Solución de problemas de controles de sesión y acceso

Nota

Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security) ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

En este artículo se proporcionan instrucciones a los administradores sobre cómo investigar y resolver problemas comunes de acceso y control de sesión según la experiencia de los administradores y los usuarios finales.

Antes de continuar, asegúrese de que el entorno cumple los siguientes requisitos generales mínimos para los controles de acceso y sesión.

  • Licencias: asegúrese de que tiene una licencia válida.
  • Inicio de sesión único Sign-On (SSO): las aplicaciones deben configurarse con una de las soluciones de SSO compatibles.
    • Azure Active Directory (Azure AD) mediante SAML 2.0 u OpenID Connect 2.0
    • IdP que no es de Microsoft mediante SAML 2.0
  • Compatibilidad con el explorador: los controles de sesión están disponibles para sesiones basadas en explorador en estos exploradores compatibles: Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente)
  • Tiempo de inactividad: Defender for Cloud Apps permite definir el comportamiento predeterminado que se aplicará si hay una interrupción del servicio, como un componente que no funciona correctamente. Puede optar por proteger (bloquear) o omitir (permitir) que los usuarios realicen acciones en contenido potencialmente confidencial cuando no se puedan aplicar los controles de directiva normales. Este comportamiento predeterminado durante el tiempo de inactividad del sistema se puede configurar en el portal de Defender for Cloud Apps, como se indica a continuación: Configuración Del> control > de aplicaciones deacceso> condicionalComportamiento predeterminadoPermitir o Bloquear el acceso.

Problemas experimentados por los administradores

Esta sección es para administradores que configuran controles de acceso y sesión con Defender for Cloud Apps y ayuda a identificar situaciones comunes que pueden surgir en las siguientes áreas:

Sección Issues
Las condiciones de la red - Errores de red al navegar a una página del explorador
- Inicio de sesión lento
- Consideraciones adicionales
Identificación del dispositivo - Dispositivos Intune compatibles o unidos a Azure AD híbridos
- Los certificados de cliente no se solicitan cuando se espera
- Los certificados de cliente se solicitan en cada inicio de sesión
- Consideraciones adicionales
Incorporación de una aplicación - La aplicación no aparece en la página Aplicaciones de Control de aplicaciones de acceso condicional
- Estado de la aplicación: continuar con la instalación
- No se pueden configurar controles para aplicaciones nativas
- Aparece la página Aplicación no reconocida
- Aparece la opción Solicitar control de sesión
- Consideraciones adicionales
Creación de directivas de acceso y sesión - En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional .
- Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con el control de aplicaciones de acceso condicional
- No se pueden crear directivas de sesión para una aplicación
- No se puede elegir Método de inspección: Servicio de clasificación de datos
- No se puede elegir Acción: Proteger
- Consideraciones adicionales

Las condiciones de la red

Entre los problemas comunes de condición de red que puede encontrar se incluyen:

Errores de red al navegar a una página del explorador

Al configurar por primera vez los controles de acceso y sesión de Defender for Cloud Apps para una aplicación, los errores de red comunes que pueden surgir son: "Este sitio no es seguro" y "No hay conexión a Internet". Estos mensajes pueden indicar un error general de configuración de red.

Pasos recomendados

  1. Configure el firewall para que funcione con Defender for Cloud Apps mediante las direcciones IP de Azure y los nombres DNS pertinentes para su entorno.

    1. Agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS para el centro de datos de Defender for Cloud Apps.
    2. Reinicie el dispositivo y la sesión del explorador.
    3. Compruebe que el inicio de sesión funciona según lo previsto.
  2. Habilite TLS 1.2 en las opciones de Internet del explorador.

    Nota

    • Defender for Cloud Apps aprovecha los protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar el mejor cifrado en su clase. Las aplicaciones y exploradores de cliente nativo que no admiten TLS 1.2 y versiones posteriores no serán accesibles cuando se configuren con el control de sesión. Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecerán en el explorador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.

    • Aunque los controles de sesión se crean para trabajar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admite Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente). El acceso a aplicaciones móviles y de escritorio también se puede bloquear o permitir.

Browser Pasos
Microsoft Internet Explorer 1. Abrir Internet Explorer
2. Seleccione herramientas>Opciones de Internet pestaña>Avanzadas
3. En Seguridad, seleccione TLS 1.2.
4. Seleccione Aplicar y, a continuación, seleccione Aceptar
5. Reinicie el explorador y compruebe que puede acceder a la aplicación
Microsoft Edge/Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet"
2. Seleccionar opciones de Internet
3. En Seguridad, seleccione TLS 1.2.
4. Seleccione Aplicar y, a continuación, seleccione Aceptar
5. Reinicie el explorador y compruebe que puede acceder a la aplicación
Google Chrome 1. Abra Google Chrome
2. En la parte superior derecha, haga clic en Más (3 puntos verticales) >Configuración
3. En la parte inferior, haga clic en Avanzadas
4. En Sistema, haga clic en Abrir configuración de proxy
5. En la pestaña Avanzadas , en Seguridad, seleccione TLS 1.2
6. Haga clic en Aceptar
7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
Mozilla Firefox 1. Abra Mozilla Firefox
2. En la barra de direcciones y busque "about:config"
3. En el cuadro de búsqueda, busque "TLS"
4. Haga doble clic en la entrada de security.tls.version.min
5. Establezca el valor entero en 3 para forzar TLS 1.2 como la versión mínima necesaria
6. Haga clic en Guardar (marca de verificación a la derecha del cuadro de valor)
7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
Safari Si usa Safari versión 7 o posterior, TLS 1.2 se habilita automáticamente.

Inicio de sesión lento

El encadenamiento de proxy y el control de nonce son algunos de los problemas comunes que podrían dar lugar a un rendimiento lento de inicio de sesión.

Pasos recomendados

  1. Configure el entorno para quitar el firewall y reenviar el encadenamiento de proxy, la conexión de dos o más servidores proxy para navegar a la página prevista y otros factores externos que pueden provocar lentitud en el proceso de inicio de sesión.

    1. Identificar si el encadenamiento de proxy se está produciendo en el entorno
    2. Quitar servidores proxy de reenvío adicionales siempre que sea posible
  2. Desactive el control nonce para las aplicaciones que no usen nonce.

  3. Nota

    Algunas aplicaciones usan un hash nonce durante la autenticación para evitar ataques de reproducción. De forma predeterminada, Defender for Cloud Apps supone que una aplicación usa un valor nonce. Si la aplicación con la que trabaja no usa nonce, puede deshabilitar el control nonce para esta aplicación en Defender for Cloud Apps.

    1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.
    2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que está configurando, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
    3. Haga clic en Nonce-handling (Control de nonce ) para expandir la sección y, a continuación, desactive Enable nonce handling (Habilitar control de nonce).
    4. Cierre la sesión de la aplicación y cierre todas las sesiones del explorador.
    5. Reinicie el explorador e inicie sesión en la aplicación y compruebe que el inicio de sesión funciona según lo previsto.

Consideraciones adicionales

Al solucionar problemas de condiciones de red, hay algunos aspectos adicionales que se deben tener en cuenta sobre el proxy de Defender for Cloud Apps.

  • La sesión se enruta a otro centro de datos

    Defender for Cloud Apps aprovecha los centros de datos de Azure en todo el mundo para optimizar el rendimiento a través de la geolocalización. Esto significa que la sesión de un usuario se puede hospedar fuera de una región, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de la sesión en estos centros de datos.

  • Rendimiento del proxy

    La derivación de una línea de base de rendimiento depende de muchos factores fuera del proxy de Defender for Cloud Apps, como:

    • Qué otros servidores proxy o puertas de enlace se encuentran en la serie con este proxy
    • De dónde procede el usuario
    • Dónde reside el recurso de destino
    • Solicitudes específicas en la página

    En general, cualquier proxy agregará latencia. Las ventajas del proxy de Defender for Cloud Apps son:

    • Aprovechar la disponibilidad global de los controladores de dominio de Azure para geolocalar a los usuarios al nodo más cercano y reducir su distancia de ida y vuelta, en una escala que tienen algunos servicios de todo el mundo.
    • Aprovechar la integración con el acceso condicional de Azure AD para enrutar solo las sesiones que desea proxy a nuestro servicio, en lugar de todos los usuarios en todas las situaciones.

Identificación de dispositivos

Defender for Cloud Apps proporciona las siguientes opciones para identificar el estado de administración de un dispositivo.

  1. cumplimiento de Microsoft Intune
  2. Unido a un dominio de Azure AD híbrido
  3. Certificados de cliente

Para más información sobre la identificación del dispositivo, consulte Identificación de dispositivos administrados.

Entre los problemas comunes de identificación de dispositivos que puede encontrar se incluyen

Dispositivos unidos a Azure AD híbrido o compatibles Intune no identificados

El acceso condicional de Azure AD permite que Intune información de dispositivo unido a Azure AD híbrido y compatible se pase directamente a Defender for Cloud Apps, donde el estado del dispositivo se puede usar como filtro para las directivas de acceso o sesión. Para obtener más información, vea Introducción a la administración de dispositivos en Azure Active Directory.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Identificación del dispositivo. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender for Cloud Apps.

  3. Para Intune identificación de dispositivos compatibles e identificación unida a Azure AD híbrido respectivamente, haga clic en Ver configuración y compruebe que los servicios están configurados.

    Nota

    Se sincronizan automáticamente desde Azure AD y Intune respectivamente.

  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Intune compatible o ambos.

  5. En un explorador, inicie sesión en un dispositivo unido a Azure AD híbrido o Intune conforme en función del filtro de directiva.

  6. Compruebe que las actividades de estos dispositivos rellenan el registro. En Defender for Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Unido a Azure AD híbrido, Intune compatible o ambos en función de los filtros de directiva.

  7. Si las actividades no se rellenan en el registro de actividad de Defender for Cloud Apps, vaya a Azure AD y haga lo siguiente:

    1. En Supervisión de>inicios de sesión, compruebe que hay actividades de inicio de sesión en los registros.
    2. Seleccione la entrada de registro pertinente para el dispositivo en el que ha iniciado sesión.
    3. En el panel Detalles, en la pestaña Información del dispositivo, compruebe que el dispositivo está administrado (unido a Azure AD híbrido) o es compatible (compatible con Intune). Si no puede comprobar ninguno de estos estados, pruebe con otra entrada de registro o asegúrese de que los datos del dispositivo estén configurados correctamente en Azure AD.
    4. En el caso del acceso condicional, algunos exploradores pueden requerir una configuración adicional, como la instalación de una extensión. Use la información de la guía de compatibilidad del explorador de acceso condicional para configurar el explorador.
    5. Si sigue sin ver la información del dispositivo en la página Inicios de sesión, abra una incidencia de soporte técnico para Azure AD.

Los certificados de cliente no se solicitan cuando se espera

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede cargar una entidad de certificación (CA) raíz o intermedia X.509 con formato de certificado PEM. Estos certificados deben contener la clave pública de la ENTIDAD de certificación, que se usa para firmar los certificados de cliente presentados durante una sesión. Para obtener más información sobre los certificados de cliente, consulte Dispositivos autenticados por certificados de cliente.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.
  2. En Control de aplicaciones de acceso condicional, seleccione Identificación del dispositivo. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender for Cloud Apps.
  3. Compruebe que cargó una entidad de certificación intermedia o raíz X.509. Debe cargar la ENTIDAD de certificación que se usa para firmar la entidad de certificación correspondiente.
  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Certificado de cliente válido.
  5. Asegúrese de que el certificado de cliente sea:
    • implementado con el formato de archivo PKCS #12, normalmente una extensión de archivo .p12 o .pfx
    • instalado en el almacén de usuarios, no en el almacén de dispositivos, del dispositivo que está usando para realizar pruebas
  6. Reinicio de la sesión del explorador
  7. Al iniciar sesión en la aplicación protegida
    • Compruebe que se le redirige a la dirección URL. <https://*.managed.access-control.cas.ms/aad_login>
    • Si usa iOS, asegúrese de que usa el explorador Safari.
    • Si usa Firefox, también debe agregar el certificado al propio almacén de certificados de Firefox. Todos los demás exploradores usan el mismo almacén de certificados predeterminado. Obtenga información sobre cómo agregar un certificado al almacén de certificados de Firefox.
  8. Valide que se le solicite el certificado de cliente en el explorador.
    • Si no aparece, pruebe con otro explorador. La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen aprovechar los exploradores integrados que pueden no admitir esta comprobación y, por lo tanto, afectan a la autenticación de estas aplicaciones.
  9. Compruebe que las actividades de estos dispositivos rellenan el registro. En Defender for Cloud Apps, en la página Registro de actividad , filtre por Etiqueta de dispositivo igual a Certificado de cliente válido.
  10. Si sigue sin ver el mensaje, abra una incidencia de soporte técnico e incluya la siguiente información:
    • Detalles del explorador o la aplicación nativa en la que experimentó el problema
    • La versión del sistema operativo (por ejemplo, iOS/Android/Windows 10)
    • Mencione si el símbolo del sistema funciona en Edge Chromium

Los certificados de cliente se solicitan en cada inicio de sesión

Si está experimentando el certificado de cliente que aparece después de abrir una nueva pestaña, esto puede deberse a la configuración oculta en opciones de Internet.

Browser Pasos
Microsoft Internet Explorer 1. Abrir Internet Explorer
2. Seleccione herramientas>Opciones de Internet pestaña>Avanzadas
3. En Seguridad, seleccione Don't prompt for Client Certificate selection when only one certificate exists
4. Seleccione Aplicar y, a continuación, seleccione Aceptar
5. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.
Microsoft Edge/Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet"
2. Seleccionar opciones de Internet
3. Seleccione Seguridad, seleccione Intranet local y, a continuación, haga clic en Nivel personalizado.
4. En Varios>No solicitar la selección de certificado de cliente cuando solo existe un certificado, seleccione Deshabilitar.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo de nivel personalizado
6. Haga clic en Aplicar y, a continuación, seleccione Aceptar para cerrar las opciones de Internet
7. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.

Consideraciones adicionales

Al solucionar problemas de identificación de dispositivos, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Protocolo de revocación de certificados de cliente

    Puede requerir la revocación de certificados para los certificados de cliente. Los certificados revocados por la ENTIDAD de certificación ya no son de confianza. Al seleccionar esta opción, se requerirá que todos los certificados pasen el protocolo CRL. Si el certificado de cliente no contiene un punto de conexión CRL, no podrá conectarse desde el dispositivo administrado.

Incorporación de una aplicación

Puede incorporar los siguientes tipos de aplicaciones para controles de acceso y sesión:

  • Aplicaciones de catálogo: aplicaciones que vienen con controles de sesión predefinidos, como se indica en la etiqueta de control de sesión.

  • Cualquier aplicación (personalizada): un administrador puede incorporar aplicaciones de línea de negocio (LOB) personalizadas o locales a los controles de sesión.

Lista de proxy que muestra el catálogo y las aplicaciones (personalizadas).

Al incorporar una aplicación, es fundamental asegurarse de seguir cada paso de las guías de implementación de proxy:

  1. Implementación de aplicaciones de catálogo con controles de sesión
  2. Implementación de aplicaciones loB personalizadas, aplicaciones SaaS no destacadas y aplicaciones locales hospedadas a través del proxy de aplicación de Azure AD con controles de sesión

Entre los escenarios comunes que puede encontrar al incorporar una aplicación se incluyen:

La aplicación no aparece en la página Aplicaciones de Control de aplicaciones de acceso condicional

Al incorporar una aplicación al control de aplicaciones de acceso condicional, el último paso de las guías de implementación es hacer que el usuario final navegue a la aplicación. Las recomendaciones que se enumeran a continuación son los pasos que se pueden realizar si la aplicación no aparece después de haber pasado por las guías.

Pasos recomendados

  1. Asegúrese de que la aplicación cumple los requisitos previos de la aplicación de acceso condicional.
Proveedor de identidades Validaciones
Azure AD 1. Asegúrese de que tiene una licencia válida para Azure AD Premium P1 además de una licencia de Defender for Cloud Apps.
2. Asegúrese de que la aplicación usa el protocolo SAML 2.0 o OpenID Connect.
3. Asegúrese de que el inicio de sesión único de la aplicación en Azure AD
Programas que no son de Microsoft 1. Asegúrese de que tiene una licencia válida de Defender for Cloud Apps.
2. Creación de una aplicación duplicada
3. Asegúrese de que la aplicación usa el protocolo SAML.
4. Valide que ha incorporado completamente la aplicación y que el estado de la aplicación es Conectado
  1. En la directiva de Azure AD, en la sesión, asegúrese de que la sesión se ve obligada a enrutar a Defender for Cloud Apps, que a su vez permitirá que la aplicación aparezca en la página aplicaciones de Control de aplicaciones de acceso condicional , como se indica a continuación:
    1. Control de aplicaciones de acceso condicional está seleccionado
    2. En la lista desplegable Directivas integradas, asegúrese de que solo esté seleccionado Supervisar .
  2. Asegúrese de ir a la aplicación en una nueva sesión del explorador mediante un nuevo modo de incógnito o iniciando sesión de nuevo.

Estado de la aplicación: continuar con la instalación

El estado de una aplicación puede variar de Continuar configuración, Conectado y Sin actividades.

En el caso de las aplicaciones conectadas a través de proveedores de identidades que no son de Microsoft (IdP), si la configuración no está completa, al acceder a la aplicación, verá una página con el estado Continuar configuración. Siga estos pasos para completar la instalación.

Pasos recomendados

  1. Haga clic en Continue Setup (Continuar configuración).
  2. Recorra la guía de implementación y compruebe que ha completado todos los pasos. Preste especial atención a lo siguiente:
    1. Asegúrese de crear una nueva aplicación SAML personalizada. Necesita cambiar las direcciones URL y los atributos SAML que podrían no estar disponibles en las aplicaciones de la galería.
    2. Si el proveedor de identidades no permite la reutilización del mismo identificador (también conocido como Id. de entidad o Audiencia), cambie el identificador de la aplicación original.

No se pueden configurar controles para aplicaciones nativas

Las aplicaciones nativas se pueden detectar heurísticamente y puede usar directivas de acceso para supervisarlas o bloquearlas. Siga estos pasos para configurar controles para aplicaciones nativas.

Pasos recomendados

  1. En una directiva de acceso, agregue un filtro de aplicación cliente y establézcalo en Móvil y escritorio.
  2. En Acciones, seleccione Bloquear.
  3. Opcionalmente, personalice el mensaje de bloqueo que reciben los usuarios cuando no puedan descargar archivos, por ejemplo, "Debe usar un explorador web para acceder a esta aplicación".
  4. Pruebe y valide que el control funciona según lo previsto.

Aparece la página Aplicación no reconocida

Defender for Cloud Apps puede reconocer más de 31 000 aplicaciones a través del catálogo de aplicaciones en la nube (detectar> el catálogo de aplicaciones en la nube). Si usa una aplicación personalizada que está configurada a través del inicio de sesión único de Azure AD que no es una de las 31 000 aplicaciones, aparecerá una página de aplicación no reconocida . Para resolver el problema, debe configurar la aplicación en el Control de aplicaciones de acceso condicional.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.
  2. En el banner, haga clic en Ver nuevas aplicaciones.
  3. En la lista de nuevas aplicaciones, busque la aplicación que va a incorporar, haga clic en el + inicio de sesión y, a continuación, haga clic en Agregar.
    1. Seleccione si la aplicación es una aplicación personalizada o estándar .
    2. Continúe con el asistente, asegúrese de que los dominios definidos por el usuario especificados son correctos para la aplicación que está configurando.
  4. Compruebe que la aplicación aparece en la página Aplicaciones de Control de aplicaciones de acceso condicional .

Aparece la opción Solicitar control de sesión

Después de agregar una aplicación, es posible que vea la opción Solicitar control de sesión . Esto ocurre porque solo las aplicaciones de catálogo tienen controles de sesión predefinidos. Para cualquier otra aplicación, debe seguir un proceso de incorporación automática.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación/mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, haga clic en Guardar.

  4. Vaya a la aplicación que va a implementar. La página que ve depende de si se reconoce la aplicación. Realice una de las siguientes acciones:

    Estado de la aplicación Descripción Pasos
    No reconocido Verá una página no reconocida de la aplicación que le pide que configure la aplicación. 1. Agregue la aplicación al control de aplicaciones de acceso condicional.
    2. Agregue los dominios de la aplicación y vuelva a la aplicación y actualice la página.
    3. Instale los certificados para la aplicación.
    Reconocido Verá una página de incorporación que le pedirá que continúe con el proceso de configuración de la aplicación. - Instale los certificados para la aplicación.

    Nota: Asegúrese de que la aplicación está configurada con todos los dominios necesarios para que la aplicación funcione correctamente. Para configurar dominios adicionales, vaya a Agregar los dominios de la aplicación y vuelva a la página de la aplicación.

Consideraciones adicionales

Al solucionar problemas de las aplicaciones de incorporación, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Las aplicaciones del control de aplicaciones de acceso condicional no se alinean con las aplicaciones de Azure AD

    Los nombres de aplicación de Azure AD y Defender for Cloud Apps pueden diferir en función de las formas en que los productos identifican las aplicaciones. Defender for Cloud Apps identifica las aplicaciones que usan los dominios de la aplicación y las agrega al catálogo de aplicaciones en la nube, donde tenemos más de 31 000 aplicaciones. Dentro de cada aplicación, puede ver o agregar al subconjunto de dominios. En cambio, Azure AD identifica las aplicaciones que usan entidades de servicio. Para más información, consulte Objetos de aplicación y entidad de servicio en Azure AD.

    En la práctica, significa que seleccionar SharePoint Online en Azure AD equivale a seleccionar aplicaciones, como Word Online y Teams, en Defender for Cloud Apps porque las aplicaciones usan el sharepoint.com dominio.

Creación de directivas de acceso y sesión

Defender for Cloud Apps proporciona las siguientes directivas configurables:

  1. Directivas de acceso: para supervisar o bloquear el acceso a aplicaciones de explorador, móviles o de escritorio
  2. Directivas de sesión. Para supervisar, bloquear y realizar acciones específicas para evitar escenarios de infiltración y filtración de datos en el explorador

Para usar estas directivas en Defender for Cloud Apps, primero debe configurar una directiva en el acceso condicional de Azure AD para ampliar los controles de sesión, como se indica a continuación: En la directiva de Azure AD, en Controles de acceso, haga clic en Sesión, seleccione Usar control de aplicaciones de acceso condicional y elija una directiva integrada (supervisar solo o bloquear descargas) o Usar una directiva personalizada para establecer una directiva avanzada en Defender for Cloud Apps, y, a continuación, haga clic en Seleccionar.

Entre los escenarios comunes que puede encontrar al configurar estas directivas se incluyen:

En las directivas de acceso condicional, no puede ver la opción Control de aplicaciones de acceso condicional.

Para enrutar las sesiones a Defender for Cloud Apps, las directivas de acceso condicional de Azure AD deben configurarse para incluir controles de sesión de Control de aplicaciones de acceso condicional.

Pasos recomendados

  • Si no ve la opción Control de aplicaciones de acceso condicional en la directiva de acceso condicional, asegúrese de que tiene una licencia válida para Azure AD Premium P1, así como una licencia válida de Defender for Cloud Apps.

Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con el control de aplicaciones de acceso condicional

Al crear una directiva de acceso o sesión, es posible que vea el siguiente mensaje de error: "No tiene ninguna aplicación implementada con control de aplicaciones de acceso condicional". Este error indica que la aplicación no se ha implementado.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. Si ve el mensaje No hay aplicaciones conectadas, use la siguiente guía para implementar aplicaciones:

  3. Si tiene algún problema al implementar la aplicación, consulte Incorporación de una aplicación.

No se pueden crear directivas de sesión para una aplicación

Después de agregar una aplicación personalizada, en la página Aplicaciones de Control de aplicaciones de acceso condicional , puede ver la opción: Solicitar control de sesión.

Nota

Las aplicaciones de catálogo tienen controles de sesión predefinidos. Para cualquier otra aplicación, debe seguir un proceso de incorporación automática.

Pasos recomendados

  1. Use la siguiente guía de incorporación automática para implementar cualquier aplicación en el control de sesión: Implementación de aplicaciones personalizadas de línea de negocio, aplicaciones SaaS no destacadas y aplicaciones locales hospedadas a través de azure Active Directory (Azure AD) Application Proxy con controles de sesión.
  2. Cree una directiva de sesión, seleccione el filtro Aplicación y asegúrese de que la aplicación aparece ahora en la lista desplegable.

No se puede elegir Método de inspección: Servicio de clasificación de datos

En las directivas de sesión, al usar el tipo de control de control de descarga de archivos (con inspección), puede usar el método de inspección servicio de clasificación de datos para examinar los archivos en tiempo real y detectar contenido confidencial que coincida con cualquiera de los criterios que haya configurado. Si el método de inspección del Servicio de clasificación de datos no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Compruebe que el tipo de control sesión está establecido en Control de descarga de archivos (con inspección).

    Nota

    El método de inspección del Servicio de clasificación de datos solo está disponible para la opción Descargar archivo de control (con inspección).

  2. Determine si la característica Servicio de clasificación de datos está disponible en su región.

    1. Si la característica no está disponible en su región, use el método de inspección DLP integrado .
    2. Si la característica está disponible en su región, pero todavía no puede ver el método de inspección del Servicio de clasificación de datos, abra una incidencia de soporte técnico.

No se puede elegir Acción: Proteger

En las directivas de sesión, al usar el tipo de control de control de descarga de archivos (con inspección), además de las acciones Supervisar y Bloquear , puede especificar la acción Proteger . Esta acción le permite permitir descargas de archivos con la opción de cifrar o aplicar permisos al archivo en función de condiciones, inspección de contenido o ambos. Si la acción Proteger no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Si la acción Proteger no está disponible o está atenuada, compruebe que tiene la licencia Azure Information Protection (AIP) Premium P1. Para obtener más información, consulte integración de Microsoft Information Protection.
  2. Si la acción Proteger está disponible, pero no ve las etiquetas adecuadas.
    1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración, seleccione Microsoft Information Protection y compruebe que la integración está habilitada.
    2. En el caso de las etiquetas de Office, en el portal de AIP, asegúrese de que está seleccionado Etiquetado unificado .

Consideraciones adicionales

Al solucionar problemas de las aplicaciones de incorporación, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Descripción de la diferencia entre la configuración de la directiva de acceso condicional de Azure AD: "Supervisar solo", "Bloquear descargas" y "Usar directiva personalizada"

    En las directivas de acceso condicional de Azure AD, puede configurar los siguientes controles integrados de Defender for Cloud Apps: Supervisar solo y Bloquear descargas. Esto se aplica y aplica la característica de proxy de Defender for Cloud Apps para aplicaciones en la nube y condiciones configuradas en Azure AD. Para las directivas más complejas, seleccione Usar directiva personalizada, lo que le permite configurar directivas de acceso y sesión en Defender for Cloud Apps.

  • Descripción de la opción de filtro de aplicación cliente "Móvil y de escritorio" en las directivas de acceso

    En las directivas de acceso de Defender for Cloud Apps, a menos que el filtro de aplicación cliente se establezca específicamente en Móvil y escritorio, la directiva de acceso resultante solo se aplicará a las sesiones del explorador. El motivo de esto es evitar que las sesiones de usuario de proxy inadvertidamente sean un producto derivado del uso de este filtro.

barra de herramientas Administración Ver

La barra de herramientas Administración Vista proporciona herramientas para que un administrador diagnostique y solucione problemas con el control de aplicaciones de acceso condicional.

Para habilitar la barra de herramientas Administración Ver para usuarios administradores específicos, primero debe agregar administradores a la lista de incorporación y mantenimiento de la aplicación.

  1. En la barra de menús de Defender for Cloud Apps, seleccione el icono de configuración de engranaje de configuración 4 y seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación/mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o la dirección de correo electrónico de los usuarios administradores que incorporarán la aplicación.

  4. Active la casilla Permitir que estos usuarios omitan el control de aplicaciones de acceso condicional desde dentro de una sesión de proxy.

  5. Seleccione Guardar.

    Configuración de incorporación y mantenimiento de aplicaciones.

Cuando esos usuarios inicien una sesión de una aplicación, la barra de herramientas Administración Ver estará disponible.

Omitir sesión de proxy

Si tiene dificultades para acceder o cargar la aplicación y desea ver si el problema se produce con el proxy de acceso condicional, puede usar el botón Omitir sesión en la barra de herramientas Administración Ver. Aparecerá para los usuarios que tengan habilitada la barra de herramientas Administración Ver.

Una vez que seleccione Omitir sesión, la aplicación se ejecutará sin el proxy de acceso condicional. Omitir sesión. Para confirmar que la sesión se omite, tenga en cuenta que la dirección URL no tiene sufijo.

En la siguiente sesión de la aplicación, se usará el proxy de acceso condicional.

Grabación de sesión

Puede ayudar al análisis de la causa principal de los problemas proporcionando grabaciones de sesión a los ingenieros de soporte técnico de Microsoft. Para registrar una sesión, debe habilitar la barra de herramientas Administración Ver.

Nota

Todos los datos personales se quitan de las grabaciones.

Para registrar una sesión, siga estos pasos:

    1. En la barra de herramientas Administración Ver, seleccione Grabar sesión.

    Seleccione Grabar sesión.

  1. Después de seleccionar Grabar sesión, acepte los términos seleccionando Continuar en la ventana siguiente:

    Seleccione Continue to accept (Continuar para aceptar).

  2. También puede iniciar la grabación al iniciar sesión en la aplicación. Para ello, seleccione Grabar sesión cuando aparezca esta ventana:

    Seleccione Grabar sesión en la ventana.

  3. Inicie sesión en la aplicación para comenzar la simulación del escenario.

  4. Cuando termine la simulación del escenario, seleccione Detener grabación en la barra de herramientas Administración Ver.

    Seleccione Detener grabación.

  5. Una vez finalizada la grabación, puede ver las sesiones grabadas seleccionando Grabaciones de sesión en la barra de herramientas Administración Ver. Aparecerá una lista de sesiones grabadas de las 48 horas anteriores.

    Lista de grabaciones de sesión.

  6. Cada sesión grabada se puede descargar o eliminar.

    Descargue o elimine la grabación.

Problemas experimentados por los usuarios finales

Esta sección es para los usuarios finales que usan aplicaciones protegidas por Defender for Cloud Apps y ayuda a identificar situaciones comunes que pueden surgir en las áreas siguientes:

La página de supervisión de usuarios no aparece

Al enrutar a un usuario a través de Defender for Cloud Apps, puede notificar al usuario que se supervisará su sesión. De forma predeterminada, la página de supervisión del usuario está habilitada.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Supervisión de usuarios. En esta página se muestran las opciones de supervisión de usuarios disponibles en Defender for Cloud Apps.

    Captura de pantalla que muestra las opciones de supervisión del usuario.

  3. Compruebe que la opción Notificar a los usuarios que su actividad se está supervisando está seleccionada.

  4. Elija si desea usar el mensaje predeterminado o proporcionar un mensaje personalizado.

    Tipo de mensaje Detalles
    Valor predeterminado Encabezado:
    Se supervisa el acceso a [El nombre de la aplicación aparecerá aquí]
    Cuerpo:
    Para mejorar la seguridad, su organización permite el acceso a [El nombre de la aplicación aparecerá aquí] en modo de supervisión. El acceso solo está disponible desde un explorador web.
    Personalizado Encabezado:
    Use este cuadro para proporcionar un encabezado personalizado para informar a los usuarios de que se están supervisando.
    Cuerpo:
    Use este cuadro para agregar información personalizada adicional para el usuario, como quién debe ponerse en contacto con preguntas, y admite las siguientes entradas: texto sin formato, texto enriquecido, hipervínculos.
  5. Haga clic en Vista previa para comprobar la página de supervisión del usuario que aparece antes de acceder a una aplicación.

  6. Haga clic en Save(Guardar).

No se puede acceder a la aplicación desde un proveedor de identidades que no sea de Microsoft

Si un usuario final recibe un error general después de iniciar sesión en una aplicación desde un proveedor de identidades que no es de Microsoft, valide la configuración del IdP que no es de Microsoft.

Pasos recomendados

  1. En Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.
  2. En la lista de aplicaciones, en la fila en la que aparece la aplicación a la que no puede acceder, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
    1. Compruebe que el certificado SAML que se cargó es correcto.
    2. Compruebe que se han proporcionado direcciones URL de SSO válidas en la configuración de la aplicación.
    3. Compruebe que los atributos y valores de la aplicación personalizada se reflejan en la configuración del proveedor de identidades Captura de pantalla que muestra la página de información de SAML de los proveedores de identidades.
  3. Si todavía no puede acceder a la aplicación, abra una incidencia de soporte técnico.

Aparece la página Error de algo

A veces, durante una sesión con proxy, puede aparecer la página Error de algo . Esto puede suceder cuando:

  1. Un usuario inicia sesión después de estar inactivo durante un tiempo.
  2. La actualización del explorador y la carga de la página tarda más de lo esperado
  3. La aplicación idP que no es de Microsoft no está configurada correctamente

Pasos recomendados

  1. Si el usuario final está intentando acceder a una aplicación que está configurada mediante un IdP que no es de Microsoft, consulte No se puede acceder a la aplicación desde un IdP que no es de Microsoft y estado de la aplicación: Continuar la instalación.
  2. Si el usuario final alcanzó inesperadamente esta página, haga lo siguiente:
    1. Reinicio de la sesión del explorador
    2. Borrar el historial, las cookies y la memoria caché desde el explorador

Las acciones del Portapapeles o los controles de archivo no se bloquean

Se requiere la capacidad de bloquear acciones del Portapapeles, como cortar, copiar, pegar y archivos, como descargar, cargar e imprimir, para evitar escenarios de filtración e infiltración de datos. Esta capacidad permite a las empresas equilibrar la seguridad y la productividad de los usuarios finales. Si tiene problemas con estas características, siga estos pasos para investigar el problema.

Nota

Cortar, copiar y pegar no se bloquean para los datos del mismo documento de Excel. Solo se bloquea la copia en ubicaciones externas.

Pasos recomendados

Si la sesión se está proxiando, siga estos pasos para comprobar la directiva:

  1. En Defender for Cloud Apps, en Investigar, seleccione Registro de actividad.
  2. Use el filtro avanzado, seleccione Acción aplicada y establezca su valor igual a Bloqueado.
  3. Compruebe que hay actividades de archivo bloqueadas.
    1. Si hay una actividad, expanda el cajón de actividades haciendo clic en la actividad.
    2. En la pestaña General del cajón de actividad, haga clic en el vínculo Directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
    3. Si no ve la directiva, consulte Creación de directivas de acceso y sesión.
    4. Si ve Acceso bloqueado o permitido debido al comportamiento predeterminado, esto indica que el sistema estaba inactivo y se aplicó el comportamiento predeterminado.
      1. Para cambiar el comportamiento predeterminado, en Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y seleccione Configuración. A continuación, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminado y establezca el comportamiento predeterminado en Permitir o Bloquear el acceso.
      2. Vaya a https://status.cloudappsecurity.com/ y supervise las notificaciones sobre el tiempo de inactividad del sistema.
  4. Si sigue sin poder ver la actividad bloqueada, abra una incidencia de soporte técnico.

Las descargas no se protegen

Como usuario final, es posible que sea necesario descargar datos confidenciales en un dispositivo no administrado. En estos escenarios, puede proteger documentos con Microsoft Information Protection. Si el usuario final no pudo cifrar correctamente el documento, siga estos pasos para investigar el problema.

Pasos recomendados

  1. En Defender for Cloud Apps, en Investigar, seleccione Registro de actividad.
  2. Use el filtro avanzado, seleccione Acción aplicada y establezca su valor igual a Protegido.
  3. Compruebe que hay actividades de archivo bloqueadas.
    1. Si hay una actividad, expanda el cajón de actividad haciendo clic en la actividad.
    2. En la pestaña General del cajón de actividades, haga clic en el vínculo Directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
    3. Si no ve la directiva, consulte Creación de directivas de acceso y sesión.
    4. Si ve Acceso bloqueado o permitido debido al comportamiento predeterminado, esto indica que el sistema estaba inactivo y que se aplicó el comportamiento predeterminado.
      1. Para cambiar el comportamiento predeterminado, en Defender for Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración. A continuación, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminado y establezca el comportamiento predeterminado en Permitir o Bloquear el acceso.
      2. Vaya a https://status.cloudappsecurity.com/ y supervise las notificaciones sobre el tiempo de inactividad del sistema.
    5. Si va a proteger el archivo con una etiqueta de AIP o permisos personalizados, en la descripción de la actividad, asegúrese de que la extensión de archivo es uno de los siguientes tipos de archivo admitidos:
      • Word: docm, docx, dotm, dotx
      • Excel: xlam, xlsm, xlsx, xltx
      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
      • PDF* si el etiquetado unificado está habilitado
    • Si no se admite el tipo de archivo, en la directiva de sesión, puede seleccionar Bloquear descarga de cualquier archivo que no sea compatible con la protección nativa o en el que la protección nativa no se realice correctamente.
  4. Si todavía no puede ver la actividad bloqueada, abra una incidencia de soporte técnico.

Todos los servidores proxy que las direcciones URL de sufijo son susceptibles a la pérdida de contexto, un problema por el que navegar a un vínculo pierde la ruta de acceso completa del vínculo y normalmente llega a la página principal de la aplicación. Defender for Cloud Apps está posicionada de forma única para solucionar esta limitación y resolver la pérdida de contexto al asociarse con microsoft y proveedores que no son de Microsoft.

Si el ajuste de la directiva global no corrige el problema, puede solucionar los problemas de pérdida de contexto de la siguiente manera:

  1. Vaya a una dirección URL donde se produce la pérdida de contexto.
  2. Anote el dominio de dirección URL sufijo, incluido el sufijo agregado por Defender for Cloud Apps. Por ejemplo: https://www.yammer.com.mcas.ms.
  3. Copie la ruta de acceso desde la dirección URL original. Por ejemplo, si la dirección URL concreta original era https://www.yammer.com/organization/threads/threadnumber, copie /organization/threads/threadnumber.
  4. Anexe la ruta de acceso copiada al dominio con sufijo. Por ejemplo: https://www.yammer.com.mcas.ms/organization/threads/threadnumber.
  5. Vaya a la nueva dirección URL con sufijo.

Para las aplicaciones que experimentan pérdida de contexto, envíe una incidencia de soporte técnico. Trabajaremos directamente con cada proveedor de aplicaciones para resolver esos problemas.

El bloqueo de descargas hace que se bloqueen las versiones preliminares de PDF

En ocasiones, al obtener una vista previa o imprimir archivos PDF, las aplicaciones inician una descarga del archivo. Esto hace que Defender for Cloud Apps intervenga para asegurarse de que la descarga está bloqueada y que los datos no se filtran del entorno. Por ejemplo, si ha creado una directiva de sesión para bloquear las descargas de Outlook Web Access (OWA), es posible que se bloquee la vista previa o la impresión de archivos PDF, con un mensaje similar al siguiente:

Descarga bloqueada.

Para permitir la versión preliminar, un administrador de Exchange debe realizar los pasos siguientes:

  1. Descargue el módulo de PowerShell Exchange Online.

  2. Conexión al módulo mediante los comandos descritos en Conexión a Exchange Online PowerShell

  3. Después de conectarse a la Exchange Online PowerShell, use el cmdlet Set-OwaMailboxPolicy para actualizar los parámetros de la directiva:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Nota

    La directiva OwaMailboxPolicy-Default es el nombre de directiva de OWA predeterminado en Exchange Online. Algunos clientes pueden haber implementado más o creado una directiva de OWA personalizada con un nombre diferente. Si tiene varias directivas de OWA, pueden aplicarse a usuarios específicos. Por lo tanto, también deberá actualizarlos para tener una cobertura completa.

  4. Una vez establecidos estos parámetros, ejecute una prueba en OWA con un archivo PDF y una directiva de sesión configurada para bloquear las descargas. La opción Descargar debe quitarse de la lista desplegable y puede obtener una vista previa del archivo.

    La versión preliminar de PDF no está bloqueada.

Aparece una advertencia de sitio similar

Los actores malintencionados pueden crear direcciones URL similares a las direcciones URL de otros sitios para suplantar y engañar a los usuarios para creer que están navegando a otro sitio. Algunos exploradores intentan detectar este comportamiento y advertir a los usuarios antes de acceder a la dirección URL o bloquear el acceso. En algunos casos poco frecuentes, los usuarios bajo el control de sesión recibirán un mensaje del explorador que indica el acceso sospechoso al sitio. El motivo de esto es que el explorador trata el dominio sufijo (por ejemplo.: .mcas.ms) como sospechoso.

En Microsoft Edge:

Advertencia de sitio similar a Edge.

En Chrome:

Advertencia de sitio similar a Chrome.

Si recibe un mensaje similar al siguiente, póngase en contacto con el soporte técnico de Microsoft, que lo abordará con el proveedor del explorador correspondiente.

Consideraciones adicionales

Al solucionar problemas de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Compatibilidad de los controles de sesión con los exploradores modernos

    Los controles de sesión de Defender for Cloud Apps ahora incluyen compatibilidad con el nuevo explorador Microsoft Edge basado en Chromium. Si bien continuaremos admitiendo las versiones más recientes de Internet Explorer y la versión heredada de Microsoft Edge, la compatibilidad será limitada y se recomienda usar el nuevo explorador Microsoft Edge.

  • Inicio de sesión doble

    Se produce un inicio de sesión doble debido al uso supuesto de un nonce, un token criptográfico usado por las aplicaciones para evitar ataques de reproducción. De forma predeterminada, Defender for Cloud Apps supone que una aplicación usa un valor nonce. Si está seguro de que la aplicación no usa un valor nonce, puede deshabilitarla editando la aplicación en Defender for Cloud Apps y se resolverá el problema. Para conocer los pasos para deshabilitar nonce, consulte Inicio de sesión lento.

    Si la aplicación usa un valor nonce y esta característica no se puede deshabilitar, el segundo inicio de sesión puede ser transparente para los usuarios o se les pedirá que vuelvan a iniciar sesión.