4. Přejděte do aplikace, kterou nasazujete. Zobrazená stránka závisí na tom, jestli je aplikace rozpoznána. V závislosti na stránce, kterou vidíte, udělejte jednu z těchto věcí:

   • Nerozpoznalo se. Zobrazí se nerozpoznaná stránka aplikace, která vás vyzve ke konfiguraci aplikace. Proveďte následující kroky:

     1. Přidejte aplikaci do řízení podmíněného přístupu k aplikacím.
     2. Přidejte domény aplikace a pak se vraťte do aplikace a aktualizujte stránku.
     3. Nainstalujte certifikáty pro aplikaci.

   • Rozpoznaný. Pokud je vaše aplikace rozpoznána, zobrazí se stránka onboardingu s výzvou k pokračování procesu konfigurace aplikace. Další informace najdete v tématu Nasazení řízení podmíněného přístupu k aplikacím pro vlastní aplikace pomocí Microsoft Entra ID.

     Ujistěte se, že je aplikace nakonfigurovaná se všemi doménami požadovanými k tomu, aby aplikace fungovala správně. Pokud chcete nakonfigurovat další domény, pokračujte přidáním domén aplikace a pak se vraťte na stránku aplikace.

Další důležité informace o onboardingu aplikací

Při řešení potíží s onboardingem aplikací nezapomeňte, že aplikace v řízení podmíněného přístupu k aplikacím nejsou v souladu s aplikacemi Microsoft Entra.

Názvy aplikací v Microsoft Entra ID a Defenderu pro Cloud Apps se můžou lišit v závislosti na způsobech, jakými produkty identifikují aplikace.

• Defender for Cloud Apps identifikuje aplikace pomocí domén aplikace a přidá je do katalogu cloudových aplikací, kde máme více než 31 000 aplikací. V každé aplikaci můžete zobrazit nebo přidat podmnožinu domén.

• Naproti tomu Microsoft Entra ID identifikuje aplikace pomocí instančních objektů. Další informace naleznete v tématu Objekty aplikace a instanční objekty v Microsoft Entra ID.

V praxi to znamená, že výběr SharePointu Online v Microsoft Entra ID odpovídá výběru aplikací, jako je Word Online a Teams, v Defenderu pro Cloud Apps, protože všechny aplikace používají sharepoint.com doménu.

Problémy při vytváření zásad přístupu a relací

Defender for Cloud Apps poskytuje následující konfigurovatelné zásady:

• Zásady přístupu: Slouží k monitorování nebo blokování přístupu k prohlížeči, mobilním nebo desktopovým aplikacím.
• Zásady relací. Používá se k monitorování, blokování a provádění konkrétních akcí, které brání infiltraci dat a scénářům exfiltrace v prohlížeči.

Pokud chcete tyto zásady použít v programu Defender for Cloud Apps, musíte nejprve nakonfigurovat zásadu v podmíněném přístupu Microsoft Entra, abyste rozšířili řízení relací:

1. V zásadách Microsoft Entra v části Řízení přístupu vyberte >Řízení podmíněného přístupu aplikace relace.

2. Vyberte předdefinované zásady (jenom monitorování nebo blokování stahování) nebo použijte vlastní zásady k nastavení rozšířených zásad v Defenderu pro Cloud Apps.

3. Pokračujte výběrem možnosti Vybrat .

Mezi běžné scénáře, se kterými se můžete setkat při konfiguraci těchto zásad, patří:

• V zásadách podmíněného přístupu se možnost Řízení podmíněného přístupu k aplikacím nezobrazuje.
• Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s podmíněným řízením přístupu k aplikacím
• Nejde vytvořit zásady relace pro aplikaci
• Nelze zvolit metodu kontroly: Služba klasifikace dat
• Nejde zvolit akci: Chránit
• Další důležité informace

V zásadách podmíněného přístupu se možnost Řízení podmíněného přístupu k aplikacím nezobrazuje.

Pokud chcete směrovat relace do Programu Defender for Cloud Apps, musí být zásady podmíněného přístupu Microsoftu nakonfigurované tak, aby zahrnovaly řízení relací podmíněného přístupu k aplikacím.

Doporučené kroky

Pokud v zásadách podmíněného přístupu nevidíte možnost Řízení podmíněného přístupu aplikací, ujistěte se, že máte platnou licenci pro Microsoft Entra ID P1 a platnou licenci Defenderu for Cloud Apps.

Chybová zpráva při vytváření zásad: Nemáte nasazené žádné aplikace s podmíněným řízením přístupu k aplikacím

Při vytváření zásad přístupu nebo relací se může zobrazit následující chybová zpráva: Nemáte nasazené žádné aplikace s podmíněným řízením přístupu k aplikacím. Tato chyba značí, že aplikace nebyla nasazena.

Doporučené kroky

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.

2. Pokud se zobrazí zpráva , že nejsou připojené žádné aplikace, nasaďte aplikace pomocí následujících příruček:

   • Nasazení aplikací katalogu s povoleným řízením relací
   • Nasazení vlastních obchodních aplikací, neprofeaturovaných aplikací SaaS a místních aplikací hostovaných prostřednictvím proxy aplikací Microsoft Entra s ovládacími prvky relací

Pokud při nasazování aplikace narazíte na nějaké problémy, podívejte se na problémy při onboardingu aplikace.

Nejde vytvořit zásady relace pro aplikaci

Po přidání vlastní aplikace se na stránce aplikace řízení podmíněného přístupu k aplikacím může zobrazit možnost: Požádat o řízení relace.

Poznámka:

Aplikace katalogu mají předběžné ovládací prvky relace. U všech ostatních aplikací musíte projít procesem samoobslužného onboardingu. Další informace najdete v tématu Předem nasazené aplikace.

Doporučené kroky

1. Nasaďte aplikaci do řízení relace. Další informace najdete v tématu Nasazení vlastních obchodních aplikací, nekomaturovaných aplikací SaaS a místních aplikací hostovaných prostřednictvím proxy aplikací Microsoft Entra s ovládacími prvky relace.

2. Vytvořte zásadu relace a vyberte filtr aplikace .

3. Ujistěte se, že je vaše aplikace teď uvedená v rozevíracím seznamu.

Nelze zvolit metodu kontroly: Služba klasifikace dat

V zásadách relace můžete při použití typu řízení stahování souboru (s kontrolou) použít metodu kontroly služby klasifikace dat ke kontrole souborů v reálném čase a zjišťovat citlivý obsah, který odpovídá některému z nakonfigurovaných kritérií.

Pokud není metoda kontroly služby klasifikace dat dostupná, prošetřete problém pomocí následujících kroků.

Doporučené kroky

1. Ověřte, zda je typ ovládacího prvku Relace nastaven na Možnost Řízení stahování souborů (s kontrolou).

   Poznámka:

   Metoda kontroly služby klasifikace dat je k dispozici pouze pro možnost Stažení kontrolního souboru (s kontrolou).

2. Určete, jestli je funkce Služby klasifikace dat dostupná ve vaší oblasti:

   • Pokud tato funkce není ve vaší oblasti dostupná, použijte metodu kontroly integrované ochrany před únikem informací .
   • Pokud je funkce dostupná ve vaší oblasti, ale stále nevidíte metodu kontroly služby klasifikace dat, otevřete lístek podpory.

Nejde zvolit akci: Chránit

Při použití typu řízení stahování souborů (s kontrolou) v zásadách relace můžete kromě akcí Monitorování a blokování zadat i akci Chránit . Tato akce umožňuje povolit stahování souborů s možností šifrování nebo použití oprávnění k souboru na základě podmínek, kontroly obsahu nebo obojího.

Pokud není akce Chránit dostupná, prošetřete problém pomocí následujících kroků.

Doporučené kroky

1. Pokud akce Chránit není dostupná nebo je neaktivní, ověřte, že máte licenci Azure Information Protection (AIP) Premium P1. Další informace najdete v tématu Integrace služby Microsoft Purview Information Protection.

2. Pokud je akce Chránit dostupná, ale nezobrazují se příslušné popisky.

   1. V programu Defender for Cloud Apps na řádku nabídek vyberte ikonu >nastavení Microsoft Information Protection a ověřte, že je integrace povolená.

   2. U popisků Office se na portálu AIP ujistěte, že je vybrané sjednocené popisování .

Další důležité informace o onboardingu aplikací

Při řešení potíží s onboardingem aplikací je potřeba zvážit několik dalších věcí.

• Seznamte se s rozdílem mezi nastavením zásad podmíněného přístupu Microsoft Entra: "Pouze monitorování", "Blokovat stahování" a "Použít vlastní zásady".

  V zásadách podmíněného přístupu Microsoft Entra můžete nakonfigurovat následující předdefinované ovládací prvky Defenderu pro Cloud Apps: Monitorování pouze a blokování stahování. Tato nastavení platí a vynucují funkci proxy serveru Defender for Cloud Apps pro cloudové aplikace a podmínky nakonfigurované v Microsoft Entra ID.

  Pokud chcete složitější zásady, vyberte Použít vlastní zásady, které vám umožní nakonfigurovat zásady přístupu a relací v defenderu pro Cloud Apps.

• Vysvětlení možnosti filtrování klientských aplikací Pro mobilní a desktopové aplikace v zásadách přístupu

  V programu Defender for Cloud Apps se zásady přístupu, pokud není filtr klientské aplikace nastavený na Mobilní a desktopové prostředí, platí výsledné zásady přístupu pro relace prohlížeče.

  Důvodem je zabránit neúmyslným proxy relacím uživatelů, což může být vedlejším produktem použití tohoto filtru.

Diagnostika a řešení potíží s panelem nástrojů Správa Zobrazení

Panel nástrojů Správa Zobrazení se nachází v dolní části obrazovky a poskytuje nástrojům pro uživatele s oprávněními správce k diagnostice a řešení potíží s řízením podmíněného přístupu k aplikacím.

Pokud chcete zobrazit panel nástrojů Správa Zobrazení, musíte do seznamu registrace a údržby aplikace přidat konkrétní uživatelské účty správce v nastavení XDR v programu Microsoft Defender.

Přidání uživatele do seznamu onboardingu a údržby aplikace:

1. V XDR v programu Microsoft Defender vyberte Nastavení> Cloud Apps.

2. Posuňte se dolů a v části Řízení podmíněného přístupu k aplikacím vyberte Onboarding/údržba aplikace.

3. Zadejte hlavní název nebo e-mailovou adresu správce, kterého chcete přidat.

4. Vyberte možnost Povolit těmto uživatelům obejít řízení podmíněného přístupu k aplikacím v rámci možnosti proxied session a pak vyberte Uložit.

   Příklad:

   

Při příštím spuštění nové relace v podporované aplikaci, kde je správcem, se v dolní části prohlížeče zobrazí panel nástrojů Správa Zobrazení.

Například následující obrázek znázorňuje panel nástrojů Správa Zobrazení, který se zobrazuje v dolní části okna prohlížeče při použití OneNotu v prohlížeči:

Následující části popisují použití panelu nástrojů Správa Zobrazení k otestování a řešení potíží.

Testovací režim

Jako uživatel s rolí správce můžete chtít otestovat opravy nadcházejících chyb proxy serveru, než se plně nasadí nejnovější verze pro všechny tenanty. Poskytněte svůj názor na opravu chyb týmu podpory Microsoftu, který vám pomůže zrychlit cykly vydávání verzí.

V testovacím režimu se ke změnám v opravách chyb zobrazí jenom uživatelé s oprávněními správce. Na ostatní uživatele to nemá žádný vliv.

• Pokud chcete zapnout testovací režim, vyberte na panelu nástrojů Správa Zobrazení testovací režim.
• Po dokončení testování se výběrem možnosti Ukončit testovací režim vraťte k běžným funkcím.

Obejít relaci proxy serveru

Pokud máte potíže s přístupem k aplikaci nebo jeho načtením, můžete zkontrolovat, jestli se jedná o problém s proxy podmíněným přístupem spuštěním aplikace bez proxy serveru.

Pokud chcete proxy obejít, vyberte na panelu nástrojů Správa Zobrazení možnost Obejít. Ověřte, že se relace vynechá, a to tak, že si povedete, že adresa URL není přípona.

Proxy podmíněný přístup se znovu použije v další relaci.

Další informace najdete v tématu Řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps a ochrana v prohlížeči pomocí Microsoft Edge pro firmy (Preview).

Záznam relace

Možná budete chtít pomoct s analýzou původní příčiny problému odesláním záznamu relace technikům podpory Microsoftu. K záznamu relace použijte panel nástrojů Správa Zobrazení.

Poznámka:

Ze záznamů se odeberou všechny osobní údaje.

Záznam relace:

1. Na panelu nástrojů Správa Zobrazení vyberte Relaci záznamu. Po zobrazení výzvy vyberte Pokračovat a přijměte podmínky. Příklad:

   

2. Pokud je potřeba začít simulovat relaci, přihlaste se k aplikaci.

3. Po dokončení nahrávání scénáře nezapomeňte na panelu nástrojů Správa Zobrazení vybrat možnost Zastavit nahrávání.

Zobrazení zaznamenaných relací:

Po dokončení nahrávání zobrazte zaznamenané relace tak, že na panelu nástrojů Správa Zobrazení vyberete nahrávky relací. Zobrazí se seznam zaznamenaných relací z předchozích 48 hodin. Příklad:

Pokud chcete spravovat nahrávky, vyberte soubor a pak podle potřeby vyberte Odstranit nebo Stáhnout . Příklad:

Další kroky

Další informace najdete v tématu Řešení potíží s řízením přístupu a relací pro koncové uživatele.