Устранение неполадок с доступом и элементами управления сеансами для администраторов

В этой статье Microsoft Defender for Cloud Apps администраторам предоставляется руководство по изучению и устранению распространенных проблем с доступом и управлением сеансами, с которыми сталкиваются администраторы.

Примечание.

Устранение неполадок, связанных с функциональными возможностями прокси-сервера, относится только к сеансам, которые не настроены для защиты в браузере с помощью Microsoft Edge.

Проверка минимальных требований

Прежде чем приступить к устранению неполадок, убедитесь, что ваша среда соответствует приведенным ниже минимальным общим требованиям к элементам управления доступом и сеансами.

Требования Описание
Лицензирование Убедитесь, что у вас есть действительная лицензия на Microsoft Defender for Cloud Apps.
Единый вход Приложения должны быть настроены с помощью одного из поддерживаемых решений единого входа:

— Microsoft Entra ID с использованием SAML 2.0 или OpenID Connect 2.0
— Поставщик удостоверений не Microsoft, использующий SAML 2.0
Поддержка браузеров Элементы управления сеансами доступны для сеансов на основе браузера в последних версиях следующих браузеров:

— Microsoft Edge
— Google Chrome
- Mozilla Firefox
— Apple Safari

Защита в браузере для Microsoft Edge также имеет определенные требования, включая пользователя, выполнившего вход с помощью своего рабочего профиля. Дополнительные сведения см. в разделе Требования к защите в браузере.
Простой Defender for Cloud Apps позволяет определить поведение по умолчанию, применяемое в случае сбоя службы, например неправильного функционирования компонента.

Например, если не удается применить обычные элементы управления политикой, можно настроить усиление защиты (блокировать) или запретить пользователям выполнять действия с потенциально конфиденциальным содержимым.

Чтобы настроить поведение по умолчанию во время простоя системы, в Microsoft Defender XDR перейдите в Параметры>Условный доступ к приложениям>Поведение по умолчанию>Разрешить или Блокировать доступ.

Требования к защите в браузере

Если вы используете защиту в браузере с Microsoft Edge и по-прежнему обслуживаетесь обратным прокси-сервером, убедитесь, что вы соответствуете следующим дополнительным требованиям:

Справочник по устранению неполадок для администраторов

Используйте следующую таблицу, чтобы найти проблему, которую вы пытаетесь устранить:

Тип проблемы Проблемы
Проблемы с состоянием сети Сетевые ошибки при переходе на страницу браузера

Медленный вход в систему

Дополнительные рекомендации по условиям сети
Проблемы с идентификацией устройств Ошибочно определенные устройства, соответствующие требованиям Intune, или устройства, гибридно присоединенные к Microsoft Entra

Запрос сертификатов клиента не появляется, когда ожидается

Клиентские сертификаты не запрашиваются, когда это ожидается
Клиентские сертификаты запрашиваются при каждом входе

Дополнительные рекомендации по идентификации устройств
Проблемы при подключении приложения Приложение не отображается на странице приложений для управления условным доступом

Состояние приложения: Продолжить настройкуНе удается настроить элементы управления для нативных приложений

Появится параметр управления сеансом запроса
Проблемы при создании политик доступа и сеансов В политиках условного доступа параметр управления условным доступом для приложений не отображается.

Сообщение об ошибке при создании политики. У вас нет приложений, развернутых с управлением условным доступом.

Не удается создать политики сеансов для приложения

Не удается выбрать метод проверки: служба классификации данных

Не удается выбрать Действие: Защитить

Дополнительные рекомендации по подключению приложений
Диагностируйте и устраняйте неполадки с помощью панели инструментов представления администратора Обход сеанса прокси-сервера

Запись сеанса

Добавление доменов для приложения

Проблемы с состоянием сети

Ниже перечислены распространенные проблемы с состоянием сети.

Сетевые ошибки при переходе на страницу браузера

При первой настройке Defender for Cloud Apps управления доступом и сеансом для приложения могут возникнуть распространенные сетевые ошибки: этот сайт не защищен и отсутствует подключение к Интернету. Эти сообщения могут указывать на общую ошибку конфигурации сети.

Рекомендуемые действия

  1. Настройте брандмауэр для работы с Defender for Cloud Apps, используя Azure IP-адреса и DNS-имена, относящиеся к вашей среде.

    1. Добавьте исходящий порт 443 для следующих IP-адресов и DNS-имена для центра обработки данных Defender for Cloud Apps.
    2. Перезапуск устройства и сеанса браузера
    3. Убедитесь, что вход работает должным образом.
  2. Включите TLS 1.2 в параметрах браузера. Например:

    Браузер Действия
    Microsoft Internet Explorer 1. Откройте интернет-Обозреватель
    2. Выберите Сервис>Свойства браузера>Дополнительно вкладку
    3. В разделе Безопасность выберите TLS 1.2.
    4. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
    5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению
    Microsoft Edge и Edge Chromium 1. Откройте поиск на панели задач и выполните поиск по запросу "Параметры браузера"
    2. Выберите Свойства браузера
    3. В разделе Безопасность выберите TLS 1.2.
    4. Нажмите кнопку Применить, а затем нажмите кнопку ОК.
    5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению
    Google Chrome 1. Откройте Google Chrome
    2. В правом верхнем углу выберите Дополнительно (3 вертикальные точки) >Параметры
    3. В нижней части экрана выберите Дополнительно.
    4. В разделе Система выберите Открыть параметры прокси-сервера.
    5. На вкладке Дополнительно в разделе Безопасность выберите TLS 1.2.
    6. Нажмите кнопку ОК
    7. Перезапустите браузер и убедитесь, что у вас есть доступ к приложению.
    Mozilla Firefox 1. Откройте Mozilla Firefox
    2. В адресной строке и выполните поиск по запросу about:config.
    3. В поле поиска выполните поиск по запросу TLS.
    4. Дважды щелкните запись для security.tls.version.min
    5. Задайте целочисленное значение 3, чтобы принудительно использовать TLS 1.2 в качестве минимальной требуемой версии.
    6. Выберите Сохранить (галочка справа от поля значения)
    7. Перезапустите браузер и убедитесь, что у вас есть доступ к приложению.
    Safari Если вы используете Safari версии 7 или более поздней, tls 1.2 включается автоматически.

Defender for Cloud Apps использует протоколы TLS 1.2+ для обеспечения наилучшего в своем классе шифрования:

  • Собственные клиентские приложения и браузеры, которые не поддерживают TLS 1.2+, недоступны при настройке управления сеансами.
  • Приложения SaaS, использующие TLS 1.1 или более поздней версии, отображаются в браузере как использующие TLS 1.2+ при настройке с Defender for Cloud Apps.

Совет

Хотя элементы управления сеансами предназначены для работы с любым браузером на любой крупной платформе в любой операционной системе, мы поддерживаем последние версии Microsoft Edge, Google Chrome, Mozilla Firefox или Apple Safari. Возможно, вам потребуется заблокировать или разрешить доступ именно к мобильным или настольным приложениям.

Медленный вход в систему

Цепочки прокси-серверов и обработка nonce — одни из распространённых проблем, которые могут привести к низкой производительности при входе.

Рекомендуемые действия

Настройте среду, чтобы удалить все факторы, которые могут привести к замедлению во время входа. Например, у вас могут быть настроены брандмауэры или прямая цепочка прокси-серверов, которая подключает два или более прокси-серверов для перехода на заданную страницу. Также могут быть другие внешние факторы, влияющие на медленность.

  1. Определите, используется ли в вашей среде цепочка прокси-серверов.
  2. По возможности удалите все прямые прокси-серверы.

Некоторые приложения используют одноразовый хэш-код (nonce) при аутентификации, чтобы предотвратить атаки повторного воспроизведения. По умолчанию Defender for Cloud Apps предполагает, что приложение использует nonce. Если приложение, с которым вы работаете, не использует nonce, отключите обработку nonce для этого приложения в Defender for Cloud Apps:

  1. На портале Defender выберите "Параметры облачных>приложений".
  2. В разделе Подключенные приложения выберите Приложения для управления условным доступом.
  3. В списке приложений в строке, в которой отображается настраиваемая программа, выберите три точки в конце строки, а затем выберите Изменить для приложения.
  4. Выберите Nonce-handling, чтобы развернуть раздел, а затем снимите флажок Enable nonce handling.
  5. Выйдите из приложения и закройте все сеансы браузера.
  6. Перезапустите браузер и снова войдите в приложение. Убедитесь, что вход работает должным образом.

Дополнительные рекомендации по условиям сети

При устранении неполадок в сети также учитывайте следующие примечания о прокси-сервере Defender for Cloud Apps:

  • Проверьте, направляется ли сеанс в другой центр обработки данных: Defender for Cloud Apps использует Azure центры обработки данных по всему миру для оптимизации производительности за счет геолокации.

    Это означает, что сеанс пользователя может быть размещен за пределами региона в зависимости от шаблонов трафика и их расположения. Однако для защиты конфиденциальности данные сеанса не хранятся в этих центрах обработки данных.

  • Производительность прокси-сервера. Получение базовых показателей производительности зависит от многих факторов за пределами прокси-сервера Defender for Cloud Apps, например:

    • Какие другие прокси-серверы или шлюзы находятся рядом с этим прокси-сервером
    • Откуда приходит пользователь
    • Расположение целевого ресурса
    • Конкретные запросы на странице

    Как правило, любой прокси-сервер добавляет задержку. Преимущества прокси-сервера Defender for Cloud Apps:

    • Использование глобальной доступности контроллеров домена Azure для определения ближайшего к пользователям узла и сокращения длины маршрута туда и обратно. Контроллеры домена Azure могут определять геолокацию в таких масштабах, которые доступны лишь немногим службам по всему миру.

    • Использование интеграции с Условный доступ Microsoft Entra позволяет направлять через наш сервис только те сеансы, которые нужно проксировать, вместо того чтобы направлять через него всех пользователей во всех случаях.

Проблемы с идентификацией устройств

Defender for Cloud Apps предоставляет следующие параметры для определения состояния управления устройством.

  • Соответствие требованиям Microsoft Intune
  • Присоединено к гибридному домену Microsoft Entra
  • Сертификаты клиента

Дополнительные сведения см. в разделе Устройства с управлением на основе удостоверений и управлением приложениями условного доступа.

Ниже перечислены распространенные проблемы с идентификацией устройств.

Ошибочно идентифицированные устройства, соответствующие требованиям Intune, или устройства, гибридно присоединенные к Microsoft Entra

Условный доступ Microsoft Entra позволяет передавать сведения об устройстве, совместимом с Intune и гибридно присоединённом к Microsoft Entra, непосредственно в Defender for Cloud Apps. В Defender for Cloud Apps используйте состояние устройства в качестве фильтра для политик доступа или сеансов.

Дополнительные сведения см. в статье Общие сведения об управлении устройствами в Microsoft Entra id.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения.

  2. В разделе Управление условным доступом к приложениям выберите Идентификатор устройства. На этой странице показаны параметры идентификации устройств, доступные в Defender for Cloud Apps.

  3. Для идентификации устройств, соответствующих требованиям Intune, и идентификации устройств с гибридным присоединением к Microsoft Entra соответственно выберите Просмотр конфигурации и убедитесь, что службы настроены. Службы автоматически синхронизируются с идентификатором Microsoft Entra и Intune соответственно.

  4. Создайте политику доступа или сеанса с фильтром тег устройства со значением гибридно присоединено к Azure AD, соответствует требованиям Intune или с обоими значениями.

  5. В браузере выполните вход в систему на устройстве, которое гибридно присоединено к Microsoft Entra или соответствует требованиям Intune, в зависимости от фильтра политики.

  6. Убедитесь, что действия с этих устройств заполняют журнал. В Defender for Cloud Apps на странице Журнал действийотфильтруйте по параметру Тег устройства со значением Hybrid Azure AD joined, соответствует требованиям Intune или обоими значениями — в зависимости от фильтров вашей политики.

  7. Если действия не отображаются в журнале действий в Defender for Cloud Apps, перейдите в Microsoft Entra ID и выполните следующие действия:

    1. В разделе Мониторинг>Входы убедитесь, что в журналах есть события входа.

    2. Выберите соответствующую запись журнала для устройства, на которое вы вошли.

    3. В области Сведения, на вкладке Сведения об устройстве, убедитесь, что устройство управляется (гибридное присоединение к Azure AD) или соответствует требованиям (соответствует требованиям Intune).

      Если вы не можете проверить ни одно из состояний, попробуйте выполнить другую запись в журнале или убедитесь, что данные устройства настроены правильно в Microsoft Entra идентификаторе.

    4. Для условного доступа для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.

    5. Если сведения об устройстве по-прежнему не отображаются на странице Sign-ins, создайте обращение в службу поддержки Microsoft Entra ID.

Запрос на клиентские сертификаты не появляется, когда это ожидается

Механизм идентификации устройств может запрашивать проверку подлинности с соответствующих устройств с помощью клиентских сертификатов. Вы можете отправить корневой сертификат X.509 или сертификат промежуточного центра сертификации (ЦС), отформатированный в формате сертификата PEM.

Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса. Дополнительные сведения см. в разделе Проверка управления устройствами без Microsoft Entra.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения.

  2. В разделе Управление условным доступом к приложениям выберите Идентификатор устройства. На этой странице показаны параметры идентификации устройств, доступные с помощью Defender for Cloud Apps.

  3. Убедитесь, что вы отправили корневой или промежуточный сертификат ЦС X.509. Необходимо загрузить сертификат УЦ, который используется для подписи вашего центра сертификации.

  4. Создайте политику доступа или сеанса с фильтром тега устройства , равным Допустимому сертификату клиента.

  5. Убедитесь, что сертификат клиента:

    • Развертывается с использованием формата файла PKCS #12, как правило, с расширением P12 или PFX
    • Устанавливается в хранилище пользователей, а не в хранилище устройств, на устройстве, которое вы используете для тестирования
  6. Перезапустите сеанс браузера.

  7. При входе в защищенное приложение:

    • Убедитесь, что вы перенаправлены по следующему синтаксису URL-адреса: <https://*.managed.access-control.cas.ms/aad_login>
    • Если вы используете iOS, убедитесь, что используете браузер Safari.
    • Если вы используете Firefox, необходимо также добавить сертификат в собственное хранилище сертификатов Firefox. Все остальные браузеры используют то же хранилище сертификатов по умолчанию.
  8. Убедитесь, что в браузере запрашивается сертификат клиента.

    Если он не отображается, попробуйте использовать другой браузер. Большинство основных браузеров поддерживают проверку клиентского сертификата. Однако мобильные и настольные приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверку и, следовательно, влиять на аутентификацию в этих приложениях.

  9. Убедитесь, что действия с этих устройств заполняют журнал. В Defender for Cloud Apps на странице Журнал действий добавьте фильтр по тегу устройства, равный Допустимому сертификату клиента.

  10. Если подсказка по-прежнему не отображается, создайте обращение в службу поддержки и укажите следующую информацию:

    • Сведения о браузере или собственном приложении, в котором возникла проблема
    • Версия операционной системы, например iOS/Android/Windows 10
    • Укажите, работает ли запрос в Microsoft Edge Chromium

Клиентские сертификаты запрашиваются при каждом входе

Если после открытия новой вкладки отображается сертификат клиента, возможно, это связано с параметрами, скрытыми в свойствах браузера. Проверьте параметры в браузере. Например:

В Microsoft Internet Explorer:

  1. Откройте Internet Explorer и выберите Сервис>Свойства браузера> вкладку Дополнительно.
  2. В разделе Безопасность выберите Не запрашивать выбор сертификата клиента, если существует> только один сертификат Нажмите кнопку Применить>ОК.
  3. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению без дополнительных запросов.

В Microsoft Edge и Edge Chromium:

  1. Откройте поиск на панели задач и выполните поиск по запросу Свойства браузера.
  2. Выберите Internet Options>Security> Local intranetCustom level (Настраиваемый уровень безопасности>).
  3. В разделе Прочее>Не запрашивать выбор сертификата клиента, если существует только один сертификат, выберите Отключить.
  4. Нажмите кнопку ОК>Применить>ОК.
  5. Перезапустите браузер и убедитесь, что вы можете получить доступ к приложению без дополнительных запросов.

Дополнительные рекомендации по идентификации устройств

При устранении неполадок с идентификацией устройств можно требовать отзыва сертификатов для сертификатов клиента.

Сертификаты, отзываемые ЦС, больше не являются доверенными. При выборе этого параметра требуется, чтобы все сертификаты передавали протокол CRL. Если сертификат клиента не содержит точки распространения CRL, подключиться с управляемого устройства не удастся.

Проблемы при подключении приложения

Приложения Microsoft Entra ID автоматически интегрируются с Defender for Cloud Apps для условного доступа и элементов управления сеансом. Необходимо вручную подключить приложения IdP, не относящиеся к Microsoft, включая как приложения из каталога, так и настраиваемые приложения.

Дополнительные сведения см. в разделе:

Распространенные сценарии, с которыми вы можете столкнуться при подключении приложения:

Приложение не отображается на странице приложений для управления условным доступом

При добавлении приложения стороннего поставщика удостоверений в контроль приложений условного доступа последним этапом развертывания является переход конечного пользователя в это приложение. Выполните действия из этого раздела, если приложение не отображается на странице Параметры > Облачные приложения > Подключенные приложения > Приложения системы управления приложениями условного доступа, как ожидалось.

Рекомендуемые действия

  1. Убедитесь, что приложение соответствует следующим предварительным требованиям для управления условным доступом:

    • Убедитесь, что у вас есть действительная лицензия Defender for Cloud Apps.
    • Создайте повторяющееся приложение.
    • Убедитесь, что приложение использует протокол SAML.
    • Убедитесь, что вы полностью подключили приложение и укажите состояние "Подключено".
  2. Обязательно перейдите к приложению в новом сеансе браузера, используя новый режим инкогнито или выполнив вход еще раз.

Примечание.

Приложения Entra ID отображаются на странице Приложения для управления условным доступом только после того, как они будут настроены как минимум в одной политике, либо если у вас есть политика без указания приложения и пользователь выполнил вход в приложение.

Состояние приложения: продолжить настройку

Состояние приложения может отличаться и может включать в себя Продолжить установку, Подключено или Нет действий.

Если настройка не завершена для приложений, подключенных через поставщиков удостоверений, отличных от Майкрософт, при доступе к приложению отображается страница с состоянием Продолжить установку. Чтобы завершить настройку, выполните следующие действия.

Рекомендуемые действия

  1. Выберите Продолжить установку.

  2. Просмотрите следующие статьи и убедитесь, что вы выполнили все необходимые действия.

    Обратите особое внимание на следующие действия.

    1. Убедитесь, что вы создали пользовательское приложение SAML. Это приложение требуется для изменения URL-адресов и атрибутов SAML, которые могут быть недоступны в приложениях коллекции.
    2. Если поставщик удостоверений не разрешает повторное использование того же идентификатора, также известного как Идентификатор сущности или Аудитория, измените идентификатор исходного приложения.

Не удается настроить элементы управления для встроенных приложений

Встроенные приложения можно обнаружить эвристически, и вы можете использовать политики доступа для их мониторинга или блокировки. Чтобы настроить элементы управления для собственных приложений, выполните следующие действия.

Рекомендуемые действия

  1. В политике доступа добавьте фильтр клиентского приложения и присвойте ему значение Мобильные и настольные приложения.

  2. В разделе Действия выберите Блокировать.

  3. При необходимости настройте сообщение о блокировке, которое пользователи получают, когда им не удается скачать файлы. Например, настройте это сообщение на . Для доступа к этому приложению необходимо использовать веб-браузер.

  4. Протестируйте и убедитесь, что элемент управления работает должным образом.

Отображается страница "Приложение не распознано"

Defender for Cloud Apps могут распознавать более 31 000 приложений через каталог облачных приложений.

Если вы используете пользовательское приложение, настроенное через Microsoft Entra SSO и не относящееся к числу поддерживаемых приложений, вы увидите страницу Приложение не распознано. Чтобы устранить эту проблему, необходимо настроить для приложения элемент управления условным доступом.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

  2. В баннере выберите Просмотреть новые приложения.

  3. В списке новых приложений найдите приложение, которое вы используете, выберите + знак и нажмите кнопку Добавить.

    1. Выберите, является ли приложение пользовательским или стандартным .
    2. Продолжайте работу в мастере и убедитесь, что указанные пользовательские домены верны для настраиваемого приложения.
  4. Убедитесь, что приложение отображается на странице приложений управления условным доступом .

Появится параметр управления сеансом запроса

После добавления приложения стороннего поставщика удостоверений (IdP), отличного от Microsoft, вы можете увидеть параметр Запрос управления сеансом. Это происходит из-за того, что только приложения каталога имеют встроенные элементы управления сеансами. Для любого другого приложения необходимо выполнить процесс самостоятельного подключения.

Следуйте инструкциям, приведенным в статье Развертывание элемента управления условным доступом для пользовательских приложений с поставщиком удостоверений, отличных от Майкрософт.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения.

  2. В разделе Управление условным доступом к приложениям выберите Подключение и обслуживание приложений.

  3. Введите основное имя или адрес электронной почты пользователя, который будет подключать приложение, а затем нажмите Сохранить.

  4. Перейдите в приложение, которое вы развертываете. Видимая страница зависит от того, распознается ли приложение. В зависимости от страницы выполните одно из следующих действий:

    • Не распознано. Вы увидите страницу «Приложение не распознано» с предложением настроить приложение. Выполните следующие действия.

      1. Подключите приложение для управления приложениями для условного доступа.
      2. Добавьте домены для приложения.
      3. Установите сертификаты приложения.
    • Распознано. Если приложение распознано, появится страница подключения с предложением продолжить процесс настройки приложения.

      Убедитесь, что приложение настроено со всеми доменами, необходимыми для правильной работы приложения, а затем вернитесь на страницу приложения.

Дополнительные рекомендации по подключению приложений

При устранении неполадок при подключении приложений необходимо учитывать некоторые дополнительные моменты.

  • Узнайте разницу между параметрами политики условного доступа Microsoft Entra: "Только мониторинг", "Блокировать загрузки" и "Использовать настраиваемую политику".

    В политиках условного доступа Microsoft Entra можно настроить следующие встроенные элементы управления Defender for Cloud Apps: Только мониторинг и Блокировать скачивание. Эти параметры применяют и принудительно включают функцию прокси Defender for Cloud Apps для облачных приложений и условий, настроенных в Microsoft Entra ID.

    Для более сложных политик выберите Использовать настраиваемую политику, которая позволяет настраивать политики доступа и сеансов в Defender for Cloud Apps.

  • Общие сведения о параметре фильтра клиентских приложений "Мобильные и настольные приложения" в политиках доступа

    В Defender for Cloud Apps политиках доступа, если для фильтра клиентского приложения не задано значение Мобильные и настольные устройства, результирующая политика доступа применяется к сеансам браузера.

    Причина этого заключается в том, чтобы предотвратить непреднамеренное прокси-использование сеансов пользователей, что может быть побочным результатом использования этого фильтра.

Проблемы при создании политик доступа и сеансов

Defender for Cloud Apps предоставляет следующие настраиваемые политики:

  • Политики доступа. Используется для мониторинга или блокировки доступа к браузерным, мобильным и (или) классическим приложениям.
  • Политики сеансов. Используется для мониторинга, блокировки и выполнения определенных действий, чтобы предотвратить проникновение и кражу данных в браузере.

Чтобы использовать эти политики в Defender for Cloud Apps, необходимо сначала настроить политику условного доступа Microsoft Entra, чтобы применить элементы управления сеансом:

  1. В политике Microsoft Entra в разделе Элементы управления доступом выберите Сеанс>Использовать управление условным доступом к приложениям.

  2. Выберите встроенную политику (Только мониторинг или Блокировать загрузки) или Используйте пользовательскую политику, чтобы задать расширенную политику в Defender for Cloud Apps.

  3. Нажмите кнопку Выбрать , чтобы продолжить.

Ниже приведены распространенные сценарии, с которыми вы можете столкнуться при настройке этих политик.

В политиках условного доступа параметр управления условным доступом для приложений не отображается.

Чтобы направлять сеансы в Defender for Cloud Apps, необходимо настроить политики условного доступа Microsoft Entra таким образом, чтобы они включали элементы управления сеансами для управления приложениями условного доступа.

Рекомендуемые действия

Если вы не видите параметр Управление условным доступом к приложениям в политике условного доступа, убедитесь, что у вас есть действительная лицензия на Microsoft Entra идентификатор P1 и действительная лицензия Defender for Cloud Apps.

Сообщение об ошибке при создании политики: у вас нет приложений, развернутых с элементами управления приложениями условного доступа.

При создании политики доступа или политики сеанса может появиться следующее сообщение об ошибке: У вас нет приложений с включенным контролем приложений условного доступа. Эта ошибка указывает на то, что приложение является приложением поставщика удостоверений, не относящимся к Microsoft, и не было подключено для управления приложениями для условного доступа.

Рекомендуемые действия

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения. В разделе Подключенные приложения выберите Приложения для управления условным доступом.

  2. Если появится сообщение Нет подключенных приложений, используйте следующие руководства для развертывания приложений:

Если при развертывании приложения возникают проблемы, см. статью Проблемы при подключении приложения.

Не удается создать политики сеансов для приложения

После подключения приложения стороннего поставщика удостоверений (IdP) для функции управления приложениями Conditional Access App Control на странице Приложения Conditional Access App Control может появиться пункт Запросить управление сеансом.

Примечание.

Приложения каталога имеют встроенные средства управления сеансами. Для любых других приложений поставщика удостоверений (IdP), не относящихся к Microsoft, необходимо пройти самостоятельную процедуру подключения. Рекомендуемые действия

  1. Разверните приложение в среде Session Control. Дополнительные сведения см. в разделе Подключение настраиваемых приложений стороннего поставщика удостоверений для управления приложениями для условного доступа.

  2. Создайте политику сеанса и выберите фильтр приложений .

  3. Убедитесь, что ваше приложение теперь указано в раскрывающемся списке.

Не удается выбрать метод проверки: служба классификации данных

В политиках сеансов при использовании типа элемента управления скачиванием файлов управления (с проверкой) можно использовать метод проверки службы классификации данных для сканирования файлов в режиме реального времени и обнаружения конфиденциального содержимого, соответствующего любому из настроенных условий.

Если метод проверки службы классификации данных недоступен, выполните следующие действия для изучения проблемы.

Рекомендуемые действия

  1. Убедитесь, что для параметра Тип элемента управления сеансом задано значение Управление скачиванием файлов (с проверкой).

    Примечание.

    Метод проверки службы классификации данных доступен только для параметра Скачивание файла управления (с проверкой).

  2. Определите, доступна ли функция службы классификации данных в вашем регионе:

    • Если функция недоступна в вашем регионе, используйте метод проверки встроенный DLP.
    • Если функция доступна в вашем регионе, но вы по-прежнему не видите метод проверки Службы классификации данных , отправьте запрос в службу поддержки.

Не удается выбрать Действие: Защитить

В политиках сеанса, при использовании типа элемента управления сеансом Управление скачиванием файла (с проверкой), в дополнение к действиям Мониторинг и Блокировка можно указать действие Защита. Это действие позволяет разрешить скачивание файлов с возможностью шифрования или применения разрешений к файлу в зависимости от условий, проверки содержимого или и того, и другого.

Если действие Защитить недоступно, выполните следующие действия, чтобы изучить проблему.

Рекомендуемые действия

  1. Если действие Защитить недоступно или неактивно, убедитесь, что у вас есть лицензия Microsoft Purview. Дополнительные сведения см. в разделе интеграция с Защита информации Microsoft Purview.

  2. Если действие Защитить доступно, но не отображает соответствующие метки.

    1. В Defender for Cloud Apps в строке меню щелкните значок > параметров Microsoft Information Protection и убедитесь, что интеграция включена.

    2. Для меток Office на портале Microsoft Purview убедитесь, что выбран пункт Унифицированные метки .

Диагностируйте и устраняйте неполадки с помощью панели инструментов представления администратора

Панель инструментов Администратор Вид находится в нижней части экрана и предоставляет пользователям-администраторам средства для диагностики и устранения проблем с управлением условным доступом к приложениям.

Чтобы просмотреть панель инструментов "Представление администратора", необходимо добавить определенные учетные записи пользователей администратора в список подключений и обслуживания приложений в параметрах портала Defender.

Чтобы добавить пользователя в список подключения и обслуживания приложений, выполните следующие действия.

  1. В Microsoft Defender XDR выберите Параметры>Облачные приложения.

  2. Прокрутите вниз и в разделе Управление условным доступом к приложениям выберите Подключение и обслуживание приложений.

  3. Введите основное имя пользователя или адрес электронной почты пользователя-администратора, которого вы хотите добавить.

  4. Выберите параметр Разрешить этим пользователям обходить управление условным доступом к приложениям внутри прокси-сеанса , а затем нажмите кнопку Сохранить.

    Например:

    Снимок экрана: параметры подключения и обслуживания приложений.

В следующий раз, когда один из перечисленных пользователей начнёт новый сеанс в поддерживаемом приложении, в котором у него есть права администратора, в нижней части окна браузера отобразится панель инструментов Административный просмотр.

Например, на следующем рисунке показана панель инструментов Администратор Вид в нижней части окна браузера при использовании OneNote в браузере:

Снимок экрана панели инструментов представления администратора.

В следующих разделах описывается использование панели инструментов Администратор View для тестирования и устранения неполадок.

Тестовый режим

Будучи администратором, возможно, вы захотите протестировать будущие исправления ошибок прокси, прежде чем последняя версия будет полностью развернута для всех арендаторов. Предоставьте свой отзыв об исправлении ошибок в службу поддержки Майкрософт, чтобы ускорить циклы выпуска.

В тестовом режиме все изменения, указанные в исправлениях ошибок, доступны только пользователям администраторов. Это не влияет на других пользователей.

  • Чтобы включить тестовый режим, на панели инструментов Администратор Вид выберите Режим тестирования.
  • Завершив тестирование, выберите Завершить тестовый режим , чтобы вернуться к обычной функциональности.

Обход сеанса прокси-сервера

Если вы используете браузер, отличный от Edge и испытываете трудности с доступом к приложению или его загрузкой, вы можете проверить, связана ли проблема с прокси-сервером условного доступа, запустив приложение без прокси-сервера.

Чтобы обойти прокси-сервер, на панели инструментов Admin View выберите Bypass experience. Убедитесь, что сеанс обошел стороной, отметив, что URL-адрес не имеет суффиксов.

Прокси-сервер условного доступа снова используется в следующем сеансе.

Дополнительные сведения см. в разделе Управление приложениями условного доступа Microsoft Defender for Cloud Apps и Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия).

Второй вход (также известный как "second login")

Некоторые приложения имеют несколько глубоких ссылок для входа. Если вы не определите ссылки для входа в параметры приложения, пользователи могут перенаправляться на нераспознанную страницу при входе, блокируя их доступ.

Интеграция с поставщиками удостоверений (IdP), такими как Microsoft Entra ID, основана на перехвате процесса входа в приложение и его перенаправлении. Это означает, что входы в браузер нельзя контролировать напрямую без активации второго входа. Чтобы активировать второй вход, необходимо использовать второй URL-адрес входа специально для этой цели.

Если приложение использует nonce, второй вход может быть прозрачным для пользователей или им будет предложено снова войти.

Если он не является прозрачным для конечного пользователя, добавьте второй URL-адрес входа в параметры приложения:

Перейдите в раздел Параметры Облачные > приложения > Подключенные приложения > с условным доступом Приложения управления приложениями

Выберите соответствующее приложение, а затем выберите три точки.

Выберите Изменить приложение\Расширенная конфигурация входа.

Добавьте второй URL-адрес входа, как указано на странице ошибки.

Если вы уверены, что приложение не использует nonce, его можно отключить, изменив параметры приложений, как описано в разделе Медленный вход.

Запись сеанса

Вы можете помочь в анализе первопричин проблемы, отправив запись сеанса инженерам службы поддержки Майкрософт. Используйте панель инструментов представления администратора, чтобы записать сеанс.

Примечание.

Все персональные данные удаляются из записей.

Чтобы записать сеанс, выполните приведенные далее действия.

  1. На панели инструментов Администратор Вид выберите Запись сеанса. При появлении запроса выберите Продолжить , чтобы принять условия. Например:

    Снимок экрана: диалоговое окно заявления о конфиденциальности записи сеанса.

  2. При необходимости войдите в приложение, чтобы начать имитацию сеанса.

  3. Завершив запись сценария, убедитесь, что на панели инструментов Администратор вид выберите Остановить запись.

Чтобы просмотреть записанные сеансы, выполните приведенные далее действия.

После завершения записи просмотрите записанные сеансы, выбрав Записи сеансов на панели инструментов Администратор Вид. Появится список записанных сеансов за предыдущие 48 часов. Например:

Снимок экрана: записи сеансов.

Чтобы управлять записями, выберите файл, а затем выберите Удалить или Скачать по мере необходимости. Например:

Снимок экрана: скачивание или удаление записи.

Добавление доменов для приложения

Связывание правильных доменов с приложением позволяет Defender for Cloud Apps применять политики и действия аудита.

Например, если вы настроили политику, которая блокирует скачивание файлов для связанного домена, скачивание файлов приложением из этого домена будет заблокировано. Однако скачивание файлов приложением из доменов, не связанных с приложением, не будет заблокировано, и действие не будет проверяться в журнале действий.

Если администратор просматривает в прокси-приложении нераспознанный домен, который Defender for Cloud Apps не считает частью того же приложения или любого другого приложения, появится сообщение "Нераспознанный домен", предлагающее администратору добавить домен, чтобы он был защищен в следующий раз. В таких случаях, если администратор не хочет добавлять домен, никаких действий не требуется.

Примечание.

Defender for Cloud Apps по-прежнему добавляет суффикс к доменам, не связанным с приложением, чтобы обеспечить удобство взаимодействия с пользователем.

Чтобы добавить домены для приложения, выполните приведенные далее действия.

  1. Откройте приложение в браузере так, чтобы на экране была видна панель инструментов «Режим администратора» Defender for Cloud Apps.

  2. На панели инструментов представления «Администратор» выберите Обнаруженные домены.

  3. В области Обнаруженные домены запишите перечисленные доменные имена или экспортируйте список в виде файла .csv.

    На панели Обнаруженные домены отображается список всех доменов, которые не связаны с приложением. Доменные имена являются полными.

  4. В Microsoft Defender XDR выберите Параметры>Облачные приложения>Подключенные приложения>Условный доступ к приложениям управления приложениями.

  5. Найдите приложение в таблице. Выберите меню параметров справа, а затем выберите Изменить приложение.

  6. В поле Определяемые пользователем домены введите домены, которые нужно связать с этим приложением.

    • Чтобы просмотреть список доменов, уже настроенных в приложении, выберите ссылку Просмотреть домены приложения .

    • При добавлении доменов учтите, хотите ли вы добавить определенные домены, или используйте звездочку (***** как подстановочный знак для использования нескольких доменов одновременно.

      Например, sub1.contoso.comsub2.contoso.com это примеры определенных доменов. Чтобы добавить оба этих домена одновременно, а также другие одноуровневые домены, используйте .*.contoso.com

Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.