Dépannage des contrôles d’accès et de session pour les utilisateurs administrateurs

  • Article

Cet article fournit aux administrateurs de Microsoft Defender for Cloud Apps des conseils sur la manière d’examiner et de résoudre les problèmes courants de contrôle d’accès et de session rencontrés par les administrateurs.

Remarque

Tout dépannage lié à la fonctionnalité du proxy concerne uniquement les sessions qui ne sont pas configurées pour la protection dans le navigateur avec Microsoft Edge.

Vérifier la configuration minimale requise

Avant de commencer la résolution des problèmes, assurez-vous que votre environnement répond aux conditions minimales requises suivantes pour les contrôles d’accès et de session.

Condition requise Description
Gestion des licences Veillez à disposer d’une licence valide pour Microsoft Defender for Cloud Apps.
Authentification unique (SSO) Les applications doivent être configurées avec l’une des solutions d’authentification unique prises en charge :

– Microsoft Entra ID avec SAML 2.0 ou OpenID Connect 2.0
– IdP non-Microsoft compatible SAML 2.0
Prise en charge des navigateurs Les contrôles de session sont disponibles pour les sessions basées sur un navigateur sur les dernières versions des navigateurs suivants :

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

La protection dans le navigateur pour Microsoft Edge a également des exigences spécifiques, notamment que l’utilisateur soit connecté avec son profil professionnel. Pour en savoir plus, consultez Exigences en matière de protection dans le navigateur.
Temps d’arrêt : Defender for Cloud Apps vous permet de définir le comportement par défaut à appliquer en cas d’interruption de service, par exemple un composant qui ne fonctionne pas correctement.

Par exemple, lorsque les contrôles de stratégie normaux ne peuvent pas être appliqués, vous pouvez choisir de renforcer (bloquer) ou de contourner (autoriser) les utilisateurs pour qu’ils effectuent des actions sur du contenu potentiellement sensible.

Pour configurer le comportement par défaut pendant le temps d’arrêt du système, dans Microsoft Defender XDR, accédez à Paramètres>Comportement par défaut du contrôle d’application par accès conditionnel>>Autoriser ou bloquer l’accès.

Conditions requises pour la protection dans le navigateur

Si vous utilisez la protection dans le navigateur avec Microsoft Edge et que vous êtes toujours desservi par un proxy inverse, assurez-vous que vous remplissez les conditions supplémentaires suivantes :

Référence des problèmes de résolution des problèmes pour les administrateurs

Utilisez le tableau suivant pour rechercher le problème que vous essayez de résoudre :

Type de problème Problèmes
Problèmes de condition réseau Erreurs réseau lors de la navigation vers une page de navigateur

Connexions lentes

Autres considérations relatives aux conditions réseau
Problèmes d’identification des appareils Appareils compatibles Intune ou appareils connectés hybrides Microsoft Entra mal identifiés

Les certificats clients ne sont pas déclenchés au moment attendu

Les certificats clients ne sont pas déclenchés au moment attendu
Les certificats clients sont déclenchés à chaque connexion

Autres considérations relatives à l’identification des appareils
Problèmes lors de l’intégration d’une application L’application n’est pas mentionnée dans la page Applications de Contrôle d’application par accès conditionnel

État de l’application : Continuer le programme d’installationImpossible de configurer des contrôles pour les applications natives

La page L’application n’est pas reconnue s’affiche

L’option de contrôle de session de la requête s’affiche

Autres considérations relatives à l’intégration d’applications
Problèmes lors de la création de stratégies d’accès et de session Dans les stratégies d’accès conditionnel, vous ne pouvez pas voir l’option Contrôle d’application par accès conditionnel

Message d’erreur lors de la création d’une stratégie : vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel

Impossible de créer des stratégies de session pour une application

Impossible de choisir la méthode d’inspection : service de classification des données

Impossible de choisir l’action : Protéger

Autres considérations relatives à l’intégration d’applications
Diagnostiquer et résoudre les problèmes avec la barre d’outils Affichage administration Contourner la session proxy

Enregistrer une session

Problèmes de condition réseau

Les problèmes courants liés à la condition réseau que vous pouvez rencontrer sont les suivants :

Erreurs réseau lors de la navigation vers une page de navigateur

Lorsque vous configurez pour la première fois les contrôles d’accès et de session Defender for Cloud Apps pour une application, les erreurs réseau courantes qui peuvent survenir sont les suivantes : Ce site n’est pas sécurisé et Il n’y a pas de connexion Internet. Ces messages peuvent indiquer une erreur de configuration réseau générale.

Étapes recommandées

  1. Configurez votre pare-feu pour qu’il fonctionne avec Defender for Cloud Apps à l’aide des adresses IP Azure et des noms DNS pertinents pour votre environnement.

    1. Ajoutez le port de sortie 443 pour les adresses IP et les noms DNS suivants pour votre centre de données Defender for Cloud Apps.
    2. Redémarrez votre appareil et votre session de navigateur
    3. Vérifiez que l’authentification fonctionne comme prévu

  2. Activez TLS 1.2 dans les options Internet de votre navigateur. Par exemple :

    Browser Étapes
    Microsoft Internet Explorer 1. Ouvrir Internet Explorer
    2. Sélectionnez l’onglet Outils>Options Internet>Avancé
    3. Sous Sécurité, sélectionnez TLS 1.2
    4. Sélectionnez Appliquer, puis OK
    5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application
    Microsoft Edge / Edge Chromium 1. Ouvrez la recherche à partir de la barre des tâches et recherchez « Options Internet »
    2. Sélectionnez Options Internet
    3. Sous Sécurité, sélectionnez TLS 1.2
    4. Sélectionnez Appliquer, puis OK
    5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application
    Google Chrome 1. Ouvrez Google Chrome
    2. En haut à droite, sélectionnez Plus (3 points verticaux) >Paramètres
    3. En bas, sélectionnez Avancé
    4. Sous Système, sélectionnez Ouvrir les paramètres du proxy
    5. Sous l’onglet Avancé, sous Sécurité, sélectionnez TLS 1.2
    6. Sélectionnez OK
    7. Redémarrez votre navigateur et vérifiez que vous êtes en mesure d’accéder à l’application
    Mozilla Firefox 1. Ouvrez Mozilla Firefox
    2. Dans la barre d’adresses, recherchez « about:config »
    3. Dans la zone de recherche cherchez « TLS »
    4. Double-cliquez sur l’entrée pour security.tls.version.min
    5. Définissez la valeur entière sur 3 pour forcer TLS 1.2 comme version minimale requise
    6. Sélectionnez Enregistrer (coche à droite de la zone de valeur)
    7. Redémarrez votre navigateur et vérifiez que vous êtes en mesure d’accéder à l’application
    Safari Si vous utilisez Safari version 7 ou ultérieure, TLS 1.2 est automatiquement activé

Defender for Cloud Apps utilise les protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de classe optimale :

  • Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session.
  • Les applications SaaS qui utilisent TLS 1.1 ou version antérieure s’affichent dans le navigateur en utilisant TLS 1.2+ lorsqu’elles sont configurées avec Defender for Cloud Apps.

Conseil

Bien que les contrôles de session soient conçus pour fonctionner avec n’importe quel navigateur sur toute plateforme majeure sur n’importe quel système d’exploitation, nous prenons en charge les dernières versions de Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Vous pouvez bloquer ou autoriser l’accès spécifiquement aux applications mobiles ou de bureau.

Connexions lentes

Le chaînage de proxy et la gestion nonce figurent parmi les problèmes courants qui pourraient entraîner des performances de connexion lentes.

Étapes recommandées

Configurez votre environnement pour supprimer tous les facteurs susceptibles d’entraîner une lenteur pendant la connexion. Par exemple, vous pouvez avoir configuré des pare-feu ou un chaînage de proxys de transfert, qui connecte deux serveurs proxy ou plus pour accéder à la page prévue. Vous pouvez également avoir d’autres facteurs externes affectant la lenteur.

  1. Identifiez si le chaînage de proxy se produit dans votre environnement.
  2. Supprimez les proxys de transfert si possible.

Certaines applications utilisent un hachage nonce pendant l’authentification pour empêcher les attaques par rejeu. Par défaut, Defender for Cloud Apps suppose qu’une application utilise un nonce. Si l’application avec laquelle vous travaillez n’utilise pas de nonce, désactivez la gestion nonce pour cette application dans Defender for Cloud Apps :

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.
  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.
  3. Dans la liste des applications, dans la ligne où apparaît l’application que vous configurez, sélectionnez les trois points en fin de ligne, puis sous Détails de l’application, sélectionnez Modifier l’application.
  4. Sélectionnez Gestion des nonces pour développer la section, puis désactivez Activer la gestion des nonces.
  5. Déconnectez-vous de l’application et fermez toutes les sessions de navigateur.
  6. Redémarrez votre navigateur, puis connectez-vous à nouveau à l’appli. Vérifiez que l’authentification fonctionne comme prévu.

Autres considérations relatives aux conditions réseau

Lors de la résolution des problèmes de conditions réseau, tenez également compte des notes suivantes sur le proxy Defender for Cloud Apps :

  • Vérifiez si votre session est acheminée vers un autre centre de données : Defender for Cloud Apps tire parti des centres de données Azure dans le monde entier pour optimiser les performances par le biais de la géolocalisation.

    Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

  • Performance du proxy : La dérivation d’une base de référence de performances dépend de nombreux facteurs en dehors du proxy Defender for Cloud Apps, tels que :

    • Autres proxies ou passerelles installés en série avec ce proxy
    • Provenance de l’utilisateur
    • Emplacement de la ressource ciblée
    • Demandes spécifiques sur la page

    En général, tout proxy ajoute une latence. Les avantages du proxy Defender for Cloud Apps sont les suivants :

    • Utilisation de la disponibilité globale des contrôleurs de domaine Azure pour géolocaliser les utilisateurs vers le nœud le plus proche et réduire leur distance aller-retour. Les contrôleurs de domaine Azure peuvent géolocaliser à grande échelle quelques services du monde entier.

    • À l’aide de l’intégration à l’accès conditionnel Microsoft Entra pour acheminer uniquement les sessions avec lesquelles vous voulez utiliser un proxy vers notre service, au lieu de tous les utilisateurs dans toutes les situations.

Problèmes d’identification des appareils

Defender for Cloud Apps fournit les options suivantes pour identifier l’état de gestion d’un appareil.

  • Conformité Microsoft Intune
  • Jonction hybride de domaine Microsoft Entra
  • Certificats clients

Pour en savoir plus, consultez la section Périphériques à gestion d’identité avec contrôle d’application à accès conditionnel.

Les problèmes courants d’identification des appareils que vous pouvez rencontrer sont les suivants :

Appareils compatibles Intune ou appareils connectés hybrides Microsoft Entra mal identifiés

L’accès conditionnel Microsoft Entra permet aux informations d’appareil à jonction hybride conforme Intune et Microsoft Entra d’être transmises directement à Defender for Cloud Apps. Dans Defender for Cloud Apps, utilisez l’état de l’appareil comme filtre pour les stratégies d’accès ou de session.

Pour plus d’informations, consultez Présentation de la gestion des appareils dans Microsoft Entra ID.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Identification des appareils. Cette page affiche les options d’identification des appareils disponibles dans Defender for Cloud Apps.

  3. Pour l’identification des appareils compatibles Intune et l’identification de jonction hybride Microsoft Entra respectivement, sélectionnez Afficher la configuration et vérifiez que les services sont configurés. Les services sont automatiquement synchronisés à partir de Microsoft Entra ID et d’Intune, respectivement.

  4. Créez une stratégie d’accès ou de session avec le filtre Étiquette d’appareil égal à Jonction Azure AD Hybride, compatible avec Intune ou les deux.

  5. Dans un navigateur, connectez-vous à un appareil joint à Microsoft Entra hybride ou compatible Intune en fonction de votre filtre de stratégie.

  6. Vérifiez que les activités de ces appareils remplissent le journal. Dans Defender for Cloud Apps, à la page du journal d’activité, filtrez sur Étiquette d’appareil égale à Jonction Azure AD hybride, compatible Intune ou les deux en fonction de vos filtres de stratégie.

  7. Si les activités ne sont pas renseignées dans le journal d’activité Defender for Cloud Apps, accédez à Microsoft Entra ID et effectuez les étapes suivantes :

    1. Sous Supervision>Connexions, vérifiez que les journaux contiennent des activités de connexion.

    2. Sélectionnez l’entrée de journal correspondant à l’appareil auquel vous vous êtes connecté.

    3. Dans le volet Détails, sous l’onglet Informations sur l’appareil, vérifiez que l’appareil est Géré (joint à Azure AD Hybride) ou Conforme (conforme à Intune).

      Si vous ne pouvez pas vérifier l’un ou l’autre état, essayez une autre entrée de journal ou vérifiez que les données de votre appareil sont configurées correctement dans Microsoft Entra ID.

    4. Pour l’accès conditionnel, certains navigateurs peuvent nécessiter une configuration supplémentaire telle que l’installation d’une extension. Pour plus d’informations, consultez Prise en charge du navigateur Accès conditionnel.

    5. Si vous ne voyez toujours pas les informations de l’appareil dans la page Connexions, ouvrez un ticket de support pour Microsoft Entra ID.

Les certificats clients ne sont pas déclenchés au moment attendu

Le mécanisme d’identification des appareils peut exiger une authentification desdits appareils à l’aide de certificats clients. Vous pouvez charger un certificat d’autorité de certification racine ou intermédiaire X.509, mis en forme au format de certificat PEM.

Les certificats doivent contenir la clé publique de l’autorité de certification, qui est ensuite utilisée pour signer les certificats clients présentés pendant une session. Pour en savoir plus, consultez Vérifier la gestion des appareils sans Microsoft Entra.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Identification des appareils. Cette page affiche les options d’identification des appareils disponibles avec Defender for Cloud Apps.

  3. Vérifiez que vous avez chargé un certificat d’autorité de certification racine ou intermédiaire X.509. Vous devez charger le certificat d’autorité de certification utilisé pour vous connecter à votre autorité de certification.

  4. Créez une stratégie d’accès ou de session avec l’Étiquette d’appareil égal au certificat client valide.

  5. Vérifiez que votre certificat client est :

    • Déployé à l’aide du format de fichier PKCS #12, généralement une extension de fichier .p12 ou .pfx
    • Installé dans le magasin d’utilisateur, et non dans le magasin d’appareil, de l’appareil que vous utilisez pour les tests

  6. Redémarrez votre session de navigateur.

  7. Lors de la connexion à l’application protégée :

    • Vérifiez que vous êtes redirigé vers la syntaxe d’URL suivante : <https://*.managed.access-control.cas.ms/aad_login>
    • Si vous utilisez iOS, vérifiez que vous utilisez le navigateur Safari.
    • Si vous utilisez Firefox, vous devez également ajouter le certificat au magasin de certificats de Firefox. Tous les autres navigateurs utilisent le même magasin de certificats par défaut.

  8. Vérifiez que le certificat client est déclenché dans votre navigateur.

    S’il n’apparaît pas, essayez un autre navigateur. La plupart des principaux navigateurs prennent en charge l’exécution d’une vérification du certificat client. Toutefois, les applications mobiles et de bureau utilisent souvent des navigateurs intégrés qui peuvent ne pas prendre en charge cette vérification et donc affecter l’authentification pour ces applications.

  9. Vérifiez que les activités de ces appareils remplissent le journal. Dans Defender for Cloud Apps, sur la page Journal d’activité, ajoutez un filtre sur Étiquette d’appareil égale à Certificat client valide.

  10. Si vous ne voyez toujours pas l’invite, ouvrez un ticket de support et incluez les informations suivantes :

    • Détails du navigateur ou de l’application native où vous avez rencontré le problème
    • La version du système d’exploitation, par exemple iOS/Android/Windows 10
    • Mentionner si l’invite fonctionne sur Microsoft Edge Chromium

Les certificats clients sont déclenchés à chaque connexion

Si vous constatez que le certificat client s’affiche après l’ouverture d’un nouvel onglet, cela peut être dû aux paramètres masqués dans Options Internet. Vérifiez vos paramètres dans votre navigateur. Par exemple :

Dans Microsoft Internet Explorer :

  1. Ouvrez Internet Explorer et sélectionnez Outils>Options Internet>Avancé.
  2. Sous Sécurité, sélectionnez Ne pas demander la sélection d’un certificat client lorsqu’il n’existe qu’un seul certificat> Sélectionnez Appliquer>OK.
  3. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application sans les invites supplémentaires.

Dans Microsoft Edge / Edge Chromium :

  1. Ouvrez la recherche à partir de la barre des tâches et recherchez Options Internet.
  2. Sélectionnez Options Internet>Sécurité>Intranet local>Niveau personnalisé.
  3. Sous Divers>Ne pas demander la sélection d’un certificat client lorsqu’il n’existe qu’un seul certificat, sélectionnez Désactiver.
  4. Sélectionnez OK>Appliquer>OK.
  5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application sans les invites supplémentaires.

Autres considérations relatives à l’identification des appareils

Lors de la résolution des problèmes d’identification de l’appareil, vous pouvez exiger la révocation de certificats clients.

Les certificats révoqués par l’autorité de certification ne sont plus approuvés. La sélection de cette option nécessite que tous les certificats passent le protocole de liste de révocation de certificats. Si votre certificat client ne contient pas de point de terminaison de liste de révocation de certificats, vous ne pouvez pas vous connecter à partir de l’appareil géré.

Problèmes lors de l’intégration d’une application

Vous pouvez intégrer les types d’applications suivants pour les contrôles d’accès et de session :

  • Applications de catalogue : applications fournies avec des contrôles de session prêtes à l’emploi, comme indiqué par l’étiquette de contrôle session.

  • Toutes les applications (personnalisées) : les applications métier personnalisées ou locales peuvent être intégrées aux contrôles de session par un administrateur.

Par exemple :

Screenshot of a proxy list showing catalog and any (custom) apps.

Lors de l’intégration d’une application, vérifiez que vous avez suivi attentivement les guides de déploiement de proxy. Pour plus d’informations, consultez l’article suivant :

  1. Déployer des applications de catalogue avec des contrôles de session
  2. Déployer des applications cœur de métier personnalisées, des applications SaaS non proposées et des applications locales hébergées par le biais du proxy d’application Microsoft Entra avec des contrôles de session

Les scénarios courants que vous pouvez rencontrer lors de l’intégration d’une application sont les suivants :

L’application n’est pas mentionnée dans la page Applications de Contrôle d’application par accès conditionnel

Lors de l’intégration d’une application au contrôle d’application par accès conditionnel, l’étape finale du déploiement consiste à faire en sorte que l’utilisateur final accède à l’application. Effectuez les étapes décrites dans cette section si l’application n’apparaît pas comme prévu.

Étapes recommandées

  1. Vérifiez que votre application répond aux conditions préalables à l’application d’accès conditionnel suivantes, en fonction de votre fournisseur d’identité :

    • ID Microsoft Entra :

      1. Veillez à disposer d’une licence valide pour Microsoft Entra ID P1 en plus d’une licence Defender for Cloud Apps.
      2. Vérifiez que l’application utilise le protocole SAML 2.0 ou OpenID Connect.
      3. Assurez-vous que l’application utilise une authentification unique dans Microsoft Entra ID.

    • Non-Microsoft :

      1. Veillez à disposer d’une licence valide pour Defender for Cloud Apps.
      2. Créez une application en double.
      3. Vérifiez que l’application utilise le protocole SAML.
      4. Vérifiez que vous avez entièrement intégré l’application et que l’état de l’application est Connectée.

  2. Dans votre stratégie Microsoft Entra, sous session, assurez-vous que la session est forcée de router vers Defender for Cloud Apps. Cela permet alors à l’application de s’afficher dans la page Applications de contrôle d’application par accès conditionnel, comme suit :

    • Contrôle d’application par accès conditionnel est sélectionné.
    • Dans la liste déroulante des stratégies intégrées, moniteur uniquement est sélectionné

  3. Veillez à accéder à l’application dans une nouvelle session de navigateur en utilisant un nouveau mode incognito ou en vous connectant à nouveau.

État de l’application : Continuer l’installation

L’état d’une application peut varier et peut inclure Continuer l’installation, Connecté ou Aucune activité.

Pour les applications connectées via des fournisseurs d’identité non-Microsoft (IdP), si la configuration n’est pas terminée, lors de l’accès à l’application, vous voyez une page avec l’état Continuer l’installation. Exécutez les opérations suivantes pour réaliser l’installation.

Étapes recommandées

  1. Sélectionnez Continuer l’installation.

  2. Parcourez le guide de déploiement et vérifiez que vous avez effectué toutes les étapes. Prêtez une attention particulière aux remarques suivantes :

    1. Veillez à créer une nouvelle application SAML personnalisée. Vous avez besoin de cette application pour modifier les URL et les attributs SAML qui peuvent ne pas être disponibles dans les applications de galerie.
    2. Si votre fournisseur d’identité n’autorise pas la réutilisation du même identificateur, également appelé ID d’entité ou Audience, modifiez l’identificateur de l’application d’origine.

Impossible de configurer des contrôles pour les applications natives

Les applications natives peuvent être détectées de manière heuristique et vous pouvez utiliser des stratégies d’accès pour les surveiller ou les bloquer. Procédez comme suit pour configurer des contrôles pour les applications natives.

Étapes recommandées

  1. Dans une stratégie d’accès, ajoutez un filtre Application cliente et définissez-le sur Applications de bureau et mobiles.

  2. Sous Actions, sélectionnez Bloquer.

  3. Vous pouvez aussi personnaliser le message de blocage que vos utilisateurs reçoivent quand ils ne parviennent pas à télécharger des fichiers. Par exemple, personnalisez ce message pour afficher Vous devez utiliser un navigateur Web pour accéder à cette application.

  4. Testez et vérifiez que le contrôle fonctionne comme prévu.

La page L’application n’est pas reconnue s’affiche

Defender for Cloud Apps peut reconnaître plus de 31 000 applications via le Catalogue d’applications cloud.

Si vous utilisez une application personnalisée configurée via l’authentification unique Microsoft Entra et que ce n’est pas l’une des applications prises en charge, vous arriverez sur une page Application non reconnue. Pour résoudre le problème, vous devez configurer l’application sur le contrôle d’application par accès conditionnel.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  2. Dans la bannière, sélectionnez Afficher les nouvelles applications.

  3. Dans la liste des nouvelles applications, localisez l’application que vous intégrez, sélectionnez le signe +, puis sélectionnez Ajouter.

    1. Indiquez si l’application est une application personnalisée ou standard.
    2. Poursuivez avec l’Assistant, vérifiez que les domaines définis par l’utilisateur spécifiés sont corrects pour l’application que vous configurez.

  4. Vérifiez que l’application est mentionnée dans la page Applications de Contrôle d’application par accès conditionnel.

L’option de contrôle de session de la requête s’affiche

Après avoir ajouté une application, vous pouvez voir l’option Demander le contrôle de session. Cela se produit, car seules les applications catalogue ont des contrôles de session prêtes à l’emploi. Pour toute autre application, vous devez suivre un processus d’intégration automatique.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Intégration/maintenance des applications.

  3. Entrez le nom d’utilisateur principal ou l’email des utilisateurs qui intégreront l’application, puis sélectionnez Enregistrer.

  4. Accédez à l’application que vous déployez. La page que vous voyez dépend de la reconnaissance de l’application. Effectuez l’une des étapes suivantes, selon la page que vous voyez :

Autres considérations relatives à l’intégration d’applications

Lors de la résolution des problèmes d’intégration d’applications, n’oubliez pas que les applications du contrôle d’application par accès conditionnel ne s’alignent pas sur les applications Microsoft Entra.

Les noms d’applications dans Microsoft Entra ID et Defender for Cloud Apps peuvent différer en fonction des façons dont les produits identifient les applications.

Dans la pratique, cette différence signifie que la sélection de SharePoint Online dans Microsoft Entra ID équivaut à sélectionner des applications, telles que Word Online et Teams, dans Defender for Cloud Apps, car les applications utilisent toutes le domaine sharepoint.com.

Problèmes lors de la création de stratégies d’accès et de session

Defender for Cloud Apps fournit les stratégies configurables suivantes :

  • Stratégies d’accès : Utilisées pour surveiller ou bloquer l’accès aux applications de navigateur, mobiles et/ou de bureau.
  • Stratégies de session. Utilisé pour surveiller, bloquer et effectuer des actions spécifiques afin d’empêcher l’infiltration et l’exfiltration de données dans le navigateur.

Pour utiliser ces stratégies dans Defender for Cloud Apps, vous devez d’abord configurer une stratégie dans l’accès conditionnel de Microsoft Entra pour étendre les contrôles de session :

  1. Dans la stratégie Microsoft Entra, sous Contrôle d’accès, sélectionnez Session>Utiliser le Contrôle d’application par accès conditionnel.

  2. Sélectionnez une stratégie intégrée (Surveiller uniquement ou Bloquer les téléchargements) ou Utilisez une stratégie personnalisée pour définir une stratégie avancée dans Defender for Cloud Apps.

  3. Choisissez Sélectionner pour continuer.

Les scénarios courants que vous pouvez rencontrer lors de la configuration de ces stratégies sont les suivants :

Dans les stratégies d’accès conditionnel, vous ne pouvez pas voir l’option Contrôle d’application par accès conditionnel

Pour router les sessions vers Defender for Cloud Apps, les stratégies d’accès conditionnel Microsoft Entra doivent être configurées de manière à inclure des contrôles de session du Contrôle d’application par accès conditionnel.

Étapes recommandées

Si vous ne voyez pas l’option Contrôle d’application par accès conditionnel dans votre stratégie d’accès conditionnel, vérifiez que vous disposez d’une licence valide pour Microsoft Entra ID P1 et d’une licence Defender for Cloud Apps valide.

Message d’erreur lors de la création d’une stratégie : vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel

Lors de la création d’une stratégie d’accès ou de session, vous pouvez voir le message d’erreur suivant s’afficher : Vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel. Cette erreur indique que l’application n’a pas été déployée.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  2. Si vous voyez le message Aucune application connectée, utilisez les guides suivants pour déployer des applications :

Si vous rencontrez des problèmes lors du déploiement de l’application, consultez Problèmes lors de l’intégration d’une application.

Impossible de créer des stratégies de session pour une application

Après avoir ajouté une application personnalisée, dans la page Applications Contrôle d’application par accès conditionnel, vous pouvez voir l’option : Demander un contrôle de session.

Remarque

Les applications de catalogue ont des contrôles de session prêtes à l’emploi. Pour toutes les autres applications, vous devez passer par un processus d’intégration automatique. Pour en savoir plus, consultez Applications pré-intégrées.

Étapes recommandées

  1. Déployez votre application sur le contrôle de session. Pour plus d’informations, consultez Déployer des applications cœur de métier personnalisées, des applications SaaS non proposées et des applications locales hébergées par le biais du proxy d’application Microsoft Entra avec des contrôles de session.

  2. Créez une stratégie de session et sélectionnez le filtre Application.

  3. Vérifiez que votre application est désormais répertoriée dans la liste déroulante.

Impossible de choisir la méthode d’inspection : service de classification des données

Dans les stratégies de session, lorsque vous utilisez le type de contrôle de session Contrôler le téléchargement de fichiers (avec inspection), vous pouvez utiliser la méthode d’inspection du service de classification des données pour analyser vos fichiers en temps réel et détecter le contenu sensible qui correspond aux critères que vous avez configurés.

Si la méthode d’inspection du service de classification des données n’est pas disponible, procédez comme suit pour examiner le problème.

Étapes recommandées

  1. Vérifiez que le Type de contrôle de session est défini sur Contrôler le téléchargement de fichiers (avec inspection).

    Remarque

    La méthode d’inspection du service de classification des données est disponible uniquement pour l’option de téléchargement du fichier de contrôle (avec inspection).

  2. Déterminez si la fonctionnalité service de classification des données est disponible dans votre région :

    • Si la fonctionnalité n’est pas disponible dans votre région, utilisez la méthode d’inspection DLPintégrée.
    • Si la fonctionnalité est disponible dans votre région, mais que vous ne pouvez toujours pas voir la méthode d’inspection du service de classification des données, ouvrez un ticket de support.

Impossible de choisir l’action : Protéger

Dans les stratégies de session, lorsque vous utilisez le type de contrôle de session Contrôler le téléchargement de fichiers (avec inspection), en plus des actions Surveiller et Bloquer, vous pouvez spécifier l’action Protéger. Cette action vous permet d’autoriser les téléchargements de fichiers avec l’option permettant de chiffrer ou d’appliquer des autorisations au fichier en fonction des conditions, de l’inspection du contenu ou des deux.

Si l’action Protéger n’est pas disponible, procédez comme suit pour examiner le problème.

Étapes recommandées

  1. Si l’action Protéger n’est pas disponible ou est grisée, vérifiez que vous disposez de la licence Azure Information Protection (AIP) Premium P1. Pour plus d’informations, consultez la Intégration de Protection des données Microsoft Purview.

  2. Si l’action Protéger est disponible, mais les étiquettes appropriées ne sont pas visibles.

    1. Dans Defender for Cloud Apps, dans la barre de menus, sélectionnez l’icône des paramètres >Microsoft Information Protection et vérifiez que l’intégration est activée.

    2. Pour les étiquettes Office, dans le portail AIP, vérifiez que Étiquetage unifié est sélectionné.

Autres considérations relatives à l’intégration d’applications

Lors de la résolution des problèmes liés à l’intégration d’applications, il existe des éléments supplémentaires à prendre en compte.

  • Comprendre la différence entre les paramètres de stratégie d’accès conditionnel Microsoft Entra : « Surveiller uniquement », « Bloquer les téléchargements » et « Utiliser une stratégie personnalisée »

    Dans les stratégies d’accès conditionnel Microsoft Entra, vous pouvez configurer les contrôles intégrés Defender for Cloud Apps suivants : Surveiller uniquement et bloquer les téléchargements. Ces paramètres s’appliquent et appliquent la fonctionnalité proxy Defender for Cloud Apps pour les applications cloud et les conditions configurées dans Microsoft Entra ID.

    Pour des stratégies plus complexes, sélectionnez Utiliser une stratégie personnalisée, qui vous permet de configurer les stratégies d’accès et de session dans Defender for Cloud Apps.

  • Comprendre l’option de filtre d’application cliente « mobile et de bureau » dans les stratégies d’accès

    Dans les stratégies d’accès de Defender for Cloud Apps, à moins que le filtre Application cliente soit défini sur Applications de bureau et mobiles, la stratégie d’accès qui en résulte s’applique aux sessions de navigateur.

    La raison est d’empêcher le traitement proxy par inadvertance des sessions utilisateur, ce qui peut être une conséquence de l’utilisation de ce filtre.

Diagnostiquer et résoudre les problèmes avec la barre d’outils Affichage administration

La barre d’outils Vue administrateur se trouve en bas de votre écran et fournit des outils permettant aux utilisateurs administrateurs de diagnostiquer et de résoudre les problèmes liés au contrôle d’application par accès conditionnel.

Pour afficher la barre d’outils Vue administrateur, vous devez vous assurer d’ajouter des comptes d’utilisateur d’administrateur spécifiques à la liste d’intégration/maintenance des applications dans les paramètres microsoft Defender XDR.

Pour ajouter un utilisateur à la liste d’intégration/maintenance des applications :

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Faites défiler et, sous Contrôle d’application par accès conditionnel, sélectionnez Intégration/maintenance des applications.

  3. Entrez le nom principal ou l’adresse e-mail de l’utilisateur administrateur que vous souhaitez ajouter.

  4. Sélectionnez l’option Autoriser ces utilisateurs à contourner le contrôle d’application par accès conditionnel à partir d’une option de session avec proxy, puis sélectionnez Enregistrer.

    Par exemple :

    Screenshot of the App onboarding / maintenance settings.

La prochaine fois que l’un des utilisateurs répertoriés démarre une nouvelle session dans une application prise en charge dont il est administrateur, la barre d’outils Vue administrateur s’affiche en bas du navigateur.

Par exemple, l’image suivante montre la barre d’outils Vue administrateur en bas d’une fenêtre de navigateur, lors de l’utilisation de OneNote dans le navigateur :

Screenshot of the Admin View toolbar.

Les sections suivantes décrivent comment utiliser la barre d’outils Affichage administration pour tester et résoudre les problèmes.

Mode Test

En tant qu’utilisateur administrateur, vous pouvez tester les correctifs de bogues de proxy à venir avant que la dernière version soit entièrement déployée sur tous les clients. Envoyez vos retours d’expérience sur les correctifs à l’équipe du support Microsoft pour contribuer à accélérer les cycles de publication.

En mode de test, seuls les utilisateurs administrateurs sont exposés aux modifications fournies dans les correctifs de bogues. Il n’y a aucun effet sur d’autres utilisateurs.

  • Pour activer le mode de test, dans la barre d’outils Affichage administration, sélectionnez Mode de test.
  • Une fois que vous avez terminé votre test, sélectionnez Terminer le mode test pour revenir aux fonctionnalités régulières.

Contourner la session proxy

Si vous avez des difficultés à accéder ou à charger votre application, vous pouvez vérifier si le problème est lié au proxy d’accès conditionnel en exécutant l’application sans le proxy.

Pour contourner le proxy, dans la barre d’outils Vue administrateur, sélectionnez Contourner l’expérience. Vérifiez que la session est ignorée en notant que l’URL n’est pas jointe d’un suffixe.

Le proxy d’accès conditionnel est utilisé à nouveau dans votre prochaine session.

Pour en savoir plus, consultez les sections Contrôle des applications à accès conditionnel Microsoft Defender pour Cloud Apps et Protection dans le navigateur avec Microsoft Edge entreprise (Préversion).

Enregistrer une session

Vous pouvez contribuer à analyser la cause racine d’un problème en envoyant un enregistrement de session aux ingénieurs du support technique Microsoft. Utilisez la barre d’outils Affichage administration pour enregistrer votre session.

Remarque

Toutes les données personnelles sont supprimées des enregistrements.

Pour enregistrer une session :

  1. Dans la barre d’outils Vue administrateur, sélectionnez Enregistrer la session. Quand le système vous y invite, sélectionnez Continuer pour accepter les conditions. Par exemple :

    Screenshot of the session recording privacy statement dialog.

  2. Connectez-vous à votre application si nécessaire pour commencer à simuler la session.

  3. Lorsque vous avez terminé l’enregistrement du scénario, veillez à sélectionner Arrêter l’enregistrement dans la barre d’outils Vue administrateur.

Pour afficher vos sessions enregistrées :

Une fois que vous avez terminé l’enregistrement, affichez les sessions enregistrées en sélectionnant les enregistrements de session à partir de la barre d’outils Vue administrateur. Une liste des sessions enregistrées des 48 heures précédentes s’affiche. Par exemple :

Screenshot of session recordings.

Pour gérer vos enregistrements, sélectionnez un fichier, puis sélectionnez Supprimer ou Télécharger selon le besoin. Par exemple :

Screenshot of downloading or deleting a recording.

Étapes suivantes

Pour plus d’informations, consultez Dépannage des contrôles d’accès et de session pour les utilisateurs finaux.