Solución de problemas de controles de acceso y de sesión de los usuarios administradores
En este artículo se proporcionan instrucciones a los administradores de Microsoft Defender for Cloud Apps sobre cómo investigar y resolver problemas comunes de control de acceso y de sesión, tal como lo experimentan los administradores.
Nota:
Cualquier solución de problemas relacionada con la funcionalidad del proxy solo sirve para las sesiones que no estén configuradas para la protección integrada del explorador con Microsoft Edge.
Comprobación de requisitos mínimos
Antes de empezar a solucionar problemas, asegúrese de que el entorno cumple los siguientes requisitos generales mínimos para los controles de acceso y de sesión.
Requisito | Descripción |
---|---|
Licencias | Asegúrese de que tiene una licencia válida para Microsoft Defender for Cloud Apps. |
Inicio de sesión único (SSO) | Las aplicaciones deben configurarse con una de las soluciones de SSO admitidas: - Microsoft Entra ID con SAML 2.0 u OpenID Connect 2.0 - IdP que no es de Microsoft mediante SAML 2.0 |
Compatibilidad con navegadores | Los controles de sesión están disponibles para las sesiones basadas en navegador en las últimas versiones de los siguientes navegadores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari La protección integrada del explorador de Microsoft Edge también tiene una serie de requisitos específicos, así como el usuario que inicie sesión con su perfil de trabajo. Para obtener más información, consulte Requisitos de la protección integrada del explorador. |
Tiempo de inactividad: | Defender for Cloud Apps permite definir el comportamiento predeterminado que se aplicará si se produce una interrupción del servicio, como un componente que no funciona correctamente. Por ejemplo, cuando no se puedan aplicar los controles de directiva normales, puede optar por proteger (bloquear) u omitir (permitir) que los usuarios realicen acciones en contenido potencialmente confidencial. Para configurar el comportamiento predeterminado durante el tiempo de inactividad del sistema, en Microsoft Defender XDR, vaya a Configuración>Control de aplicaciones de acceso condicional>Comportamiento predeterminado>Permitir o Bloquear acceso. |
Requisitos de la protección integrada del explorador
Si va a usar la protección integrada del explorador con Microsoft Edge y sigue dependiendo de un proxy inverso, compruebe que cumpla los siguientes requisitos adicionales:
La función está activada en la configuración de Defender XDR. Para obtener más información, consulte Configuración de los ajustes de la protección integrada del explorador.
Todas las directivas que rigen al usuario son compatibles con Microsoft Edge para empresas. Si hay otro usuario al que le afecta otra directiva que no es compatible con Microsoft Edge para empresas, siempre dependerá del proxy inverso. Para obtener más información, consulte Requisitos de la protección integrada del explorador.
Está usando una plataforma compatible, así como un sistema operativo, una plataforma de identidad y una versión de Edge compatibles. Para obtener más información, consulte Requisitos de la protección integrada del explorador.
Referencia de problemas de solución de problemas para administradores
Use la tabla siguiente para encontrar el problema que intenta solucionar:
Problemas de condición de red
Entre los problemas comunes de condición de red que puede encontrar se incluyen:
- Errores de red al navegar a una página del explorador
- Inicio de sesión lento
- Consideraciones adicionales
Errores de red al navegar a una página del navegador
Al configurar por primera vez los controles de acceso y sesión de Defender for Cloud Apps para una aplicación, podrían surgir los errores de red comunes siguientes, entre otros: Este sitio no es seguro y No hay conexión a Internet. Estos mensajes pueden indicar un error general de configuración de red.
Pasos recomendados
Configure el firewall para que funcione con Defender for Cloud Apps mediante las direcciones IP de Azure y los nombres DNS pertinentes para su entorno.
- Agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS para el centro de datos de Defender for Cloud Apps.
- Reinicie el dispositivo y la sesión del explorador.
- Verifique que el inicio de sesión funciona como se espera
Habilite TLS 1.2 en las opciones de Internet del navegador. Por ejemplo:
Browser Pasos Microsoft Internet Explorer 1. Abra Internet Explorer
2. Seleccione Herramientas>Opciones de Internet>pestaña Opciones avanzadas.
3. En Seguridad, seleccione TLS 1.2.
4. Seleccione Aplicar y luego Aceptar.
5. Reinicie el navegador y compruebe que puede acceder a la aplicación.Microsoft Edge / Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet".
2. A continuación, seleccione Opciones de Internet.
3. En Seguridad, seleccione TLS 1.2.
4. Seleccione Aplicar y luego Aceptar.
5. Reinicie el explorador y compruebe que puede acceder a la aplicación.Google Chrome 1. Abra Google Chrome
2. En la parte superior derecha, seleccione Más (3 puntos verticales) >Configuración
3. En la parte inferior, seleccione Avanzadas
4. En Sistema, seleccione Abrir configuración de proxy.
5. En la pestaña Avanzadas, en Seguridad, seleccione TLS 1.2.
6. Seleccione Aceptar
7. Reinicie el explorador y compruebe que puede acceder a la aplicación.Mozilla Firefox 1. Abra Mozilla Firefox
2. En la barra de direcciones y busque "about:config"
3. En el cuadro de búsqueda, busque "TLS".
4. Haga doble clic en la entrada de security.tls.version.min.
5. Establezca el valor entero en 3 para forzar TLS 1.2 como versión mínima necesaria
6. Seleccione Guardar (marca de verificación a la derecha del cuadro de valor)
7. Reinicie el explorador y compruebe que puede acceder a la aplicación.Safari Si usa la versión 7 o posterior de Safari, TLS 1.2 se habilita automáticamente.
Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar un cifrado de primera clase:
- Las aplicaciones y navegadores de cliente nativo que no admiten TLS 1.2+ no son accesibles cuando se configuran con el control de sesión.
- Las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecen en el navegador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.
Sugerencia
Aunque los controles de sesión se crean para trabajar con cualquier navegador en cualquier plataforma principal de cualquier sistema operativo, se admiten las versiones más recientes de Microsoft Edge, Google Chrome, Mozilla Firefox o Apple Safari. Es posible que quiera bloquear o permitir el acceso específicamente a aplicaciones móviles o de escritorio.
Inicios de sesión lentos
El encadenamiento de proxy y el control de nonce son algunos de los problemas comunes que podrían dar lugar a un rendimiento de inicio de sesión lento.
Pasos recomendados
Configure el entorno para quitar los factores que podrían causar lentitud durante el inicio de sesión. Por ejemplo, es posible que tenga firewalls o encadenamiento de proxy de reenvío configurado, que conecta dos o más servidores proxy para navegar a la página prevista. También puede tener otros factores externos que afecten a la lentitud.
- Identifique si el encadenamiento de proxy se produce en su entorno.
- Quite los servidores proxy de reenvío siempre que sea posible.
Algunas aplicaciones usan un hash nonce durante la autenticación para evitar ataques de reinyección. De forma predeterminada, Defender for Cloud Apps supone que una aplicación usa un nonce. Si la aplicación con la que trabaja no usa nonce, deshabilite el control de nonce para esta aplicación en Defender for Cloud Apps:
- En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
- En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.
- En la lista de aplicaciones, en la fila en la que aparece la aplicación que desea configurar, seleccione los tres puntos al final de la fila y, a continuación, seleccione Editar en su aplicación.
- Seleccione Control de nonce para expandir la sección y, a continuación, desactive Habilitar control de nonce.
- Cierre la sesión de la aplicación y cierre todas las sesiones del navegador.
- Reinicie el navegador y vuelva a iniciar sesión en la aplicación. Compruebe que el inicio de sesión funciona según lo esperado.
Más consideraciones para las condiciones de red
Al solucionar problemas de condiciones de red, tenga en cuenta también las notas siguientes sobre el proxy de Defender for Cloud Apps:
Compruebe si la sesión se enruta a otro centro de datos: Defender for Cloud Apps usa centros de datos de Azure en todo el mundo para optimizar el rendimiento a través de la geolocalización.
Esto significa que la sesión de un usuario puede hospedarse fuera de una región, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de sesión en estos centros de datos.
Rendimiento del proxy: la derivación de una línea base de rendimiento depende de muchos factores fuera del proxy de Defender for Cloud Apps, como:
- Qué otros servidores proxy o puertas de enlace se encuentran en la serie con este proxy
- ¿De dónde viene el usuario?
- Dónde reside el recurso de destino
- Solicitudes específicas en la página
En general, cualquier proxy agrega latencia. Las ventajas del proxy de Defender for Cloud Apps son:
El uso de la disponibilidad global de los controladores de dominio de Azure para geolocalizar a los usuarios al nodo más cercano y reducir su distancia de ida y vuelta. Los controladores de dominio de Azure pueden realizar geolocalización en una escala que pocos servicios del mundo ofrecen.
El uso de la integración con el acceso condicional de Microsoft Entra solo para enrutar las sesiones de las que desee realizar proxy a nuestro servicio, en lugar de a todos los usuarios en todas las situaciones.
Problemas con la identificación de dispositivos
Defender for Cloud Apps proporciona las siguientes opciones para identificar el estado de administración de un dispositivo.
- Cumplimiento de Microsoft Intune
- Dominio híbrido Microsoft Entra unido a un dominio
- Certificados de cliente
Para obtener más información, consulte Dispositivos administrados por identidades con control de aplicaciones de acceso condicional.
Estos son algunos problemas comunes de identificación de dispositivos que puede encontrar:
- Errores de identificación de dispositivos unidos híbridos conformes con Intune o híbridos de Microsoft Entra
- Los certificados de cliente no se solicitan cuando se espera
- Los certificados de cliente se solicitan en todos los inicios de sesión
- Consideraciones adicionales
Errores de identificación de dispositivos unidos híbridos conformes con Intune o híbridos de Microsoft Entra
El acceso condicional de Microsoft Entra permite que la información de los dispositivos unidos conformes con Intune o de Microsoft Entra híbrido se pase directamente a Defender for Cloud Apps. En Defender for Cloud Apps, use el estado del dispositivo como filtro para las directivas de acceso o sesión.
Para obtener más información, consulte Introducción a la administración de dispositivos en Microsoft Entra ID.
Pasos recomendados
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender for Cloud Apps.
En Identificación de dispositivos compatibles con Intune e Identificación unida híbrida de Microsoft Entra, respectivamente, seleccione Ver configuración y compruebe que los servicios están configurados. Los servicios se sincronizan automáticamente desde Microsoft Entra ID e Intune respectivamente.
Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Conforme con Intune o ambos.
En un explorador, inicie sesión en un dispositivo unido a Microsoft Entra híbrido o compatible con Intune en función del filtro de directiva.
Compruebe que las actividades de estos dispositivos rellenan el registro. En Defender for Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Conforme con Intune o ambos en función de los filtros de directiva.
Si las actividades no se rellenan en el registro de actividad de Defender for Cloud Apps, vaya a Microsoft Entra ID y realice los pasos siguientes:
En Supervisión>Inicios de sesión, compruebe que hay actividades de inicio de sesión en los registros.
Seleccione la entrada de registro correspondiente al dispositivo en el que ha iniciado sesión.
En el panel Detalles, en la pestaña Información del dispositivo, compruebe que el dispositivo está administrado (unido a Azure AD híbrido) o es compatible (compatible con Intune).
Si no puede comprobar ninguno de estos estados, pruebe con otra entrada de registro o asegúrese de que los datos del dispositivo estén configurados correctamente en Microsoft Entra ID.
En el caso del acceso condicional, algunos navegadores pueden requerir una configuración adicional, como instalar una extensión. Para obtener más información, consulte Navegadores compatibles con el acceso condicional.
Si sigue sin ver la información del dispositivo en la página Inicios de sesión, abra una incidencia de soporte técnico para Microsoft Entra ID.
Los certificados de cliente no se solicitan cuando se espera
El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede cargar un certificado de entidad de certificación (CA) intermedia o raíz X.509 formateada en el formato de certificado PEM.
Los certificados deben contener la clave pública de la entidad de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión. Para obtener más información, consulte Comprobar la administración de dispositivos sin Microsoft Entra.
Pasos recomendados
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles con Defender for Cloud Apps.
Compruebe que cargó un certificado de entidad de CA intermedia o raíz X.509. Debe cargar el certificado de CA que se usa para firmar la autoridad de certificado pertinente.
Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Certificado de cliente válido.
Asegúrese de que el certificado de cliente esté:
- Implementado con el formato de archivo PKCS #12, normalmente una extensión de archivo .p12 o .pfx.
- Instalado en el almacén de usuarios, no en el almacén de dispositivos, del dispositivo que usa para realizar pruebas.
Reinicie la sesión del navegador.
Al iniciar sesión en la aplicación protegida:
- Compruebe que se le redirige a la siguiente sintaxis de dirección URL:
<https://*.managed.access-control.cas.ms/aad_login>
- Si usa iOS, asegúrese de que usa el navegador Safari.
- Si usa Firefox, también debe agregar el certificado al propio almacén de certificados de Firefox. Todos los demás navegadores usan el mismo almacén de certificados predeterminado.
- Compruebe que se le redirige a la siguiente sintaxis de dirección URL:
Valide que se le solicite el certificado de cliente en el navegador.
Si no aparece, pruebe otro navegador. La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen usar exploradores integrados que podrían no admitir esta comprobación y, por tanto, afectar a la autenticación de estas aplicaciones.
Compruebe que las actividades de estos dispositivos rellenen el registro. En Defender for Cloud Apps, en la página Registro de actividad, añada un filtro en Etiqueta de dispositivo igual a Certificado de cliente válido.
Si sigue sin ver el mensaje, abra una incidencia de soporte técnico e incluya la siguiente información:
- Detalles del navegador o la aplicación nativa donde experimentó el problema
- La versión del sistema operativo, como iOS, Android o Windows 10.
- Mencione si la solicitud funciona en Microsoft Edge Chromium
Los certificados de cliente se solicitan en todos los inicios de sesión
Si el certificado de cliente aparece después de abrir una nueva pestaña, esto puede deberse a la configuración oculta en Opciones de Internet. Compruebe la configuración en el navegador. Por ejemplo:
En Microsoft Internet Explorer:
- Abra Internet Explorer y seleccione Herramientas>Opciones de Internet>pestaña Avanzado.
- En Seguridad, seleccione No solicitar la selección de certificado de cliente cuando solo exista un certificado> seleccione Aplicar>Aceptar.
- Reinicie el navegador y compruebe que puede acceder a la aplicación sin las solicitudes adicionales.
En Microsoft Edge/Edge Chromium
- Abra la búsqueda desde la barra de tareas y busque Opciones de Internet.
- Seleccione Opciones de Internet>Seguridad>Intranet local>Nivel personalizado.
- En Varios>No solicitar la selección de certificado de cliente cuando solo existe un certificado, seleccione Deshabilitar.
- Seleccione Aceptar>Aplicar>Aceptar.
- Reinicie el navegador y compruebe que puede acceder a la aplicación sin las solicitudes adicionales.
Más consideraciones para la identificación de dispositivos
Al solucionar problemas de identificación de dispositivos, puede ser necesaria la revocación de certificados para los certificados de cliente.
Los certificados revocados por la entidad emisora de certificados ya no son de confianza. Al seleccionar esta opción, es necesario que todos los certificados pasen el protocolo CRL. Si el certificado de cliente no contiene un punto de conexión CRL, no se puede conectar desde el dispositivo administrado.
Problemas al incorporar una aplicación
Las aplicaciones de Microsoft Entra ID se incorporan automáticamente a Defender for Cloud Apps para controles de acceso condicional y sesión. Debe incorporar manualmente aplicaciones de IdP que no es de Microsoft, incluidas las aplicaciones de catálogo y personalizadas.
Para más información, vea:
- Implementación del control de aplicaciones de acceso condicional para aplicaciones de catálogo con IdP no de Microsoft
- Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con IdP no de Microsoft
Entre los escenarios comunes que podría encontrar al incorporar una aplicación se incluyen:
- La aplicación no aparece en la página de aplicaciones de Control de aplicaciones de acceso condicional
- Estado de la aplicación: Continuar configuración
- No se pueden configurar controles para aplicaciones incorporadas
- Aparece la opción Solicitar control de sesión
La aplicación no aparece en la página Aplicaciones para el Control de aplicaciones de acceso condicional
Al incorporar una aplicación con IdP que no es de Microsoft al control de aplicaciones de acceso condicional, el último paso de implementación es hacer que el usuario final vaya a la aplicación. Siga los pasos descritos en esta sección si la aplicación no aparece en la página Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.
Pasos recomendados
Asegúrese de que la aplicación cumple los requisitos previos del control de aplicaciones de acceso condicional:
- Asegúrese de que tiene una licencia válida para Defender for Cloud Apps.
- Cree una aplicación duplicada.
- Asegúrese de que la aplicación usa el protocolo SAML.
- Valide que ha incorporado completamente la aplicación y que el estado de la aplicación es Conectado.
Asegúrese de navegar a la aplicación en una nueva sesión del explorador mediante un nuevo modo de incógnito o iniciando sesión de nuevo.
Nota:
Las aplicaciones de Entra ID solo aparecen en la página Aplicaciones de control de aplicaciones de acceso condicional después de configurarlas en al menos una directiva, o si tiene una directiva sin ninguna especificación de aplicación y un usuario ha iniciado sesión en la aplicación.
Estado de la aplicación: Continuar configuración
El estado de una aplicación puede variar y puede incluir Continuar configuración, Conectar o Sin actividades.
En el caso de las aplicaciones conectadas a través de proveedores de identidades (IdP) que no son de Microsoft, si la configuración no está completa, al acceder a la aplicación, verá una página con el estado Continuar configuración. Siga los pasos siguientes para completar la configuración.
Pasos recomendados
Seleccione Continuar configuración.
Revise los artículos siguientes y compruebe que ha completado todos los pasos necesarios:
- Implementación del control de aplicaciones de acceso condicional para aplicaciones de catálogo con IdP no de Microsoft
- Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con IdP no de Microsoft
Preste especial atención a los siguientes aspectos:
- Asegúrese de crear una nueva aplicación SAML personalizada. Necesitará esta aplicación para cambiar las direcciones URL y los atributos SAML que podrían no estar disponibles en las aplicaciones de la galería.
- Si el proveedor de identidades no permite la reutilización del mismo identificador (también conocido como ID de entidad o Audiencia), cambie el identificador de la aplicación original.
No se pueden configurar controles para aplicaciones incorporadas
Las aplicaciones integradas se pueden detectar heurísticamente y puede usar directivas de acceso para supervisarlas o bloquearlas. Siga estos pasos para configurar controles para aplicaciones nativas.
Pasos recomendados
En una directiva de acceso, agregue un filtro de aplicación cliente y establézcalo en Móvil y escritorio.
En Acciones, seleccione Bloquear.
Si lo desea, puede personalizar el mensaje de bloqueo que verán los usuarios cuando no puedan descargar archivos. Por ejemplo, personalice este mensaje con Debe usar un navegador web para acceder a esta aplicación.
Pruebe y valide que el control funciona según lo previsto.
Aparece la página Aplicación no reconocida
Defender for Cloud Apps puede reconocer más de 31 000 aplicaciones a través del catálogo de aplicaciones en la nube.
Si usa una aplicación personalizada configurada a través del SSO de Microsoft Entra y no es una de las aplicaciones compatibles, se encontrará con una página Aplicación no reconocida. Para resolver el problema, debe configurar la aplicación con el control de aplicaciones de acceso condicional.
Pasos recomendados
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.
En el banner, seleccione Ver nuevas aplicaciones.
En la lista de nuevas aplicaciones, busque la aplicación que va a incorporar, seleccione el signo + y, a continuación, seleccione Agregar.
- Seleccione si la aplicación es una aplicación personalizada o estándar.
- Continúe con el asistente, asegúrese de que los dominios definidos por el usuario especificados son correctos para la aplicación que está configurando.
Compruebe que la aplicación aparece en la página Aplicaciones para el Control de aplicaciones de acceso condicional.
Aparece la opción Solicitar control de sesión
Después de incorporar una aplicación de IdP que no es de Microsoft, es posible que vea la opción Solicitar control de sesión. Esto ocurre porque solo las aplicaciones de catálogo tienen controles de sesión predefinidos. Para cualquier otra aplicación, debe pasar por un proceso de incorporación automática.
Siga las instrucciones que se indican en Implementación del control de aplicaciones de acceso condicional para aplicaciones personalizadas con IdP que no es de Microsoft.
Pasos recomendados
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
En Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.
Escriba el nombre principal o el correo electrónico del usuario que va a incorporar la aplicación y, a continuación, seleccione Guardar.
Vaya a la aplicación que va a implementar. La página que ve depende de si se reconoce la aplicación. Realice uno de los siguientes pasos, según la página que vea:
No se ha reconocido. Verá una página Aplicación no reconocida que le pide que configure la aplicación. Siga estos pasos:
- Incorpore la aplicación para el control de aplicaciones de acceso condicional.
- Agregue los dominios de la aplicación.
- Instale los certificados de la aplicación.
Se ha reconocido. Si se reconoce la aplicación, verá una página de incorporación que le pide que continúe con el proceso de configuración de la aplicación.
Asegúrese de que la aplicación esté configurada con todos los dominios necesarios para que la aplicación funcione correctamente y, a continuación, vuelva a la página de la aplicación.
Más consideraciones para la incorporación de aplicaciones
Al solucionar problemas con la incorporación de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.
Descripción de la diferencia entre la configuración de la directiva de acceso condicional de Microsoft Entra: "Solo supervisión", "Bloquear descargas" y "Usar directiva personalizada"
En las directivas de acceso condicional de Microsoft Entra, puede configurar los siguientes controles integrados de Defender for Cloud Apps: Solo supervisión y Bloquear descargas. Esta configuración aplica e impone la característica de proxy de Defender for Cloud Apps para las aplicaciones en la nube y las condiciones configuradas en Microsoft Entra ID.
Para directivas más complejas, seleccione Usar directiva personalizada, lo que le permite configurar directivas de acceso y sesión en Defender for Cloud Apps.
Descripción de la opción de filtro de aplicación cliente "Móvil y escritorio" en las directivas de acceso
En las directivas de acceso de Defender for Cloud Apps, a menos que el filtro de aplicación cliente esté establecido en Móvil y escritorio, la directiva de acceso resultante solo se aplica a las sesiones del navegador.
El motivo de esto es evitar crear un proxy en las sesiones de usuario sin querer, lo que puede suceder al usar este filtro.
Problemas al crear directivas de acceso y de sesión
Defender for Cloud Apps proporciona las siguientes directivas configurables:
- Directivas de acceso: se usa para supervisar o bloquear el acceso a aplicaciones de navegador, móviles o de escritorio.
- Directivas de sesión. Se usa para supervisar, bloquear y realizar acciones específicas para evitar escenarios de infiltración y filtración de datos en el navegador.
Para usar estas directivas en Defender for Cloud Apps, primero debe configurar una directiva en el acceso condicional de Microsoft Entra para ampliar los controles de sesión:
En la directiva de Microsoft Entra, en Controles de acceso, seleccione Sesión>Usar el Control de aplicaciones de acceso condicional.
Seleccione una directiva integrada (Solo supervisión o Bloquear descargas) o Usar una directiva personalizada para establecer una directiva avanzada en Defender for Cloud Apps.
Elija Seleccionar para continuar.
Entre los escenarios comunes que se pueden encontrar al configurar estas directivas se incluyen:
- En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional
- Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con control de aplicaciones de acceso condicional
- No se pueden crear directivas de sesión para una aplicación
- No se puede elegir Método de inspección: Servicio de clasificación de datos
- No se puede elegir Acción: Proteger
En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional.
Para enrutar las sesiones a Defender for Cloud Apps, las directivas de acceso condicional de Microsoft Entra deben configurarse para incluir controles de sesión de Control de aplicaciones de acceso condicional.
Pasos recomendados
Si no ve la opción Control de aplicaciones de acceso condicional en la directiva de acceso condicional, asegúrese de que tiene una licencia válida para Microsoft Entra ID P1 y una licencia válida de Defender for Cloud Apps.
Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con el Control de aplicaciones de acceso condicional
Al crear una directiva de acceso o sesión, es posible que vea el siguiente mensaje de error: No tiene ninguna aplicación implementada con el Control de aplicaciones de acceso condicional. Este error indica que la aplicación es una aplicación de IdP que no es de Microsoft que no se ha incorporado para el control de aplicaciones de acceso condicional.
Pasos recomendados
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.
Si ve el mensaje Sin aplicaciones conectadas, use las siguientes guías para implementar aplicaciones:
Si tiene algún problema durante la implementación de la aplicación, consulte Problemas al incorporar una aplicación.
No se pueden crear directivas de sesión para una aplicación
Después de incorporar una aplicación de IdP que no es de Microsoft para el control de aplicaciones de acceso condicional, en la página Aplicaciones de control de aplicaciones de acceso condicional, puede ver la opción: Solicitar control de sesión.
Nota:
Las aplicaciones del catálogo tienen controles de sesión listos para usar. Para cualquier otra aplicación con IdP que no es de Microsoft, debe pasar por un proceso de incorporación automática. Pasos recomendados
Implemente su aplicación en el control de sesión. Para obtener más información, consulte Incorporación de aplicaciones personalizadas con IdP que no es de Microsoft para el control de aplicaciones de acceso condicional.
Cree una directiva de sesión y seleccione el filtro Aplicación.
Asegúrese de que la aplicación aparece ahora en la lista desplegable.
No se puede elegir Método de inspección: servicio de clasificación de datos
En las directivas de sesión, al usar el tipo de control de sesión de descarga de archivos de control (con inspección), puede usar el método de inspección del Servicio de clasificación de datos para examinar los archivos en tiempo real y detectar contenido confidencial que coincida con cualquiera de los criterios que haya configurado.
Si el método de inspección del Servicio de clasificación de datos no está disponible, siga estos pasos para investigar el problema.
Pasos recomendados
Compruebe que el tipo de control de sesión está establecido en Descarga de archivos de control (con inspección).
Nota:
El método de inspección del Servicio de clasificación de datos solo está disponible para la opción Controlar la descarga de archivos (con inspección).
Determine si la característica Servicio de clasificación de datos está disponible en su región.
- Si la característica no está disponible en su región, use el método de inspección DLP integrado.
- Si la característica está disponible en su región, pero todavía no puede ver el método de inspección del Servicio de clasificación de datos, abra una incidencia de soporte técnico.
No se puede elegir Acción: Proteger
En las directivas de sesión, al usar el tipo de control de descarga de archivos de control (con inspección), además de las acciones Supervisar y Bloquear, puede especificar la acción Proteger. Esta acción le permite permitir descargas de archivos con la opción de cifrar o aplicar permisos al archivo en función de condiciones, inspección de contenido o ambos.
Si la acción Proteger no está disponible, siga estos pasos para investigar el problema.
Pasos recomendados
Si la acción Proteger no está disponible o está atenuada, compruebe que tiene una licencia de Microsoft Purview. Para más información, consulte Integración de Microsoft Purview Information Protection.
Si la acción Proteger está disponible, pero no ve las etiquetas adecuadas.
En Defender for Cloud Apps, en la barra de menús, seleccione el icono de configuración, seleccione >Microsoft Information Protection y compruebe que la integración está habilitada.
En el caso de las etiquetas de Office, en el portal de Microsoft Purview, asegúrese de que el etiquetado unificado está seleccionado.
Diagnóstico y solución de problemas con la barra de herramientas Vista de administrador
La barra de herramientas Vista de administrador se encuentra en la parte inferior de la pantalla y proporciona herramientas para que los usuarios administradores puedan diagnosticar y solucionar problemas con el Control de aplicaciones de acceso condicional.
Para ver la barra de herramientas Vista de administrador, debe asegurarse de agregar cuentas de usuario administrador específicas a la lista Incorporación y mantenimiento de aplicaciones en la configuración de Microsoft Defender XDR.
Para agregar un usuario a la lista Incorporación y mantenimiento de aplicaciones:
En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
Desplácese hacia abajo y, en Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.
Escriba el nombre principal o la dirección de correo electrónico del usuario administrador que desea agregar.
Seleccione la opción Habilitar a estos usuarios para omitir el Control de aplicaciones de acceso condicional desde dentro de una sesión proxy y, a continuación, seleccione Guardar.
Por ejemplo:
La próxima vez que uno de los usuarios enumerados inicie una nueva sesión en una aplicación compatible en la que sea administrador, la barra de herramientas Vista de administrador se muestra en la parte inferior del navegador.
Por ejemplo, en la imagen siguiente se muestra la barra de herramientas Vista de administrador que se muestra en la parte inferior de una ventana del explorador, cuando se usa OneNote en el navegador:
En las secciones siguientes se describe cómo usar la barra de herramientas Vista de administrador para probar y solucionar problemas.
Modo de prueba
Como usuario administrador, es posible que quiera probar las próximas correcciones de errores de proxy antes de que la versión más reciente se implemente completamente en todos los inquilinos. Proporcione sus comentarios sobre la corrección de errores al equipo de soporte técnico de Microsoft para ayudar a acelerar los ciclos de lanzamiento.
Cuando está en modo de prueba, solo los usuarios administradores están expuestos a los cambios proporcionados en las correcciones de errores. Los demás usuarios no se verán afectados.
- Para activar el modo de prueba, en la barra de herramientas Vista de administrador, seleccione Modo de prueba.
- Cuando haya terminado las pruebas, seleccione Finalizar modo de prueba para volver a la funcionalidad normal.
Omitir sesión de proxy
Si utiliza un navegador distinto de Edge y tiene dificultades para acceder a la aplicación o cargarla, es posible que desee comprobar si el problema es con el proxy de acceso condicional mediante la ejecución de la aplicación sin el proxy.
Para omitir el proxy, en la barra de herramientas Vista de administrador, seleccione Omitir experiencia. Para confirmar que se ha evitado la sesión, observe que la URL no tiene sufijo.
El proxy de acceso condicional se vuelve a usar en la siguiente sesión.
Para obtener más información, consulte Control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps y Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).
Segundo inicio de sesión
En algunas aplicaciones hay más de un vínculo profundo para iniciar sesión. A menos que defina los vínculos de inicio de sesión en los ajustes de la aplicación, es posible que a los usuarios se les redirija a una página no reconocida cuando inician sesión, bloqueando su acceso.
La integración entre IdP, como Microsoft Entra ID, se basa en interceptar el inicio de sesión de una aplicación y redirigirlo. Esto significa que no es posible controlar directamente los inicios de sesión en el explorador sin que se active un segundo inicio de sesión. Para activar un segundo inicio de sesión, debemos emplear una segunda dirección URL de inicio de sesión concreta para ese fin.
Si la aplicación usa un nonce, es posible que el segundo inicio de sesión sea transparente para los usuarios o que se les pida que vuelvan a iniciar sesión.
Si no es transparente para el usuario final, agregue la segunda dirección URL de inicio de sesión a la configuración de la aplicación:
Vaya a Configuración > Cloud Apps > Aplicaciones conectadas > Aplicaciones para el Control de aplicaciones de acceso condicional
Seleccione la aplicación en cuestión y luego elija el símbolo de los tres puntos.
Seleccione Editar configuración de inicio de sesión avanzado o de la aplicación.
Agregue la segunda dirección URL de inicio de sesión, tal como se indicó en la página de error.
Si sabe con seguridad que la aplicación no usa un nonce, puede deshabilitarlo editando la configuración de las aplicaciones, tal como se describe en Inicios de sesión lentos.
Registrar una sesión
Es posible que quiera ayudar al análisis de la causa principal de un problema mediante el envío de una grabación de la sesión a los ingenieros de soporte técnico de Microsoft. Use la barra de herramientas Vista de administrador para grabar la sesión.
Nota:
Todos los datos personales se quitan de las grabaciones.
Para grabar una sesión:
En la barra de herramientas Vista de administrador, seleccione Grabar sesión. Cuando se le pida, seleccione Continuar para aceptar los términos. Por ejemplo:
Inicie sesión en la aplicación si es necesario para empezar a simular la sesión.
Cuando termine la grabación del escenario, asegúrese de seleccionar Detener grabación en la barra de herramientas Vista de administrador.
Para ver las sesiones grabadas:
Una vez finalizada la grabación, puede ver las sesiones grabadas seleccionando Grabaciones de sesión en la barra de herramientas Vista de administrador. Aparece una lista de sesiones grabadas de las 48 horas anteriores. Por ejemplo:
Para administrar las grabaciones, seleccione un archivo y, a continuación, seleccione Eliminar o Descargar según sea necesario. Por ejemplo:
Adición de dominios para la aplicación
La asociación de los dominios correctos a una aplicación permite a Defender for Cloud Apps aplicar directivas y actividades de auditoría.
Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloquearán las descargas de archivos por parte de la aplicación desde ese dominio. Sin embargo, las descargas de archivos por parte de la aplicación desde dominios no asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.
Si un administrador examina en una aplicación con proxy a un dominio no reconocido, esa instancia de Defender for Cloud Apps no tiene en cuenta una parte de la misma aplicación o cualquier otra aplicación, aparece el mensaje de dominio no reconocido, que solicita al administrador que agregue el dominio para que esté protegido la próxima vez. En tales casos, si el administrador no desea agregar el dominio, no se necesita ninguna acción.
Nota:
Defender for Cloud Apps sigue añadiendo un sufijo a los dominios no asociados a la aplicación para garantizar una experiencia de usuario sin problemas.
Para añadir dominios para la aplicación:
Abra la aplicación en un explorador, con la barra de herramientas Vista de administración de Defender for Cloud Apps visible en la pantalla.
En la barra de herramientas Vista de administrador, seleccione Dominios detectados.
En el panel Dominios detectados, anote los nombres de dominio o exporte la lista como un archivo .csv.
El panel Dominios detectados muestra una lista de todos los dominios que no están asociados a la aplicación. Los nombres de dominio son completos.
En Microsoft Defender XDR, seleccione Configuración>Aplicaciones en la nube>Aplicaciones conectadas>Aplicaciones de control de aplicaciones de acceso condicional.
Busque la aplicación en la tabla. Seleccione el menú de opciones de la derecha y, a continuación, seleccione Editar aplicación.
En el campo Dominios definidos por el usuario, escriba los dominios que desea asociar a esta aplicación.
Para ver la lista de dominios ya configurados en la aplicación, seleccione el vínculo Ver dominios de aplicación.
Al agregar dominios, considere si desea agregar dominios específicos o usar un asterisco (***** como comodín para usar varios dominios a la vez.
Por ejemplo,
sub1.contoso.com
,sub2.contoso.com
son ejemplos de dominios específicos. Para agregar ambos dominios a la vez, así como otros dominios del mismo nivel, use*.contoso.com
.
Para obtener más información, consulte Protección de aplicaciones con control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps.