Hozzáférés- és munkamenet-vezérlők hibaelhárítása végfelhasználók számára
Ez a cikk útmutatást nyújt az Felhőhöz készült Microsoft Defender-alkalmazások rendszergazdáinak a végfelhasználók által tapasztalt gyakori hozzáférés- és munkamenet-vezérlési problémák kivizsgálásához és megoldásához.
Minimális követelmények ellenőrzése
A hibaelhárítás megkezdése előtt győződjön meg arról, hogy a környezet megfelel a hozzáférés- és munkamenet-vezérlőkre vonatkozó alábbi minimális általános követelményeknek.
Követelmény | Leírás |
---|---|
Licencelés | Győződjön meg arról, hogy rendelkezik érvényes licenccel Felhőhöz készült Microsoft Defender-alkalmazásokhoz. |
Egyszeri bejelentkezés (SSO) | Az alkalmazásokat az egyszeri bejelentkezés (SSO) egyik támogatott megoldásával kell konfigurálni: - Microsoft Entra-azonosító SAML 2.0 vagy OpenID Csatlakozás 2.0 használatával - Nem Microsoft idP az SAML 2.0 használatával |
Böngészőtámogatás | A munkamenet-vezérlők böngészőalapú munkamenetekhez érhetők el a következő böngészők legújabb verzióiban: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari A Microsoft Edge böngészőn belüli védelmének speciális követelményei is vannak, beleértve a munkahelyi profillal bejelentkezett felhasználót is. További információ: Böngészőn belüli védelmi követelmények. |
Leállás | Felhőhöz készült Defender Alkalmazások segítségével meghatározhatja az alapértelmezett viselkedést, amely akkor alkalmazható, ha szolgáltatáskimaradás történik, például egy összetevő nem működik megfelelően. Dönthet például úgy, hogy megkeményíti (letiltja) vagy megkerüli (engedélyezi) a felhasználókat abban, hogy műveleteket hajtsanak végre a potenciálisan bizalmas tartalmakon, ha a normál szabályzatvezérlők nem kényszeríthetők ki. A rendszer állásidejének alapértelmezett viselkedésének konfigurálásához a Microsoft Defender XDR-ben lépjen a Gépház> Kondíciós hozzáférés alkalmazásvezérlőjének>alapértelmezett viselkedése>A hozzáférés engedélyezése vagy letiltása parancsra. |
A felhasználói figyelési oldal nem jelenik meg
Ha a felhasználót a Felhőhöz készült Defender-alkalmazásokon keresztül irányítja át, értesítheti a felhasználót a munkamenet figyeléséről. Alapértelmezés szerint a felhasználói figyelési oldal engedélyezve van.
Ez a szakasz ismerteti azokat a hibaelhárítási lépéseket, amelyek akkor ajánlottak, ha a felhasználói figyelési oldal engedélyezve van, de nem a várt módon jelenik meg.
Javasolt lépések
A Microsoft Defender portálon válassza a Gépház> Cloud Apps lehetőséget.
A Feltételes hozzáférés alkalmazásvezérlő területén válassza a Felhasználófigyelés lehetőséget. Ezen a lapon az Felhőhöz készült Defender Appsben elérhető felhasználói figyelési lehetőségek láthatók. Exmaple esetén:
Győződjön meg arról, hogy a felhasználók értesítése a tevékenység figyeléséről jelölőnégyzet be van jelölve .
Válassza ki, hogy az alapértelmezett üzenetet szeretné-e használni, vagy egyéni üzenetet szeretne megadni:
Üzenettípus Részletek Alapértelmezett Fejléc:
Az [Alkalmazás neve itt jelenik meg] hozzáférése figyelve van
Törzs:
A nagyobb biztonság érdekében a szervezet monitorozási módban engedélyezi az [Alkalmazás neve itt jelenik meg] hozzáférést. Az Access csak webböngészőből érhető el.Szokás Fejléc:
Ezzel a mezővel egyéni címsort adhat meg, amely tájékoztatja a figyelt felhasználókat.
Törzs:
Ezzel a mezővel további egyéni információkat adhat meg a felhasználó számára, például hogy kivel léphet kapcsolatba a kérdésekkel, és támogatja a következő bemeneteket: egyszerű szöveg, rich text, hiperhivatkozások.Válassza az Előnézet lehetőséget az alkalmazás elérése előtt megjelenő felhasználói figyelési lap ellenőrzéséhez.
Válassza a Mentés lehetőséget.
Nem microsoftos identitásszolgáltatótól származó alkalmazás nem érhető el
Ha egy végfelhasználó általános hibát kap, miután bejelentkezett egy alkalmazásba egy nem Microsoft-identitásszolgáltatótól, ellenőrizze a nem Microsoft-identitásszolgáltató konfigurációját.
Javasolt lépések
A Microsoft Defender portálon válassza a Gépház> Cloud Apps lehetőséget.
A Csatlakozás alkalmazások területen válassza a Feltételes hozzáférésű alkalmazásvezérlési alkalmazások lehetőséget.
Az alkalmazások listájában azon a sorban, amelyen az alkalmazás nem érhető el, jelölje ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.
Ellenőrizze, hogy a feltöltött SAML-tanúsítvány helyes-e.
Ellenőrizze, hogy az alkalmazáskonfigurációban érvényes SSO-URL-címek vannak-e megadva.
Ellenőrizze, hogy az egyéni alkalmazás attribútumai és értékei megjelennek-e az identitásszolgáltató beállításaiban.
Példa:
.
Ha továbbra sem fér hozzá az alkalmazáshoz, nyisson meg egy támogatási jegyet.
Valami hibás oldal jelenik meg
Előfordulhat, hogy egy próbaidőszak során a Valami elromlott lap jelenik meg. Ez a következő esetekben fordulhat elő:
- A felhasználó egy ideig tétlen állapotban jelentkezik be
- A böngésző és az oldalbetöltés frissítése a vártnál tovább tart
- A nem Microsoft IdP alkalmazás nincs megfelelően konfigurálva
Javasolt lépések
Ha a végfelhasználó nem Microsoft-identitásszolgáltatóval konfigurált alkalmazást próbál elérni, olvassa el a Nem érhető el alkalmazás nem Microsoft-azonosítóból és alkalmazásállapotból: Folytatás a beállítással.
Ha a végfelhasználó váratlanul elérte ezt a lapot, tegye a következőket:
- Indítsa újra a böngésző munkamenetét.
- Törölje az előzményeket, a cookie-kat és a gyorsítótárat a böngészőből.
A vágólapműveletek vagy fájlvezérlők nincsenek letiltva
Az adatkiszivárgás és a beszivárgási forgatókönyvek megakadályozása érdekében a vágólap műveleteinek, például a kivágási, másolási, beillesztési és fájlvezérlőknek, például a letöltésnek, a feltöltésnek és a nyomtatásnak a letiltására van szükség.
Ez a képesség lehetővé teszi a vállalatok számára a végfelhasználók biztonságának és termelékenységének egyensúlyát. Ha problémákat tapasztal ezekkel a funkciókkal kapcsolatban, az alábbi lépésekkel vizsgálja meg a problémát.
Feljegyzés
A kivágás, a másolás és a beillesztés nem lesz letiltva az ugyanazon Excel-dokumentumban lévő adatok esetében. Csak a külső helyekre való másolás le van tiltva.
Javasolt lépések
Ha a munkamenetet kivizsgálják, a szabályzat ellenőrzéséhez kövesse az alábbi lépéseket:
A Microsoft Defender portál Cloud Apps területén válassza a Tevékenységnapló lehetőséget.
Használja a speciális szűrőt, válassza az Alkalmazott műveletet , és állítsa be a Letiltott értéknek megfelelő értéket.
Ellenőrizze, hogy vannak-e letiltott fájltevékenységek:
Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva.
A tevékenységfiók Általános lapján válassza a megfeleltethető szabályzatok hivatkozását, és ellenőrizze, hogy az ön által kikényszerített szabályzat megtalálható-e.
Ha nem látja a házirendet, tekintse meg a hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémákat.
Ha az alapértelmezett viselkedés miatt letiltott/engedélyezett hozzáférés jelenik meg, az azt jelzi, hogy a rendszer leállt, és az alapértelmezett viselkedés lett alkalmazva.
Az alapértelmezett viselkedés módosításához a Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása beállításra.
Nyissa meg a Microsoft 365 felügyeleti portálját , és figyelje a rendszer állásidejéről szóló értesítéseket.
Ha továbbra sem látja a letiltott tevékenységet, nyisson meg egy támogatási jegyet.
A letöltések nem védettek
Végfelhasználóként szükség lehet bizalmas adatok letöltésére egy nem felügyelt eszközre. Ezekben a helyzetekben a dokumentumokat Microsoft Purview információvédelem védheti.
Ha a végfelhasználó nem tudja sikeresen titkosítani a dokumentumot, a probléma kivizsgálásához kövesse az alábbi lépéseket.
Javasolt lépések
A Microsoft Defender portál Cloud Apps területén válassza a Tevékenységnapló lehetőséget.
Használja a speciális szűrőt, válassza az Alkalmazott műveletet, és állítsa be a védettnek megfelelő értéket.
Ellenőrizze, hogy vannak-e letiltott fájltevékenységek:
Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva
A tevékenységfiók Általános lapján válassza a megfeleltethető szabályzatok hivatkozását, és ellenőrizze, hogy az ön által kikényszerített szabályzat megtalálható-e.
Ha nem látja a házirendet, tekintse meg a hozzáférési és munkamenet-szabályzatok létrehozásakor felmerülő problémákat.
Ha az alapértelmezett viselkedés miatt letiltott/engedélyezett hozzáférés jelenik meg, az azt jelzi, hogy a rendszer leállt, és az alapértelmezett viselkedés lett alkalmazva.
Az alapértelmezett viselkedés módosításához a Microsoft Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása beállításra.
Nyissa meg a Microsoft 365 Service Health irányítópultját , és figyelje a rendszer állásidejéről szóló értesítéseket.
Ha bizalmassági címkével vagy egyéni engedélyekkel védi a fájlt, a Tevékenység leírásában győződjön meg arról, hogy a fájlkiterjesztés az alábbi támogatott fájltípusok egyike:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF, ha engedélyezve van az egyesített címkézés
Ha a fájltípus nem támogatott, a munkamenet-házirendben kiválaszthatja az natív védelem által nem támogatott vagy sikertelen natív védelemmel nem támogatott fájlok letöltésének letiltását.
Ha továbbra sem látja a letiltott tevékenységet, nyisson meg egy támogatási jegyet.
Navigálás egy utótagos alkalmazás adott URL-címére, és egy általános oldalon való leszállás
Bizonyos esetekben a hivatkozásra való navigálás azt eredményezheti, hogy a felhasználó a hivatkozás teljes elérési útja helyett az alkalmazás kezdőlapjára lép.
Tipp.
Felhőhöz készült Defender Az alkalmazások egy listát vezetnek azokról az alkalmazásokról, amelyekről ismert, hogy környezetvesztésben szenvednek. További információkért lásd a környezetveszteség korlátozásait.
Javasolt lépések
Ha a Microsoft Edge-en kívül más böngészőt használ, és egy felhasználó a hivatkozás teljes elérési útja helyett az alkalmazás kezdőlapjára ér, az eredeti URL-címhez fűzve .mcas.ms
megoldhatja a problémát.
Ha például az eredeti URL-cím a következő:
https://www.github.com/organization/threads/threadnumber
elemet, módosítsa a https://www.github.com.mcas.ms/organization/threads/threadnumber
A Microsoft Edge-felhasználók élvezhetik a böngészőn belüli védelmet, nem irányítják át fordított proxyra, és nem kell hozzá adni az .mcas.ms
utótagot. A környezetvesztést tapasztaló alkalmazások esetében nyisson meg egy támogatási jegyet.
A letöltések letiltása miatt a PDF-előnézetek le lesznek tiltva
A PDF-fájlok előnézetének megtekintésekor vagy nyomtatásakor az alkalmazások időnként kezdeményezik a fájl letöltését. Ez Felhőhöz készült Defender alkalmazások beavatkozását eredményezi annak érdekében, hogy a letöltés le legyen tiltva, és hogy az adatok ne szivárogjanak ki a környezetből.
Ha például egy munkamenet-házirendet hozott létre az Outlook Web Access (OWA) letöltéseinek letiltásához, akkor előfordulhat, hogy a PDF-fájlok előnézete vagy nyomtatása le lesz tiltva, és a következőhöz hasonló üzenet jelenik meg:
Az előzetes verzió engedélyezéséhez az Exchange-rendszergazdának a következő lépéseket kell végrehajtania:
Töltse le az Exchange Online PowerShell-modult.
Csatlakozás a modulhoz. További információt az Exchange Online PowerShell Csatlakozás című témakörben talál.
Miután csatlakozott az Exchange Online PowerShellhez, a Set-OwaMailboxPolicy parancsmaggal frissítse a házirend paramétereit:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
Feljegyzés
Az OwaMailboxPolicy-Default szabályzat az Alapértelmezett OWA-házirend neve az Exchange Online-ban. Előfordulhat, hogy egyes ügyfelek további OWA-szabályzatot helyeztek üzembe, vagy más néven hoztak létre egyéni OWA-szabályzatot. Ha több OWA-házirendet használ, azok bizonyos felhasználókra is alkalmazhatók. Ezért frissítenie kell őket is, hogy teljes lefedettséggel rendelkezzenek.
A paraméterek beállítása után futtasson egy tesztet az OWA-n egy PDF-fájllal és egy letöltések letiltására konfigurált munkamenet-szabályzattal. A Letöltés lehetőséget el kell távolítani a legördülő listából, és megtekintheti a fájl előnézetét. Példa:
Hasonló webhelyre figyelmeztető üzenet jelenik meg
A rosszindulatú szereplők más webhelyek URL-címéhez hasonló URL-címeket hozhatnak létre, hogy megszemélyesíthessék a felhasználókat, és elhitethessék, hogy egy másik webhelyre böngésznek. Egyes böngészők megpróbálják észlelni ezt a viselkedést, és figyelmeztetik a felhasználókat az URL-cím elérése vagy a hozzáférés letiltása előtt.
Bizonyos ritka esetekben a munkamenet-vezérlés alatt álló felhasználók egy üzenetet kapnak a böngészőből, amely gyanús webhely-hozzáférést jelez. Ennek az az oka, hogy a böngésző gyanúsként kezeli az utótagolt tartományt (például: .mcas.ms
) .
Ez az üzenet csak a Chrome-felhasználók számára jelenik meg, mivel a Microsoft Edge-felhasználók a fordított proxyarchitektúra nélkül élvezhetik a böngészőn belüli védelmet. Példa:
Ha ehhez hasonló üzenetet kap, forduljon a Microsoft ügyfélszolgálatához, és forduljon az érintett böngésző gyártójához.
Második bejelentkezés (más néven "második bejelentkezés")
Egyes alkalmazások több mélyhivatkozást is adnak a bejelentkezéshez. Ha nem adja meg a bejelentkezési hivatkozásokat az alkalmazás beállításai között, előfordulhat, hogy a felhasználók egy ismeretlen oldalra lesznek átirányítva, amikor bejelentkeznek, és letiltják a hozzáférésüket.
Az azonosítók( például a Microsoft Entra ID) közötti integráció az alkalmazás bejelentkezésének elfogására és átirányítására épül. Ez azt jelenti, hogy a böngészőbe való bejelentkezések nem vezérelhetők közvetlenül a második bejelentkezés aktiválása nélkül. A második bejelentkezés indításához egy második bejelentkezési URL-címet kell alkalmaznunk, kifejezetten erre a célra.
Ha az alkalmazás nonce-t használ, a második bejelentkezés transzparens lehet a felhasználók számára, vagy a rendszer kérni fogja őket, hogy jelentkezzenek be újra.
Ha nem átlátható a végfelhasználó számára, adja hozzá a második bejelentkezési URL-címet az alkalmazás beállításaihoz:
Lépjen a "settings''Cloud apps''connected apps'''Feltételes hozzáférésű alkalmazásvezérlő alkalmazások' elemre
Válassza ki a megfelelő alkalmazást, majd válassza ki a három elemet.
Válassza az Alkalmazás szerkesztése\Speciális bejelentkezési konfiguráció lehetőséget.
Adja hozzá a második bejelentkezési URL-címet a hibaoldalon leírtak szerint.
Ha biztos abban, hogy az alkalmazás nem használ nonce-t, letilthatja ezt az alkalmazásbeállítások szerkesztésével a Lassú bejelentkezések szakaszban leírtak szerint.
További szempontok az alkalmazások hibaelhárításához
Az alkalmazások hibaelhárítása során további szempontokat is figyelembe kell venni:
A munkamenet-vezérlők támogatása a modern böngészőkhöz Felhőhöz készült Defender Alkalmazások munkamenet-vezérlői mostantól támogatják az új, Chromiumon alapuló Microsoft Edge böngészőt. Bár továbbra is támogatjuk az Internet Explorer legújabb verzióit és a Microsoft Edge örökölt verzióját, a támogatás korlátozott, és javasoljuk az új Microsoft Edge böngésző használatát.
A munkamenet-vezérlők a "védelem" művelet alatti közös hitelesítésű címkézést nem támogatják Felhőhöz készült Defender Alkalmazások munkamenet-vezérlői. További információ: Bizalmassági címkékkel titkosított fájlok társszerzőségének engedélyezése.
Következő lépések
További információ: Rendszergazdai felhasználók hozzáférés- és munkamenet-vezérlőinek hibaelhárítása.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: