針對終端使用者的存取和會話控件進行疑難解答
本文提供 適用於雲端的 Microsoft Defender Apps 系統管理員的指引,說明如何調查及解決使用者所經歷的常見存取和會話控制問題。
檢查最低需求
開始進行疑難解答之前,請確定您的環境符合下列存取和會話控件的最低一般需求。
需求 | 描述 |
---|---|
授權 | 請確定您有適用於 適用於雲端的 Microsoft Defender Apps 的有效授權。 |
單一登入 (SSO) | 應用程式必須設定為其中一個支援的單一登錄 (SSO) 解決方案: - 使用 SAML 2.0 或 OpenID 連線 2.0 的 Microsoft Entra 識別符 - 使用 SAML 2.0 的非 Microsoft IdP |
瀏覽器支援 | 工作階段控制元件適用於下列瀏覽器最新版本的瀏覽器型工作階段: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge 的瀏覽器內保護也有特定需求,包括使用者使用其工作配置檔登入。 如需詳細資訊,請參閱 瀏覽器內保護需求。 |
停機 時間 | 適用於雲端的 Defender Apps 可讓您定義在發生服務中斷時套用的預設行為,例如元件無法正常運作。 例如,您可以選擇在無法強制執行一般原則控制時,強化(封鎖)或略過(允許)使用者對潛在敏感性內容採取動作。 若要在系統停機期間設定預設行為,請在 Microsoft Defender 全面偵測回應 中,移至 [設定>][條件式存取應用程控>默認行為>允許] 或 [封鎖存取]。 |
用戶監視頁面未顯示
透過 適用於雲端的 Defender Apps 路由傳送使用者時,您可以通知使用者其會話受到監視。 根據預設,會啟用使用者監視頁面。
本節說明我們建議在啟用使用者監視頁面但未如預期般顯示時採取疑難解答步驟。
建議的步驟
在 Microsoft Defender 入口網站中,選取 [設定> Cloud Apps]。
在 [條件式存取應用程控] 底下,選取 [使用者監視]。 此頁面會顯示 適用於雲端的 Defender Apps 中可用的使用者監視選項。 針對 exmaple:
確認已 選取 [通知使用者正在監視 其活動] 選項。
選取您是否要使用預設訊息或提供自訂訊息:
訊息類型 詳細資料 Default 標頭:
[應用程式名稱會出現在這裡] 的存取權已受到監視
本文:
為了提升安全性,您的組織允許在監視模式中存取 [應用程式名稱將出現在這裡]。 存取僅適用於網頁瀏覽器。自訂 標頭:
使用此方塊提供自定義標題,以通知正在監視的使用者。
本文:
使用此方塊可新增使用者的其他自定義資訊,例如與問題連絡的人員,並支援下列輸入:純文本、RTF、超連結。選取 [預覽 ],確認在存取應用程式之前出現的使用者監視頁面。
選取 [儲存]。
無法從非 Microsoft 識別提供者存取應用程式
如果使用者在從非 Microsoft 識別提供者登入應用程式之後收到一般失敗,請驗證非 Microsoft IdP 設定。
建議的步驟
在 Microsoft Defender 入口網站中,選取 [設定> Cloud Apps]。
在 連線 的應用程式下,選取 [條件式存取應用程控應用程式]。
在應用程式清單中,在應用程式無法存取的數據列上,選取數據列結尾的三個點,然後選取 [編輯應用程式]。
驗證已上傳的 SAML 憑證是否正確。
確認應用程式組態中提供有效的 SSO URL。
驗證自定義應用程式中的屬性和值是否反映在識別提供者設定中。
例如:
.
如果您仍然無法存取應用程式,請開啟 支援票證。
出現錯誤頁面
有時候在 Proxy 工作階段期間, 可能會出現 [發生問題] 頁面。 這會在以下情況發生:
- 用戶在閑置一段時間後登入
- 重新整理瀏覽器和頁面載入所花費的時間超過預期
- 未正確設定非 Microsoft IdP 應用程式
建議的步驟
如果使用者嘗試存取使用非 Microsoft IdP 設定的應用程式,請參閱 無法從非 Microsoft IdP 和 應用程式狀態存取應用程式:繼續設定。
如果使用者意外觸達此頁面,請執行下列動作:
- 重新啟動瀏覽器會話。
- 從瀏覽器清除歷程記錄、Cookie 和快取。
剪貼簿動作或檔案控制件未遭到封鎖
若要防止數據外泄和滲透案例,必須能夠封鎖剪貼簿動作,例如剪下、複製、貼上和檔控件,例如下載、上傳和列印。
這項功能可讓公司平衡終端使用者的安全性和生產力。 如果您遇到這些功能的問題,請使用下列步驟來調查問題。
注意
在相同的Excel檔內,不會封鎖剪下、複製和貼上的數據。 只會封鎖複製到外部位置。
建議的步驟
如果正在代理會話,請使用下列步驟來驗證原則:
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [活動記錄]。
使用進階篩選,選取 [ 套用] 動作 ,並將其值設定為 [已封鎖]。
確認有封鎖的檔案活動:
如果有活動,請按兩下活動來展開活動選單。
在活動選單的 [一般 ] 索引標籤上,選取相符的原則連結,以確認您強制執行的原則是否存在。
如果您沒有看到您的原則,請參閱 建立存取權和會話原則時的問題。
如果您看到 Access 因為預設行為而遭到封鎖/允許,這表示系統已關閉,且已套用預設行為。
若要變更默認行為,請在 Microsoft Defender 入口網站中選取 [設定]。 然後選擇 [ 雲端應用程式]。 然後在 [條件式存取應用程控] 底下,選取 [預設行為],並將默認行為設定為 [允許] 或 [封鎖存取]。
移至 Microsoft 365 系統管理入口網站 ,並監視系統停機的相關通知。
如果您仍然看不到封鎖的活動,請開啟 支援票證。
下載未受到保護
身為終端使用者,可能需要在非受控裝置上下載敏感數據。 在這些案例中,您可以使用 Microsoft Purview 資訊保護 來保護檔。
如果使用者無法成功加密檔,請使用下列步驟來調查問題。
建議的步驟
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選取 [活動記錄]。
使用進階篩選,選取 [ 套用] 動作 ,並將其值設定為 [受保護的]。
確認有封鎖的檔案活動:
如果有活動,請按兩下活動來展開活動選單
在活動選單的 [一般 ] 索引標籤上,選取相符的原則連結,以確認您強制執行的原則是否存在。
如果您沒有看到您的原則,請參閱 建立存取權和會話原則時的問題。
如果您看到 Access 因為預設行為而遭到封鎖/允許,這表示系統已關閉,且已套用預設行為。
若要變更默認行為,請在 Microsoft Defender 入口網站中選取 [設定]。 然後選擇 [ 雲端應用程式]。 然後在 [條件式存取應用程控] 底下,選取 [預設行為],並將默認行為設定為 [允許] 或 [封鎖存取]。
移至 Microsoft 365 服務健康情況儀錶板 ,並監視系統停機的相關通知。
如果您要使用 AIP 標籤或自訂權限來保護檔案,請在 [活動描述] 中,確定擴展名是下列其中一個支援的檔案類型:
Word:docm、docx、dotm、dotx
Excel:xlam、xlsm、xlsx、xltx
PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
如果已啟用統一標籤,則 PDF
如果不支援檔類型,在會話原則中,您可以選取 [封鎖下載原生保護不支援的任何檔案],或原生保護失敗的地方。
如果您仍然看不到封鎖的活動,請開啟 支援票證。
流覽至後綴應用程式的特定 URL,並在一般頁面上登陸
在某些情況覽至連結可能會導致使用者在應用程式的首頁上登陸,而不是連結的完整路徑。
提示
適用於雲端的 Defender Apps 會維護已知遭受內容遺失的應用程式清單。 如需詳細資訊,請參閱 內容遺失限制。
建議的步驟
如果您使用 Microsoft Edge 以外的瀏覽器,且使用者登陸應用程式的首頁,而不是連結的完整路徑,請附加 .mcas.ms
至原始 URL 來解決問題。
例如,如果原始 URL 為:
https://www.github.com/organization/threads/threadnumber
,將它變更為 https://www.github.com.mcas.ms/organization/threads/threadnumber
Microsoft Edge 使用者受益於瀏覽器內保護,不會重新導向至反向 Proxy,而且不應該需要 .mcas.ms
新增後綴。 對於遇到內容遺失的應用程式,請開啟 支援票證。
封鎖下載會導致 PDF 預覽遭到封鎖
有時候,當您預覽或列印 PDF 檔案時,應用程式會起始檔案的下載。 這會導致 適用於雲端的 Defender 應用程式進行干預,以確保下載遭到封鎖,且數據不會從您的環境外洩。
例如,如果您建立會話原則來封鎖 Outlook Web Access (OWA) 的下載,可能會封鎖預覽或列印 PDF 檔案,並顯示如下的訊息:
若要允許預覽,Exchange 系統管理員應該執行下列步驟:
連線 模組。 如需詳細資訊,請參閱 連線 Exchange Online PowerShell。
線上到 Exchange Online PowerShell 之後,請使用 Set-OwaMailboxPolicy Cmdlet 來更新原則中的參數:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
注意
OwaMailboxPolicy-Default 原則是 Exchange Online 中預設的 OWA 原則名稱。 某些客戶可能已部署其他或建立具有不同名稱的自定義 OWA 原則。 如果您有多個 OWA 原則,這些原則可能會套用至特定使用者。 因此,您也必須更新它們以擁有完整的涵蓋範圍。
設定這些參數之後,在 OWA 上執行測試,並設定為封鎖下載的 PDF 檔案和會話原則。 [下載] 選項應該從下拉式清單中移除,您可以預覽檔案。 例如:
類似的網站警告隨即出現
惡意執行者可以製作類似其他網站 URL 的 URL,以模擬使用者並誘騙使用者相信他們正在流覽至另一個網站。 某些瀏覽器會嘗試偵測此行為,並在存取 URL 或封鎖存取之前警告使用者。
在某些情況下,會話控制下的使用者會收到來自瀏覽器的訊息,指出可疑的網站存取。 原因是瀏覽器會將後綴網域 (例如: .mcas.ms
) 視為可疑。
只有 Chrome 使用者才會顯示此訊息,因為 Microsoft Edge 使用者受益於瀏覽器內保護,而不需要反向 Proxy 架構。 例如:
如果您收到類似這樣的訊息,請連絡 Microsoft 的支持人員,以與相關的瀏覽器廠商一起處理。
第二次登入(也稱為「第二次登入」)
某些應用程式有多個深層連結可登入。 除非您在應用程式設定中定義登入連結,否則使用者在登入時可能會重新導向至無法辨識的頁面,封鎖其存取。
IdP,例如 Microsoft Entra ID 之間的整合是以攔截應用程式登入和重新導向為基礎。 這表示瀏覽器登入無法直接控制,而不需要觸發第二次登入。 若要觸發第二次登入,我們需要特別針對該用途採用第二個登入 URL。
如果應用程式使用 nonce,則第二次登入對使用者而言可能是透明的,或系統會提示他們再次登入。
如果使用者不透明,請將第二個登入 URL 新增至應用程式設定:
移至 [設定]''雲端應用程式''已連線的應用程式''條件式存取應用程控應用程式'
選取相關的應用程式,然後選取三個點。
選取 [ 編輯應用程式\進階登入設定]。
新增錯誤頁面中所述的第二個登入 URL。
如果您確信應用程式不會使用 nonce,您可以編輯應用程式設定,如慢速登入中所述來停用此功能。
針對應用程式進行疑難解答的更多考慮
針對應用程式進行疑難解答時,需要考慮更多事項:
新式瀏覽器的會話控件支援 適用於雲端的 Defender 應用程式會話控件現在包含以 Chromium 為基礎的新 Microsoft Edge 瀏覽器支援。 雖然我們繼續支援最新版本的 Internet Explorer 和舊版的 Microsoft Edge,但支援會受到限制,我們建議使用新的 Microsoft Edge 瀏覽器。
適用於雲端的 Defender Apps 會話控件不支援會話控件在 「保護」動作下保護限制的共同驗證標籤。 如需詳細資訊,請參閱 為使用敏感度標籤加密的檔案啟用共同撰寫。
下一步
如需詳細資訊,請參閱 針對系統管理員使用者的存取和會話控制進行疑難解答。