Řešení potíží s řízením přístupu a relací pro koncové uživatele

  • Článek

Tento článek poskytuje správcům Microsoft Defenderu for Cloud Apps pokyny k prozkoumání a řešení běžných problémů s řízením přístupu a relací, ke kterým dochází koncovými uživateli.

Kontrola minimálních požadavků

Než začnete řešit potíže, ujistěte se, že vaše prostředí splňuje následující minimální obecné požadavky na řízení přístupu a relací.

Požadavek Popis
Licencování Ujistěte se, že máte platnou licenci pro Microsoft Defender for Cloud Apps.
Jednotné přihlašování (SSO) Aplikace musí být nakonfigurované s jedním z podporovaných řešení jednotného přihlašování( SSO):

– ID Microsoft Entra pomocí SAML 2.0 nebo OpenID Připojení 2.0
– Ne microsoft idP pomocí SAML 2.0
Podpora prohlížeče Ovládací prvky relace jsou k dispozici pro relace založené na prohlížeči v nejnovějších verzích následujících prohlížečů:

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Ochrana v prohlížeči pro Microsoft Edge má také specifické požadavky, včetně uživatele přihlášeného pomocí svého pracovního profilu. Další informace najdete v tématu Požadavky na ochranu v prohlížeči.
Prostoje Defender for Cloud Apps umožňuje definovat výchozí chování, které se má použít, pokud dojde k přerušení služby, jako je například to, že komponenta nefunguje správně.

Můžete se například rozhodnout posílit (blokovat) nebo obejít (povolit) uživatelům provádět akce s potenciálně citlivým obsahem, když se nedají vynutit normální kontrolní mechanismy zásad.

Pokud chcete nakonfigurovat výchozí chování během výpadku systému, přejděte v XDR v programu Microsoft Defender do části Nastavení> Conditional Access App Control>– Výchozí chování>Povolit nebo Blokovat přístup.

Stránka monitorování uživatelů se nezobrazuje

Při směrování uživatele přes Defender for Cloud Apps můžete uživatele upozornit, že je monitorovaná jejich relace. Ve výchozím nastavení je povolená stránka monitorování uživatelů.

Tato část popisuje kroky pro řešení potíží, které doporučujeme provést, pokud je stránka monitorování uživatelů povolená, ale nezobrazuje se podle očekávání.

Doporučené kroky

  1. Na portálu Microsoft Defender vyberte Nastavení> Cloud Apps.

  2. V části Řízení podmíněného přístupu k aplikacím vyberte Monitorování uživatelů. Tato stránka zobrazuje možnosti monitorování uživatelů, které jsou k dispozici v Defenderu pro Cloud Apps. Pro exmaple:

    Screenshot of the user monitoring options.

  3. Ověřte, že je vybraná možnost Oznámit uživatelům, že je monitorovaná jejich aktivita.

  4. Vyberte, jestli chcete použít výchozí zprávu, nebo zadat vlastní zprávu:

    Typ zprávy Detaily
    Výchozí Hlavička:
    Je monitorován přístup k [Název aplikace se zobrazí tady]
    Text:
    Kvůli lepšímu zabezpečení umožňuje vaše organizace přístup k [Název aplikace se zobrazí tady] v režimu monitorování. Access je dostupný jenom ve webovém prohlížeči.
    Vlastní Hlavička:
    Toto pole slouží k zadání vlastního nadpisu, který informuje uživatele, že se monitorují.
    Text:
    Toto pole slouží k přidání dalších vlastních informací pro uživatele, například kdo se má obrátit na otázky, a podporuje následující vstupy: prostý text, formátovaný text, hypertextové odkazy.

  5. Výběrem možnosti Náhled ověřte stránku monitorování uživatelů, která se zobrazí před přístupem k aplikaci.

  6. Zvolte Uložit.

Nejde získat přístup k aplikaci z jiného zprostředkovatele identity než Microsoftu

Pokud se koncovému uživateli po přihlášení k aplikaci od jiného zprostředkovatele identity než Microsoftu zobrazí obecná chyba, ověřte konfiguraci jiného zprostředkovatele identity než Microsoftu.

Doporučené kroky

  1. Na portálu Microsoft Defender vyberte Nastavení> Cloud Apps.

  2. V části Připojení ed apps (Aplikace s podmíněným přístupem) vyberte aplikace pro řízení aplikací podmíněného přístupu.

  3. V seznamu aplikací vyberte na řádku, na kterém aplikace nemáte přístup, vyberte tři tečky na konci řádku a pak vyberte Upravit aplikaci.

    1. Ověřte správnost nahraného certifikátu SAML.

    2. Ověřte, že jsou v konfiguraci aplikace k dispozici platné adresy URL jednotného přihlašování.

    3. Ověřte, že se atributy a hodnoty ve vlastní aplikaci projeví v nastavení zprostředkovatele identity.

    Příklad:

    Screenshot of the SAML information page..

  4. Pokud k aplikaci pořád nemůžete získat přístup, otevřete lístek podpory.

Zobrazí se stránka Něco se nepovedlo.

Někdy se během relace proxied může zobrazit stránka Něco se nepovedlo . K tomu může dojít v následujícím případě:

  • Uživatel se po dobu nečinnosti přihlásí
  • Aktualizace prohlížeče a načtení stránky trvá déle, než se čekalo
  • Aplikace jiného zprostředkovatele identity než Microsoft není správně nakonfigurovaná

Doporučené kroky

  1. Pokud se koncový uživatel pokouší získat přístup k aplikaci nakonfigurované pomocí jiného zprostředkovatele identity než Microsoftu, přečtěte si téma Nejde získat přístup k aplikaci z jiného zprostředkovatele identity než Microsoftu a stavu aplikace: Pokračovat v instalaci.

  2. Pokud koncový uživatel neočekávaně dosáhl této stránky, postupujte takto:

    1. Restartujte relaci prohlížeče.
    2. Vymažte historii, soubory cookie a mezipaměť z prohlížeče.

Akce schránky nebo ovládací prvky souborů nejsou blokované

Možnost blokovat akce schránky, jako jsou vyjmutí, kopírování, vložení a ovládací prvky souborů, jako je stažení, nahrání a tisk, se vyžaduje, aby se zabránilo exfiltraci dat a scénářům infiltrace.

Tato schopnost umožňuje společnostem vyvážit zabezpečení a produktivitu pro koncové uživatele. Pokud máte problémy s těmito funkcemi, prošetřete problém pomocí následujícího postupu.

Poznámka:

Vyjmutí, kopírování a vložení není blokováno pro data ve stejném excelovém dokumentu. Kopírování do externích umístění je blokováno.

Doporučené kroky

Pokud se relace chytá, pomocí následujícího postupu ověřte zásadu:

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte protokol aktivit.

  2. Použijte rozšířený filtr, vyberte akci Použít a nastavte její hodnotu na Hodnotu Blokováno.

  3. Ověřte, že jsou blokované aktivity souborů:

    1. Pokud je aktivita, rozbalte zásuvku aktivity kliknutím na aktivitu.

    2. Na kartě Obecné na panelu aktivit vyberte odkaz odpovídajících zásad, abyste ověřili, jestli jsou zásady, které jste vynutili, k dispozici.

    3. Pokud zásady nevidíte, přečtěte si téma Problémy při vytváření zásad přístupu a relací.

    4. Pokud se zobrazí přístup blokovaný nebo povolený z důvodu výchozího chování, znamená to, že systém byl nefunkční a že se použilo výchozí chování.

      1. Pokud chcete změnit výchozí chování, vyberte na portálu Microsoft Defender Nastavení. Pak zvolte Cloud Apps. Potom v části Řízení podmíněného přístupu aplikací vyberte Výchozí chování a nastavte výchozí chování na Povolit nebo Blokovat přístup.

      2. Přejděte na portál pro správu Microsoftu 365 a sledujte oznámení o výpadku systému.

  4. Pokud se vám stále nedaří zobrazit blokovaná aktivita, otevřete lístek podpory.

Stahování se nechrání

Jako koncový uživatel může být nutné stáhnout citlivá data na nespravované zařízení. V těchto scénářích můžete chránit dokumenty pomocí služby Microsoft Purview Information Protection.

Pokud koncový uživatel nemůže dokument úspěšně zašifrovat, prošetřete problém pomocí následujícího postupu.

Doporučené kroky

  1. Na portálu Microsoft Defender v části Cloud Apps vyberte protokol aktivit.

  2. Použijte rozšířený filtr, vyberte akci Použít a nastavte její hodnotu na hodnotu Chráněno.

  3. Ověřte, že jsou blokované aktivity souborů:

    1. Pokud je aktivita, rozbalte zásuvku aktivity kliknutím na aktivitu.

    2. Na kartě Obecné na panelu aktivit vyberte odkaz odpovídajících zásad, abyste ověřili, jestli jsou zásady, které jste vynutili, k dispozici.

    3. Pokud zásady nevidíte, přečtěte si téma Problémy při vytváření zásad přístupu a relací.

    4. Pokud se zobrazí přístup blokovaný nebo povolený z důvodu výchozího chování, znamená to, že systém byl nefunkční a že se použilo výchozí chování.

      1. Pokud chcete změnit výchozí chování, vyberte na portálu Microsoft Defender Nastavení. Pak zvolte Cloud Apps. Potom v části Řízení podmíněného přístupu aplikací vyberte Výchozí chování a nastavte výchozí chování na Povolit nebo Blokovat přístup.

      2. Přejděte na řídicí panel stavu služby Microsoft 365 a sledujte oznámení o výpadku systému.

    5. Pokud chráníte soubor popiskem AIP nebo vlastními oprávněními, ujistěte se, že je přípona souboru jedním z následujících podporovaných typů souborů:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF , pokud je povolené sjednocené popisování

    Pokud typ souboru není podporovaný, můžete v zásadách relace vybrat možnost Blokovat stažení libovolného souboru, který není podporován nativní ochranou nebo kde nativní ochrana není úspěšná.

  4. Pokud se vám stále nedaří zobrazit blokovaná aktivita, otevřete lístek podpory.

Přechod na konkrétní adresu URL aplikace s příponou a cíl na obecné stránce

V některých scénářích může přechod na odkaz vést k tomu, že uživatel cílí na domovskou stránku aplikace místo úplné cesty odkazu.

Tip

Defender for Cloud Apps udržuje seznam aplikací, o kterých je známo, že trpí ztrátou kontextu. Další informace naleznete v tématu Omezení ztráty kontextu.

Doporučené kroky

Pokud používáte jiný prohlížeč než Microsoft Edge a uživatel přejde na domovskou stránku aplikace místo úplné cesty odkazu, vyřešte problém připojením .mcas.ms k původní adrese URL.

Pokud je například původní adresa URL:

https://www.github.com/organization/threads/threadnumber, změňte ho na https://www.github.com.mcas.ms/organization/threads/threadnumber

Uživatelé Microsoft Edge využívají ochranu v prohlížeči, nejsou přesměrováni na reverzní proxy server a neměli by přidat příponu .mcas.ms . V případě aplikací, u kterých dochází ke ztrátě kontextu, otevřete lístek podpory.

Blokování stahování způsobí blokování náhledů PDF

Při zobrazení náhledu nebo tisku souborů PDF aplikace občas zahájí stahování souboru. To způsobí, že Defender for Cloud Apps zasáhne, aby se zajistilo, že stahování bude blokováno a že data nebudou z vašeho prostředí unikla.

Pokud jste například vytvořili zásadu relace pro blokování stahování pro Outlook Web Access (OWA), může se zablokovat náhled nebo tisk souborů PDF se zprávou, která bude vypadat takto:

Screenshot of a Download blocked message.

Pokud chcete povolit verzi Preview, měl by správce Exchange provést následující kroky:

  1. Stáhněte si modul PowerShellu Pro Exchange Online.

  2. Připojení do modulu. Další informace najdete v tématu Připojení k Exchange Online PowerShellu.

  3. Po připojení k Exchange Online PowerShellu pomocí rutiny Set-OwaMailboxPolicy aktualizujte parametry v zásadách:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Poznámka:

    Výchozí zásada OwaMailboxPolicy-Default je výchozí název zásady OWA v Exchangi Online. Někteří zákazníci možná nasadili další nebo vytvořili vlastní zásadu OWA s jiným názvem. Pokud máte více zásad OWA, můžou se použít pro konkrétní uživatele. Proto je budete muset aktualizovat tak, aby měly úplné pokrytí.

  4. Po nastavení těchtoparametrůch Možnost Stáhnout by se měla z rozevíracího seznamu odebrat a zobrazit náhled souboru. Příklad:

    Screenshot of a PDF preview not blocked.

Zobrazí se upozornění na podobný web.

Aktéři se zlými úmysly můžou vytvářet adresy URL podobné adresám URL jiných webů, aby se mohli zosobnit a oklamat uživatele, aby věřili, že procházejí na jiný web. Některé prohlížeče se pokusí toto chování rozpoznat a upozornit uživatele před přístupem k adrese URL nebo blokovat přístup.

V některých výjimečných případech obdrží uživatelé pod kontrolou relace zprávu z prohlížeče označující podezřelý přístup k webu. Důvodem je, že prohlížeč považuje doménu s příponou (například: .mcas.ms) za podezřelou.

Tato zpráva se zobrazí jenom pro uživatele Chrome, protože uživatelé Microsoft Edge využívají ochranu v prohlížeči bez architektury reverzního proxy serveru. Příklad:

Screenshot of a similar site warning in Chrome.

Pokud se vám zobrazí podobná zpráva, obraťte se na podporu Microsoftu a kontaktujte ji s příslušným dodavatelem prohlížeče.

Druhé přihlášení (označované také jako "druhé přihlášení"))

Některé aplikace mají více než jeden přímý odkaz pro přihlášení. Pokud nedefinujete přihlašovací odkazy v nastavení aplikace, můžou být uživatelé při přihlášení přesměrováni na nerozpoznanou stránku, která blokuje přístup.

Integrace mezi zprostředkovatele identity, jako je Id Microsoft Entra, je založená na zachycení přihlášení aplikace a jeho přesměrování. To znamená, že přihlášení v prohlížeči nejde ovládat přímo bez aktivace druhého přihlášení. Abychom mohli aktivovat druhé přihlášení, musíme pro tento účel použít druhou přihlašovací adresu URL.

Pokud aplikace používá jiné, může být druhé přihlášení pro uživatele transparentní nebo se jim zobrazí výzva k opětovnému přihlášení.

Pokud není pro koncového uživatele transparentní, přidejte do nastavení aplikace druhou přihlašovací adresu URL:

  1. Přejděte na nastavení cloudových aplikací připojených aplikací podmíněného přístupu k aplikacím.

  2. Vyberte příslušnou aplikaci a pak vyberte tři tečky.

  3. Vyberte Upravit aplikaci\Rozšířená konfigurace přihlášení.

  4. Přidejte druhou přihlašovací adresu URL uvedenou na chybové stránce.

Pokud jste si jistí, že aplikace nepoužívá nic jiného, můžete ji zakázat úpravou nastavení aplikací, jak je popsáno v části Pomalé přihlášení.

Další důležité informace o řešení potíží s aplikacemi

Při řešení potíží s aplikacemi je potřeba vzít v úvahu několik dalších věcí:

  • Podpora ovládacích prvků relací pro moderní prohlížeče Defender pro relace Cloud Apps teď zahrnuje podporu nového prohlížeče Microsoft Edge založeného na chromiu. I když pokračujeme v podpoře nejnovějších verzí Internet Exploreru a starší verze Microsoft Edge, podpora je omezená a doporučujeme používat nový prohlížeč Microsoft Edge.

  • Ovládací prvky relace chrání omezení spoluvytváření ověřování v rámci akce "chránit" není podporováno ovládacími prvky relace Defenderu for Cloud Apps. Další informace najdete v tématu Povolení spoluvytváření souborů zašifrovaných pomocí popisků citlivosti.

Další kroky

Další informace najdete v tématu Řešení potíží s řízením přístupu a relací pro uživatele s právy správce.