Son kullanıcılar için erişim ve oturum denetimlerinin sorunlarını giderme
Bu makalede, Bulut için Microsoft Defender Uygulamaları yöneticilerine, son kullanıcılar tarafından karşılaşılan yaygın erişim ve oturum denetimi sorunlarını araştırma ve çözme yönergeleri sağlanır.
En düşük gereksinimleri denetleyin
Sorun gidermeye başlamadan önce, ortamınızın erişim ve oturum denetimleri için aşağıdaki en düşük genel gereksinimleri karşıladığından emin olun.
| Gereksinim | Açıklama |
|---|---|
| Lisanslama | Bulut için Microsoft Defender Uygulamaları için geçerli bir lisansınız olduğundan emin olun. |
| Çoklu Oturum Açma (SSO) | Uygulamalar desteklenen çoklu oturum açma (SSO) çözümlerinden biriyle yapılandırılmalıdır: - SAML 2.0 veya OpenID Bağlan 2.0 kullanan Microsoft Entra Id - SAML 2.0 kullanan Microsoft dışı IdP |
| Tarayıcı desteği | Oturum denetimleri, aşağıdaki tarayıcıların en son sürümlerinde tarayıcı tabanlı oturumlar için kullanılabilir: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge için tarayıcı içi koruma, kullanıcının iş profiliyle oturum açması da dahil olmak üzere belirli gereksinimlere de sahiptir. Daha fazla bilgi için bkz . Tarayıcı içi koruma gereksinimleri. |
| Kesinti | Bulut için Defender Uygulamaları, bir bileşenin düzgün çalışmaması gibi bir hizmet kesintisi olduğunda uygulanacak varsayılan davranışı tanımlamanıza olanak tanır. Örneğin, normal ilke denetimleri uygulanamazken kullanıcıların hassas olabilecek içerik üzerinde eylem gerçekleştirmesini sağlamlaştırmayı (engellemeyi) veya atlamayı (izin vermeyi) seçebilirsiniz. Sistem kapalı kalma süresi sırasında varsayılan davranışı yapılandırmak için Microsoft Defender XDR'de Ayarlar> Konullu Erişim Uygulama Denetimi>Varsayılan davranışı Erişime izin ver veya Erişimi engelle'ye>gidin. |
Kullanıcı izleme sayfası görünmüyor
Bir kullanıcıyı Bulut için Defender Uygulamaları aracılığıyla yönlendirirken, kullanıcıya oturumunun izlendiğini bildirebilirsiniz. Varsayılan olarak, kullanıcı izleme sayfası etkindir.
Bu bölümde, kullanıcı izleme sayfası etkinse ancak beklendiği gibi görünmüyorsa izlemenizi önerdiğimiz sorun giderme adımları açıklanmaktadır.
Önerilen adımlar
Microsoft Defender Portalı'nda Ayarlar> Cloud Uygulamaları'nı seçin.
Koşullu Erişim Uygulama Denetimi'nin altında Kullanıcı izleme'yi seçin. Bu sayfada, Bulut için Defender Uygulamalarında kullanılabilen kullanıcı izleme seçenekleri gösterilir. Exmaple için:
Kullanıcılara etkinliklerinin izlendiğini bildir seçeneğinin belirlendiğini doğrulayın.
Varsayılan iletiyi kullanmak mı yoksa özel ileti mi sağlamak istediğinizi seçin:
İleti türü Ayrıntılar Varsayılan Üst Bilgi:
[Uygulama Adı Burada Görünecek] erişimi izleniyor
Gövde:
Gelişmiş güvenlik için, kuruluşunuz izleme modunda [Uygulama Adı Burada Görünecek] erişimine izin verir. Erişim yalnızca bir web tarayıcısından kullanılabilir.Özel Üst Bilgi:
Kullanıcılara izlendiklerini bildiren özel bir başlık sağlamak için bu kutuyu kullanın.
Gövde:
Kullanıcıya sorularla kimlerin iletişim kuracakları gibi diğer özel bilgileri eklemek için bu kutuyu kullanın ve şu girişleri destekler: düz metin, zengin metin, köprüler.Uygulamaya erişmeden önce görüntülenen kullanıcı izleme sayfasını doğrulamak için Önizleme'yi seçin.
Kaydet'i seçin.
Microsoft dışı bir Kimlik Sağlayıcısından uygulamaya erişilemedi
Bir son kullanıcı Microsoft dışı bir Kimlik Sağlayıcısından bir uygulamada oturum açtıktan sonra genel bir hata alırsa, Microsoft dışı IdP yapılandırmasını doğrulayın.
Önerilen adımlar
Microsoft Defender Portalı'nda Ayarlar> Cloud Uygulamaları'nı seçin.
Bağlan uygulamalar'ın altında Koşullu Erişim Uygulama Denetimi uygulamaları'nı seçin.
Uygulama listesinde, erişemezseniz uygulamanın görüntülendiği satırda, satırın sonundaki üç noktayı seçin ve ardından Uygulamayı düzenle'yi seçin.
Karşıya yüklenen SAML sertifikasının doğru olduğunu doğrulayın.
Uygulama yapılandırmasında geçerli SSO URL'lerinin sağlandığını doğrulayın.
Özel uygulamadaki özniteliklerin ve değerlerin kimlik sağlayıcısı ayarlarına yansıtıldığını doğrulayın.
Örneğin:
.Uygulamaya hala erişemiyorsanız bir destek bileti açın.
Bir Sorun Oluştu sayfası görüntülenir
Bazen proksit oturumu sırasında Bir Sorun Oluştu sayfası görünebilir. Bu, aşağıdaki durumlarda oluşabilir:
- Kullanıcı bir süre boşta kaldığında oturum açar
- Tarayıcıyı ve sayfa yüklemesini yenilemek beklenenden uzun sürüyor
- Microsoft dışı IdP uygulaması doğru yapılandırılmamış
Önerilen adımlar
Son kullanıcı Microsoft dışı bir IdP kullanarak yapılandırılmış bir uygulamaya erişmeye çalışıyorsa, bkz . Microsoft idp olmayan bir uygulamadan uygulamaya erişilemedi ve Uygulama durumu: Kuruluma devam etme.
Son kullanıcı beklenmedik bir şekilde bu sayfaya ulaştıysa aşağıdakileri yapın:
- Tarayıcı oturumunuzu yeniden başlatın.
- Tarayıcıdan geçmişi, tanımlama bilgilerini ve önbelleği temizleyin.
Pano eylemleri veya dosya denetimleri engellenmiyor
Kesme, kopyalama, yapıştırma ve indirme, karşıya yükleme ve yazdırma gibi dosya denetimleri gibi pano eylemlerini engelleme özelliği, veri sızdırma ve sızma senaryolarını önlemek için gereklidir.
Bu özellik, şirketlerin son kullanıcılar için güvenlik ve üretkenlik dengelemesine olanak tanır. Bu özelliklerle ilgili sorun yaşıyorsanız, sorunu araştırmak için aşağıdaki adımları kullanın.
Not
Aynı Excel belgesi içindeki veriler için kesme, kopyalama ve yapıştırma engellenmez. Yalnızca dış konumlara kopyalama engellenir.
Önerilen adımlar
Oturum proksid ediliyorsa, ilkeyi doğrulamak için aşağıdaki adımları kullanın:
Microsoft Defender Portalı'nda, Cloud Apps'in altında Etkinlik günlüğü'nü seçin.
Gelişmiş filtreyi kullanın, Uygulanan eylem'i seçin ve değerini Engellendi olarak ayarlayın.
Engellenen dosya etkinlikleri olduğunu doğrulayın:
Etkinlik varsa, etkinliğe tıklayarak etkinlik çekmecesini genişletin.
Uyguladığınız ilkenin mevcut olduğunu doğrulamak için etkinlik çekmecesinin Genel sekmesinde eşleşen ilkeler bağlantısını seçin.
İlkenizi görmüyorsanız bkz . Erişim ve oturum ilkeleri oluştururken karşılaşılan sorunlar.
Varsayılan Davranış nedeniyle Erişim engellendi/izin verildi ifadesini görürseniz bu, sistemin kapalı olduğunu ve varsayılan davranışın uygulandığını gösterir.
Varsayılan davranışı değiştirmek için Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Ardından Koşullu Erişim Uygulama Denetimi'nin altında Varsayılan Davranış'ı seçin ve varsayılan davranışı Erişime izin ver veya engelle olarak ayarlayın.
Microsoft 365 yönetim portalına gidin ve sistem kapalı kalma süresiyle ilgili bildirimleri izleyin.
Engellenen etkinliği hala göremiyorsanız bir destek bileti açın.
İndirmeler korunmuyor
Son kullanıcı olarak, yönetilmeyen bir cihaza hassas verilerin indirilmesi gerekebilir. Bu senaryolarda belgeleri Microsoft Purview Bilgi Koruması ile koruyabilirsiniz.
Son kullanıcı belgeyi başarıyla şifreleyemiyorsa, sorunu araştırmak için aşağıdaki adımları kullanın.
Önerilen adımlar
Microsoft Defender Portalı'nda, Cloud Apps'in altında Etkinlik günlüğü'nü seçin.
Gelişmiş filtreyi kullanın, Uygulanan eylem'i seçin ve değerini Korumalı olarak ayarlayın.
Engellenen dosya etkinlikleri olduğunu doğrulayın:
Etkinlik varsa, etkinliğe tıklayarak etkinlik çekmecesini genişletin
Uyguladığınız ilkenin mevcut olduğunu doğrulamak için etkinlik çekmecesinin Genel sekmesinde eşleşen ilkeler bağlantısını seçin.
İlkenizi görmüyorsanız bkz . Erişim ve oturum ilkeleri oluştururken karşılaşılan sorunlar.
Varsayılan Davranış nedeniyle Erişim engellendi/izin verildi ifadesini görürseniz bu, sistemin kapalı olduğunu ve varsayılan davranışın uygulandığını gösterir.
Varsayılan davranışı değiştirmek için Microsoft Defender Portalı'nda Ayarlar'ı seçin. Ardından Cloud Apps'i seçin. Ardından Koşullu Erişim Uygulama Denetimi'nin altında Varsayılan Davranış'ı seçin ve varsayılan davranışı Erişime izin ver veya engelle olarak ayarlayın.
Microsoft 365 Hizmet Durumu Panosu'na gidin ve sistem kapalı kalma süresiyle ilgili bildirimleri izleyin.
Dosyayı bir AIP etiketi veya özel izinlerle koruyorsanız, Etkinlik açıklamasında dosya uzantısının aşağıdaki desteklenen dosya türlerinden biri olduğundan emin olun:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Birleştirilmiş Etiketleme etkinse PDF
Dosya türü desteklenmiyorsa, oturum ilkesinde Yerel koruma tarafından desteklenmeyen veya yerel korumanın başarısız olduğu herhangi bir dosyanın indirilmesini engelle'yi seçebilirsiniz.
Engellenen etkinliği hala göremiyorsanız bir destek bileti açın.
Son ekli uygulamanın belirli bir URL'sine gitme ve genel bir sayfaya giriş
Bazı senaryolarda bağlantıya gitmek, kullanıcının bağlantının tam yolu yerine uygulamanın giriş sayfasına girişine neden olabilir.
İpucu
Bulut için Defender Uygulamalar, bağlam kaybı yaşadığı bilinen uygulamaların listesini tutar. Daha fazla bilgi için bkz . Bağlam kaybı sınırlamaları.
Önerilen adımlar
Microsoft Edge dışında bir tarayıcı kullanıyorsanız ve kullanıcı bağlantının tam yolu yerine uygulamanın giriş sayfasına geliyorsa, özgün URL'ye ekleyerek .mcas.ms sorunu çözün.
Örneğin, özgün URL şöyleyse:
https://www.github.com/organization/threads/threadnumberolarak değiştirin https://www.github.com.mcas.ms/organization/threads/threadnumber
Microsoft Edge kullanıcıları tarayıcı içi korumadan yararlanılır, ters ara sunucuya yönlendirilmediğinden son ekin .mcas.ms eklenmesi gerekmez. Bağlam kaybı yaşayan uygulamalar için bir destek bileti açın.
İndirmeleri engelleme, PDF önizlemelerinin engellenmesine neden oluyor
Bazen, PDF dosyalarını önizlerken veya yazdırırken, uygulamalar dosyanın indirilmesini başlatır. Bu, Bulut için Defender Uygulamaların indirmenin engellendiğinden ve verilerin ortamınızdan sızdırılamadığından emin olmak için müdahale etmelerine neden olur.
Örneğin, Outlook Web Access 'e (OWA) yönelik indirmeleri engellemek için bir oturum ilkesi oluşturduysanız, PDF dosyalarının önizlemesi veya yazdırılması aşağıdaki gibi bir iletiyle engellenebilir:
Önizlemeye izin vermek için Exchange yöneticisi aşağıdaki adımları gerçekleştirmelidir:
Modüle Bağlan. Daha fazla bilgi için bkz. Exchange Online PowerShell'e Bağlan.
Exchange Online PowerShell'e bağlandıktan sonra, ilkedeki parametreleri güncelleştirmek için Set-OwaMailboxPolicy cmdlet'ini kullanın:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseNot
OwaMailboxPolicy-Default ilkesi, Exchange Online'da varsayılan OWA ilke adıdır. Bazı müşteriler başka bir adla ek dağıtmış veya özel bir OWA ilkesi oluşturmuş olabilir. Birden çok OWA ilkeniz varsa, bunlar belirli kullanıcılara uygulanabilir. Bu nedenle, tam kapsamlı olması için bunları da güncelleştirmeniz gerekir.
Bu parametreler ayarlandıktan sonra, PDF dosyası ve indirmeleri engelleyecek şekilde yapılandırılmış bir oturum ilkesiyle OWA'da bir test çalıştırın. İndir seçeneği açılan listeden kaldırılmalıdır ve dosyanın önizlemesini görüntüleyebilirsiniz. Örneğin:
Benzer site uyarısı görüntülenir
Kötü amaçlı aktörler, diğer sitelerin URL'lerine benzer URL'ler oluşturabilir ve kullanıcıları başka bir siteye göz attığını düşünmeleri için kandırabilir. Bazı tarayıcılar bu davranışı algılamaya çalışır ve URL'ye erişmeden veya erişimi engellemeden önce kullanıcıları uyarır.
Bazı nadir durumlarda, oturum denetimi altındaki kullanıcılar tarayıcıdan şüpheli site erişimini belirten bir ileti alır. Bunun nedeni, tarayıcının son ekli etki alanını (örneğin: .mcas.ms) şüpheli olarak kabul ediyor olmasıdır.
Bu ileti yalnızca Chrome kullanıcıları için görünür. Microsoft Edge kullanıcıları tarayıcı içi korumadan yararlandıkça, ters proxy mimarisi olmadan. Örneğin:
Bunun gibi bir ileti alırsanız ilgili tarayıcı satıcısıyla iletişime geçmek için Microsoft'un desteğine başvurun.
İkinci oturum açma ('ikinci oturum açma' olarak da bilinir)
Bazı uygulamalarda oturum açmak için birden fazla ayrıntılı bağlantı vardır. Uygulama ayarlarında oturum açma bağlantılarını tanımlamadığınız sürece, kullanıcılar oturum açtıklarında tanınmayan bir sayfaya yönlendirilebilir ve erişimleri engellenebilir.
Microsoft Entra ID gibi IdP'ler arasındaki tümleştirme, bir uygulama oturum açma işlemini kesmeye ve yeniden yönlendirmeye dayanır. Bu, tarayıcı oturum açma işlemleri ikinci bir oturum açma tetiklemeden doğrudan denetlenemez anlamına gelir. İkinci bir oturum açmayı tetikleyebilmek için, özellikle bu amaçla ikinci bir oturum açma URL'si kullanmamız gerekir.
Uygulama bir nonce kullanıyorsa, ikinci oturum açma kullanıcılar için saydam olabilir veya yeniden oturum açmaları istenir.
Son kullanıcı için saydam değilse, ikinci oturum açma URL'sini uygulama ayarlarına ekleyin:
'ayarlar''Bulut uygulamaları'''bağlı uygulamalar''Koşullu Erişim Uygulama Denetim Uygulamaları' seçeneğine gidin
İlgili uygulamayı ve ardından üç noktayı seçin.
Uygulamayı düzenle\Gelişmiş oturum açma yapılandırması'nı seçin.
Hata sayfasında belirtildiği gibi ikinci oturum açma URL'sini ekleyin.
Uygulamanın bir nonce kullanmadığından eminseniz, Yavaş oturum açma işlemleri bölümünde açıklandığı gibi uygulama ayarlarını düzenleyerek bunu devre dışı bırakabilirsiniz.
Uygulamalarda sorun giderme konusunda dikkat edilmesi gereken diğer noktalar
Uygulamalarla ilgili sorunları giderirken göz önünde bulundurmanız gereken bazı daha fazla şey vardır:
Modern tarayıcılar için oturum denetimleri desteği Bulut için Defender Uygulamalar oturum denetimleri artık Chromium tabanlı yeni Microsoft Edge tarayıcısı için destek içeriyor. Internet Explorer'ın en son sürümlerini ve Microsoft Edge'in eski sürümünü desteklemeye devam etsek de destek sınırlıdır ve yeni Microsoft Edge tarayıcısını kullanmanızı öneririz.
Oturum denetimleri koruma sınırlaması "koru" eylemi altındaki Birlikte Kimlik Doğrulaması etiketlemesi, Bulut için Defender Uygulamalar oturum denetimleri tarafından desteklenmez. Daha fazla bilgi için bkz . Duyarlılık etiketleriyle şifrelenmiş dosyalar için birlikte yazmayı etkinleştirme.
Sonraki adımlar
Daha fazla bilgi için bkz . Yönetici kullanıcılar için erişim ve oturum denetimlerinin sorunlarını giderme.