Hozzáférés- és munkamenet-vezérlők hibaelhárítása

Megjegyzés

  • Átneveztük Microsoft Cloud App Security. Most már Microsoft Defender for Cloud Apps- nak hívják. Az elkövetkező hetekben frissítjük a képernyőképeket és az utasításokat itt és a kapcsolódó oldalakon. A módosítással kapcsolatos további információkért tekintse meg ezt a bejelentést. Ha többet szeretne megtudni a Microsoft biztonsági szolgáltatásainak átnevezéséről, tekintse meg a Microsoft Ignite Security blogot.

  • Microsoft Defender for Cloud Apps Microsoft 365 Defender része. A Microsoft 365 Defender portálon a biztonsági rendszergazdák egy helyen hajthatják végre biztonsági feladataikat. Ez leegyszerűsíti a munkafolyamatokat, és hozzáadja a többi Microsoft 365 Defender szolgáltatás funkcióit. Microsoft 365 Defender lesz a microsoftos identitások, adatok, eszközök, alkalmazások és infrastruktúra biztonságának monitorozása és kezelése. Ezekről a változásokról a Microsoft 365 Defender Microsoft Defender for Cloud Apps című témakörben talál további információt.

Ez a cikk útmutatást nyújt a rendszergazdáknak a rendszergazdák és a végfelhasználók által tapasztalt gyakori hozzáférés- és munkamenet-vezérlési problémák kivizsgálásához és megoldásához.

A folytatás előtt győződjön meg arról, hogy a környezet megfelel a hozzáférés- és munkamenet-vezérlők alábbi minimális általános követelményeinek.

  • Licencelés: Győződjön meg arról, hogy érvényes licenccel rendelkezik.
  • Egyetlen Sign-On (SSO): Az alkalmazásokat az egyik támogatott SSO-megoldással kell konfigurálni.
    • Azure Active Directory (Azure AD) AZ SAML 2.0 vagy az OpenID Csatlakozás 2.0 használatával
    • Nem Microsoft-identitásszolgáltató AZ SAML 2.0 használatával
  • Böngészőtámogatás: A böngészőalapú munkamenetek munkamenet-vezérlői a következő támogatott böngészőkben érhetők el: Microsoft Edge (legújabb), Google Chrome (legújabb), Mozilla Firefox (legújabb) vagy Apple Safari (legújabb)
  • Állásidő: Felhőhöz készült Defender Alkalmazások segítségével meghatározhatja az alapértelmezett működést, amely akkor alkalmazható, ha szolgáltatáskimaradás történik, például egy összetevő nem működik megfelelően. Dönthet úgy, hogy megkeményíti (letiltja) vagy megkerüli (engedélyezi) a felhasználókat abban, hogy műveleteket hajthassanak végre a potenciálisan bizalmas tartalmakon, ha a normál házirend-vezérlők nem kényszeríthetők. Ez az alapértelmezett viselkedés a rendszer állásideje alatt az Felhőhöz készült Defender Apps portálon konfigurálható, a következőképpen: Gépház>Konfigurálási hozzáférés alkalmazásvezérlésének>alapértelmezett viselkedése>A hozzáférés engedélyezése vagy letiltása.

Rendszergazdák által tapasztalt problémák

Ez a szakasz a hozzáférés- és munkamenet-vezérlők Felhőhöz készült Defender-alkalmazásokkal való konfigurálására szolgáló rendszergazdák számára készült, és segít azonosítani a következő területeken felmerülő gyakori helyzeteket:

Section Problémák
Hálózati feltételek - Hálózati hibák a böngészőlapra való navigáláskor
- Lassú bejelentkezés
- További szempontok
Eszközazonosítás - Helytelenül Intune kompatibilis vagy hibrid Azure AD csatlakoztatott eszközök
- Az ügyféltanúsítványok nem kérik a várt állapotot
- Az ügyféltanúsítványok minden bejelentkezéskor kérik
- További szempontok
Alkalmazás előkészítése - Az alkalmazás nem jelenik meg a feltételes hozzáférésű alkalmazásvezérlő alkalmazások lapján
- Alkalmazás állapota: A telepítés folytatása
- Natív alkalmazások vezérlői nem konfigurálhatók
- Az alkalmazás nem ismerhető fel lap
- Megjelenik a Munkamenet-vezérlés kérése lehetőség
- További szempontok
Hozzáférési és munkamenet-szabályzatok létrehozása - A feltételes hozzáférési szabályzatokban nem jelenik meg a Feltételes hozzáférés alkalmazásvezérlése lehetőség
- Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás a feltételes hozzáférésű alkalmazásvezérlővel
- Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz
- Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás
- A Művelet nem választható: Védelem
- További szempontok

Hálózati feltételek

A hálózati feltételekkel kapcsolatos gyakori problémák közé tartoznak a következők:

Hálózati hibák a böngészőlapra való navigáláskor

Amikor először állítja be Felhőhöz készült Defender Alkalmazások hozzáférés- és munkamenet-vezérlőit egy alkalmazáshoz, a következő gyakori hálózati hibák merülhetnek fel: "Ez a webhely nem biztonságos" és "Nincs internetkapcsolat". Ezek az üzenetek általános hálózati konfigurációs hibát jelezhetnek.

Javasolt lépések

  1. Konfigurálja a tűzfalat úgy, hogy Felhőhöz készült Defender-alkalmazásokkal működjön a környezet szempontjából releváns Azure IP-címek és DNS-nevek használatával.

    1. Adja hozzá a 443-at a következő IP-címekhez és DNS-nevekhez a Felhőhöz készült Defender Apps-adatközponthoz.
    2. Az eszköz és a böngésző munkamenetének újraindítása
    3. Ellenőrizze, hogy a bejelentkezés a várt módon működik-e
  2. Engedélyezze a TLS 1.2-t a böngésző internetes beállításai között.

    Megjegyzés

    • Felhőhöz készült Defender Apps a Transport Layer Security (TLS) 1.2+ protokollt használja az osztályon belüli legjobb titkosítás biztosításához. A TLS 1.2+-t nem támogató natív ügyfélalkalmazások és böngészők nem lesznek elérhetők, ha munkamenet-vezérléssel van konfigurálva. A TLS 1.1-et vagy annál alacsonyabb verziót használó SaaS-alkalmazások azonban A TLS 1.2+ használataként jelennek meg a böngészőben, ha az Felhőhöz készült Defender Apps szolgáltatással van konfigurálva.
    • Bár a munkamenet-vezérlők úgy vannak kialakítva, hogy bármilyen nagyobb platformon bármilyen operációs rendszeren működjenek, támogatjuk a Microsoft Edge (legújabb), a Google Chrome (legújabb), a Mozilla Firefox (legújabb) vagy az Apple Safari (legújabb) használatát. A mobil- és asztali alkalmazásokhoz való hozzáférés le is tiltható vagy engedélyezhető.
    Böngésző Lépések
    Microsoft Internet Explorer 1. Az Internet Explorer megnyitása
    2. Az Eszközök internetbeállítások>>– Tovább lap kiválasztása
    3. A Biztonság területen válassza a TLS 1.2-t
    4. Válassza az Alkalmaz lehetőséget, majd kattintson az OK gombra
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Microsoft Edge / Edge Chromium 1. Nyissa meg a keresést a tálcáról, és keressen rá az "Internetbeállítások" kifejezésre
    2. Internetbeállítások kiválasztása
    3. A Biztonság területen válassza a TLS 1.2-t
    4. Válassza az Alkalmaz lehetőséget, majd kattintson az OK gombra
    5. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Google Chrome 1. A Google Chrome megnyitása
    2. A jobb felső sarokban kattintson az Egyebek (3 függőleges pont) >Gépház
    3. Alul kattintson a Speciális gombra
    4. A Rendszer területen kattintson a Proxybeállítások megnyitása elemre
    5. A Speciális lap Biztonság területén válassza a TLS 1.2-t
    6. Kattintson az OK gombra
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Mozilla Firefox 1. Nyissa meg a Mozilla Firefoxot
    2. A címsorban keresse meg a következőt: "about:config"
    3. A Keresőmezőben keressen rá a "TLS" kifejezésre
    4. Kattintson duplán a security.tls.version.min bejegyzésre
    5. Állítsa az egész számot 3-ra, hogy a TLS 1.2 legyen a minimálisan szükséges verzió
    6. Kattintson a Mentés gombra (pipa az értékmező jobb oldalán)
    7. Indítsa újra a böngészőt, és ellenőrizze, hogy hozzáfér-e az alkalmazáshoz
    Safari Ha a Safari 7-es vagy újabb verzióját használja, a TLS 1.2 automatikusan engedélyezve lesz

Lassú bejelentkezés

A proxyláncolás és a nem-kezelés a gyakori problémák egyike, amelyek lassú bejelentkezési teljesítményt eredményezhetnek.

Javasolt lépések

  1. Konfigurálja a környezetet úgy, hogy eltávolítsa a tűzfalat és továbbítsa a proxyláncolást, csatlakoztassa két vagy több proxykiszolgálót a kívánt lapra való navigáláshoz, valamint egyéb külső tényezőket, amelyek lassúságot okozhatnak a bejelentkezési folyamatban.

    1. Annak azonosítása, hogy a proxyláncolás történik-e a környezetben
    2. Ha lehetséges, távolítsa el a további előretűnő proxykat
  2. Kapcsolja ki a nonce-kezelést azon alkalmazások esetében, amelyek nem használnak nonce-t.

    Megjegyzés

    Egyes alkalmazások nemce kivonatot használnak a hitelesítés során a visszajátszásos támadások megelőzése érdekében. Alapértelmezés szerint a Felhőhöz készült Defender Apps azt feltételezi, hogy egy alkalmazás nem műveletet használ. Ha az alkalmazás, amellyel dolgozik, nem használ nonce-t, letilthatja az alkalmazás nem-kezelését az Felhőhöz készült Defender Appsben.

    1. Az Felhőhöz készült Defender-alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Feltételes hozzáférés alkalmazásvezérlő lehetőséget.
    2. Az alkalmazások listájában a konfigurálni kívánt alkalmazás megjelenési sorában válassza a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget.
    3. Kattintson a Nonce-handling (Nem kezelés ) gombra a szakasz kibontásához, majd törölje a jelölést a Nem engedélyezett kezelés engedélyezése parancsból.
    4. Jelentkezzen ki az alkalmazásból, és zárja be az összes böngésző-munkamenetet.
    5. Indítsa újra a böngészőt, jelentkezzen be az alkalmazásba, és ellenőrizze, hogy a bejelentkezés a várt módon működik-e.

Néhány fontos megjegyzés

A hálózati feltételek hibaelhárítása során további szempontokat is figyelembe kell vennie az Felhőhöz készült Defender Apps-proxyval kapcsolatban.

  • A munkamenet egy másik adatközpontba van irányítva

    Felhőhöz készült Defender Apps világszerte használja az Azure Data Centerst a teljesítmény geolokáción keresztüli optimalizálásához. Ez azt jelenti, hogy a felhasználói munkamenet a forgalmi mintáktól és a helyüktől függően egy régión kívül is üzemeltethető. Az adatvédelem érdekében azonban ezekben az adatközpontokban nem lesznek munkamenet-adatok tárolva.

  • Proxyteljesítmény

    A teljesítménykonfiguráció származtatása számos, az Felhőhöz készült Defender Apps-proxyn kívüli tényezőtől függ, például:

    • Milyen más proxyk vagy átjárók ülnek sorozatban ezzel a proxyval?
    • Honnan származik a felhasználó?
    • A megcélzott erőforrás helye
    • Konkrét kérések az oldalon

    Általánosságban elmondható, hogy minden proxy késést eredményez. A Felhőhöz készült Defender Apps-proxy előnyei a következők:

    • Az Azure-tartományvezérlők globális rendelkezésre állásának kihasználásával a felhasználókat a legközelebbi csomópontra geolokálhatja, és csökkentheti az oda-vissza út távolságát olyan méretben, amely világszerte kevés szolgáltatással rendelkezik.
    • A Azure AD Feltételes hozzáféréssel való integrációt kihasználva minden helyzetben az összes felhasználó helyett csak a szolgáltatáshoz irányítani kívánt munkameneteket irányítja.

Eszközazonosítás

Felhőhöz készült Defender Apps az alábbi lehetőségeket kínálja az eszköz felügyeleti állapotának azonosításához.

  1. Microsoft Intune megfelelőség
  2. Hibrid Azure AD tartományhoz csatlakoztatva
  3. Ügyféltanúsítványok

Az eszközazonosítással kapcsolatos további információkért lásd: Felügyelt eszközazonosítás.

Az eszközazonosítással kapcsolatos gyakori problémák közé tartoznak a következők:

Helytelenül Intune megfelelő vagy hibrid Azure AD csatlakoztatott eszközök

Azure AD feltételes hozzáférés lehetővé teszi Intune megfelelő és hibrid Azure AD csatlakoztatott eszközök adatainak közvetlen átadását Felhőhöz készült Defender Alkalmazásoknak, ahol az eszközállapot használható a hozzáférési vagy munkamenet-szabályzatok szűrőjeként. További információ: Bevezetés a Azure Active Directory eszközkezelésbe.

Javasolt lépések

  1. Az Felhőhöz készült Defender Alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Gépház lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlése területen válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender Appsben elérhető eszközazonosítási lehetőségek láthatók.

  3. A Intune megfelelő eszközazonosításhoz és a hibrid Azure AD csatlakoztatott azonosításhoz kattintson a Konfiguráció megtekintése gombra, és ellenőrizze, hogy a szolgáltatások be vannak-e állítva.

    Megjegyzés

    Ezek automatikusan szinkronizálódnak Azure AD és Intune.

  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot úgy, hogy az eszközcímke szűrője megegyezik a Hibrid Azure AD csatlakoztatott, Intune megfelelő vagy mindkettővel.

  5. A böngészőben jelentkezzen be egy hibrid Azure AD csatlakoztatott vagy Intune megfelelő eszközre a szabályzatszűrő alapján.

  6. Ellenőrizze, hogy az eszközök tevékenységei feltöltik-e a naplót. Az Felhőhöz készült Defender Alkalmazások lapon a Tevékenységnapló lapon szűrjön a Hibrid Azure AD csatlakoztatott, Intune megfelelőeszközcímkére, vagy mindkettőre a szabályzatszűrők alapján.

  7. Ha a tevékenységek nem jelennek meg az Felhőhöz készült Defender Apps tevékenységnaplójában, lépjen Azure AD, és tegye a következőket:

    1. ABejelentkezésekfigyelése> területen ellenőrizze, hogy vannak-e bejelentkezési tevékenységek a naplókban.
    2. Válassza ki a megfelelő naplóbejegyzést a bejelentkezett eszközhöz.
    3. A Részletek panelen, az Eszközadatok lapon ellenőrizze, hogy az eszköz Felügyelt (hibrid Azure AD-csatlakoztatott) vagy Megfelelő (Intune-kompatibilis) állapotú-e. Ha nem tudja ellenőrizni valamelyik állapotot, próbálkozzon egy másik naplóbejegyzéssel, vagy győződjön meg arról, hogy az eszköz adatai megfelelően vannak konfigurálva az Azure AD-ben.
    4. A feltételes hozzáféréshez egyes böngészők további konfigurációt igényelhetnek, például bővítmények telepítését. A böngésző konfigurálásához használja a Feltételes hozzáférés böngésző támogatási útmutatójában található információkat.
    5. Ha továbbra sem látja az eszközadatokat a Bejelentkezések lapon, nyisson támogatási jegyet Azure AD.

Az ügyféltanúsítványok nem kérik a várt állapotot

Az eszközazonosítási mechanizmus ügyféltanúsítványokkal kérheti a hitelesítést a megfelelő eszközöktől. Feltölthet egy PEM-tanúsítványformátumban formázott X.509 fő- vagy köztes hitelesítésszolgáltatót (CA). Ezeknek a tanúsítványoknak tartalmazniuk kell a hitelesítésszolgáltató nyilvános kulcsát, amelyet aztán a munkamenet során bemutatott ügyféltanúsítványok aláírására használnak. További információ az ügyféltanúsítványokról: Ügyféltanúsítvány által hitelesített eszközök.

Javasolt lépések

  1. Az Felhőhöz készült Defender Alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Gépház lehetőséget.
  2. A Feltételes hozzáférés alkalmazásvezérlése területen válassza az Eszközazonosítás lehetőséget. Ezen az oldalon az Felhőhöz készült Defender Appsben elérhető eszközazonosítási lehetőségek láthatók.
  3. Ellenőrizze, hogy feltöltött-e egy X.509-gyökér- vagy köztes hitelesítésszolgáltatót. Fel kell töltenie a megfelelő hitelesítésszolgáltató aláírásához használt hitelesítésszolgáltatót.
  4. Hozzon létre egy hozzáférési vagy munkamenet-szabályzatot az Érvényes ügyféltanúsítvánnyal egyenlő eszközcímke-szűrővel.
  5. Győződjön meg arról, hogy az ügyféltanúsítvány a következő:
    • PKCS #12 fájlformátumban, általában .p12 vagy .pfx fájlkiterjesztéssel lett üzembe helyezve
    • a teszteléshez használt eszköz felhasználói tárolójában van telepítve, nem pedig az eszköztárolóban
  6. Indítsa újra a böngésző munkamenetét
  7. A védett alkalmazásba való bejelentkezéskor
    • Ellenőrizze, hogy a rendszer átirányította-e az URL-címre <https://*.managed.access-control.cas.ms/aad_login>
    • Ha iOS használ, győződjön meg arról, hogy a Safari böngészőt használja
    • Ha Firefoxot használ, a tanúsítványt a Firefox saját tanúsítványtárolójába is fel kell vennie. Minden más böngésző ugyanazt az alapértelmezett tanúsítványtárolót használja. Megtudhatja , hogyan adhat hozzá tanúsítványt a Firefox tanúsítványtárolójához.
  8. Ellenőrizze, hogy a böngészőben a rendszer kéri-e az ügyféltanúsítványt.
    • Ha nem jelenik meg, próbálkozzon egy másik böngészővel. A legtöbb fő böngésző támogatja az ügyféltanúsítvány-ellenőrzés végrehajtását. A mobil- és asztali alkalmazások azonban gyakran olyan beépített böngészőket használnak, amelyek esetleg nem támogatják ezt az ellenőrzést, és így befolyásolják ezeknek az alkalmazásoknak a hitelesítését.
  9. Ellenőrizze, hogy az eszközök tevékenységei feltöltik-e a naplót. Az Felhőhöz készült Defender-alkalmazások Tevékenységnapló lapján szűrjön az Érvényes ügyféltanúsítvánnyal egyenlő eszközcímkére.
  10. Ha továbbra sem látja a kérést, nyisson meg egy támogatási jegyet , és adja meg a következő információkat:
    • Annak a böngészőnek vagy natív alkalmazásnak a részletei, ahol a problémát tapasztalta
    • Az operációs rendszer verziója (például iOS/Android/Windows 10)
    • Említse meg, hogy a parancssor működik-e az Edge Chromium

Az ügyféltanúsítványok minden bejelentkezéskor kérik

Ha azt tapasztalja, hogy az ügyféltanúsítvány megjelenik egy új lap megnyitása után, ennek oka az internetbeállítások között rejtett beállítások lehet.

Böngésző Lépések
Microsoft Internet Explorer 1. Az Internet Explorer megnyitása
2. Az Eszközök internetbeállítások>>– Speciális lap kiválasztása
3. A Biztonság területen válassza a Ne kérje az ügyféltanúsítvány kiválasztását, ha csak egy tanúsítvány létezik
4. Válassza az Alkalmaz lehetőséget, majd kattintson az OK gombra
5. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül hozzáfér-e az alkalmazáshoz
Microsoft Edge/ Edge Chromium 1. Nyissa meg a keresést a tálcáról, és keressen rá az "Internetbeállítások" kifejezésre
2. Válassza az Internetbeállítások lehetőséget
3. Válassza a Biztonság lehetőséget, válassza a Helyi intranet lehetőséget, majd kattintson az Egyéni szint elemre
4. Hacsak egy tanúsítvány létezik, a Vegyes ne kérje az ügyféltanúsítvány> kiválasztását, válassza a Letiltás lehetőséget.
5. Kattintson az OK gombra az egyéni szint párbeszédpanel bezárásához
6. Kattintson az Alkalmaz gombra, majd az OK gombra az internetbeállítások bezárásához
7. Indítsa újra a böngészőt, és ellenőrizze, hogy a további kérések nélkül hozzáfér-e az alkalmazáshoz

Néhány fontos megjegyzés

Az eszközazonosítás hibaelhárítása során további szempontokat is figyelembe kell venni.

  • Ügyféltanúsítvány-visszavonási protokoll

    Az ügyféltanúsítványokhoz tanúsítvány-visszavonást is kérhet. A hitelesítésszolgáltató által visszavont tanúsítványok már nem megbízhatók. Ha ezt a beállítást választja, az összes tanúsítványnak át kell mennie a CRL protokollon. Ha az ügyféltanúsítvány nem tartalmaz CRL-végpontot, nem fog tudni csatlakozni a felügyelt eszközről.

Alkalmazás előkészítése

A hozzáférés- és munkamenet-vezérlőkhöz a következő típusú alkalmazásokat készítheti el:

  • Katalógusalkalmazások: A munkamenet-vezérlőket tartalmazó alkalmazások beépítetten, a Munkamenet-vezérlő címkével jelzett módon

  • Bármely (egyéni) alkalmazás: Az egyéni üzletági (LOB) vagy helyszíni alkalmazásokat a rendszergazda előkészítheti a munkamenet-vezérlőkbe

Proxy list showing catalog and any (custom) apps.

Az alkalmazások előkészítésekor elengedhetetlen, hogy a proxy üzembe helyezési útmutatóiban szereplő lépéseket kövesse:

  1. Katalógusalkalmazások üzembe helyezése munkamenet-vezérlőkkel
  2. Egyéni üzletági alkalmazások, nem kiemelt SaaS-alkalmazások és helyszíni alkalmazások üzembe helyezése a Azure AD alkalmazásproxyn keresztül, munkamenet-vezérlőkkel

Az alkalmazások bevezetése során gyakran előforduló forgatókönyvek a következők:

Az alkalmazás nem jelenik meg a Feltételes hozzáférés alkalmazásvezérlő alkalmazás lapján

Amikor elővesz egy alkalmazást a Feltételes hozzáférés alkalmazásvezérlőbe, az üzembe helyezési útmutatók utolsó lépése, hogy a végfelhasználó navigáljon az alkalmazáshoz. Az alábbi javaslatok olyan lépések, amelyek akkor végezhetők el, ha az alkalmazás nem jelenik meg az útmutatók elvégzése után.

Javasolt lépések

  1. Győződjön meg arról, hogy az alkalmazás megfelel a feltételes hozzáférési alkalmazás előfeltételeinek
Identitásszolgáltató Ellenőrzések
Azure AD 1. Győződjön meg arról, hogy a Felhőhöz készült Defender Apps-licenc mellett érvényes Prémium P1 szintű Azure AD licenccel is rendelkezik
2. Győződjön meg arról, hogy az alkalmazás az SAML 2.0-t vagy az OpenID Csatlakozás protokollt használja
3. Győződjön meg arról, hogy az alkalmazás egyszeri bejelentkezése Azure AD
Nem Microsoft 1. Ellenőrizze, hogy rendelkezik-e érvényes Felhőhöz készült Defender Apps-licenccel
2. Duplikált alkalmazás létrehozása
3. Győződjön meg arról, hogy az alkalmazás az SAML protokollt használja
4. Ellenőrizze, hogy teljesen előkészítette-e az alkalmazást, és hogy az alkalmazás állapota csatlakoztatva van-e
  1. A Azure AD szabályzatban, a Munkamenet alatt győződjön meg arról, hogy a munkamenetet a Felhőhöz készült Defender-alkalmazásokhoz kell irányítani, ami lehetővé teszi, hogy az alkalmazás megjelenjen a Feltételes hozzáférés alkalmazásvezérlési alkalmazások lapján az alábbiak szerint:
    1. A feltételes hozzáférés alkalmazásvezérlője ki van jelölve
    2. A beépített szabályzatok legördülő menüjében győződjön meg arról, hogy a Csak figyelés lehetőség van kiválasztva
  2. Új inkognitó módban vagy újra bejelentkezve mindenképpen lépjen az alkalmazásra egy új böngésző-munkamenetben.

Alkalmazás állapota: Telepítés folytatása

Az alkalmazások állapota eltérhet a telepítés folytatásától, a Csatlakoztatott állapottól és a Nincs tevékenységtől.

A nem Microsoft identitásszolgáltatókon (IdP) keresztül csatlakoztatott alkalmazások esetében, ha a telepítés nem fejeződött be, az alkalmazás elérésekor megjelenik egy oldal, amelyen a beállítás folytatása látható. Hajtsa végre a telepítést az alábbi lépésekkel.

Javasolt lépések

  1. Kattintson a Telepítés folytatása gombra.
  2. Tekintse át az üzembehelyezési útmutatót , és ellenőrizze, hogy elvégezte-e az összes lépést. Különös figyelmet fordítson a következőkre:
    1. Mindenképpen hozzon létre egy új egyéni SAML-alkalmazást. Erre a katalógusalkalmazásokban esetleg nem elérhető URL-címek és SAML-attribútumok módosításához van szükség.
    2. Ha az identitásszolgáltató nem engedélyezi ugyanannak az azonosítónak az újbóli használatát (más néven entitásazonosító vagy célközönség), módosítsa az eredeti alkalmazás azonosítóját.

Natív alkalmazások vezérlői nem konfigurálhatók

A natív alkalmazások heurisztikusan észlelhetők, és hozzáférési szabályzatokkal figyelheti vagy letilthatja őket. A natív alkalmazások vezérlőinek konfigurálásához kövesse az alábbi lépéseket.

Javasolt lépések

  1. Egy hozzáférési szabályzatban adjon hozzá egy ügyfélalkalmazás-szűrőt , és állítsa be a Mobile és az asztali verzióval egyenlőre.
  2. A Műveletek területen válassza a Letiltás lehetőséget.
  3. Igény szerint testre szabhatja azt a letiltó üzenetet, amelyet a felhasználók kapnak, ha nem tudnak fájlokat letölteni, például: "Az alkalmazás eléréséhez webböngészőt kell használnia".
  4. Tesztelje és ellenőrizze, hogy a vezérlő a várt módon működik-e.

Az alkalmazás nem ismerhető fel oldal jelenik meg

Felhőhöz készült Defender Alkalmazások több mint 25 000 alkalmazást ismerhetnek fel a felhőalkalmazás-katalóguson keresztül (Discover ->Cloud app catalog). Ha olyan egyéni alkalmazást használ, amely Azure AD SSO-val van konfigurálva, amely NEM tartozik a 25 000 alkalmazás közé, akkor egy alkalmazás nem ismerhető fel lapra. A probléma megoldásához konfigurálnia kell az alkalmazást a feltételes hozzáférés alkalmazásvezérlőjén.

Javasolt lépések

  1. Az Felhőhöz készült Defender-alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Feltételes hozzáférés alkalmazásvezérlő lehetőséget.
  2. A szalagcímen kattintson az Új alkalmazások megtekintése elemre.
  3. Az új alkalmazások listájában keresse meg az előkészíteni kívánt alkalmazást, kattintson a + jelre, majd a Hozzáadás gombra.
    1. Válassza ki, hogy az alkalmazás egyéni vagy standard alkalmazás-e.
    2. Haladjon végig a varázslón, és győződjön meg arról, hogy a felhasználó által megadott tartományok helyesek a konfigurálni kívánt alkalmazáshoz.
  4. Ellenőrizze, hogy az alkalmazás megjelenik-e a Feltételes hozzáférés alkalmazásvezérlés alkalmazásai lapon.

Megjelenik a Munkamenet-vezérlés kérése lehetőség

Az alkalmazás hozzáadása után megjelenhet a Munkamenet-vezérlés kérése lehetőség. Ez azért fordul elő, mert csak a katalógusalkalmazások rendelkeznek beépített munkamenet-vezérlőkkel. Bármely más alkalmazás esetében egy önbeléptetési folyamaton kell keresztülmennie.

Javasolt lépések

  1. Az Felhőhöz készült Defender Apps menüsávjában kattintson a beállítások fogaskerékre, és válassza a Gépház lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlése területen válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazás előkészítéséhez használni kívánt felhasználók egyszerű felhasználónevét vagy e-mail-címét, majd kattintson a Mentés gombra.

  4. Nyissa meg az üzembe helyezni kívánt alkalmazást. A megjelenő oldal attól függ, hogy az alkalmazás felismerve van-e. Tegye a következők egyikét:

    Alkalmazás állapota Description Lépések
    Nem ismerhető fel Megjelenik egy nem felismert alkalmazáslap, amely az alkalmazás konfigurálását kéri. 1. Adja hozzá az alkalmazást a feltételes hozzáférésű alkalmazásvezérlőhöz.
    2. Adja hozzá az alkalmazás tartományait, majd térjen vissza az alkalmazáshoz, és frissítse a lapot.
    3. Telepítse az alkalmazás tanúsítványait.
    Elismert Megjelenik egy előkészítési oldal, amely arra kéri, hogy folytassa az alkalmazáskonfigurációs folyamatot. - Telepítse az alkalmazás tanúsítványait.

    Megjegyzés: Győződjön meg arról, hogy az alkalmazás konfigurálva van az alkalmazás megfelelő működéséhez szükséges összes tartománnyal. További tartományok konfigurálásához folytassa az alkalmazás tartományainak hozzáadásával, majd térjen vissza az alkalmazás lapjára.

Néhány fontos megjegyzés

Az alkalmazások előkészítésének hibaelhárítása során további szempontokat is figyelembe kell venni.

  • A feltételes hozzáférésű alkalmazásvezérlésben lévő alkalmazások nem igazodnak Azure AD alkalmazásokhoz

    A Azure AD és a Felhőhöz készült Defender Apps alkalmazásnevei eltérhetnek attól függően, hogy a termékek hogyan azonosítják az alkalmazásokat. Felhőhöz készült Defender Alkalmazások azonosítja az alkalmazás tartományait használó alkalmazásokat, és hozzáadja őket a felhőalkalmazás-katalógushoz, ahol több mint 25 000 alkalmazás található. Az egyes alkalmazásokban megtekintheti vagy hozzáadhatja a tartományok részhalmazát. Ezzel szemben Azure AD szolgáltatásnevek használatával azonosítja az alkalmazásokat. További információ: alkalmazás- és szolgáltatásnév-objektumok a Azure AD.

    A gyakorlatban ez azt jelenti, hogy a SharePoint Online Azure AD-ban való kiválasztása egyenértékű a Felhőhöz készült Defender-alkalmazásokban lévő alkalmazások, például a Word Online és a Teams kiválasztásával, mivel az alkalmazások a tartományt sharepoint.com használják.

Hozzáférési és munkamenet-szabályzatok létrehozása

Felhőhöz készült Defender Apps a következő konfigurálható szabályzatokat biztosítja:

  1. Hozzáférési szabályzatok: Böngésző-, mobil- és/vagy asztali alkalmazásokhoz való hozzáférés figyelése vagy letiltása
  2. Munkamenet-szabályzatok. Adott műveletek monitorozása, blokkolása és végrehajtása az adatok beszivárgásának és kiszivárgásának megakadályozása érdekében a böngészőben

Ha ezeket a házirendeket Felhőhöz készült Defender Appsben szeretné használni, először konfigurálnia kell egy házirendet Azure AD Feltételes hozzáférésben a munkamenet-vezérlők kiterjesztéséhez: A Azure AD házirend Hozzáférési vezérlők területén kattintson a Munkamenet elemre, válassza a Feltételes hozzáférés alkalmazásvezérlő használata lehetőséget, és válasszon egy beépített szabályzatot (csak figyelés vagy letöltések letiltása). ) vagy Egyéni házirend használata speciális szabályzat beállításához az Felhőhöz készült Defender Appsben, majd kattintson a Kiválasztás gombra.

A szabályzatok konfigurálása során a következő gyakori forgatókönyvek fordulhatnak elő:

A feltételes hozzáférési szabályzatokban nem jelenik meg a Feltételes hozzáférés alkalmazásvezérlése lehetőség

A munkamenetek Felhőhöz készült Defender Alkalmazásokhoz való átirányításához Azure AD feltételes hozzáférési szabályzatokat úgy kell konfigurálni, hogy tartalmazzák a feltételes hozzáférés alkalmazásvezérlésének munkamenet-vezérlőit.

Javasolt lépések

  • Ha nem látja a feltételes hozzáférésű alkalmazásvezérlési lehetőséget a feltételes hozzáférési szabályzatban, győződjön meg arról, hogy érvényes licenccel rendelkezik Prémium P1 szintű Azure AD és érvényes Felhőhöz készült Defender Apps-licenchez.

Hibaüzenet szabályzat létrehozásakor: Nincs üzembe helyezett alkalmazás a feltételes hozzáférésű alkalmazásvezérlővel

Hozzáférési vagy munkamenet-szabályzat létrehozásakor a következő hibaüzenet jelenhet meg: "Nincs feltételes hozzáférésű alkalmazásvezérlővel telepített alkalmazás". Ez a hiba azt jelzi, hogy az alkalmazás nincs üzembe helyezve.

Javasolt lépések

  1. Az Felhőhöz készült Defender Apps menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Feltételes hozzáférés alkalmazásvezérlőt.

  2. Ha a "Nincs csatlakoztatott alkalmazás" üzenet jelenik meg, az alkalmazások üzembe helyezéséhez kövesse az alábbi útmutatót:

  3. Ha problémákba ütközik az alkalmazás üzembe helyezése során, tekintse meg az alkalmazás előkészítését.

Nem hozhatók létre munkamenet-szabályzatok egy alkalmazáshoz

Egyéni alkalmazás hozzáadása után a Feltételes hozzáférés alkalmazásvezérlő alkalmazáslapján a következő lehetőség jelenhet meg: Munkamenet-vezérlés kérése.

Megjegyzés

A katalógusalkalmazások beépített munkamenet-vezérlőkkel rendelkeznek. Minden más alkalmazás esetében végig kell mennie egy önbeléptetési folyamaton.

Javasolt lépések

  1. Az alábbi önbevezetési útmutató segítségével bármilyen alkalmazást üzembe helyezhet a munkamenet-vezérlésben: Egyéni üzletági alkalmazásokat, nem kiemelt SaaS-alkalmazásokat és helyszíni alkalmazásokat helyezhet üzembe a munkamenet-vezérlőkkel rendelkező Azure Active Directory (Azure AD) alkalmazásproxy keresztül.
  2. Hozzon létre egy munkamenet-szabályzatot, válassza ki az alkalmazásszűrőt , és győződjön meg arról, hogy az alkalmazás megjelenik a legördülő listában.

Nem lehet kiválasztani az Ellenőrzési módszert: Adatbesorolási szolgáltatás

A munkamenet-szabályzatokban a Vezérlőfájl letöltése (ellenőrzéssel) munkamenet-vezérlési típus használatakor az Adatbesorolási szolgáltatás vizsgálati módszerével valós időben vizsgálhatja a fájlokat, és észlelheti a konfigurált feltételeknek megfelelő bizalmas tartalmakat. Ha az adatbesorolási szolgáltatás vizsgálati módszere nem érhető el, az alábbi lépésekkel kivizsgálhatja a problémát.

Javasolt lépések

  1. Ellenőrizze, hogy a munkamenet-vezérlő típusaa Control fájlletöltés (ellenőrzéssel) értékre van-e állítva.

    Megjegyzés

    Az adatbesorolási szolgáltatás vizsgálati módszere csak a Control fájl letöltéséhez érhető el (vizsgálattal).

  2. Állapítsa meg, hogy az adatbesorolási szolgáltatás elérhető-e a régióban.

    1. Ha a szolgáltatás nem érhető el a régióban, használja a beépített DLP-ellenőrzési módszert.
    2. Ha a szolgáltatás elérhető a régióban, de továbbra sem látja az adatbesorolási szolgáltatás vizsgálati módszerét, nyisson meg egy támogatási jegyet.

A Művelet nem választható: Védelem

A munkamenet-házirendekben a Vezérlőfájl letöltése (ellenőrzéssel) munkamenet-vezérlési típus használata esetén a Figyelési és blokkolási műveletek mellett megadhatja a Védelem műveletet is. Ez a művelet lehetővé teszi a fájlletöltések engedélyezését azzal a lehetőséggel, hogy feltételek, tartalomvizsgálat vagy mindkettő alapján titkosítja vagy alkalmazza az engedélyeket a fájlra. Ha a Védelem művelet nem érhető el, az alábbi lépésekkel kivizsgálhatja a problémát.

Javasolt lépések

  1. Ha a Védelem művelet nem érhető el, vagy szürkés, ellenőrizze, hogy rendelkezik-e az Azure Information Protection (AIP) Prémium P1 licenccel. További információ: Microsoft-információvédelem integráció.
  2. Ha a Védelem művelet elérhető, de nem jelennek meg a megfelelő címkék.
    1. Az Felhőhöz készült Defender Apps menüsávjában kattintson a beállítások fogaskerékre, válassza a Microsoft-információvédelem lehetőséget, és ellenőrizze, hogy engedélyezve van-e az integráció.
    2. Office címkék esetében az AIP-portálon győződjön meg arról, hogy az Egyesített címkézés van kiválasztva.

Néhány fontos megjegyzés

Az alkalmazások előkészítésének hibaelhárítása során további szempontokat is figyelembe kell venni.

  • A Azure AD feltételes hozzáférési szabályzat beállításai közötti különbség megértése: "Csak figyelés", "Letöltések letiltása" és "Egyéni szabályzat használata"

    A feltételes hozzáférési szabályzatok Azure AD a következő beépített Felhőhöz készült Defender-alkalmazások vezérlőit konfigurálhatja: Csak figyelés és letöltések letiltása. Ez a Azure AD-ben konfigurált felhőalkalmazások és feltételek Felhőhöz készült Defender Alkalmazások proxyfunkcióját alkalmazza és kényszeríti. Összetettebb szabályzatok esetén válassza az Egyéni házirend használata lehetőséget, amely lehetővé teszi a hozzáférési és munkamenet-szabályzatok konfigurálását az Felhőhöz készült Defender Appsben.

  • A "Mobil és asztali" ügyfélalkalmazás-szűrő lehetőség ismertetése a hozzáférési szabályzatokban

    Az Felhőhöz készült Defender-alkalmazások hozzáférési szabályzataiban, kivéve, ha az ügyfélalkalmazás szűrője kifejezetten a Mobil és asztali verzióra van állítva, az eredményként kapott hozzáférési szabályzat csak a böngésző munkamenetekre vonatkozik. Ennek az az oka, hogy megakadályozza a felhasználói munkamenetek véletlen proxyzását, ami a szűrő használatának mellékterméke lehet.

Rendszergazda Nézet eszköztár

A Rendszergazda Nézet eszköztár eszközöket biztosít a rendszergazdák számára a feltételes hozzáférésű alkalmazásvezérléssel kapcsolatos problémák diagnosztizálásához és elhárításához.

Ha engedélyezni szeretné a Rendszergazda Nézet eszköztárat adott rendszergazdai felhasználók számára, először hozzá kell adnia a rendszergazdákat az alkalmazás előkészítési/karbantartási listájához.

  1. Az Felhőhöz készült Defender Apps menüsávjában válassza a beállítások fogaskerékétsettings icon 4, és válassza Gépház.

  2. A Feltételes hozzáférés alkalmazásvezérlő területén válassza az Alkalmazás előkészítése/karbantartása lehetőséget.

  3. Adja meg az alkalmazás előkészítésére szolgáló rendszergazdai felhasználók egyszerű nevét vagy e-mail-címét.

  4. Jelölje be azt a jelölőnégyzetet, amely lehetővé teszi, hogy ezek a felhasználók megkerüljék a feltételes hozzáférésű alkalmazásvezérlőt egy proxyalapú munkameneten belülről.

  5. Kattintson a Mentés gombra.

    App onboarding/maintenance settings.

Amikor ezek a felhasználók legközelebb elindítanak egy alkalmazás munkamenetét, elérhetővé válik a Rendszergazda Nézet eszköztár.

Proxy-munkamenet megkerülése

Ha nehézséget okoz az alkalmazás elérése vagy betöltése, és szeretné megtekinteni, hogy a probléma a feltételes hozzáférési proxyval kapcsolatos-e, használhatja a Munkamenet megkerülése gombot a Rendszergazda Nézet eszköztáron. Ez azoknak a felhasználóknak fog megjelenni, akiknél engedélyezve van a Rendszergazda Nézet eszköztár.

Miután kiválasztotta a Bypass munkamenetet, az alkalmazás a feltételes hozzáférési proxy nélkül fog futni.

Bypass session.

A munkamenet megkerülését úgy ellenőrizheti, hogy az URL-cím nincs utótagként megadva.

Az alkalmazás következő munkamenetében a feltételes hozzáférési proxy lesz használva.

Munkamenet-rögzítés

A problémák kiváltó okának elemzéséhez munkamenet-felvételeket adhat a Microsoft támogatási szakembereinek. Munkamenet rögzítéséhez engedélyeznie kell a Rendszergazda Nézet eszköztárat.

Megjegyzés

Minden személyes adat törlődik a felvételekről.

Munkamenet rögzítéséhez kövesse az alábbi lépéseket:

  1. A Rendszergazda Nézet eszköztáron válassza a Munkamenet rögzítése lehetőséget.

    Select Record session.

  2. Miután kiválasztotta a Rekord munkamenetet, fogadja el a feltételeket a Folytatás gombra kattintva a következő ablakban:

    Select continue to accept.

  3. Az alkalmazásba való bejelentkezéskor is elkezdheti a rögzítést. Ehhez válassza a Munkamenet rögzítése lehetőséget, amikor ez az ablak megjelenik:

    Select Record session from window.

  4. Jelentkezzen be az alkalmazásba a forgatókönyvszimuláció megkezdéséhez.

  5. Amikor befejezte a forgatókönyv-szimulációt, válassza a Rögzítés leállítása lehetőséget a Rendszergazda Nézet eszköztáron.

    Select Stop recording.

  6. A felvétel befejezése után megtekintheti a rögzített munkameneteket a munkamenetek felvételeinek kiválasztásával a Rendszergazda Nézet eszköztáron. Megjelenik az előző 48 óra rögzített munkameneteinek listája.

    List of session recordings.

  7. Minden rögzített munkamenet letölthető vagy törölhető.

    Download or delete recording.

Végfelhasználók által tapasztalt problémák

Ez a szakasz az Felhőhöz készült Defender Apps által védett alkalmazásokat használó végfelhasználók számára készült, és segít azonosítani a következő területeken felmerülő gyakori helyzeteket:

Nem jelenik meg a felhasználófigyelési lap

Amikor a felhasználót a Felhőhöz készült Defender Apps szolgáltatáson keresztül irányítja át, értesítheti a felhasználót a munkamenet figyeléséről. Alapértelmezés szerint a felhasználómonitorozási oldal engedélyezve van.

Javasolt lépések

  1. Az Felhőhöz készült Defender Alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Gépház lehetőséget.

  2. A Feltételes hozzáférés alkalmazásvezérlése területen válassza a Felhasználófigyelés lehetőséget. Ezen a lapon az Felhőhöz készült Defender Apps szolgáltatásban elérhető felhasználói figyelési lehetőségek láthatók.

    Screenshot showing user monitoring options.

  3. Ellenőrizze, hogy a Felhasználók értesítése a tevékenységeik figyeléséről beállítás be van-e jelölve.

  4. Adja meg, hogy az alapértelmezett üzenetet szeretné-e használni, vagy egyéni üzenetet szeretne megadni.

    Üzenettípus Részletek
    Alapértelmezett Fejléc:
    A(z) [Alkalmazásnév itt jelenik meg] hozzáférés figyelve van
    Törzs:
    A nagyobb biztonság érdekében a szervezet figyelési módban engedélyezi az [Alkalmazás neve itt fog megjelenni] hozzáférést. Az Access csak webböngészőből érhető el.
    Egyéni Fejléc:
    Ezzel a mezővel egyéni címsort adhat meg, amely tájékoztatja a figyelt felhasználókat.
    Törzs:
    Ezzel a mezővel további egyéni információkat adhat meg a felhasználónak, például hogy kihez forduljon a kérdésekhez, és támogatja a következő bemeneteket: egyszerű szöveg, rich text, hivatkozások.
  5. Kattintson az Előnézet gombra az alkalmazás elérése előtt megjelenő felhasználói figyelési lap ellenőrzéséhez.

  6. Kattintson a Mentés gombra.

Nem lehet hozzáférni az alkalmazáshoz egy nem Microsoft identitásszolgáltatótól

Ha egy végfelhasználó általános hibát kap, miután bejelentkezett egy alkalmazásba egy nem Microsoft identitásszolgáltatótól, ellenőrizze a nem Microsoft identitásszolgáltató konfigurációját.

Javasolt lépések

  1. Az Felhőhöz készült Defender-alkalmazások menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Feltételes hozzáférés alkalmazásvezérlő lehetőséget.
  2. Az alkalmazások listájában jelölje ki a sor végén található három elemet, majd válassza az Alkalmazás szerkesztése lehetőséget, amelyben az alkalmazás nem érhető el.
    1. Ellenőrizze, hogy a feltöltött SAML-tanúsítvány helyes-e
    2. Ellenőrizze, hogy az alkalmazáskonfigurációban érvényes SSO URL-címek lettek-e megadva
    3. Ellenőrizze, hogy az egyéni alkalmazás attribútumai és értékei megjelennek-e az identitásszolgáltató beállításaiban Screenshot showing gather identity providers SAML information page.
  3. Ha továbbra sem tud hozzáférni az alkalmazáshoz, nyisson egy támogatási jegyet.

Hiba történt az oldalon

Időnként előfordulhat, hogy egy elhivatott munkamenet során a Valami elromlott lap jelenik meg. Ez a következő esetekben fordulhat elő:

  1. Egy felhasználó egy ideig tétlen állapotban jelentkezik be
  2. A böngésző frissítése és az oldalbetöltés a vártnál több időt vesz igénybe
  3. A nem Microsoft idP-alkalmazás nincs megfelelően konfigurálva

Javasolt lépések

  1. Ha a végfelhasználó nem Microsoft identitásszolgáltatóval konfigurált alkalmazást próbál elérni, olvassa el a Nem érhető el alkalmazás nem Microsoft identitásszolgáltatóból és alkalmazásállapotból című témakört: A telepítés folytatása.
  2. Ha a végfelhasználó váratlanul elérte ezt a lapot, tegye a következőket:
    1. Indítsa újra a böngésző munkamenetét
    2. Előzmények, cookie-k és gyorsítótár törlése a böngészőből

A vágólapműveletek vagy fájlvezérlők nincsenek letiltva

A vágólapműveletek, például a kivágási, másolási, beillesztési és fájlvezérlők, például a letöltés, a feltöltés és a nyomtatás letiltásának lehetősége szükséges az adatkiszivárgás és a beszivárgás megelőzéséhez. Ez a képesség lehetővé teszi a vállalatok számára a végfelhasználók biztonságának és termelékenységének egyensúlyát. Ha problémákat tapasztal ezekkel a szolgáltatásokkal kapcsolatban, az alábbi lépésekkel kivizsgálhatja a problémát.

Megjegyzés

A kivágás, a másolás és a beillesztés nincs letiltva az ugyanazon Excel dokumentumon belüli adatok esetében. Csak a külső helyekre történő másolás le van tiltva.

Javasolt lépések

Ha a munkamenet proxyja folyamatban van, a következő lépésekkel ellenőrizheti a szabályzatot:

  1. Az Felhőhöz készült Defender Alkalmazások területen, a Vizsgálat területen válassza a Tevékenységnapló lehetőséget.
  2. Használja a speciális szűrőt, válassza az Alkalmazott műveletet , és állítsa be a Letiltva értékkel egyenlő értéket.
  3. Ellenőrizze, hogy vannak-e letiltott fájltevékenységek.
    1. Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva
    2. A tevékenységfiók Általános lapján kattintson az egyező szabályzatok hivatkozásra annak ellenőrzéséhez, hogy a beállított szabályzat megtalálható-e.
    3. Ha nem látja a szabályzatot, olvassa el a Hozzáférési és munkamenet-szabályzatok létrehozása című témakört.
    4. Ha azt látja, hogy az Access az alapértelmezett viselkedés miatt le van tiltva/engedélyezve van, az azt jelzi, hogy a rendszer nem működik, és az alapértelmezett viselkedés lett alkalmazva.
      1. Az alapértelmezett viselkedés módosításához az Felhőhöz készült Defender Alkalmazások menüsávjában kattintson a beállítások fogaskerékre, és válassza a Gépház lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlése területen válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása értékre.
      2. Nyissa meg és figyelje a https://status.cloudappsecurity.com/ rendszer állásidejéről szóló értesítéseket.
  4. Ha továbbra sem látja a letiltott tevékenységet, nyisson egy támogatási jegyet.

A letöltések nincsenek védve

Végfelhasználóként szükség lehet a bizalmas adatok nem felügyelt eszközre való letöltésére. Ezekben az esetekben Microsoft-információvédelem védelemmel láthatja el a dokumentumokat. Ha a végfelhasználó nem tudta sikeresen titkosítani a dokumentumot, az alábbi lépésekkel kivizsgálhatja a problémát.

Javasolt lépések

  1. Az Felhőhöz készült Defender Alkalmazások területen, a Vizsgálat területen válassza a Tevékenységnapló lehetőséget.
  2. Használja a speciális szűrőt, válassza az Alkalmazott műveletet , és állítsa be a Védett értékkel egyenlő értéket.
  3. Ellenőrizze, hogy vannak-e letiltott fájltevékenységek.
    1. Ha van tevékenység, bontsa ki a tevékenységfiókot a tevékenységre kattintva
    2. A tevékenységfiók Általános lapján kattintson az egyező szabályzatok hivatkozásra annak ellenőrzéséhez, hogy a beállított szabályzat megtalálható-e.
    3. Ha nem látja a szabályzatot, olvassa el a Hozzáférési és munkamenet-szabályzatok létrehozása című témakört.
    4. Ha azt látja, hogy az Access az alapértelmezett viselkedés miatt le van tiltva/engedélyezve van, az azt jelzi, hogy a rendszer nem működik, és az alapértelmezett viselkedés lett alkalmazva.
      1. Az alapértelmezett viselkedés módosításához a Felhőhöz készült Defender Apps menüsávjában kattintson a beállítások fogaskerékre, majd válassza a Gépház lehetőséget. Ezután a Feltételes hozzáférés alkalmazásvezérlése területen válassza az Alapértelmezett viselkedés lehetőséget, és állítsa be az alapértelmezett viselkedést a Hozzáférés engedélyezése vagy letiltása értékre.
      2. Nyissa meg és figyelje a https://status.cloudappsecurity.com/ rendszer állásidejéről szóló értesítéseket.
    5. Ha AIP-címkével vagy egyéni engedélyekkel védi a fájlt, a tevékenység leírásában győződjön meg arról, hogy a fájlkiterjesztés az alábbi támogatott fájltípusok egyike:
      • Word: docm, docx, dotm, dotx
      • Excel: xlam, xlsm, xlsx, xltx
      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
      • PDF* ha az egyesített címkézés engedélyezve van
    • Ha a fájltípus nem támogatott, a munkamenet-házirendben kiválaszthatja a natív védelem által nem támogatott vagy sikertelen natív védelemmel nem támogatott fájlok letöltésének tiltását.
  4. Ha továbbra sem látja a letiltott tevékenységet, nyisson egy támogatási jegyet.

Az URL-címeket utótagként tartalmazó összes proxy környezetvesztésre hajlamos, ami azt a problémát okozhatja, hogy a hivatkozásra való navigálás elveszíti a hivatkozás teljes elérési útját, és általában az alkalmazás kezdőlapjára kerül. Felhőhöz készült Defender Alkalmazások egyedi helyen vannak elhelyezve, hogy orvosolják ezt a korlátozást, és megoldják a környezet elvesztését a Microsofttal és a nem Microsoft-szállítókkal való partneri kapcsolat révén.

Ha a globális szabályzat módosítása nem oldja meg a problémát, az alábbi módon oldhatja meg a környezetvesztéssel kapcsolatos problémákat:

  1. Keresse meg azt az URL-címet, ahol környezetvesztés történik.
  2. Jegyezze fel az utótagként megadott URL-tartományt, beleértve az Felhőhöz készült Defender Apps által hozzáadott utótagot is. Példa: https://www.yammer.com.mcas.ms.
  3. Másolja ki az elérési utat az eredeti URL-címből. Ha például az eredeti URL-cím volt https://www.yammer.com/organization/threads/threadnumber, másolja a vágólapra /organization/threads/threadnumber.
  4. Fűzze hozzá a másolt elérési utat az utótagú tartományhoz. Példa: https://www.yammer.com.mcas.ms/organization/threads/threadnumber.
  5. Lépjen az új utótagú URL-címre.

Ha az alkalmazások környezetvesztést tapasztalnak, küldjön támogatási jegyet. Az egyes alkalmazásszolgáltatókkal közvetlenül együttműködve oldjuk meg ezeket a problémákat.

A letöltések letiltása miatt a PDF-előnézetek le lesznek tiltva

A PDF-fájlok előnézetének megtekintésekor vagy nyomtatásakor az alkalmazások időnként kezdeményezik a fájl letöltését. Ennek következtében Felhőhöz készült Defender-alkalmazások közbeavatkoznak, hogy a letöltés le legyen tiltva, és hogy az adatok ne szivárogjanak ki a környezetből. Ha például olyan munkamenet-házirendet hozott létre, amely letiltja Outlook Web Access (OWA) letöltéseit, akkor előfordulhat, hogy a PDF-fájlok előnézetének megtekintése vagy nyomtatása le lesz tiltva az alábbihoz hasonló üzenettel:

Blocked download

Az előzetes verzió engedélyezéséhez egy Exchange rendszergazdának a következő lépéseket kell végrehajtania:

  1. Töltse le a Exchange Online PowerShell-modult.

  2. Csatlakozás a modulhoz a PowerShell Exchange Online Csatlakozás-ben leírt parancsokkal

  3. Miután csatlakozott a Exchange Online PowerShellhez, a Set-OwaMailboxPolicy parancsmaggal frissítse a szabályzat paramétereit:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Megjegyzés

    Az OwaMailboxPolicy-Default házirend a Exchange Online alapértelmezett OWA-házirendneve. Előfordulhat, hogy egyes ügyfelek további OWA-házirendet telepítettek, vagy más néven hoztak létre egyéni OWA-házirendet. Ha több OWA-házirendje van, azok adott felhasználókra is alkalmazhatók. Ezért frissítenie is kell őket, hogy teljes lefedettséggel rendelkezzen.

  4. A paraméterek beállítása után futtasson egy tesztet az OWA-ban egy PDF-fájllal és egy letöltések letiltására konfigurált munkamenet-szabályzattal. A Letöltés lehetőséget el kell távolítani a legördülő listából, és megtekintheti a fájl előnézetét.

    PDF preview not blocked

Hasonló webhelyre figyelmeztető üzenet jelenik meg

A rosszindulatú szereplők más webhelyek URL-címéhez hasonló URL-címeket hozhatnak létre, hogy megszemélyesíthessék a felhasználókat, és elhitethessék, hogy egy másik webhelyet keresnek. Egyes böngészők megpróbálják észlelni ezt a viselkedést, és figyelmeztetik a felhasználókat, mielőtt hozzáférnek az URL-címhez, vagy blokkolják a hozzáférést. Bizonyos ritka esetekben a munkamenet-vezérlés alatt álló felhasználók egy üzenetet kapnak a böngészőből, amely gyanús webhely-hozzáférést jelez. Ennek az az oka, hogy a böngésző gyanúsként kezeli az utótagként megadott tartományt (például: .mcas.ms).

A Microsoft Edge:

Edge similar site warning.

Chrome-ban:

Chrome similar site warning.

Ha ehhez hasonló üzenetet kap, forduljon a Microsoft ügyfélszolgálatához, aki a megfelelő böngésző gyártójánál fogja megcímkeztetni.

Néhány fontos megjegyzés

Az alkalmazások hibaelhárítása során további szempontokat is figyelembe kell vennie.

  • Munkamenet-vezérlők támogatása modern böngészőkhöz

    Felhőhöz készült Defender Alkalmazások munkamenet-vezérlői mostantól támogatják az új Microsoft Edge böngészőt Chromium alapján. Bár továbbra is támogatjuk az Internet Explorer legújabb verzióit és az Microsoft Edge régebbi verzióját, a támogatás korlátozott lesz, és javasoljuk, hogy használja az új Microsoft Edge böngészőt.

  • Kettős bejelentkezés

    A kettős bejelentkezés egy nem engedélyezett, az alkalmazások által a visszajátszásos támadások megelőzésére használt titkosítási jogkivonat feltételezett használata miatt történik. Alapértelmezés szerint a Felhőhöz készült Defender Apps azt feltételezi, hogy egy alkalmazás nem műveletet használ. Ha biztos abban, hogy az alkalmazás nem használ nonce-t, letilthatja ezt az alkalmazást az Felhőhöz készült Defender Appsben való szerkesztésével, és a probléma megoldódott. A tiltás letiltásának lépéseit a Lassú bejelentkezés című témakörben találja.

    Ha az alkalmazás nem engedélyezett szolgáltatást használ, és ez a funkció nem tiltható le, a második bejelentkezés átlátható lehet a felhasználók számára, vagy a rendszer kérheti, hogy jelentkezzen be újra.