針對系統管理員使用者的存取和會話控件進行疑難解答
本文提供 適用於雲端的 Microsoft Defender Apps 系統管理員的指引,說明如何調查及解決系統管理員所經歷的常見存取和會話控制問題。
注意
與 Proxy 功能相關的任何疑難解答,僅與未設定為 使用 Microsoft Edge 進行瀏覽器內保護的會話相關。
檢查最低需求
開始進行疑難解答之前,請確定您的環境符合下列存取和會話控件的最低一般需求。
| 需求 | 描述 |
|---|---|
| 授權 | 請確定您有適用於 適用於雲端的 Microsoft Defender Apps 的有效授權。 |
| 單一登入 (SSO) | 應用程式必須設定為其中一個支援的 SSO 解決方案: - 使用 SAML 2.0 或 OpenID 連線 2.0 的 Microsoft Entra 識別符 - 使用 SAML 2.0 的非 Microsoft IdP |
| 瀏覽器支援 | 工作階段控制元件適用於下列瀏覽器最新版本的瀏覽器型工作階段: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge 的瀏覽器內保護也有特定需求,包括使用者使用其工作配置檔登入。 如需詳細資訊,請參閱 瀏覽器內保護需求。 |
| 停機 時間 | 適用於雲端的 Defender Apps 可讓您定義在發生服務中斷時套用的預設行為,例如元件無法正常運作。 例如,當無法強制執行一般原則控制時,您可以選擇強化(封鎖)或略過(允許)使用者對潛在敏感性內容採取動作。 若要在系統停機期間設定預設行為,請在 Microsoft Defender 全面偵測回應 中,移至 [設定> 條件式存取應用程控>默認行為>允許或封鎖存取。 |
瀏覽器內保護需求
如果您使用 瀏覽器內保護搭配 Microsoft Edge ,但仍由反向 Proxy 提供服務,請確定您符合下列其他需求:
此功能會在您的 Defender XDR 設定中開啟。 如需詳細資訊,請參閱 設定瀏覽器內保護設定。
Microsoft Edge for Business 支援使用者涵蓋的所有原則。 如果使用者是由 Microsoft Edge for Business 不支援的另一個原則提供服務,則一律由反向 Proxy 提供服務。 如需詳細資訊,請參閱 瀏覽器內保護需求。
您使用支持的平臺,包括支援的操作系統、身分識別平臺和Edge版本。 如需詳細資訊,請參閱 瀏覽器內保護需求。
針對系統管理員的問題進行疑難解答的參考
使用下表來找出您嘗試疑難解答的問題:
網路條件問題
您可能會遇到的常見網路狀況問題包括:
瀏覽至瀏覽器頁面時的網路錯誤
當您第一次為應用程式設定 適用於雲端的 Defender 應用程式存取和會話控件時,可能發生的常見網路錯誤包括:此網站不安全,且沒有因特網連線。 這些訊息可以指出一般網路設定錯誤。
建議的步驟
將防火牆設定為使用與環境相關的 Azure IP 位址和 DNS 名稱,使用 適用於雲端的 Defender Apps。
- 為 適用於雲端的 Defender Apps 資料中心新增下列 IP 位址和 DNS 名稱的輸出埠 443。
- 重新啟動您的裝置和瀏覽器會話
- 確認登入如預期般運作
在瀏覽器的因特網選項中啟用 TLS 1.2。 例如:
瀏覽器 步驟 Microsoft Internet Explorer 1. 開啟 Internet Explorer
2.選取 [工具>因特網選項進階] 索引標籤>
3.在 [安全性] 底下,選取 [TLS 1.2]
4.選取 [ 套用],然後選取 [ 確定]
5.重新啟動瀏覽器,並確認您可以存取應用程式Microsoft Edge / Edge Chromium 1.從任務列開啟搜尋,並搜尋 「因特網選項」
2.選取 [因特網選項]
3.在 [安全性] 底下,選取 [TLS 1.2]
4.選取 [ 套用],然後選取 [ 確定]
5.重新啟動瀏覽器,並確認您可以存取應用程式Google Chrome 1.開啟 Google Chrome
2. 在右上方,選取 [更多] (3 個垂直點) >設定
3.在底部,選取 [ 進階]
4.在 [系統] 底下,選取 [開啟 Proxy 設定]
5. 在 [進階] 索引卷標的 [安全性] 底下,選取 [TLS 1.2]
6.選取 [ 確定]
7.重新啟動瀏覽器,並確認您可以存取應用程式Mozilla Firefox 1. 開啟 Mozilla Firefox
2.在網址列中搜尋 “about:config”
3. 在 [搜尋] 方塊中,搜尋 “TLS”
4.按兩下 security.tls.version.min 的專案
5.將整數值設定為 3,以強制 TLS 1.2 作為最低必要版本
6.選取 [儲存 ] (值方塊右邊的複選標記)
7.重新啟動瀏覽器,並確認您可以存取應用程式Safari 如果您使用Safari 7版或更新版本,則會自動啟用TLS 1.2
適用於雲端的 Defender 應用程式使用傳輸層安全性 (TLS) 通訊協定 1.2+ 來提供最佳類別加密:
- 使用會話控制項設定時,無法存取不支援 TLS 1.2+ 的原生用戶端應用程式和瀏覽器。
- 使用 TLS 1.1 或更低版本的 SaaS 應用程式會出現在瀏覽器中,如同使用 TLS 1.2+ 設定 適用於雲端的 Defender 應用程式一樣。
提示
雖然會話控件是建置成在任何操作系統上與任何主要平臺上的任何瀏覽器搭配運作,但我們支援最新版的 Microsoft Edge、Google Chrome、Mozilla Firefox 或 Apple Safari。 您可能想要封鎖或允許特別存取行動或傳統型應用程式。
登入速度緩慢
Proxy 鏈結和非ce 處理是可能導致登入效能緩慢的一些常見問題。
建議的步驟
設定您的環境以移除在登入期間可能造成緩慢的任何因素。 例如,您可能已設定防火牆或轉寄 Proxy 鏈結,這會連接兩部或多部 Proxy 伺服器以瀏覽至預定的頁面。 您也可能有其他影響緩慢的外部因素。
- 識別 Proxy 鏈結是否發生在您的環境中。
- 盡可能移除任何向前 Proxy。
某些應用程式會在驗證期間使用 nonce 哈希,以防止重新執行攻擊。 根據預設,適用於雲端的 Defender Apps 會假設應用程式使用 nonce。 如果您使用的應用程式未使用 nonce,請在 適用於雲端的 Defender Apps 中停用此應用程式的 nonce 處理:
- 在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。
- 在 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
- 在應用程式清單中,在您設定的應用程式出現所在的數據列上,選取數據列結尾的三個點,然後針對您的應用程式選取 [ 編輯 ]。
- 選取 [Nonce 處理 ] 以展開 區段,然後清除 [ 啟用 Nonce 處理]。
- 註銷應用程式,並關閉所有瀏覽器會話。
- 重新啟動瀏覽器,然後再次登入應用程式。 確認登入是否如預期般運作。
網路條件的更多考慮
針對網路狀況進行疑難解答時,也請考慮下列有關 適用於雲端的 Defender Apps Proxy 的注意事項:
確認您的會話是否已路由傳送至另一個資料中心:適用於雲端的 Defender 應用程式會使用世界各地的 Azure 資料中心,透過地理位置將效能優化。
這表示用戶會話可能會裝載於區域外部,視流量模式及其位置而定。 不過,為了保護您的隱私權,這些數據中心不會儲存任何會話數據。
Proxy 效能:衍生效能基準取決於 適用於雲端的 Defender Apps Proxy 以外的許多因素,例如:
- 其他 Proxy 或閘道會與這個 Proxy 一起坐在一起
- 用戶來自何處
- 目標資源所在的位置
- 頁面上的特定要求
一般而言,任何 Proxy 都會增加延遲。 適用於雲端的 Defender Apps Proxy 的優點如下:
使用 Azure 域控制器的全域可用性,將使用者定位到最接近的節點,並減少其來回距離。 Azure 域控制器可以依全球少數服務的規模進行地理位置定位。
使用與 Microsoft Entra 條件式存取的整合,只將您想要 Proxy 的會話路由傳送至我們的服務,而不是所有情況下的所有使用者。
裝置識別問題
適用於雲端的 Defender Apps 提供下列選項來識別裝置的管理狀態。
- Microsoft Intune 合規性
- 已加入混合式 Microsoft Entra 網域
- 用戶端憑證
如需詳細資訊,請參閱 使用條件式存取應用程控的身分識別受控裝置。
您可能會遇到的常見裝置識別問題包括:
Intune 相容或 Microsoft Entra 混合式已加入裝置
Microsoft Entra 條件式存取可讓 Intune 相容且 Microsoft Entra 混合式聯結的裝置資訊直接傳遞至 適用於雲端的 Defender Apps。 在 適用於雲端的 Defender Apps 中,使用裝置狀態作為存取或會話原則的篩選條件。
如需詳細資訊,請參閱 Microsoft Entra ID 中的裝置管理簡介。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。
在 [條件式存取應用程控] 底下,選取 [裝置識別]。 此頁面會顯示 適用於雲端的 Defender Apps 中可用的裝置識別選項。
針對 符合 Intune 規範的裝置識別 和 Microsoft Entra 混合式聯結識別 ,請選取 [ 檢視組態 ],並確認已設定服務。 服務會自動從 Microsoft Entra ID 和 Intune 同步處理。
建立存取或會話原則, 其裝置卷標 篩選條件等於 已加入混合式 Azure AD、 Intune 相容或兩者。
在瀏覽器中,根據您的原則篩選,登入已加入 Microsoft Entra 混合式或 Intune 相容的裝置。
確認來自這些裝置的活動正在填入記錄。 在 [適用於雲端的 Defender Apps] 的 [活動記錄] 頁面上,根據原則篩選,篩選[裝置捲標] 等於 [已加入混合式 Azure AD]、[Intune 兼容] 或兩者。
如果未在 適用於雲端的 Defender Apps 活動記錄中填入活動,請移至 Microsoft Entra ID 並執行下列步驟:
在 [監視>登入] 下,確認記錄中有登入活動。
選取您登入之裝置的相關記錄專案。
在 [詳細資料] 窗格的 [裝置資訊] 索引標籤上,確認裝置為 [受控] (已加入混合式 Azure AD) 或 [相容] (與 Intune 相容)。
如果您無法驗證任一狀態,請嘗試另一個記錄專案,或確定您的裝置數據已在 Microsoft Entra ID 中正確設定。
針對條件式存取,某些瀏覽器可能需要額外的設定,例如安裝擴充功能。 如需詳細資訊,請參閱 條件式存取瀏覽器支援。
如果您仍然未在 [登入 ] 頁面中看到裝置資訊,請開啟 Microsoft Entra ID 的支援票證。
用戶端憑證未在預期時提示
裝置識別機制可要求使用用戶端憑證驗證相關裝置。 您可以上傳 X.509 跟證書或中繼證書頒發機構單位 (CA) 憑證,格式為 PEM 憑證格式。
憑證必須包含 CA 的公鑰,然後用來簽署工作階段期間呈現的客戶端憑證。 如需詳細資訊,請參閱 檢查沒有 Microsoft Entra 的裝置管理。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。
在 [條件式存取應用程控] 底下,選取 [裝置識別]。 此頁面會顯示 適用於雲端的 Defender Apps 可用的裝置識別選項。
確認您已上傳 X.509 根或中繼 CA 憑證。 您必須上傳用來為您的證書頒發機構單位簽署的 CA 憑證。
使用等於有效客戶端憑證的 [裝置卷標 ] 篩選 條件,建立存取或會話原則。
請確定您的客戶端憑證為:
- 使用 PKCS #12 檔案格式部署,通常是 .p12 或 .pfx 擴展名
- 安裝在使用者存放區中,而不是您用於測試的裝置存放區
重新啟動瀏覽器會話。
登入受保護的應用程式時:
- 確認您已重新導向至下列 URL 語法:
<https://*.managed.access-control.cas.ms/aad_login> - 如果您使用 iOS,請確定您使用 Safari 瀏覽器。
- 如果您使用 Firefox,您也必須 將憑證新增至 Firefox 自己的證書存儲。 所有其他瀏覽器都會使用相同的預設證書存儲。
- 確認您已重新導向至下列 URL 語法:
驗證您的瀏覽器中是否提示客戶端憑證。
如果它未出現,請嘗試不同的瀏覽器。 大部分的主要瀏覽器都支援執行客戶端憑證檢查。 不過,行動裝置和桌面應用程式通常會使用不支援這項檢查的內建瀏覽器,因此會影響這些應用程式的驗證。
確認來自這些裝置的活動正在填入記錄。 在 [適用於雲端的 Defender 應用程式] 的 [活動記錄] 頁面上,將 [裝置卷標] 上的篩選新增為 [有效客戶端憑證]。
如果您仍然看不到提示,請開啟 支援票證 並包含下列資訊:
- 您遇到問題的瀏覽器或原生應用程式詳細資料
- 操作系統版本,例如iOS/Android/Windows 10
- 提及提示是否在 Microsoft Edge Chromium 上運作
客戶端憑證會在每次登入時提示
如果您在開啟新的索引標籤之後出現客戶端憑證,這可能是因為因特網選項內隱藏的設定。 在瀏覽器中確認您的設定。 例如:
在 Microsoft Internet Explorer 中:
- 開啟 Internet Explorer,然後選取 [工具>因特網選項>進階] 索引標籤。
- 在 [安全性] 底下,選取 [當只有一個憑證存在>時,不要提示選取用戶端憑證] 選取 [選取>確定]。
- 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。
在 Microsoft Edge / Edge Chromium 中:
- 從任務列開啟搜尋,然後搜尋 因特網選項。
- 選取 [因特網選項>安全性>本機內部網络>自定義層級]。
- 當只有一個憑證存在時,[其他>不要提示用戶端憑證] 選取專案,請選取 [停用]。
- 選取 [確定套用>確定]。>
- 重新啟動瀏覽器,並確認您可以存取應用程式,而不需要額外的提示。
裝置識別的更多考慮
針對裝置識別進行疑難解答時,您可以要求撤銷客戶端憑證。
CA 撤銷的憑證已不再受到信任。 選取此選項需要所有憑證才能傳遞CRL通訊協定。 如果您的用戶端憑證未包含 CRL 端點,您就無法從受管理裝置連線。
上線應用程式時的問題
您可以上線下列類型的應用程式,以進行存取和工作階段控制項:
目錄應用程式:會話控件隨附的應用程式現成可用的應用程式,如會話控件標籤所指示。
任何 (自定義) 應用程式:自定義企業營運 (LOB) 或內部部署應用程式都可以上線至系統管理員的會話控制件。
例如:
上線應用程式時,請確定您已仔細遵循 Proxy 部署指南。 如需詳細資訊,請參閱
上線應用程式時可能會遇到的常見案例包括:
應用程式不會出現在條件式存取應用程控應用程式頁面上
將應用程式上線至條件式存取應用程控時,最後一個部署步驟是讓使用者流覽至應用程式。 如果應用程式未如預期般出現,請執行本節中的步驟。
建議的步驟
請確定您的應用程式符合下列條件式存取應用程式必要條件,視您的身分識別提供者而定:
Microsoft Entra ID:
- 除了 適用於雲端的 Defender Apps 授權之外,請確定您擁有 Microsoft Entra ID P1 的有效授權。
- 請確定應用程式使用 SAML 2.0 或 OpenID 連線 通訊協定。
- 請確定 Microsoft Entra ID 中的應用程式 SSO。
非 Microsoft:
- 請確定您有有效的 適用於雲端的 Defender Apps 授權。
- 建立重複的應用程式。
- 請確定應用程式使用 SAML 通訊協定。
- 驗證您已完整上線應用程式,並 連線 應用程式的狀態。
在 Microsoft Entra 原則的 [工作階段] 底下,確定會話已強制路由傳送至 適用於雲端的 Defender Apps。 接著,這可讓應用程式出現在 [條件式存取應用程控應用程式 ] 頁面上,如下所示:
- 已選取條件式存取應用程控 。
- 在 [內建原則] 下拉式清單中, 只會 選取 [監視]
請務必使用新的 incognito 模式或再次登入,在新的瀏覽器會話中瀏覽至應用程式。
應用程式狀態:繼續設定
應用程式的狀態可能會有所不同,而且可以包含 [繼續設定]、[連線] 或 [無活動]。
對於透過非 Microsoft 身分識別提供者連線的應用程式(IdP),如果設定未完成,則存取應用程式時,您會看到狀態為 [繼續設定] 的頁面。 使用下列步驟完成設定。
建議的步驟
選取 [ 繼續設定]。
完成 部署指南 ,並確認您已完成所有步驟。 請特別注意下列注意事項:
- 請確定您建立新的自訂 SAML 應用程式。 您需要此應用程式來變更資源庫應用程式中可能無法使用的 URL 和 SAML 屬性。
- 如果您的識別提供者不允許重複使用相同的標識碼,也稱為實體標識碼或物件,請變更原始應用程式的標識符。
無法設定原生應用程式的控制件
原生應用程式可以啟發學習方式偵測到,而且您可以使用存取原則來監視或封鎖它們。 使用下列步驟來設定原生應用程式的控制件。
建議的步驟
在存取原則中,新增用戶端應用程式篩選,並將它設定為等於 [行動裝置] 和 [桌面]。
在 [動作] 底下,選取 [封鎖]。
選擇性地自定義使用者無法下載檔案時所得到的封鎖訊息。 例如,將此訊息自定義為 您必須使用網頁瀏覽器來存取此應用程式。
測試並驗證控制項是否如預期般運作。
應用程式無法辨識 頁面出現
適用於雲端的 Defender 應用程式可以透過 辨識超過31,000個應用程式雲端應用程式目錄。
如果您使用透過 Microsoft Entra SSO 設定的自定義應用程式,而且不是其中一個支援的應用程式,則您遇到 應用程式無法辨識 頁面。 若要解決此問題,您必須在條件式存取應用程控上設定應用程式。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。 在 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
在橫幅中,選取 [ 檢視新的應用程式]。
在新的應用程式清單中,找出您要上線的應用程式、選取 + 符號,然後選取 [ 新增]。
- 選取應用程式是 自定義 或 標準 應用程式。
- 繼續執行精靈,確定您正在設定的應用程式有指定的 使用者定義網域 正確無誤。
確認應用程式出現在 [條件式存取應用程控應用程式 ] 頁面中。
[要求會話控制] 選項隨即出現
新增應用程式之後,您可能會看到 [要求會話控制 ] 選項。 這是因為只有目錄應用程式具有現用的會話控制項。 對於任何其他應用程式,您必須完成自我上線程式。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。
在 [條件式存取應用程控] 底下,選取 [應用程式上線/維護]。
輸入要上線應用程式之使用者的用戶主體名稱或電子郵件,然後選取 [ 儲存]。
移至您要部署的應用程式。 您看到的頁面取決於應用程式是否可辨識。 視您看到的頁面而定,執行下列其中一項動作:
無法辨識。 您會看到無法辨識的應用程式頁面,提示您設定應用程式。 執行下列步驟:
- 將應用程式新增至條件式存取應用程控。
- 新增應用程式的網域,然後返回應用程式並重新整理頁面。
- 安裝應用程式的憑證。
已辨識。 如果您的應用程式已辨識,您會看到上線頁面,提示您繼續應用程式設定程式。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 為自定義應用程式部署條件式存取應用程控。
請確定應用程式已設定為應用程式正常運作所需的所有網域。 若要設定額外的網域,請繼續新增 應用程式的網域,然後返回應用程式頁面。
上線應用程式的其他考慮
針對上線應用程式進行疑難解答時,請記住條件式存取應用程控中的應用程式與 Microsoft Entra 應用程式不一致。
Microsoft Entra ID 和 適用於雲端的 Defender Apps 中的應用程式名稱可能會根據產品識別應用程式的方式而有所不同。
適用於雲端的 Defender 應用程式會使用應用程式的網域來識別應用程式,並將其新增至雲端應用程式目錄,其中有超過 31,000 個應用程式。 在每個應用程式內,您可以檢視或新增至網域子集。
相反地,Microsoft Entra ID 會使用服務主體來識別應用程式。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式和服務主體物件。
實際上,這種差異表示在 Microsoft Entra ID 中選取 SharePoint Online 相當於在 適用於雲端的 Defender Apps 中選取應用程式,例如 Word Online 和 Teams,因為應用程式全都使用sharepoint.com網域。
建立存取和會話原則時的問題
適用於雲端的 Defender Apps 提供下列可設定的原則:
若要在 適用於雲端的 Defender Apps 中使用這些原則,您必須先在 Microsoft Entra 條件式存取中設定原則,以擴充會話控件:
在 Microsoft Entra 原則的 [存取] 底下,選取 [會話>使用條件式存取應用程控]。
選取內建原則(僅限監視或封鎖下載),或使用自定義原則在 適用於雲端的 Defender Apps 中設定進階原則。
選取 [選取] 以繼續。
設定這些原則時可能會遇到的常見案例包括:
- 在條件式存取原則中,您無法看到條件式存取應用程控選項
- 建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式
- 無法為應用程式建立會話原則
- 無法選擇 檢查方法: 數據分類服務
- 無法選擇 [動作:保護]
- 額外考慮
在條件式存取原則中,您無法看到條件式存取應用程控選項
若要將會話路由傳送至 適用於雲端的 Defender Apps,Microsoft Entra 條件式存取原則必須設定為包含條件式存取應用程控會話控件。
建議的步驟
如果您在條件式存取原則中看不到 [條件式存取應用程控] 選項,請確定您擁有 Microsoft Entra ID P1 的有效授權,以及有效的 適用於雲端的 Defender Apps 授權。
建立原則時發生錯誤訊息:您沒有任何使用條件式存取應用程控部署的應用程式
建立存取或會話原則時,您可能會看到下列錯誤訊息: 您沒有任何使用條件式存取應用程控部署的應用程式。 此錯誤表示尚未部署應用程式。
建議的步驟
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。 在 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
如果您看到 [未連線應用程式] 訊息,請使用下列指南來部署應用程式:
如果您在部署應用程式時遇到任何問題,請參閱 上線應用程式時發生問題。
無法為應用程式建立會話原則
新增自訂應用程式之後,在 [ 條件式存取應用程控應用程式 ] 頁面中,您可能會看到選項: 要求會話控件。
注意
目錄應用程式具有現用的會話控件。 對於任何其他應用程式,您必須完成自我上線程式。 如需詳細資訊,請參閱 預先上線的應用程式。
建議的步驟
將您的應用程式部署至工作階段控制項。 如需詳細資訊,請參閱 使用會話控件部署透過 Microsoft Entra 應用程式 Proxy 裝載的自定義企業營運應用程式、非功能 SaaS 應用程式和內部部署應用程式 。
建立工作階段原則,然後選取[ 應用程式 篩選]。
請確定您的應用程式現在列在下拉式清單中。
無法選擇檢查方法:數據分類服務
在會話原則中 ,使用控制檔案下載(搭配檢查) 會話控件類型時,您可以使用 數據分類服務 檢查方法來實時掃描檔案,並偵測符合您設定之任何準則的敏感性內容。
如果無法使用數據分類服務檢查方法,請使用下列步驟來調查問題。
建議的步驟
確認 [工作階段] 控制檔案下載】 (檢查)。
注意
數據分類服務檢查方法僅適用於控制檔案下載(含檢查)選項。
判斷數據分類服務功能是否可在您的區域中使用:
- 如果您的區域無法使用此功能,請使用 內建 DLP 檢查方法。
- 如果您的區域提供此功能,但您仍然看不到 數據分類服務 檢查方法,請開啟 支援票證。
無法選擇 [動作:保護]
在工作階段原則中,除了監視和封鎖動作之外,使用控件檔案下載(搭配檢查)會話控件類型時,您還可以指定 [保護] 動作。 此動作可讓您使用 選項允許檔案下載,以根據條件、內容檢查或兩者將許可權加密或套用至檔案。
如果無法使用 [保護] 動作,請使用下列步驟來調查問題。
建議的步驟
如果 [保護] 動作無法使用或呈現灰色,請確認您擁有 Azure 資訊保護 (AIP) 進階版 P1 授權。 如需詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
如果 [保護] 動作可用,但看不到適當的標籤。
在 [適用於雲端的 Defender 應用程式] 的功能表欄中,選取設定圖示 >Microsoft 資訊保護,並確認整合已啟用。
針對 Office 標籤,請在 AIP 入口網站中,確定 已選取 [統一卷標 ]。
上線應用程式的其他考慮
針對上線應用程式進行疑難解答時,需要考慮一些額外的事項。
瞭解 Microsoft Entra 條件式存取原則設定之間的差異:「僅限監視」、「封鎖下載」和「使用自定義原則」
在 Microsoft Entra 條件式存取原則中,您可以設定下列內建 適用於雲端的 Defender Apps 控制件:僅監視和封鎖下載。 這些設定會針對 Microsoft Entra ID 中所設定的雲端應用程式和條件套用並強制執行 適用於雲端的 Defender Apps Proxy 功能。
如需更複雜的原則,請選取 [使用自定義原則],這可讓您在 適用於雲端的 Defender Apps 中設定存取和會話原則。
瞭解存取原則中的 [行動和桌面] 用戶端應用程式篩選選項
在 適用於雲端的 Defender Apps 存取原則中,除非用戶端應用程式篩選器設定為 [行動裝置和桌面],否則產生的存取原則會套用至瀏覽器會話。
原因是為了避免不小心 Proxy 處理用戶會話,這可能是使用此篩選器的副產品。
使用 [檢視] 工具列診斷和疑難解答 管理員
管理員 檢視工具列位於畫面底部,並提供工具來讓系統管理員用戶診斷和疑難解答條件式存取應用程控的問題。
若要檢視 管理員 檢視工具列,您必須確定將特定的系統管理員用戶帳戶新增至 Microsoft Defender 全面偵測回應 設定中的 [應用程式上線/維護] 清單。
若要將使用者新增至應用程式上線/維護清單:
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定> Cloud Apps]。
向下捲動,然後在 [條件式存取應用程控] 下,選取 [應用程式上線/維護]。
輸入您要新增之系統管理員使用者的主體名稱或電子郵件位址。
選取 [ 啟用這些使用者以略過 Proxy 會話 內的條件式存取應用程控] 選項,然後選取 [ 儲存]。
例如:
下一次,當其中一個列出的用戶在支援的應用程式中啟動新的工作階段時,瀏覽器底部會顯示 管理員 [檢視] 工具列。
例如,下圖顯示瀏覽器視窗底部顯示 管理員 檢視工具列,在瀏覽器中使用 OneNote:
下列各節說明如何使用 管理員 檢視工具列來測試和疑難解答。
測試模式
身為系統管理員使用者,您可能想要先測試即將推出的 Proxy 錯誤修正,再將最新版本完全推出至所有租使用者。 向 Microsoft 支援小組提供有關 Bug 修正的意見反應,以協助加速發行週期。
處於測試模式時,只有系統管理員用戶會公開至錯誤修正中提供的任何變更。 對其他使用者沒有任何影響。
- 若要開啟測試模式,請在 [檢視] 工具列 管理員 選取 [測試模式]。
- 完成測試后,請選取 [結束測試模式 ] 以返回一般功能。
略過 Proxy 會話
如果您無法存取或載入應用程式,您可以執行沒有 Proxy 的應用程式,以確認問題是否與條件式存取 Proxy 搭配使用。
若要略過 Proxy,請在 [管理員 檢視] 工具列中,選取 [略過體驗]。 確認會話已略過,並指出 URL 未後綴。
條件式存取 Proxy 會在下一個會話中再次使用。
如需詳細資訊,請參閱使用 Microsoft Edge for Business 進行 適用於雲端的 Microsoft Defender 應用程式條件式存取應用程控和瀏覽器內保護(預覽版)。
記錄會話
您可以將會話錄製傳送給 Microsoft 支援工程師,以協助問題的根本原因分析。 使用 [檢視] 工具列 管理員 記錄您的工作階段。
注意
所有個人資料都會從錄製中移除。
若要記錄工作階段:
在 [管理員 檢視] 工具列中,選取 [記錄會話]。 出現提示時,選取 [ 繼續 ] 接受條款。 例如:
如有需要,請登入您的應用程式,以開始模擬會話。
當您完成錄製案例時,請務必選取 [管理員 檢視] 工具列中的 [停止錄製]。
若要檢視錄製的工作階段:
完成錄製之後,請從 管理員 [檢視] 工具列中選取 [會話錄製] 來檢視錄製的會話。 先前 48 小時內錄製的會話清單隨即出現。 例如:
若要管理錄製內容,請選取檔案,然後視需要選取 [刪除] 或 [下載]。 例如:
下一步
如需詳細資訊,請參閱 針對使用者存取和會話控件進行疑難解答。