Felsöka åtkomst- och sessionskontrollerTroubleshooting access and session controls

Den här artikeln innehåller en vägledning om hur du undersöker och löser vanliga problem med åtkomst och kontroll av sessioner som erfarna av Administratörer och slutanvändarehar.This article provides admins with guidance on how to investigate and resolve common access and session control issues as experienced by admins and end users.

Innan du fortsätter måste du kontrol lera att din miljö uppfyller följande lägsta allmänna krav för åtkomst-och sessionsnycklar.Before you proceed, make sure your environment meets the following minimum general requirements for access and session controls.

  • Licensiering: kontrol lera att du har en giltig licens.Licensing: Make sure you have a valid license.
  • Single Sign-On (SSO): appar måste konfigureras med en av de SSO-lösningar som stöds.Single Sign-On (SSO): Apps must be configured with one of the supported SSO solutions.
    • Azure Active Directory (Azure AD) med SAML 2,0 eller OpenID Connect 2,0Azure Active Directory (Azure AD) using SAML 2.0 or OpenID Connect 2.0
    • IdP från tredje part med SAML 2,0Third-party IdP using SAML 2.0
  • Webb läsar stöd: sessions kontroller är tillgängliga för webbläsarbaserade sessioner i de här webbläsare som stöds: Microsoft Edge (senaste), Google Chrome (senaste), Mozilla Firefox (senaste) eller Apple Safari (senaste)Browser support: Session controls are available for browser-based sessions on these supported browsers: Microsoft Edge (latest), Google Chrome (latest), Mozilla Firefox (latest), or Apple Safari (latest)
  • Stillestånds tid: Cloud App Security gör att du kan definiera standard beteendet som ska tillämpas i händelse av avbrott i tjänsten, till exempel en komponent som inte fungerar korrekt.Downtime: Cloud App Security allows you to define the default behavior to apply in the event of a service disruption, such as a component not functioning correctly. Du kan välja att skärp (blockera) eller kringgå (Tillåt) användare från att vidta åtgärder på potentiellt känsligt innehåll när normala princip kontroller inte kan tillämpas.You can choose to harden (block) or bypass (allow) users from taking actions on potentially sensitive content when the normal policy controls cannot be enforced. Detta standard beteende under systemets stillestånds tid kan konfigureras i Cloud App Security-portalen på följande sätt: Inställningar > appkontroll för villkorsstyrd åtkomst > standard beteende > Tillåt eller blockera åtkomst.This default behavior during system downtime can be configured in the Cloud App Security portal, as follows: Settings > Conditional Access App Control > Default behavior > Allow or Block access.

Problem som erfarnas av administratörerIssues experienced by admins

Det här avsnittet är för administratörer som konfigurerar åtkomst-och sessionsnycklar med Cloud App Security och hjälper till att identifiera vanliga situationer som kan uppstå i följande områden:This section is for admins configuring access and session controls with Cloud App Security and helps identify common situations that may arise in the following areas:

AvsnittSection ÄrendenIssues
Nätverks villkorNetwork conditions - Nätverks fel vid navigering till en webb sida- Network errors when navigating to a browser page
- Långsam inloggning- Slow login
- Ytterligare överväganden- Additional considerations
Enhets identifieringDevice identification - Felidentifierade Intune-kompatibla eller hybrid Azure AD-anslutna enheter- Misidentified Intune Compliant or Hybrid Azure AD joined devices
- Klient certifikat visas inte när det förväntas- Client certificates are not prompting when expected
- Klient certifikat visas vid varje inloggning- Client certificates are prompting at every login
- Ytterligare överväganden- Additional considerations
Publicera en appOnboarding an app - Appen visas inte på sidan appkontroll för villkorsstyrd åtkomst appar- App does not appear on the Conditional Access App Control apps page
- App-status: Fortsätt installationen- App status: Continue Setup
- Det går inte att konfigurera kontroller för inbyggda appar- Cannot configure controls for native apps
- Sidan okänd app visas- App is not recognized page appears
- Alternativet begär sessions kontroll visas- Request session control option appears
- Ytterligare överväganden- Additional considerations
Skapa åtkomst-och sessionstillståndCreating access and session policies - I principer för villkorlig åtkomst kan du inte se alternativet appkontroll för villkorsstyrd åtkomst- In Conditional Access policies, you cannot see the Conditional Access App Control option
- Fel meddelande när du skapar en princip: du har inte några appar distribuerade med Appkontroll för villkorsstyrd åtkomst- Error message when creating a policy: You don't have any apps deployed with Conditional Access App Control
- Det går inte att skapa sessionsnycklar för en app- Cannot create session policies for an app
- Det går inte att välja kontroll metod: data klassificerings tjänst- Cannot choose Inspection Method: Data Classification Service
- Det går inte att välja åtgärd: skydda- Cannot choose Action: Protect
- Ytterligare överväganden- Additional considerations

Nätverks villkorNetwork conditions

Vanliga problem med nätverks villkor som kan uppstå:Common network condition issues you may encounter include:

Nätverks fel vid navigering till en webb sidaNetwork errors when navigating to a browser page

När du först ställer in Cloud App Security åtkomst-och sessionsnycklar för en app, är vanliga nätverks fel som kan uppstå: "den här platsen är inte säker" och "det finns ingen Internet anslutning".When you are first setting up Cloud App Security access and session controls for an app, common network errors that may arise include: "This site is not secure" and "There is no internet connection". Dessa meddelanden kan tyda på ett allmänt nätverks konfigurations fel.These messages can indicate a general network configuration error.

Rekommenderade åtgärderRecommended steps

  1. Konfigurera brand väggen så att den fungerar med Cloud App Security med hjälp av de Azure IP-adresser och DNS-namn som är relevanta för din miljö.Configure your firewall to work with Cloud App Security using the Azure IP addresses and DNS names relevant to your environment.

    1. Lägg till den utgående porten 443 för följande IP-adresser och DNS-namn för Cloud App Security Data Center.Add outbound port 443 for the following IP addresses and DNS names for your Cloud App Security data center.
    2. Starta om enheten och webbläsarsessionenRestart your device and your browser session
    3. Kontrol lera att inloggningen fungerar som förväntatVerify that the login is working as expected
  2. Aktivera TLS 1,2 i webbläsarens Internet alternativ.Enable TLS 1.2 in your browser's internet options.

    Anteckning

    • Cloud App Security utnyttjar Transport Layer Security (TLS) protokollen 1.2 + för att tillhandahålla den bästa krypteringen.Cloud App Security leverages Transport Layer Security (TLS) protocols 1.2+ to provide best-in-class encryption. Inbyggda klient program och webbläsare som inte stöder TLS 1.2 + är inte tillgängliga när de har kon figurer ATS med session Control.Native client apps and browsers that do not support TLS 1.2+ will not be accessible when configured with session control. SaaS-appar som använder TLS 1,1 eller lägre visas dock i webbläsaren som att använda TLS 1.2 + när det kon figurer ATS med Cloud App Security.However, SaaS apps that use TLS 1.1 or lower will appear in the browser as using TLS 1.2+ when configured with Cloud App Security.
    • Även om session kontroller har skapats för att fungera med en webbläsare på en större plattform på ett operativ system, stöder vi Microsoft Edge (senaste), Google Chrome (senaste), Mozilla Firefox (senaste) eller Apple Safari (senaste).While session controls are built to work with any browser on any major platform on any operating system, we support Microsoft Edge (latest), Google Chrome (latest), Mozilla Firefox (latest), or Apple Safari (latest). Åtkomst till mobila appar och skrivbordsappar kan också blockeras eller tillåtas.Access to mobile and desktop apps can also be blocked or allowed.
    WebbläsareBrowser StegSteps
    Microsoft Internet ExplorerMicrosoft Internet Explorer 1. Öppna Internet Explorer1. Open Internet Explorer
    2. Välj > > fliken avancerade verktyg Internet alternativ2. Select Tools > Internet Options > Advance tab
    3. under säkerhet väljer du TLS 1,23. Under Security, select TLS 1.2
    4. Välj Använd och välj sedan OK4. Select Apply, and then select OK
    5. Starta om webbläsaren och kontrol lera att du har åtkomst till appen5. Restart your browser and verify that you can access the app
    Microsoft Edge/Edge-kromMicrosoft Edge / Edge Chromium 1. Öppna Sök funktionen i aktivitets fältet och Sök efter "Internet alternativ"1. Open search from the taskbar and search for "Internet Options"
    2. Välj Internet alternativ2. Select Internet Options
    3. under säkerhet väljer du TLS 1,23. Under Security, select TLS 1.2
    4. Välj Använd och välj sedan OK4. Select Apply, and then select OK
    5. Starta om webbläsaren och kontrol lera att du har åtkomst till appen5. Restart your browser and verify that you can access the app
    Google ChromeGoogle Chrome 1. Öppna Google Chrome1. Open Google Chrome
    2. längst upp till höger klickar du på fler (tre lodräta punkter) > Inställningar2. At the top-right, click More (3 vertical dots) > Settings
    3. Klicka på Avancerat längst ned3. At the bottom, click Advanced
    4. Klicka på Öppna proxyinställningar under system.4. Under System, click Open proxy settings
    5. på fliken Avancerat , under säkerhet, väljer du TLS 1,25. On the Advanced tab, under Security, select TLS 1.2
    6. Klicka på OK6. Click OK
    7. Starta om webbläsaren och kontrol lera att du kan komma åt appen7. Restart your browser and verify that you are able to access the app
    Mozilla FirefoxMozilla Firefox 1. öppna Mozilla Firefox1. Open Mozilla Firefox
    2. i adress fältet och Sök efter "about: config"2. In the address bar and search for "about:config"
    3. Sök efter "TLS" i sökrutan3. In the Search box, search for "TLS"
    4. Dubbelklicka på posten för Security. TLS. version. min4. Double-click the entry for security.tls.version.min
    5. Ange heltal svärdet till 3 för att framtvinga TLS 1,2 som minsta version som krävs5. Set the integer value to 3 to force TLS 1.2 as the minimum required version
    6. Klicka på Spara (Markera till höger om rutan värde)6. Click Save (check mark to the right of the value box)
    7. Starta om webbläsaren och kontrol lera att du kan komma åt appen7. Restart your browser and verify that you are able to access the app
    SafariSafari Om du använder Safari version 7 eller senare aktive ras TLS 1,2 automatisktIf you are using Safari version 7 or greater, TLS 1.2 is automatically enabled

Långsam inloggningSlow login

Proxy-länkning och nonce-hantering är några vanliga problem som kan leda till långsamma inloggnings prestanda.Proxy chaining and nonce-handling are some of the common issues that could result in slow login performance.

Rekommenderade åtgärderRecommended steps

  1. Konfigurera din miljö för att ta bort brand vägg och vidarebefordra proxy länkning, ansluta två eller flera proxyservrar för att navigera till den avsedda sidan och andra externa faktorer som kan orsaka långsam inloggnings processen.Configure your environment to remove firewall and forward proxy chaining, connecting two or more proxy servers to navigate to the intended page, and other external factors that can cause slowness in the login process.

    1. Identifiera om proxy-länkning sker i din miljöIdentify if proxy chaining is occurring in your environment
    2. Ta bort ytterligare vidarebefordrande proxyservrar om möjligtRemove additional forward proxies where possible
  2. Inaktivera nonce-hantering för dina appar som inte använder nonce.Turn off nonce-handling for your apps that do not use nonce.

    Anteckning

    Vissa appar använder en nonce-hash under autentiseringen för att förhindra repetitions attacker.Some apps use a nonce hash during authentication to prevent replay attacks. Cloud App Security förutsätter att en app använder ett nonce som standard.By default, Cloud App Security assumes an app uses a nonce. Om appen du arbetar med inte använder nonce kan du inaktivera nonce-hantering för den här appen i Cloud App Security.If the app you are working with does not use nonce, you can disable nonce-handling for this app in Cloud App Security.

    1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan appkontroll för villkorsstyrd åtkomst.In Cloud App Security, in the menu bar, click the settings cog, and then select Conditional Access App Control.
    2. I listan över appar väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app på den rad där appen du konfigurerar visas.In the list of apps, on the row in which the app you are configuring appears, choose the three dots at the end of the row, and then choose Edit app.
    3. Klicka på nonce-hantering för att expandera avsnittet och rensa sedan aktivera hantering av nonce.Click Nonce-handling to expand the section and then clear Enable nonce handling.
    4. Logga ut från appen och Stäng alla webbläsarbaserade sessioner.Log out of the app and close out all browser sessions.
    5. Starta om webbläsaren och logga in på appen och kontrol lera att inloggningen fungerar som förväntat.Restart your browser and login to the app and verify that the login is working as expected.

Annat som är bra att tänka påAdditional considerations

Vid fel sökning av nätverks förhållanden finns det ytterligare saker att tänka på om Cloud App Security proxy.While troubleshooting network conditions, there are some additional things to consider about the Cloud App Security proxy.

  • Sessionen dirigeras till ett annat data CenterSession is being routed to another data center

    Cloud App Security utnyttjar Azure-datacenter runtom i världen för att optimera prestanda via geolokalisering.Cloud App Security leverages Azure Data Centers around the world to optimize performance through geolocation. Det innebär att en användares session kan ligga utanför en region, beroende på trafik mönster och var de befinner sig.This means that a user's session may be hosted outside of a region, depending on traffic patterns and their location. Men för att skydda din integritet lagras inga sessionsdata i dessa data Center.However, to protect your privacy, no session data is stored in these data centers.

  • Proxy-prestandaProxy performance

    Att härleda en bas linje för prestanda beror på många faktorer utanför Cloud App Security proxy, till exempel:Deriving a performance baseline depends on many factors outside of Cloud App Security's proxy, such as:

    • Vilka andra proxyservrar eller gatewayer som ingår i serien med denna proxyWhat other proxies or gateways sit in series with this proxy
    • Var användaren kommer frånWhere the user is coming from
    • Där mål resursen finnsWhere the targeted resource resides
    • Vissa begär Anden på sidanSpecific requests on the page

    I allmänhet kommer alla proxyservrar att lägga till svars tid.In general, any proxy will add latency. Fördelarna med Cloud App Security proxyn är:The advantages of the Cloud App Security proxy are:

    • Genom att dra nytta av den globala tillgängligheten för Azure-domänkontrollanter för att ange att användarna ska kunna ta del av den närmsta noden och minska sitt avstånd på resan till en skala som några tjänster runtom i världen har.Leveraging the global availability of Azure domain controllers to geolocate users to the nearest node and reduce their round-trip distance, on a scale that few services around the world have.
    • Genom att utnyttja integrationen med Azure AD villkorlig åtkomst kan du bara dirigera de sessioner som du vill proxy till tjänsten, i stället för alla användare i alla situationer.Leveraging the integration with Azure AD Conditional Access to only route the sessions you want to proxy to our service, instead of all users in all situations.

Enhets identifieringDevice identification

Cloud App Security innehåller följande alternativ för identifiering av enhetens hanterings tillstånd.Cloud App Security provides the following options for identifying a device's management state.

  1. Microsoft Intune efterlevnadMicrosoft Intune compliance
  2. Hybrid Azure AD-domänanslutnaHybrid Azure AD Domain joined
  3. Klient certifikatClient certificates

Mer information om enhets identifiering finns i identifiering av hanterade enheter.For more information on device identification, see Managed Device Identification.

Vanliga problem med enhets identifiering som kan uppståCommon device identification issues you may encounter include

Felidentifierade Intune-kompatibla eller hybrid Azure AD-anslutna enheterMisidentified Intune Compliant or Hybrid Azure AD joined devices

Villkorlig åtkomst i Azure AD möjliggör att Intune-kompatibel och hybrid Azure AD-ansluten enhets information skickas direkt till Cloud App Security, där enhetens tillstånd kan användas som ett filter för åtkomst-eller sessionstillstånd.Azure AD Conditional Access enables Intune compliant and Hybrid Azure AD joined device information to be passed directly to Cloud App Security, where the device state can be used as a filter for access or session policies. Mer information finns i Introduktion till enhetshantering i Azure Active Directory.For more information, see Introduction to device management in Azure Active Directory.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan Inställningar.In Cloud App Security, in the menu bar, click the settings cog, and then select Settings.

  2. Under appkontroll för villkorsstyrd åtkomst väljer du enhets identifiering.Under Conditional Access App Control, select Device identification. Den här sidan visar de enhets identifierings alternativ som är tillgängliga i Cloud App Security.This page shows the device identification options available in Cloud App Security.

  3. För Intune-kompatibel enhets identifiering och hybrid Azure AD-ansluten identifiering klickar du på Visa konfiguration och kontrollerar att tjänsterna har kon figurer ATS.For Intune compliant device identification and Hybrid Azure AD joined identification respectively, click View configuration and verify that the services are set up.

    Anteckning

    Dessa synkroniseras automatiskt från Azure AD respektive Intune.These are automatically synced from Azure AD and Intune respectively.

  4. Skapa en åtkomst-eller sessionsbiljett med enhets tag filtret som är lika med hybrid Azure AD-ansluten, Intune-kompatibel eller båda.Create an access or session policy with the Device Tag filter equal to Hybrid Azure AD joined, Intune compliant, or both.

  5. Logga in på en enhet som är hybrid Azure AD-ansluten eller Intune-kompatibel baserat på ditt princip filter i en webbläsare.In a browser, log in to a device that is Hybrid Azure AD joined or Intune compliant based on your policy filter.

  6. Verifiera att aktiviteterna från de här enheterna fyller loggen.Verify that activities from these devices are populating the log. I Cloud App Security på sidan aktivitets logg filtrerar du på enhets tag gen som är lika med hybrid Azure AD-ansluten, Intune-kompatibel eller både och utifrån dina princip filter.In Cloud App Security, on the Activity log page, filter on Device Tag equal to Hybrid Azure AD joined, Intune compliant, or both based on your policy filters.

  7. Om aktiviteterna inte fyller i Cloud App Security aktivitets loggen går du till Azure AD och gör följande:If activities are not populating in the Cloud App Security activity log, go to Azure AD and do the following:

    1. > Kontrol lera att det finns inloggnings aktiviteter i loggar under övervaknings inloggningar.Under Monitoring > Sign-ins, verify that there are sign-in activities in logs.
    2. Välj relevant loggpost för enheten som du har loggat in på.Select the relevant log entry for the device you logged into.
    3. I fönstret Information går du till fliken Enhetsinformation och kontrollerar att enheten är Hanterad (Hybrid Azure AD-ansluten) eller Kompatibel (Intune-kompatibel).In the Details pane, on the Device info tab, verify that the device is Managed (Hybrid Azure AD joined) or Compliant (Intune compliant). Om du inte kan verifiera något av tillstånden kan du försöka med en annan loggpost eller kontrollera att enhetsdata är konfigurerade på rätt sätt i Azure AD.If you cannot verify either state, try another log entry or ensure that your device data is configured correctly in Azure AD.
    4. För villkorlig åtkomst kan vissa webbläsare kräva ytterligare konfiguration, till exempel att installera ett tillägg.For Conditional Access, some browsers may require additional configuration such as installing an extension. Använd informationen i support guiden för villkorlig åtkomst för att konfigurera din webbläsare.Use the information in the Conditional Access browser support guide to configure your browser.
    5. Om du fortfarande inte ser enhets informationen på inloggnings sidan öppnar du ett support ärende för Azure AD.If you still do not see the device information in the Sign-ins page, open a support ticket for Azure AD.

Klient certifikat visas inte när det förväntasClient certificates are not prompting when expected

Mekanismen för enhets identifiering kan begära autentisering från relevanta enheter med klient certifikat.The device identification mechanism can request authentication from relevant devices using client certificates. Du kan ladda upp en X. 509-rot eller mellanliggande certifikat utfärdare (CA) som är formaterad i PEM-certifikatets format.You can upload an X.509 root or intermediate certificate authority (CA) formatted in the PEM certificate format. Dessa certifikat måste innehålla certifikat utfärdarens offentliga nyckel, som sedan används för att signera de klient certifikat som visas under en session.These certificates must contain the public key of the CA, which is then used to sign the client certificates presented during a session. Mer information om klient certifikat finns i autentiserade enheter för klient certifikat.For more information about client certificates, see Client-certificate authenticated devices.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan Inställningar.In Cloud App Security, in the menu bar, click the settings cog, and then select Settings.
  2. Under appkontroll för villkorsstyrd åtkomst väljer du enhets identifiering.Under Conditional Access App Control, select Device identification. Den här sidan visar de enhets identifierings alternativ som är tillgängliga i Cloud App Security.This page shows the device identification options available in Cloud App Security.
  3. Kontrol lera att du har överfört en X. 509-rot eller mellanliggande CA.Verify that you uploaded an X.509 root or intermediate CA. Du måste överföra den certifikat utfärdare som används för att signera din aktuella certifikat utfärdare.You must upload the CA that is used to sign your relevant certificate authority.
  4. Skapa en åtkomst-eller sessionsbiljett med enhets tag filtret som är lika med giltigt klient certifikat.Create an access or session policy with the Device Tag filter equal to Valid client certificate.
  5. Kontrol lera att ditt klient certifikat är:Make sure that your client certificate is:
    • distribueras med PKCS #12-filformat, vanligt vis fil namns tillägget. p12 eller. pfxdeployed using the PKCS #12 file format, typically a .p12 or .pfx file extension
    • installeras i användar arkivet, inte enhets arkivet, för enheten som du använder för testninginstalled in the user store, not the device store, of the device you are using for testing
  6. Starta om webbläsarsessionenRestart your browser session
  7. När du loggar in i den skyddade appenWhen logging in to the protected app
    • Kontrol lera att du omdirigeras till URL: en <https://*.managed.access-control.cas.ms/aad_login>Verify that you are redirected to the URL <https://*.managed.access-control.cas.ms/aad_login>
    • Om du använder iOS kontrollerar du att du använder Safari-webbläsarenIf you are using iOS, make sure you are using the Safari browser
    • Om du använder Firefox måste du också lägga till certifikatet i Firefoxs eget certifikat arkiv.If you are using Firefox, you must also add the certificate to Firefox's own certificate store. Alla andra webbläsare använder samma standard certifikat arkiv.All other browsers use the same default certificate store. Lär dig hur du lägger till ett certifikat i certifikat arkivet Firefox.Learn how to add a certificate to the Firefox certificate store.
  8. Verifiera att klient certifikatet visas i din webbläsare.Validate that the client certificate prompted in your browser.
    • Om den inte visas kan du försöka med en annan webbläsare.If it does not appear, try a different browser. De flesta större webbläsare har stöd för att utföra en klient certifikat kontroll.Most major browsers support performing a client certificate check. Mobila och skrivbordsappar använder dock ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.However, mobile and desktop apps often leverage built-in browsers that may not support this check and therefore affect authentication for these apps.
  9. Verifiera att aktiviteterna från de här enheterna fyller loggen.Verify that activities from these devices are populating the log. I Cloud App Security på sidan aktivitets logg filtrerar du på enhets tag gen som är lika med giltigt klient certifikat.In Cloud App Security, on the Activity log page, filter on Device Tag equal to Valid client certificate.
  10. Om du fortfarande inte ser prompten öppnar du ett support ärende och inkluderar följande information:If you still do not see the prompt, open a support ticket and include the following information:
    • Information om webbläsaren eller den inbyggda appen där du har drabbats av problemetThe details of the browser or native app where you experienced the problem
    • Operativ systemets version (t. ex.The operating system version (ex. iOS/Android/Windows 10)iOS/Android/Windows 10)
    • Omnämnande om uppräkningen fungerar på Edge-krometMention if the prompt is working on Edge Chromium

Klient certifikat visas vid varje inloggningClient certificates are prompting at every login

Om du stöter på att klient certifikatet ska visas när du har öppnat en ny flik kan det bero på att inställningarna är dolda i Internet alternativ.If you are experiencing the client certificate popping up after opening a new tab, this might be due to settings hidden within Internet Options.

WebbläsareBrowser StegSteps
Microsoft Internet ExplorerMicrosoft Internet Explorer 1. Öppna Internet Explorer1. Open Internet Explorer
2. Välj > > fliken avancerade verktyg Internet alternativ2. Select Tools > Internet Options > Advance tab
3. under säkerhet väljer du ingen kryss ruta för val av klient certifikat när det bara finns ett certifikat3. Under Security, select Don't prompt for Client Certificate selection when only one certificate exists
4. Välj Använd och välj sedan OK4. Select Apply, and then select OK
5. Starta om webbläsaren och kontrol lera att du har åtkomst till appen utan ytterligare prompter5. Restart your browser and verify that you can access the app without the additional prompts
Microsoft Edge/Edge-kromMicrosoft Edge / Edge Chromium 1. Öppna Sök funktionen i aktivitets fältet och Sök efter "Internet alternativ"1. Open search from the taskbar and search for "Internet Options"
2. Välj Internet alternativ2. Select Internet Options
3. Välj säkerhet, Välj Lokalt intranät och klicka sedan på Anpassad nivå3. Select Security, select Local intranet, and then click Custom level
4. under Diverse > begär inte klient certifikat val när endast ett certifikat finns väljer du inaktivera4. Under Miscellaneous > Don't prompt for Client Certificate selection when only one certificate exists, select Disable
5. Klicka på OK för att stänga dialog rutan anpassad nivå5. Click OK to close the custom level dialog box
6. Klicka på Verkställ och välj sedan OK för att stänga Internet alternativ6. Click Apply, and then select OK to close Internet options
7. Starta om webbläsaren och kontrol lera att du har åtkomst till appen utan ytterligare prompter7. Restart your browser and verify that you can access the app without the additional prompts

Annat som är bra att tänka påAdditional considerations

Vid fel sökning av enhets identifiering finns det några ytterligare saker att tänka på.While troubleshooting device identification, there are some additional things to consider.

  • Protokoll för återkallning av klient certifikatClient Certificate Revocation Protocol

    Du kan kräva åter kallelse av certifikat för klient certifikat.You can require certificate revocation for Client Certificates. Certifikat som har återkallats av certifikat utfärdaren är inte längre betrodda.Certificates that have been revoked by the CA no longer be trusted. Om du väljer det här alternativet krävs alla certifikat för att överföra CRL-protokollet.Selecting this option will require all certificates to pass the CRL protocol. Om klient certifikatet inte innehåller någon slut punkt för återkallade certifikat, kommer du inte att kunna ansluta från den hanterade enheten.If your client certificate does not contain a CRL endpoint, you will not be able to connect from the managed device.

Publicera en appOnboarding an app

Du kan publicera följande typer av appar för åtkomst-och sessionsnycklar:You can onboard the following types of apps for access and session controls:

  • Aktuella appar: appar som följer med sessionen styrs av den som anges av kontroll etiketten för sessionenFeatured apps: Apps that come with session controls out-of-the-box as indicated by the Session control label

  • Alla (anpassade) appar: anpassade verksamhetsspecifika (LOB) eller lokala appar kan registreras för att kontrol lera sessioner av en administratörAny (custom) apps: Custom line-of-business (LOB) or on-premises apps can be onboarded to session controls by an admin

Lista över proxyservrar som visar aktuella och alla (anpassade) appar

När du registrerar en app är det viktigt att se till att du följer varje steg i guiderna för proxy-distribution:When onboarding an app, it is crucial to make sure that you follow each step in the proxy deployment guides:

  1. Distribuera aktuella appar med sessionsbaserade kontrollerDeploy featured apps with session controls
  2. Distribuera anpassade LOB-appar, icke-aktuella SaaS-appar och lokala appar som finns via Azure AD App proxy med sessionsnycklarDeploy custom LOB apps, non-featured SaaS apps, and on-premises apps hosted via the Azure AD app proxy with session controls

Vanliga scenarier som du kan stöta på när du registrerar en app är:Common scenarios you may encounter while onboarding an app include:

Appen visas inte på sidan Appkontroll för villkorsstyrd åtkomst apparApp does not appear on the Conditional Access App Control apps page

När du registrerar en app för att Appkontroll för villkorsstyrd åtkomst, är det sista steget i distributions guiderna att användaren ska gå till appen.When onboarding an app to Conditional Access App Control, the final step in the deployment guides is to have the end user navigate to the app. De rekommendationer som anges nedan är steg som kan göras om appen inte visas när du har gått igenom guiderna.The recommendations listed below are steps that can be done if the app is not appearing after having gone through the guides.

Rekommenderade åtgärderRecommended steps

  1. Kontrol lera att appen uppfyller kraven för den villkorliga åtkomst appenMake sure your app meets the Conditional Access app prerequisites
IdentitetsproviderIdentity provider ValideringarValidations
Azure ADAzure AD 1. kontrol lera att du har en giltig licens för Azure AD Premium P1 förutom en Cloud App Security licens1. Make sure you have a valid license for Azure AD Premium P1 in addition to a Cloud App Security license
2. kontrol lera att appen använder SAML 2,0 eller OpenID Connect-protokollet2. Make sure that the app uses the SAML 2.0 or the OpenID Connect protocol
3. kontrol lera att appens SSO i Azure AD3. Make sure that the app SSO in Azure AD
Tredje partThird-party 1. kontrol lera att du har en giltig Cloud App Security-licens1. Make sure you have a valid Cloud App Security license
2. skapa en duplicerad app2. Create a duplicate app
3. kontrol lera att appen använder SAML-protokollet3. Make sure that the app uses the SAML protocol
4. kontrol lera att appen är fullständigt inbyggd och att appens status är ansluten4. Validate that you have fully onboarded the app and the status of the app is Connected
  1. I din Azure AD-princip under sessionen ser du till att sessionen tvingas dirigera till Cloud App Security, vilket i sin tur gör att appen visas på sidan appkontroll för villkorsstyrd åtkomst appar , enligt följande:In your Azure AD policy, under the Session, make sure that the session is forced to route to Cloud App Security, which will in turn allow the app to appear in on the Conditional Access App Control apps page, as follows:
    1. Appkontroll för villkorsstyrd åtkomst har valtsConditional Access App Control is selected
    2. I list rutan inbyggda principer kontrollerar du att endast övervakaren är markeradIn the built-in policies drop-down, make sure Monitor only is selected
  2. Se till att navigera till appen i en ny webbläsarsession genom att använda ett nytt Incognito läge eller genom att logga in igen.Make sure to navigate to the app in a new browser session by using a new incognito mode or by signing in again.

App-status: Fortsätt installationenApp status: Continue Setup

Appens status kan variera från Fortsätt installationen, ansluten och inga aktiviteter.An app's status can vary from Continue Setup, Connected, and No Activities.

För appar som är anslutna via tredjeparts identitets leverantörer (IdP), om installationen inte är klar, kommer du att se en sida med statusen Fortsätt installationen vid åtkomst till appen.For apps connected via third-party identity providers (IdP), if the setup is not complete, when accessing the app you will see a page with the status of Continue Setup. Använd följande steg för att slutföra installationen.Use the following steps complete the setup.

Rekommenderade åtgärderRecommended steps

  1. Klicka på Fortsätt installationen.Click Continue Setup.
  2. Gå igenom distributions guiden och kontrol lera att du har slutfört alla steg.Go through the deployment guide and verify that you have completed all the steps. Betala särskilt noga om följande:Pay particular attention to the following:
    1. Se till att du skapar en ny anpassad SAML-app.Make sure you create a new custom SAML app. Du behöver detta för att ändra URL: er och SAML-attribut som kanske inte är tillgängliga i Gallery-appar.You need this to change the URLs and SAML attributes that might not be available in gallery apps.
    2. Om din identitetsprovider inte tillåter åter användning av samma identifierare (även kallat entitets-ID eller mål grupp), ändrar du identifieraren för den ursprungliga appen.If your identity provider does not allow the reuse of the same identifier (also known as Entity ID or Audience), change the identifier of the original app.

Det går inte att konfigurera kontroller för inbyggda apparCannot configure controls for native apps

Inbyggda appar kan identifieras heuristiskt och du kan använda åtkomst principer för att övervaka eller blockera dem.Native apps can be detected heuristically and you can use access policies to monitor or block them. Använd följande steg för att konfigurera kontroller för inbyggda appar.Use the following steps to configure controls for native apps.

Rekommenderade åtgärderRecommended steps

  1. I en åtkomst princip lägger du till ett filter för klient program och anger att det är lika med mobil och skriv bord.In an access policy, add a Client app filter, and set it equal to Mobile and desktop.
  2. Under åtgärder väljer du blockera.Under Actions, select Block.
  3. Du kan också anpassa det blockerande meddelande som användarna får när de inte kan hämta filer, till exempel "du måste använda en webbläsare för att få åtkomst till den här appen".Optionally, customize the blocking message that your users get when they're unable to download files, for example, "You must use a web browser to access this app".
  4. Testa och kontrol lera att kontrollen fungerar som förväntat.Test and validate that the control is working as expected.

Sidan okänd app visasApp is not recognized page appears

Cloud App Security kan identifiera över 16 000 appar via Cloud App-katalogen (identifiera -> Cloud App Catalog).Cloud App Security can recognize over 16,000 apps through the cloud app catalog (Discover -> Cloud app catalog). Om du använder en anpassad app som är konfigurerad via Azure AD SSO, som inte är en av 16 000-apparna, kommer du att gå över en app som inte känns igen .If you are using a custom app that is configured through Azure AD SSO that is NOT one of the 16,000 apps, you will come across an App is not recognized page. För att lösa problemet måste du konfigurera appen på Appkontroll för villkorsstyrd åtkomst.To resolve the issue, you must configure the app on the Conditional Access App Control.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan appkontroll för villkorsstyrd åtkomst.In Cloud App Security, in the menu bar, click the settings cog, and then select Conditional Access App Control.
  2. I banderollen klickar du på Visa nya appar.In the banner, click View new apps.
  3. Leta upp den app som du registrerar i listan med nya appar, klicka på + tecknet och klicka sedan på Lägg till.In the list of new apps, locate the app that you are onboarding, click on the + sign, and then click Add.
    1. Välj om appen är en anpassad app eller en standard -app.Select whether the app is a custom or standard app.
    2. Fortsätt genom guiden, kontrol lera att de användardefinierade domänerna är korrekta för den app som du konfigurerar.Continue through the wizard, make sure that specified User-defined domains are correct for the app you are configuring.
  4. Verifiera att appen visas på sidan appkontroll för villkorsstyrd åtkomst appar .Verify the app appears in the Conditional Access App Control apps page.

Alternativet begär sessions kontroll visasRequest session control option appears

När du har lagt till en app kan du se alternativet begär sessions kontroll .After adding an app, you may see the Request session control option. Detta inträffar eftersom endast aktuella appar har inaktuella sessionsnycklar.This occurs because only featured apps have out-of-the-box session controls. För alla andra appar måste du gå igenom en själv onboarding-process.For any other app, you must go through a self-onboarding process.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer Inställningar.In Cloud App Security, in the menu bar, click the settings cog and select Settings.

  2. Under appkontroll för villkorsstyrd åtkomst väljer du app onboarding/Maintenance.Under Conditional Access App Control, select App onboarding/maintenance.

  3. Ange User Principal Name eller e-postadress för de användare som ska registrera appen och klicka sedan på Spara.Enter the user principal name or email for the users that will be onboarding the app, and then click Save.

  4. Gå till den app som du distribuerar.Go to the app that you are deploying. Sidan som visas beror på om appen känns igen.The page you see depends on whether the app is recognized. Gör något av följande:Do one of the following:

    App-statusApp status DescriptionDescription StegSteps
    OkändNot recognized En app som inte känns igen visas där du uppmanas att konfigurera din app.You will see an app not recognized page prompting you to configure your app. 1. Lägg till appen i appkontroll för villkorsstyrd åtkomst.1. Add the app to Conditional Access App Control.
    2. Lägg till domänerna för appenoch gå sedan tillbaka till appen och uppdatera sidan.2. Add the domains for the app, and then return to the app and refresh the page.
    3. installera certifikaten för appen.3. Install the certificates for the app.
    GodkäntsRecognized Du kommer att se en onboarding-sida där du uppmanas att fortsätta med konfigurations processen för appen.You will see an onboarding page prompting you to continue the app configuration process. - Installera certifikaten för appen.- Install the certificates for the app.

    Obs: Kontrol lera att appen är konfigurerad med alla domäner som krävs för att appen ska fungera korrekt.Note: Make sure the app is configured with all domains required for the app to function correctly. Om du vill konfigurera ytterligare domäner, Fortsätt att lägga till domänerna för appenoch gå sedan tillbaka till sidan app.To configure additional domains, proceed to Add the domains for the app, and then return to the app page.

Annat som är bra att tänka påAdditional considerations

När du felsöker onboarding-appar finns det några ytterligare saker att tänka på.While troubleshooting onboarding apps, there are some additional things to consider.

  • Appar i Appkontroll för villkorsstyrd åtkomst överensstämmer inte med Azure AD-apparApps in Conditional Access App Control do not align with Azure AD apps

    Namnen på apparna i Azure AD och Cloud App Security kan variera beroende på hur produkterna identifierar appar.The app names in Azure AD and Cloud App Security may differ based on the ways the products identify apps. Cloud App Security identifierar appar med hjälp av appens domäner och lägger till dem i Cloud App-katalogendär vi har över 16 000 appar.Cloud App Security identifies apps using the app's domains and adds them to the Cloud app catalog, where we have over 16,000 apps. I varje app kan du Visa eller lägga till i en delmängd av domäner.Within each app, there you can view or add to the subset of domains. Azure AD identifierar däremot appar med hjälp av tjänstens huvud namn.In contrast, Azure AD identifies apps using service principals. Mer information finns i app-och tjänst huvud objekt i Azure AD.For more information, see app and Service Principal Objects in Azure AD.

    I praktiken innebär det att att välja SharePoint Online i Azure AD motsvarar att välja appar, till exempel Word Online och Teams, i Cloud App Security eftersom apparna använder sharepoint.com domänen.In practice, it means that selecting SharePoint Online in Azure AD is equivalent to selecting apps, such as Word Online and Teams, in Cloud App Security because the apps use the sharepoint.com domain.

Skapa åtkomst-och sessionstillståndCreating access and session policies

Cloud App Security innehåller följande konfigurerbara principer:Cloud App Security provides the following configurable policies:

  1. Åtkomst principer: för att övervaka eller blockera åtkomst till webbläsare, mobil-och/eller skrivbordsapparAccess policies: To monitor or block access to browser, mobile, and/or desktop apps
  2. Arbetsköprinciper.Session policies. Övervaka, blockera och utföra vissa åtgärder för att förhindra att data intrånget och exfiltrering scenarier i webbläsarenTo monitor, block, and perform specific actions to prevent data infiltration and exfiltration scenarios in the browser

Om du vill använda dessa principer i Cloud App Security måste du först konfigurera en princip i villkorlig åtkomst i Azure AD för att utöka sessions-kontrollerna enligt följande: i Azure AD-principen, under åtkomst kontroller, klickar du på session, väljer Använd appkontroll för villkorsstyrd åtkomst och väljer en inbyggd princip (endast övervaka eller blockera hämtningar) eller använder anpassad princip för att ange en avancerad princip i Cloud App Security. Klicka sedan på Välj.To use these policies in Cloud App Security, you must first configure a policy in Azure AD Conditional Access to extend session controls, as follows: In the Azure AD policy, under Access controls, click Session, select Use Conditional Access App Control and choose a built-in policy (Monitor only or Block downloads) or Use custom policy to set an advanced policy in Cloud App Security, and then click Select.

Vanliga scenarier som du kan stöta på när du konfigurerar dessa principer är:Common scenarios you may encounter while configuring these policies include:

I principer för villkorlig åtkomst kan du inte se alternativet Appkontroll för villkorsstyrd åtkomstIn Conditional Access policies, you cannot see the Conditional Access App Control option

För att dirigera sessioner till Cloud App Security måste villkorliga åtkomst principer för Azure AD konfigureras för att inkludera kontroller för Appkontroll för villkorsstyrd åtkomst-sessioner.To route sessions to Cloud App Security, Azure AD Conditional Access policies must be configured to include Conditional Access App Control session controls.

Rekommenderade åtgärderRecommended steps

  • Om du inte ser alternativet appkontroll för villkorsstyrd åtkomst i den villkorliga åtkomst principen kontrollerar du att du har en giltig licens för Azure AD Premium P1 samt en giltig Cloud App Security licens.If you do not see the Conditional Access App Control option in your Conditional Access policy, make sure that you have a valid license for Azure AD Premium P1 as well as a valid Cloud App Security license.

Fel meddelande när du skapar en princip: du har inte några appar distribuerade med Appkontroll för villkorsstyrd åtkomstError message when creating a policy: You don't have any apps deployed with Conditional Access App Control

När du skapar en åtkomst-eller sessionsbiljett kan du se följande fel meddelande: "du har inga appar distribuerade med Appkontroll för villkorsstyrd åtkomst".When creating an access or session policy, you may see the following error message: "You don't have any apps deployed with Conditional Access App Control". Det här felet indikerar att appen inte har distribuerats.This error indicates that the app has not been deployed.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan appkontroll för villkorsstyrd åtkomst.In Cloud App Security, in the menu bar, click the settings cog, and then select Conditional Access App Control.

  2. Om meddelandet inga appar är anslutna använder du följande guide för att distribuera appar:If you see the message No apps connected, use the following guide to deploy apps:

  3. Om du stöter på problem när du distribuerar appen, se onboarding a app.If you run into any issues while deploying the app, see Onboarding an app.

Det går inte att skapa sessionsnycklar för en appCannot create session policies for an app

När du har lagt till en anpassad app på sidan appkontroll för villkorsstyrd åtkomst appar kan du se alternativet: begär session-kontroll.After adding a custom app, in the Conditional Access App Control apps page, you may see the option: Request session control.

Anteckning

Aktuella appar har inaktuella sessionsnycklar.Featured apps have out-of-the-box session controls. För alla andra appar måste du gå igenom en själv onboarding-process.For any other apps, you must go through a self-onboarding process.

Rekommenderade åtgärderRecommended steps

  1. Använd följande själv indelnings guide för att distribuera alla appar till sessionsbaserade: distribuera anpassade branschspecifika appar, icke-aktuella SaaS-appar och lokala appar som finns via Azure Active Directory (Azure AD) Application Proxy med session Controls.Use the following self-onboarding guide to deploy any app to session control: Deploy custom line-of-business apps, non-featured SaaS apps, and on-premise apps hosted via the Azure Active Directory (Azure AD) Application Proxy with session controls.
  2. Skapa en replikeringsprincip, Välj app -filtret, se till att din app nu visas i list rutan.Create a session policy, select the App filter, make sure that your app is now listed in the dropdown list.

Det går inte att välja kontroll metod: data klassificerings tjänstCannot choose Inspection Method: Data Classification Service

Vid användning av kontroll typen kontroll fil hämtning (med kontroll) i sessionstillstånd kan du använda kontroll metoden för data klassificerings tjänsten för att genomsöka filerna i real tid och identifiera känsligt innehåll som matchar något av de kriterier som du har konfigurerat.In session policies, when using the Control file download (with inspection) session control type, you can use the Data Classification Service inspection method to scan your files in real time and detect sensitive content that matches any of the criteria you have configured. Om gransknings metoden för data klassificerings tjänsten inte är tillgänglig kan du använda följande steg för att undersöka problemet.If the Data Classification Service inspection method is not available, use the following steps to investigate the issue.

Rekommenderade åtgärderRecommended steps

  1. Kontrol lera att kontroll typen för sessionen är inställd på att styra fil hämtningen (med kontroll).Verify that the Session control type is set to Control file download (with inspection).

    Anteckning

    Kontroll metoden för data klassificerings tjänsten är endast tillgänglig för alternativet för hämtning av kontroll fil (med kontroll) .The Data Classification Service inspection method is only available for the Control file download (with inspection) option.

  2. Ta reda på om funktionen för data klassificerings tjänsten är tillgänglig i din region.Determine whether the Data Classification Service feature is available in your region.

    1. Om funktionen inte är tillgänglig i din region använder du den inbyggda metoden för DLP- kontroll.If the feature is not available in your region, use the Built-in DLP inspection method.
    2. Om funktionen är tillgänglig i din region, men du fortfarande inte kan se gransknings metoden för data klassificerings tjänsten , öppnar du ett support ärende.If the feature is available in your region but you still can't see the Data Classification Service inspection method, open a support ticket.

Det går inte att välja åtgärd: skyddaCannot choose Action: Protect

Vid användning av kontroll typen kontroll fil hämtning (med inspektion) i sessionstillstånd, kan du, utöver övervaknings -och blockera -åtgärder, ange skydds åtgärden.In session policies, when using the Control file download (with inspection) session control type, in addition to the Monitor and Block actions, you can specify the Protect action. Med den här åtgärden kan du tillåta fil hämtningar med alternativet att kryptera eller tillämpa behörigheter på filen baserat på villkor, innehålls granskning eller både och.This action enables you to permit file downloads with the option to encrypt or apply permissions to the file based on conditions, content inspection, or both. Om skydds åtgärden inte är tillgänglig kan du använda följande steg för att undersöka problemet.If the Protect action is not available, use the following steps to investigate the issue.

Rekommenderade åtgärderRecommended steps

  1. Om skydds åtgärden inte är tillgänglig eller är nedtonad, kontrollerar du att du har licens för Azure information Protection (AIP) Premium P1.If the Protect action is not available or is greyed out, verify that you have the Azure Information Protection (AIP) Premium P1 license. Mer information finns i Azure information Protection-integrering.For more information, see Azure Information Protection integration.
  2. Om åtgärden skydda är tillgänglig, men inte de lämpliga etiketterna.If the Protect action is available, but are not seeing the appropriate labels.
    1. I Cloud App Security går du till meny raden, klickar på Inställningar kugg hjuls, väljer Azure information Protection och kontrollerar att AIP-integreringen är aktive rad.In Cloud App Security, in the menu bar, click the settings cog, select Azure Information Protection, and verify that the AIP integration is enabled.
    2. Se till att enhetlig etikettering är MARKERAT på AIP-portalen för Office-etiketter.For Office labels, in the AIP portal, make sure Unified Labeling is selected.

Annat som är bra att tänka påAdditional considerations

När du felsöker onboarding-appar finns det några ytterligare saker att tänka på.While troubleshooting onboarding apps, there are some additional things to consider.

  • Förstå skillnaden mellan princip inställningarna för villkorlig åtkomst i Azure AD: "övervaka endast", "blockera nedladdning" och "Använd anpassad princip"Understanding the difference between the Azure AD Conditional Access policy settings: "Monitor only", "Block downloads", and "Use custom policy"

    I Azure AD-principer för villkorlig åtkomst kan du konfigurera följande inbyggda Cloud App Securitys kontroller: övervaka endast och blockera hämtningar.In Azure AD Conditional Access policies, you can configure the following built-in Cloud App Security controls: Monitor only and Block downloads. Detta gäller och tillämpar den Cloud App Security proxy-funktionen för molnappar och villkor som kon figurer ATS i Azure AD.This applies and enforces the Cloud App Security proxy feature for cloud apps and conditions configured in Azure AD. För mer komplexa principer väljer du Använd anpassad princip, vilket gör att du kan konfigurera åtkomst-och sessionstillstånd i Cloud App Security.For more complex policies, select Use custom policy, which allows you to configure access and session policies in Cloud App Security.

  • Att förstå filter alternativet "mobil och stationär" klient program filter i åtkomst principerUnderstanding the "Mobile and desktop" client app filter option in access policies

    I Cloud App Security åtkomst principer, om inte klientens program filter specifikt är inställt på mobil och skriv bord, kommer den resulterande åtkomst principen endast att gälla för webbläsarbaserade sessioner.In Cloud App Security access policies, unless the Client app filter is specifically set to Mobile and desktop, the resulting access policy will only apply to browser sessions. Orsaken till detta är att förhindra oavsiktligt proxy för användarsessioner, som kan vara en byproduct med det här filtret.The reason for this, is to prevent inadvertently proxying user sessions, which may be a byproduct of using this filter.

Problem som har uppstått av slutanvändareIssues experienced by end users

Det här avsnittet är för slutanvändare som använder appar som skyddas av Cloud App Security och som hjälper dig att identifiera vanliga situationer som kan uppstå i följande områden:This section is for end users using apps protected by Cloud App Security and helps identify common situations that may arise in the following areas:

Sidan användar övervakning visas inteUser monitoring page is not appearing

När du dirigerar en användare via Cloud App Security kan du meddela användaren att deras session ska övervakas.When routing a user through the Cloud App Security, you can notify the user that their session will be monitored. Sidan användar övervakning är aktive rad som standard.By default, the user monitoring page is enabled.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan Inställningar.In Cloud App Security, in the menu bar, click the settings cog, and then select Settings.

  2. Under appkontroll för villkorsstyrd åtkomst väljer du användar övervakning.Under Conditional Access App Control, select User monitoring. Den här sidan visar de användar övervaknings alternativ som är tillgängliga i Cloud App Security.This page shows the user monitoring options available in Cloud App Security.

    Skärm bild som visar alternativ för användar övervakning

  3. Kontrol lera att alternativet meddela användare att deras aktivitet är övervakat är markerat.Verify that the Notify users that their activity is being monitored option is selected.

  4. Välj om du vill använda standard meddelandet eller ange ett anpassat meddelande.Choose whether you want to use the default message or provide a custom message.

    MeddelandetypMessage type InformationDetails
    StandardvärdeDefault Sidhuvud:Header:
    Åtkomst till [appens namn kommer att visas här] övervakasAccess to [App Name Will Appear Here] is monitored
    Brödtext:Body:
    För förbättrad säkerhet ger din organisation åtkomst till [App Name kommer att visas här] i övervaknings läge.For improved security, your organization allows access to [App Name Will Appear Here] in monitor mode. Åtkomst är endast tillgänglig från en webbläsare.Access is only available from a web browser.
    AnpassadCustom Sidhuvud:Header:
    Använd den här rutan för att ange en anpassad rubrik som informerar användarna om att de övervakas.Use this box to provide a custom heading to inform users they are being monitored.
    Brödtext:Body:
    Använd den här rutan om du vill lägga till ytterligare anpassad information för användaren, t. ex. vem som ska kontaktas och har stöd för följande indata: oformaterad text, RTF-text, hyperlänkar.Use this box to add additional custom information for the user, such as who to contact with questions, and supports the following inputs: plain text, rich text, hyperlinks.
  5. Klicka på Förhandsgranska för att verifiera sidan för användar övervakning som visas innan du öppnar en app.Click Preview to verify the user monitoring page that appears before accessing an app.

  6. Klicka på Spara.Click Save.

Det går inte att komma åt appen från en tredjeparts identitets leverantörNot able to access app from a third-party Identity Provider

Om en slutanvändare får ett allmänt haveri efter att ha loggat in på en app från en tredjeparts identitet, verifierar du IdP-konfigurationen från tredje part.If an end user is receiving a general failure after logging into an app from a third-party Identity Provider, validate the third-party IdP configuration.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, i meny raden, klickar du på inställningarna kugg hjuls och väljer sedan appkontroll för villkorsstyrd åtkomst.In Cloud App Security, in the menu bar, click the settings cog, and then select Conditional Access App Control.
  2. I listan över appar väljer du de tre punkterna i slutet av raden och väljer sedan Redigera app på den rad där appen som du inte kan komma åt visas.In the list of apps, on the row in which the app you are not able to access appears, choose the three dots at the end of the row, and then choose Edit app.
    1. Verifiera att SAML-certifikatet som överfördes är korrektValidate that the SAML certificate that was uploaded is correct
    2. Verifiera att giltiga SSO-URL: er har angetts i appens konfigurationVerify that valid SSO URLs have been provided in the app configuration
    3. Kontrol lera att attribut och värden i den anpassade appen avspeglas i skärm bilden för ID-providern som  visar sidan för att samla in identitets leverantörer SAMLValidate that the attributes and values in the custom app are reflected in identity provider settings Screenshot showing gather identity providers SAML information page
  3. Om du fortfarande inte kan komma åt appen öppnar du ett support ärende.If you still can't access the app, open a support ticket.

Något gick fel sida visasSomething Went Wrong page appears

Ibland går det inte att komma till fel sida under en proxy-session.Sometimes during a proxied session, the Something Went Wrong page may appear. Detta kan inträffa när:This can happen when:

  1. En användare loggar in när den varit inaktiv under en stundA user logs in after being idle for a while
  2. Det tar längre tid än förväntat att uppdatera webbläsaren och sid inläsningRefreshing the browser and the page load takes longer than expected
  3. IdP-appen från tredje part är inte korrekt konfigureradThe third-party IdP app is not configured correctly

Rekommenderade åtgärderRecommended steps

  1. Om slutanvändaren försöker få åtkomst till en app som har kon figurer ATS med en IdP från tredje part, se inte att det går att komma åt appen från en IDP -och app-status i tredje part : Fortsätt installationen.If the end user is trying to access an app that is configured using a third-party IdP, see Not able to access app from a third-party IdP and App status: Continue Setup.
  2. Om slutanvändaren inte kunde nå den här sidan, gör du följande:If the end user unexpectedly reached this page, do the following:
    1. Starta om webbläsarsessionenRestart your browser session
    2. Rensa historik, cookies och cache från webbläsarenClear history, cookies, and cache from the browser

Urklipps åtgärder eller fil kontroller blockeras inteClipboard actions or file controls are not being blocked

Möjligheten att blockera urklipps åtgärder som klipp ut, kopiera, klistra in och fil kontroller som att ladda ned, ladda upp och skriva ut krävs för att förhindra data exfiltrering-och intrånget-scenarier.The ability to block clipboard actions such as cut, copy, paste, and file controls such as download, upload, and print is required to prevent data exfiltration and infiltration scenarios. Den här möjligheten gör det möjligt för företag att balansera säkerhet och produktivitet för slutanvändare.This ability enables companies to balance security and productivity for end users. Om du har problem med dessa funktioner kan du använda följande steg för att undersöka problemet.If you are experiencing problems with these features, use the following steps to investigate the issue.

Rekommenderade åtgärderRecommended steps

Om sessionen är proxy använder du följande steg för att verifiera principen:If the session is being proxied, use the following steps to verify the policy:

  1. I Cloud App Security, under Undersök, väljer du aktivitets logg.In Cloud App Security, under Investigate, Select Activity log.
  2. Använd avancerat filter, Välj tillämpad åtgärd och ange dess värde som är lika med blockerat.Use the advanced filter, select Applied action and set its value equal to Blocked.
  3. Kontrol lera att det finns blockerade fil aktiviteter.Verify that there are blocked file activities.
    1. Om det finns en aktivitet expanderar du aktivitets lådan genom att klicka på aktivitetenIf there is an activity, expand the activity drawer by clicking on the activity
    2. På fliken Allmänt i aktivitets lådan klickar du på länken matchade principer för att kontrol lera att principen som du tillämpar är tillgänglig.On the activity drawer's General tab, click the matched policies link, to verify the policy you enforced is present.
    3. Om du inte ser principen, se skapa åtkomst-och sessionstillstånd.If you do not see your policy, see Creating access and session policies.
    4. Om du ser åtkomst som blockeras/tillåts på grund av standard beteende, indikerar detta att systemet var nere och att standard beteendet tillämpades.If you see Access blocked/allowed due to Default Behavior, this indicates that the system was down and the default behavior was applied.
      1. Ändra standard beteendet genom att i Cloud App Security på Meny raden klickar du på kugg hjuls inställningar och väljer Inställningar.To change the default behavior, in Cloud App Security, in the menu bar, click the settings cog and select Settings. Välj sedan standard beteende under appkontroll för villkorsstyrd åtkomst och Ställ in standard beteendet för att tillåta eller blockera åtkomst.Then under Conditional Access App Control, select Default Behavior, and set the default behavior to Allow or Block access.
      2. Gå till https://status.cloudappsecurity.com/ och övervaka meddelanden om system stillestånds tid.Go to https://status.cloudappsecurity.com/ and monitor notifications about system downtime.
  4. Om du fortfarande inte kan se blockerad aktivitet öppnar du ett support ärende.If you still not able to see blocked activity, open a support ticket.

Hämtningar skyddas inteDownloads are not being protected

Som slutanvändare kan det vara nödvändigt att hämta känsliga data på en ohanterad enhet.As an end user, downloading sensitive data on an unmanaged device might be necessary. I dessa scenarier kan du skydda dokument med Azure Information Protection.In these scenarios, you can protect documents with Azure Information Protection. Om slutanvändaren inte kunde kryptera dokumentet kan du använda följande steg för att undersöka problemet.If the end user was not able to successfully encrypt the document, use the following steps to investigate the issue.

Rekommenderade åtgärderRecommended steps

  1. I Cloud App Security, under Undersök, väljer du aktivitets logg.In Cloud App Security, under Investigate, Select Activity log.
  2. Använd avancerat filter, Välj tillämpad åtgärd och ange dess värde som lika med skyddad.Use the advanced filter, select Applied action and set its value equal to Protected.
  3. Kontrol lera att det finns blockerade fil aktiviteter.Verify that there are blocked file activities.
    1. Om det finns en aktivitet expanderar du aktivitets lådan genom att klicka på aktivitetenIf there is an activity, expand the activity drawer by clicking on the activity
    2. På fliken Allmänt i aktivitets lådan klickar du på länken matchade principer för att kontrol lera att principen som du tillämpar är tillgänglig.On the activity drawer's General tab, click the matched policies link, to verify the policy you enforced is present.
    3. Om du inte ser principen, se skapa åtkomst-och sessionstillstånd.If you do not see your policy, see Creating access and session policies.
    4. Om du ser åtkomst som blockeras/tillåts på grund av standard beteende, indikerar detta att systemet var nere och att standard beteendet tillämpades.If you see Access blocked/allowed due to Default Behavior, this indicates that the system was down and the default behavior was applied.
      1. Ändra standard beteendet genom att i Cloud App Security på Meny raden klickar du på kugg hjuls inställningar och väljer sedan Inställningar.To change the default behavior, in Cloud App Security, in the menu bar, click the settings cog, and then select Settings. Välj sedan standard beteende under appkontroll för villkorsstyrd åtkomst och Ställ in standard beteendet för att tillåta eller blockera åtkomst.Then under Conditional Access App Control, select Default Behavior, and set the default behavior to Allow or Block access.
      2. Gå till https://status.cloudappsecurity.com/ och övervaka meddelanden om system stillestånds tid.Go to https://status.cloudappsecurity.com/ and monitor notifications about system downtime.
    5. Om du skyddar filen med en AIP-etikett eller anpassade behörigheter kontrollerar du att fil namns tillägget är en av följande filtyper som stöds i aktivitets beskrivningen:If you are protecting the file with an AIP label or custom permissions, in the Activity description, make sure the file extension is one of the following supported file types:
      • Word: docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
      • Excel: xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
      • PDF * om enhetlig etikettering har Aktiver ATSPDF* if Unified Labeling is enabled
    • Om filtypen inte stöds, kan du i replikeringsprincipen välja Blockera hämtning av alla filer som inte stöds av det inbyggda skyddet eller där det ursprungliga skyddet Miss lyckas.If the file type is not supported, in the session policy, you can select Block download of any file that in unsupported by native protection or where native protection is unsuccessful.
  4. Om du fortfarande inte kan se blockerad aktivitet öppnar du ett support ärende.If you still not able to see blocked activity, open a support ticket.

Alla proxyservrar som suffixs-URL: er är känsliga för kontext förlust, ett problem där du navigerar till en länk förlorar den fullständiga sökvägen till länken och är vanligt vis lokalt på appens start sida.All proxies that suffix URLs are susceptible to context loss, an issue where navigating to a link loses the full path of the link and typically lands on the home page of the app. Cloud App Security är unikt placerade för att lösa den här begränsningen och lösa kontext förlusten genom att partner samarbetar med Microsoft och leverantörer som inte kommer från Microsoft.Cloud App Security is uniquely positioned to address this limitation and solve context loss by partnering with Microsoft and non-Microsoft vendors.

Appar på vår aktuella Apps-sida markerad som (för hands version) kan ha drabbats av kontext förlust.Apps on our featured apps page marked as (preview) may suffer from context loss. På samma sätt kan kontext förlusten orsakas av globala principer som blockerar cookies från tredje part eller spårning mellan platser.Similarly, context loss can be caused by global policies that block third-party cookies or cross-site tracking. Du kan åtgärda problemet genom att inaktivera de här alternativen.You can remediate the issue by disabling these options. Skicka ett support ärende för appar som inte är aktuella för att få kontext förlust.For non-featured apps experiencing context loss, please submit a support ticket. Vi arbetar med varje app-Provider individuellt för att åtgärda dessa grund problem.We are working with each app provider individually to fix these core issues.

Som en tillfällig lösning kan du lösa problem med kontext förlust enligt följande:As a temporary mitigation, you can workaround context loss issues, as follows:

  1. Navigera till en URL där kontext förlust sker.Navigate to a URL where context loss occurs.
  2. Anteckna URL-domänen för suffix, inklusive suffix som lagts till av Cloud App Security, till exempel https://www.yammer.com.us2.cas.ms .Make a note of the suffixed URL domain including the suffix added by Cloud App Security, for example https://www.yammer.com.us2.cas.ms.
  3. Kopiera sökvägen från den ursprungliga URL: en, till exempel om den ursprungliga specifika URL: en var https://www.yammer.com/organization/threads/threadnumber kopia /organization/threads/threadnumber .Copy the path from the original URL, for example if the original particular URL was https://www.yammer.com/organization/threads/threadnumber, copy /organization/threads/threadnumber.
  4. Lägg till den kopierade sökvägen till domänen med suffix, till exempel https://www.yammer.com.us2.cas.ms/organization/threads/threadnumber .Append the copied path to the suffixed domain, for example https://www.yammer.com.us2.cas.ms/organization/threads/threadnumber.
  5. Navigera till den nya suffix-URL: en.Navigate to the new suffixed URL.

Annat som är bra att tänka påAdditional considerations

När du felsöker appar finns det några ytterligare saker att tänka på.While troubleshooting apps, there are some additional things to consider.

  • Stöd för sessioner för moderna webbläsareSession controls support for modern browsers

    Cloud App Security-sessionsnycklar har nu stöd för den nya Microsoft Edge-webbläsaren baserat på krom.Cloud App Security session controls now includes support for the new Microsoft Edge browser based on Chromium. Även om vi fortsätter att stödja de senaste versionerna av Internet Explorer och den äldre versionen av Microsoft Edge, är stödet begränsat och vi rekommenderar att du använder den nya Microsoft Edge-webbläsaren.Whilst we'll continue supporting the most recent versions of Internet Explorer and the legacy version of Microsoft Edge, the support will be limited and we recommend using the new Microsoft Edge browser.

  • Dubbel inloggningDouble login

    En dubbel inloggning inträffar på grund av den förmodade användningen av ett nonce, en kryptografisk token som används av appar för att förhindra repetitions attacker.A double login occurs due to the presumed use of a nonce, a cryptographic token used by apps to prevent replay attacks. Cloud App Security förutsätter att en app använder ett nonce som standard.By default, Cloud App Security assumes an app uses a nonce. Om du är säker på att appen inte använder ett nonce-certifikat kan du inaktivera det genom att redigera appen i Cloud App Security. problemet löses.If you are confident the app does not use a nonce, you can disable this by editing the app in Cloud App Security and the issue will be resolved. Anvisningar om hur du inaktiverar nonce finns i långsamma inloggningar.For steps to disable nonce, see Slow login.

    Om appen använder en nonce och den här funktionen inte kan inaktive ras, kan den andra inloggningen vara transparent för användarna, eller så kan de uppmanas att logga in igen.If the app uses a nonce and this feature cannot be disabled, the second login may be transparent to users, or they may be prompted to log in again.

  • Att för hands Visa eller skriva ut PDF-filer kan vara blockeradePreviewing or printing PDF files may be blocked

    Detta är normalt när en princip har kon figurer ATS för att blockera hämtningar.This is normal behavior when you have a policy configured to block downloads. Ibland när du för hands Grans kar eller skriver ut PDF-filer, initierar appar en hämtning av filen som orsakar Cloud App Security att gå igenom för att se till att nedladdningen är blockerad och att data inte läcker ut från din miljö.Occasionally when previewing or printing PDF files, apps initiate a download of the file causing Cloud App Security to intervene to ensure the download is blocked and that data is not leaked from your environment.

    Om du vill tillåta att PDF-filer laddas ned kan du utesluta PDF-filer baserat på deras fil namns tillägg i den aktuella replikeringsprincipen.If you would like to allow PDF file downloads, you can exclude PDF files based on their file extension in the relevant session policy.