Solución de problemas de controles de acceso y de sesión de los usuarios administradores

En este artículo se proporcionan instrucciones a los administradores de Microsoft Defender for Cloud Apps sobre cómo investigar y resolver problemas comunes de control de acceso y de sesión, tal como lo experimentan los administradores.

Nota:

Cualquier solución de problemas relacionada con la funcionalidad del proxy solo sirve para las sesiones que no estén configuradas para la protección integrada del explorador con Microsoft Edge.

Comprobación de requisitos mínimos

Antes de empezar a solucionar problemas, asegúrese de que el entorno cumple los siguientes requisitos generales mínimos para los controles de acceso y de sesión.

Requisito	Descripción
Licencias	Asegúrese de que tiene una licencia válida para Microsoft Defender for Cloud Apps.
Inicio de sesión único (SSO)	Las aplicaciones deben configurarse con una de las soluciones de SSO admitidas: - Microsoft Entra ID con SAML 2.0 u OpenID Connect 2.0 - IdP que no es de Microsoft mediante SAML 2.0
Compatibilidad con navegadores	Los controles de sesión están disponibles para las sesiones basadas en navegador en las últimas versiones de los siguientes navegadores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari La protección integrada del explorador de Microsoft Edge también tiene una serie de requisitos específicos, así como el usuario que inicie sesión con su perfil de trabajo. Para obtener más información, consulte Requisitos de la protección integrada del explorador.
Tiempo de inactividad:	Defender for Cloud Apps permite definir el comportamiento predeterminado que se aplicará si se produce una interrupción del servicio, como un componente que no funciona correctamente. Por ejemplo, cuando no se puedan aplicar los controles de directiva normales, puede optar por proteger (bloquear) u omitir (permitir) que los usuarios realicen acciones en contenido potencialmente confidencial. Para configurar el comportamiento predeterminado durante el tiempo de inactividad del sistema, en Microsoft Defender XDR, vaya a Configuración>Control de aplicaciones de acceso condicional>Comportamiento predeterminado>Permitir o Bloquear acceso.

Requisitos de la protección integrada del explorador

Si va a usar la protección integrada del explorador con Microsoft Edge y sigue dependiendo de un proxy inverso, compruebe que cumpla los siguientes requisitos adicionales:

• La función está activada en la configuración de Defender XDR. Para obtener más información, consulte Configuración de los ajustes de la protección integrada del explorador.

• Todas las directivas que rigen al usuario son compatibles con Microsoft Edge para empresas. Si hay otro usuario al que le afecta otra directiva que no es compatible con Microsoft Edge para empresas, siempre dependerá del proxy inverso. Para obtener más información, consulte Requisitos de la protección integrada del explorador.

• Está usando una plataforma compatible, así como un sistema operativo, una plataforma de identidad y una versión de Edge compatibles. Para obtener más información, consulte Requisitos de la protección integrada del explorador.

Referencia de problemas de solución de problemas para administradores

Use la tabla siguiente para encontrar el problema que intenta solucionar:

Tipo de problema	Issues
Problemas de condición de red	Errores de red al navegar a una página del navegador Inicios de sesión lentos Más consideraciones para las condiciones de red
Problemas con la identificación de dispositivos	Errores de identificación de dispositivos unidos híbridos conformes con Intune o híbridos de Microsoft Entra Los certificados de cliente no se solicitan cuando se espera Los certificados de cliente no se solicitan cuando se espera Los certificados de cliente se solicitan en todos los inicios de sesión Más consideraciones para la identificación de dispositivos
Problemas al incorporar una aplicación	La aplicación no aparece en la página Aplicaciones para el Control de aplicaciones de acceso condicional Estado de la aplicación: Continuar configuraciónno se pueden configurar controles para aplicaciones nativas Aparece la página Aplicación no reconocida Aparece la opción Solicitar control de sesión Más consideraciones para la incorporación de aplicaciones
Problemas al crear directivas de acceso y de sesión	En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con control de aplicaciones de acceso condicional No se pueden crear directivas de sesión para una aplicación No se puede elegir Método de inspección: servicio de clasificación de datos No se puede elegir Acción: proteger Más consideraciones para la incorporación de aplicaciones
Diagnóstico y solución de problemas con la barra de herramientas Vista de administrador	Omitir sesión de proxy Registrar una sesión

Problemas de condición de red

Entre los problemas comunes de condición de red que puede encontrar se incluyen:

• Errores de red al navegar a una página del explorador
• Inicio de sesión lento
• Consideraciones adicionales

Errores de red al navegar a una página del navegador

Al configurar por primera vez los controles de acceso y sesión de Defender for Cloud Apps para una aplicación, podrían surgir los errores de red comunes siguientes, entre otros: Este sitio no es seguro y No hay conexión a Internet. Estos mensajes pueden indicar un error general de configuración de red.

Pasos recomendados

1. Configure el firewall para que funcione con Defender for Cloud Apps mediante las direcciones IP de Azure y los nombres DNS pertinentes para su entorno.

   1. Agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS para el centro de datos de Defender for Cloud Apps.
   2. Reinicie el dispositivo y la sesión del explorador.
   3. Verifique que el inicio de sesión funciona como se espera

2. Habilite TLS 1.2 en las opciones de Internet del navegador. Por ejemplo:

   Browser	Pasos
   Microsoft Internet Explorer	1. Abra Internet Explorer 2. Seleccione Herramientas>Opciones de Internet>pestaña Opciones avanzadas. 3. En Seguridad, seleccione TLS 1.2. 4. Seleccione Aplicar y luego Aceptar. 5. Reinicie el navegador y compruebe que puede acceder a la aplicación.
   Microsoft Edge / Edge Chromium	1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet". 2. A continuación, seleccione Opciones de Internet. 3. En Seguridad, seleccione TLS 1.2. 4. Seleccione Aplicar y luego Aceptar. 5. Reinicie el explorador y compruebe que puede acceder a la aplicación.
   Google Chrome	1. Abra Google Chrome 2. En la parte superior derecha, seleccione Más (3 puntos verticales) >Configuración 3. En la parte inferior, seleccione Avanzadas 4. En Sistema, seleccione Abrir configuración de proxy. 5. En la pestaña Avanzadas, en Seguridad, seleccione TLS 1.2. 6. Seleccione Aceptar 7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
   Mozilla Firefox	1. Abra Mozilla Firefox 2. En la barra de direcciones y busque "about:config" 3. En el cuadro de búsqueda, busque "TLS". 4. Haga doble clic en la entrada de security.tls.version.min. 5. Establezca el valor entero en 3 para forzar TLS 1.2 como versión mínima necesaria 6. Seleccione Guardar (marca de verificación a la derecha del cuadro de valor) 7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
   Safari	Si usa la versión 7 o posterior de Safari, TLS 1.2 se habilita automáticamente.

Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar un cifrado de primera clase:

• Las aplicaciones y navegadores de cliente nativo que no admiten TLS 1.2+ no son accesibles cuando se configuran con el control de sesión.
• Las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecen en el navegador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.

Sugerencia

Aunque los controles de sesión se crean para trabajar con cualquier navegador en cualquier plataforma principal de cualquier sistema operativo, se admiten las versiones más recientes de Microsoft Edge, Google Chrome, Mozilla Firefox o Apple Safari. Es posible que quiera bloquear o permitir el acceso específicamente a aplicaciones móviles o de escritorio.

Inicios de sesión lentos

El encadenamiento de proxy y el control de nonce son algunos de los problemas comunes que podrían dar lugar a un rendimiento de inicio de sesión lento.

Pasos recomendados

Configure el entorno para quitar los factores que podrían causar lentitud durante el inicio de sesión. Por ejemplo, es posible que tenga firewalls o encadenamiento de proxy de reenvío configurado, que conecta dos o más servidores proxy para navegar a la página prevista. También puede tener otros factores externos que afecten a la lentitud.

1. Identifique si el encadenamiento de proxy se produce en su entorno.
2. Quite los servidores proxy de reenvío siempre que sea posible.

Algunas aplicaciones usan un hash nonce durante la autenticación para evitar ataques de reinyección. De forma predeterminada, Defender for Cloud Apps supone que una aplicación usa un nonce. Si la aplicación con la que trabaja no usa nonce, deshabilite el control de nonce para esta aplicación en Defender for Cloud Apps:

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.
2. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.
3. En la lista de aplicaciones, en la fila en la que aparece la aplicación que desea configurar, seleccione los tres puntos al final de la fila y, a continuación, seleccione Editar en su aplicación.
4. Seleccione Control de nonce para expandir la sección y, a continuación, desactive Habilitar control de nonce.
5. Cierre la sesión de la aplicación y cierre todas las sesiones del navegador.
6. Reinicie el navegador y vuelva a iniciar sesión en la aplicación. Compruebe que el inicio de sesión funciona según lo esperado.

Más consideraciones para las condiciones de red

Al solucionar problemas de condiciones de red, tenga en cuenta también las notas siguientes sobre el proxy de Defender for Cloud Apps:

• Compruebe si la sesión se enruta a otro centro de datos: Defender for Cloud Apps usa centros de datos de Azure en todo el mundo para optimizar el rendimiento a través de la geolocalización.

  Esto significa que la sesión de un usuario puede hospedarse fuera de una región, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de sesión en estos centros de datos.

• Rendimiento del proxy: la derivación de una línea base de rendimiento depende de muchos factores fuera del proxy de Defender for Cloud Apps, como:

  • Qué otros servidores proxy o puertas de enlace se encuentran en la serie con este proxy
  • ¿De dónde viene el usuario?
  • Dónde reside el recurso de destino
  • Solicitudes específicas en la página

  En general, cualquier proxy agrega latencia. Las ventajas del proxy de Defender for Cloud Apps son:

  • El uso de la disponibilidad global de los controladores de dominio de Azure para geolocalizar a los usuarios al nodo más cercano y reducir su distancia de ida y vuelta. Los controladores de dominio de Azure pueden realizar geolocalización en una escala que pocos servicios del mundo ofrecen.

  • El uso de la integración con el acceso condicional de Microsoft Entra solo para enrutar las sesiones de las que desee realizar proxy a nuestro servicio, en lugar de a todos los usuarios en todas las situaciones.

Problemas con la identificación de dispositivos

Defender for Cloud Apps proporciona las siguientes opciones para identificar el estado de administración de un dispositivo.

• Cumplimiento de Microsoft Intune
• Dominio híbrido Microsoft Entra unido a un dominio
• Certificados de cliente

Para obtener más información, consulte Dispositivos administrados por identidades con control de aplicaciones de acceso condicional.

Estos son algunos problemas comunes de identificación de dispositivos que puede encontrar:

• Errores de identificación de dispositivos unidos híbridos conformes con Intune o híbridos de Microsoft Entra
• Los certificados de cliente no se solicitan cuando se espera
• Los certificados de cliente se solicitan en todos los inicios de sesión
• Consideraciones adicionales

Errores de identificación de dispositivos unidos híbridos conformes con Intune o híbridos de Microsoft Entra

El acceso condicional de Microsoft Entra permite que la información de los dispositivos unidos conformes con Intune o de Microsoft Entra híbrido se pase directamente a Defender for Cloud Apps. En Defender for Cloud Apps, use el estado del dispositivo como filtro para las directivas de acceso o sesión.

Para obtener más información, consulte Introducción a la administración de dispositivos en Microsoft Entra ID.

Pasos recomendados

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.

2. En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender for Cloud Apps.

3. En Identificación de dispositivos compatibles con Intune e Identificación unida híbrida de Microsoft Entra, respectivamente, seleccione Ver configuración y compruebe que los servicios están configurados. Los servicios se sincronizan automáticamente desde Microsoft Entra ID e Intune respectivamente.

4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Conforme con Intune o ambos.

5. En un explorador, inicie sesión en un dispositivo unido a Microsoft Entra híbrido o compatible con Intune en función del filtro de directiva.

6. Compruebe que las actividades de estos dispositivos rellenan el registro. En Defender for Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Conforme con Intune o ambos en función de los filtros de directiva.

7. Si las actividades no se rellenan en el registro de actividad de Defender for Cloud Apps, vaya a Microsoft Entra ID y realice los pasos siguientes:

   1. En Supervisión>Inicios de sesión, compruebe que hay actividades de inicio de sesión en los registros.

   2. Seleccione la entrada de registro correspondiente al dispositivo en el que ha iniciado sesión.

   3. En el panel Detalles, en la pestaña Información del dispositivo, compruebe que el dispositivo está administrado (unido a Azure AD híbrido) o es compatible (compatible con Intune).

      Si no puede comprobar ninguno de estos estados, pruebe con otra entrada de registro o asegúrese de que los datos del dispositivo estén configurados correctamente en Microsoft Entra ID.

   4. En el caso del acceso condicional, algunos navegadores pueden requerir una configuración adicional, como instalar una extensión. Para obtener más información, consulte Navegadores compatibles con el acceso condicional.

   5. Si sigue sin ver la información del dispositivo en la página Inicios de sesión, abra una incidencia de soporte técnico para Microsoft Entra ID.

Los certificados de cliente no se solicitan cuando se espera

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede cargar un certificado de entidad de certificación (CA) intermedia o raíz X.509 formateada en el formato de certificado PEM.

Los certificados deben contener la clave pública de la entidad de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión. Para obtener más información, consulte Comprobar la administración de dispositivos sin Microsoft Entra.

Pasos recomendados

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.

2. En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles con Defender for Cloud Apps.

3. Compruebe que cargó un certificado de entidad de CA intermedia o raíz X.509. Debe cargar el certificado de CA que se usa para firmar la autoridad de certificado pertinente.

4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Certificado de cliente válido.

5. Asegúrese de que el certificado de cliente esté:

   • Implementado con el formato de archivo PKCS #12, normalmente una extensión de archivo .p12 o .pfx.
   • Instalado en el almacén de usuarios, no en el almacén de dispositivos, del dispositivo que usa para realizar pruebas.

6. Reinicie la sesión del navegador.

7. Al iniciar sesión en la aplicación protegida:

   • Compruebe que se le redirige a la siguiente sintaxis de dirección URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Si usa iOS, asegúrese de que usa el navegador Safari.
   • Si usa Firefox, también debe agregar el certificado al propio almacén de certificados de Firefox. Todos los demás navegadores usan el mismo almacén de certificados predeterminado.

8. Valide que se le solicite el certificado de cliente en el navegador.

   Si no aparece, pruebe otro navegador. La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen usar exploradores integrados que podrían no admitir esta comprobación y, por tanto, afectar a la autenticación de estas aplicaciones.

9. Compruebe que las actividades de estos dispositivos rellenen el registro. En Defender for Cloud Apps, en la página Registro de actividad, añada un filtro en Etiqueta de dispositivo igual a Certificado de cliente válido.

10. Si sigue sin ver el mensaje, abra una incidencia de soporte técnico e incluya la siguiente información:

    • Detalles del navegador o la aplicación nativa donde experimentó el problema
    • La versión del sistema operativo, como iOS, Android o Windows 10.
    • Mencione si la solicitud funciona en Microsoft Edge Chromium

Los certificados de cliente se solicitan en todos los inicios de sesión

Si el certificado de cliente aparece después de abrir una nueva pestaña, esto puede deberse a la configuración oculta en Opciones de Internet. Compruebe la configuración en el navegador. Por ejemplo:

En Microsoft Internet Explorer:

1. Abra Internet Explorer y seleccione Herramientas>Opciones de Internet>pestaña Avanzado.
2. En Seguridad, seleccione No solicitar la selección de certificado de cliente cuando solo exista un certificado> seleccione Aplicar>Aceptar.
3. Reinicie el navegador y compruebe que puede acceder a la aplicación sin las solicitudes adicionales.

En Microsoft Edge/Edge Chromium

1. Abra la búsqueda desde la barra de tareas y busque Opciones de Internet.
2. Seleccione Opciones de Internet>Seguridad>Intranet local>Nivel personalizado.
3. En Varios>No solicitar la selección de certificado de cliente cuando solo existe un certificado, seleccione Deshabilitar.
4. Seleccione Aceptar>Aplicar>Aceptar.
5. Reinicie el navegador y compruebe que puede acceder a la aplicación sin las solicitudes adicionales.

Más consideraciones para la identificación de dispositivos

Al solucionar problemas de identificación de dispositivos, puede ser necesaria la revocación de certificados para los certificados de cliente.

Los certificados revocados por la entidad emisora de certificados ya no son de confianza. Al seleccionar esta opción, es necesario que todos los certificados pasen el protocolo CRL. Si el certificado de cliente no contiene un punto de conexión CRL, no se puede conectar desde el dispositivo administrado.

Problemas al incorporar una aplicación

Puede incorporar los siguientes tipos de aplicaciones para controles de acceso y sesión:

• Aplicaciones de catálogo: aplicaciones que vienen con controles de sesión predefinidos, como se indica en la etiqueta Control de sesión.

• Cualquier aplicación (personalizada): un administrador puede incorporar aplicaciones de línea de negocio (LOB) personalizadas o locales a los controles de sesión.

Por ejemplo:

Al incorporar una aplicación, asegúrese de que ha seguido cuidadosamente las guías de implementación de proxy. Para obtener más información, consulte:

1. Implementación de aplicaciones de catálogo con controles de sesión
2. Implementación de aplicaciones de línea de negocio personalizadas, aplicaciones SaaS no basadas en condiciones y aplicaciones locales hospedadas a través del proxy de aplicación de Microsoft Entra con controles de sesión

Entre los escenarios comunes que podría encontrar al incorporar una aplicación se incluyen:

• La aplicación no aparece en la página de aplicaciones de Control de aplicaciones de acceso condicional
• Estado de la aplicación: Continuar configuración
• No se pueden configurar controles para las aplicaciones nativas
• Aparece la página Aplicación no reconocida
• Aparece la opción Solicitar control de sesión
• Consideraciones adicionales

La aplicación no aparece en la página Aplicaciones para el Control de aplicaciones de acceso condicional

Al incorporar una aplicación al Control de aplicaciones de acceso condicional, el paso de implementación final es hacer que el usuario final navegue a la aplicación. Realice los pasos de esta sección si la aplicación no aparece como se esperaba.

Pasos recomendados

1. Asegúrese de que la aplicación cumple los siguientes requisitos previos de la aplicación de acceso condicional, en función del proveedor de identidades:

   • Microsoft Entra ID:

     1. Asegúrese de que tiene una licencia válida para Microsoft Entra ID P1, además de una licencia para Defender for Cloud Apps.
     2. Asegúrese de que la aplicación usa el protocolo SAML 2.0 u OpenID Connect.
     3. Asegúrese del inicio de sesión único de la aplicación en Microsoft Entra ID.

   • No es de Microsoft:

     1. Asegúrese de que tiene una licencia válida para Defender for Cloud Apps.
     2. Cree una aplicación duplicada.
     3. Asegúrese de que la aplicación usa el protocolo SAML.
     4. Valide que ha incorporado completamente la aplicación y que el estado de la aplicación es Conectado.

2. En la directiva de Microsoft Entra, en la sesión, asegúrese de que la sesión esté obligada a enrutar hacia Defender for Cloud Apps. Esto, a su vez, permite que la aplicación aparezca en la página Aplicaciones para el Control de aplicaciones de acceso condicional, como se indica a continuación:

   • Control de aplicaciones de acceso condicional está seleccionado.
   • En el desplegable de las directivas integradas, la opción Solo supervisión está seleccionada

3. Asegúrese de navegar a la aplicación en una nueva sesión del navegador mediante un nuevo modo de incógnito o iniciando sesión de nuevo.

Estado de la aplicación: Continuar configuración

El estado de una aplicación puede variar y puede incluir Continuar configuración, Conectar o Sin actividades.

En el caso de las aplicaciones conectadas a través de proveedores de identidades (IdP) que no son de Microsoft, si la configuración no está completa, al acceder a la aplicación, verá una página con el estado Continuar configuración. Siga los pasos siguientes para completar la configuración.

Pasos recomendados

1. Seleccione Continuar configuración.

2. Repase la guía de implementación y compruebe que ha completado todos los pasos. Preste especial atención a las siguientes notas:

   1. Asegúrese de crear una nueva aplicación SAML personalizada. Necesitará esta aplicación para cambiar las direcciones URL y los atributos SAML que podrían no estar disponibles en las aplicaciones de la galería.
   2. Si el proveedor de identidades no permite la reutilización del mismo identificador, también conocido como id. de entidad o público, cambie el identificador de la aplicación original.

No se pueden configurar controles para las aplicaciones nativas

Las aplicaciones nativas se pueden detectar heurísticamente y puede usar directivas de acceso para supervisarlas o bloquearlas. Siga estos pasos para configurar controles para aplicaciones nativas.

Pasos recomendados

1. En una directiva de acceso, agregue un filtro de aplicación cliente y establézcalo en Móvil y escritorio.

2. En Acciones, seleccione Bloquear.

3. Si lo desea, puede personalizar el mensaje de bloqueo que verán los usuarios cuando no puedan descargar archivos. Por ejemplo, personalice este mensaje con Debe usar un navegador web para acceder a esta aplicación.

4. Pruebe y valide que el control funciona según lo previsto.

Aparece la página Aplicación no reconocida

Defender for Cloud Apps puede reconocer más de 31 000 aplicaciones a través del catálogo de aplicaciones en la nube.

Si usa una aplicación personalizada configurada a través del SSO de Microsoft Entra y no es una de las aplicaciones compatibles, se encontrará con una página Aplicación no reconocida. Para resolver el problema, debe configurar la aplicación en Control de aplicaciones de acceso condicional.

Pasos recomendados

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

2. En el banner, seleccione Ver nuevas aplicaciones.

3. En la lista de nuevas aplicaciones, busque la aplicación que va a incorporar, seleccione el signo + y, a continuación, seleccione Agregar.

   1. Seleccione si la aplicación es una aplicación personalizada o estándar.
   2. Continúe con el asistente, asegúrese de que los dominios definidos por el usuario especificados son correctos para la aplicación que está configurando.

4. Compruebe que la aplicación aparece en la página Aplicaciones para el Control de aplicaciones de acceso condicional.

Aparece la opción Solicitar control de sesión

Después de agregar una aplicación, es posible que vea la opción Solicitar control de sesión. Esto ocurre porque solo las aplicaciones de catálogo tienen controles de sesión predefinidos. Para cualquier otra aplicación, debe pasar por un proceso de incorporación automática.

Pasos recomendados

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.

2. En Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.

3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, seleccione Guardar.

4. Vaya a la aplicación que va a implementar. La página que ve depende de si se reconoce la aplicación. Realice uno de los siguientes pasos, según la página que vea:

   • No se ha reconocido. Verá una página Aplicación no reconocida que le pide que configure la aplicación. Siga estos pasos:

     1. Agregue la aplicación al Control de aplicaciones de acceso condicional.
     2. Agregue los dominios de la aplicación y vuelva a la aplicación y actualice la página.
     3. Instale el certificado para la aplicación.

   • Se ha reconocido. Si se reconoce la aplicación, verá una página de incorporación que le pide que continúe con el proceso de configuración de la aplicación. Para obtener más información, consulte Implementación del Control de aplicaciones de acceso condicional para aplicaciones personalizadas con Microsoft Entra ID.

     Asegúrese de que la aplicación está configurada con todos los dominios necesarios para que funcione correctamente. Para configurar dominios adicionales, vaya a Agregar los dominios de la aplicación y vuelva a la página de la aplicación.

Más consideraciones para la incorporación de aplicaciones

Al solucionar problemas con la incorporación de aplicaciones, recuerde que las aplicaciones del Control de aplicaciones de acceso condicional no se alinean con las aplicaciones de Microsoft Entra.

Los nombres de aplicación en Microsoft Entra ID y Defender for Cloud Apps pueden diferir en función de las formas en que los productos identifican las aplicaciones.

• Defender for Cloud Apps identifica las aplicaciones que usan los dominios de la aplicación y las agrega al catálogo de aplicaciones en la nube, donde tenemos más de 31 000 aplicaciones. Dentro de cada aplicación, puede ver o agregar al subconjunto de dominios.

• Por el contrario, Microsoft Entra ID identifica las aplicaciones que usan entidades de servicio. Para obtener más información, consulte Objetos de aplicación y de entidad de servicio en Microsoft Entra ID.

En la práctica, esta diferencia significa que seleccionar SharePoint Online en Microsoft Entra ID equivale a seleccionar aplicaciones, como Word Online y Teams, en Defender for Cloud Apps porque las aplicaciones usan el dominio sharepoint.com.

Problemas al crear directivas de acceso y de sesión

Defender for Cloud Apps proporciona las siguientes directivas configurables:

• Directivas de acceso: se usa para supervisar o bloquear el acceso a aplicaciones de navegador, móviles o de escritorio.
• Directivas de sesión. Se usa para supervisar, bloquear y realizar acciones específicas para evitar escenarios de infiltración y filtración de datos en el navegador.

Para usar estas directivas en Defender for Cloud Apps, primero debe configurar una directiva en el acceso condicional de Microsoft Entra para ampliar los controles de sesión:

1. En la directiva de Microsoft Entra, en Controles de acceso, seleccione Sesión>Usar el Control de aplicaciones de acceso condicional.

2. Seleccione una directiva integrada (Solo supervisión o Bloquear descargas) o Usar una directiva personalizada para establecer una directiva avanzada en Defender for Cloud Apps.

3. Elija Seleccionar para continuar.

Entre los escenarios comunes que se pueden encontrar al configurar estas directivas se incluyen:

• En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional
• Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con control de aplicaciones de acceso condicional
• No se pueden crear directivas de sesión para una aplicación
• No se puede elegir Método de inspección: Servicio de clasificación de datos
• No se puede elegir Acción: Proteger
• Consideraciones adicionales

En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional.

Para enrutar las sesiones a Defender for Cloud Apps, las directivas de acceso condicional de Microsoft Entra deben configurarse para incluir controles de sesión de Control de aplicaciones de acceso condicional.

Pasos recomendados

Si no ve la opción Control de aplicaciones de acceso condicional en la directiva de acceso condicional, asegúrese de que tiene una licencia válida para Microsoft Entra ID P1 y una licencia válida de Defender for Cloud Apps.

Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con el Control de aplicaciones de acceso condicional

Al crear una directiva de acceso o sesión, es posible que vea el siguiente mensaje de error: No tiene ninguna aplicación implementada con el Control de aplicaciones de acceso condicional. Este error indica que la aplicación no se ha implementado.

Pasos recomendados

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps. En Aplicaciones conectadas, seleccione Aplicaciones para el Control de aplicaciones de acceso condicional.

2. Si ve el mensaje Sin aplicaciones conectadas, use las siguientes guías para implementar aplicaciones:

   • Implementación de aplicaciones de catálogo que tengan habilitado el control de sesión
   • Implementación de aplicaciones personalizadas de línea de negocio, aplicaciones SaaS no actualizadas y aplicaciones locales hospedadas a través del proxy de aplicación de Microsoft Entra con controles de sesión

Si tiene algún problema durante la implementación de la aplicación, consulte Problemas al incorporar una aplicación.

No se pueden crear directivas de sesión para una aplicación

Después de agregar una aplicación personalizada, en la página de aplicaciones de Control de aplicaciones de acceso condicional, es posible que vea la opción: Solicitar control de sesión.

Nota:

Las aplicaciones del catálogo tienen controles de sesión listos para usar. Para cualquier otra aplicación, debe pasar por un proceso de incorporación automática. Para obtener más información, consulte Aplicaciones preincorparadas.

Pasos recomendados

1. Implemente su aplicación en el control de sesión. Para obtener más información, consulte Implementación de aplicaciones personalizadas de línea de negocio, aplicaciones SaaS no actualizadas y aplicaciones locales hospedadas a través del proxy de aplicación de Microsoft Entra con controles de sesión

2. Cree una directiva de sesión y seleccione el filtro Aplicación.

3. Asegúrese de que la aplicación aparece ahora en la lista desplegable.

No se puede elegir Método de inspección: servicio de clasificación de datos

En las directivas de sesión, al usar el tipo de control de sesión de descarga de archivos de control (con inspección), puede usar el método de inspección del Servicio de clasificación de datos para examinar los archivos en tiempo real y detectar contenido confidencial que coincida con cualquiera de los criterios que haya configurado.

Si el método de inspección del Servicio de clasificación de datos no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

1. Compruebe que el tipo de control de sesión está establecido en Descarga de archivos de control (con inspección).

   Nota:

   El método de inspección del Servicio de clasificación de datos solo está disponible para la opción Controlar la descarga de archivos (con inspección).

2. Determine si la característica Servicio de clasificación de datos está disponible en su región.

   • Si la característica no está disponible en su región, use el método de inspección DLP integrado.
   • Si la característica está disponible en su región, pero todavía no puede ver el método de inspección del Servicio de clasificación de datos, abra una incidencia de soporte técnico.

No se puede elegir Acción: Proteger

En las directivas de sesión, al usar el tipo de control de descarga de archivos de control (con inspección), además de las acciones Supervisar y Bloquear, puede especificar la acción Proteger. Esta acción le permite permitir descargas de archivos con la opción de cifrar o aplicar permisos al archivo en función de condiciones, inspección de contenido o ambos.

Si la acción Proteger no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

1. Si la acción Proteger no está disponible o está atenuada, compruebe que tiene la licencia de Azure Information Protection (AIP) Premium P1. Para más información, consulte Integración de Microsoft Purview Information Protection.

2. Si la acción Proteger está disponible, pero no ve las etiquetas adecuadas.

   1. En Defender for Cloud Apps, en la barra de menús, seleccione el icono de configuración, seleccione >Microsoft Information Protection y compruebe que la integración está habilitada.

   2. En el caso de las etiquetas de Office, en el portal de AIP, asegúrese de que el etiquetado unificado está seleccionado.

Más consideraciones para la incorporación de aplicaciones

Al solucionar problemas con la incorporación de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

• Descripción de la diferencia entre la configuración de la directiva de acceso condicional de Microsoft Entra: "Solo supervisión", "Bloquear descargas" y "Usar directiva personalizada"

  En las directivas de acceso condicional de Microsoft Entra, puede configurar los siguientes controles integrados de Defender for Cloud Apps: Solo supervisión y Bloquear descargas. Esta configuración aplica e impone la característica de proxy de Defender for Cloud Apps para las aplicaciones en la nube y las condiciones configuradas en Microsoft Entra ID.

  Para directivas más complejas, seleccione Usar directiva personalizada, lo que le permite configurar directivas de acceso y sesión en Defender for Cloud Apps.

• Descripción de la opción de filtro de aplicación cliente "Móvil y escritorio" en las directivas de acceso

  En las directivas de acceso de Defender for Cloud Apps, a menos que el filtro de aplicación cliente esté establecido en Móvil y escritorio, la directiva de acceso resultante solo se aplica a las sesiones del navegador.

  El motivo de esto es evitar crear un proxy en las sesiones de usuario sin querer, lo que puede suceder al usar este filtro.

Diagnóstico y solución de problemas con la barra de herramientas Vista de administrador

La barra de herramientas Vista de administrador se encuentra en la parte inferior de la pantalla y proporciona herramientas para que los usuarios administradores puedan diagnosticar y solucionar problemas con el Control de aplicaciones de acceso condicional.

Para ver la barra de herramientas Vista de administrador, debe asegurarse de agregar cuentas de usuario administrador específicas a la lista Incorporación y mantenimiento de aplicaciones en la configuración de Microsoft Defender XDR.

Para agregar un usuario a la lista Incorporación y mantenimiento de aplicaciones:

1. En Microsoft Defender XDR, seleccione Configuración>Cloud Apps.

2. Desplácese hacia abajo y, en Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.

3. Escriba el nombre principal o la dirección de correo electrónico del usuario administrador que desea agregar.

4. Seleccione la opción Habilitar a estos usuarios para omitir el Control de aplicaciones de acceso condicional desde dentro de una sesión proxy y, a continuación, seleccione Guardar.

   Por ejemplo:

   

La próxima vez que uno de los usuarios enumerados inicie una nueva sesión en una aplicación compatible en la que sea administrador, la barra de herramientas Vista de administrador se muestra en la parte inferior del navegador.

Por ejemplo, en la imagen siguiente se muestra la barra de herramientas Vista de administrador que se muestra en la parte inferior de una ventana del explorador, cuando se usa OneNote en el navegador:

En las secciones siguientes se describe cómo usar la barra de herramientas Vista de administrador para probar y solucionar problemas.

Modo de prueba

Como usuario administrador, es posible que quiera probar las próximas correcciones de errores de proxy antes de que la versión más reciente se implemente completamente en todos los inquilinos. Proporcione sus comentarios sobre la corrección de errores al equipo de soporte técnico de Microsoft para ayudar a acelerar los ciclos de lanzamiento.

Cuando está en modo de prueba, solo los usuarios administradores están expuestos a los cambios proporcionados en las correcciones de errores. Los demás usuarios no se verán afectados.

• Para activar el modo de prueba, en la barra de herramientas Vista de administrador, seleccione Modo de prueba.
• Cuando haya terminado las pruebas, seleccione Finalizar modo de prueba para volver a la funcionalidad normal.

Omitir sesión de proxy

Si tiene dificultades para acceder a la aplicación o cargarla, es posible que desee comprobar si el problema es con el proxy de acceso condicional mediante la ejecución de la aplicación sin el proxy.

Para omitir el proxy, en la barra de herramientas Vista de administrador, seleccione Omitir experiencia. Para confirmar que se ha evitado la sesión, observe que la URL no tiene sufijo.

El proxy de acceso condicional se vuelve a usar en la siguiente sesión.

Para obtener más información, consulte Control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps y Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).

Registrar una sesión

Es posible que quiera ayudar al análisis de la causa principal de un problema mediante el envío de una grabación de la sesión a los ingenieros de soporte técnico de Microsoft. Use la barra de herramientas Vista de administrador para grabar la sesión.

Nota:

Todos los datos personales se quitan de las grabaciones.

Para grabar una sesión:

1. En la barra de herramientas Vista de administrador, seleccione Grabar sesión. Cuando se le pida, seleccione Continuar para aceptar los términos. Por ejemplo:

   

2. Inicie sesión en la aplicación si es necesario para empezar a simular la sesión.

3. Cuando termine la grabación del escenario, asegúrese de seleccionar Detener grabación en la barra de herramientas Vista de administrador.

Para ver las sesiones grabadas:

Una vez finalizada la grabación, puede ver las sesiones grabadas seleccionando Grabaciones de sesión en la barra de herramientas Vista de administrador. Aparece una lista de sesiones grabadas de las 48 horas anteriores. Por ejemplo:

Para administrar las grabaciones, seleccione un archivo y, a continuación, seleccione Eliminar o Descargar según sea necesario. Por ejemplo:

Pasos siguientes

Para obtener más información, consulte Solución de problemas de controles de acceso y sesión para usuarios finales.