Dépannage des contrôles d’accès et de session pour les utilisateurs finaux

  • Article

Cet article fournit aux administrateurs de Microsoft Defender for Cloud Apps des conseils sur la manière d’examiner et de résoudre les problèmes courants de contrôle d’accès et de session rencontrés par les utilisateurs finaux.

Vérifier la configuration minimale requise

Avant de commencer la résolution des problèmes, assurez-vous que votre environnement répond aux conditions minimales requises suivantes pour les contrôles d’accès et de session.

Condition requise Description
Gestion des licences Veillez à disposer d’une licence valide pour Microsoft Defender for Cloud Apps.
Authentification unique (SSO) Les applications doivent être configurées avec l’une des solutions d’authentification unique (SSO) prises en charge :

– Microsoft Entra ID avec SAML 2.0 ou OpenID Connect 2.0
– IdP non-Microsoft compatible SAML 2.0
Prise en charge des navigateurs Les contrôles de session sont disponibles pour les sessions basées sur un navigateur sur les dernières versions des navigateurs suivants :

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

La protection dans le navigateur pour Microsoft Edge a également des exigences spécifiques, notamment que l’utilisateur soit connecté avec son profil professionnel. Pour en savoir plus, consultez Exigences en matière de protection dans le navigateur.
Temps d’arrêt : Defender for Cloud Apps vous permet de définir le comportement par défaut à appliquer en cas d’interruption de service, par exemple un composant qui ne fonctionne pas correctement.

Par exemple, vous pouvez choisir de bloquer ou d’autoriser les utilisateurs à effectuer des actions sur des contenus potentiellement sensibles lorsque les contrôles normaux de la stratégie ne peuvent pas être appliqués.

Pour configurer le comportement par défaut pendant le temps d’arrêt du système, dans Microsoft Defender XDR, accédez à Paramètres>Comportement par défaut du contrôle d’application par accès conditionnel>>Autoriser ou bloquer l’accès.

La page de surveillance des utilisateurs n’apparaît pas

Lors de l’acheminement d’un utilisateur via le Defender for Cloud Apps, vous pouvez informer l’utilisateur que sa session est surveillée. Par défaut, la page de surveillance des utilisateurs est activée.

Cette section décrit les étapes de dépannage que nous vous recommandons de suivre si la page de surveillance de l’utilisateur est activée mais n’apparaît pas comme prévu.

Étapes recommandées

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Surveillance utilisateur. Cette page affiche les options de surveillance des utilisateurs disponibles dans Defender for cloud Apps. Par exemple :

    Screenshot of the user monitoring options.

  3. Vérifiez que l’option Avertir les utilisateurs que leur activité est surveillée est sélectionnée.

  4. Indiquez si vous souhaitez utiliser le message par défaut ou fournir un message personnalisé :

    Type de message Détails
    Par défaut En-tête :
    L’accès à [Nom de l’application affiché ici] est surveillé
    Corps :
    Pour améliorer la sécurité, votre organisation autorise l’accès à [Nom de l’application affiché ici] en mode surveillance. L’accès est disponible uniquement à partir d’un navigateur Web.
    Personnalisée En-tête :
    Utilisez cette zone pour fournir un titre personnalisé afin d’informer les utilisateurs qu’ils sont surveillés.
    Corps :
    Utilisez cette boîte pour ajouter d’autres informations personnalisées pour l’utilisateur, par exemple qui contacter en cas de questions, et prend en charge les entrées suivantes : texte brut, texte enrichi, liens hypertextes.

  5. Sélectionnez Aperçu pour vérifier la page de surveillance des utilisateurs qui s’affiche avant d’accéder à une application.

  6. Sélectionnez Enregistrer.

Impossible d’accéder à l’application à partir d’un fournisseur d’identité non-Microsoft

Si un utilisateur final reçoit un échec général après la connexion à une application à partir d’un fournisseur d’identité non-Microsoft, validez la configuration du fournisseur d’identité non-Microsoft.

Étapes recommandées

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications cloud.

  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  3. Dans la liste des applications, dans la ligne où apparaît l’application à laquelle vous ne pouvez pas accéder, choisissez les trois points en fin de ligne, puis sélectionnez Modifier l’application.

    1. Vérifiez que le certificat SAML chargé est correct.

    2. Vérifiez que des URL SSO valides sont fournies dans la configuration de l’application.

    3. Vérifiez que les attributs et les valeurs de l’application personnalisée sont reflétés dans les paramètres du fournisseur d’identité.

    Par exemple :

    Screenshot of the SAML information page..

  4. Si vous ne pouvez toujours pas ouvrir l’application, ouvrez un ticket de support.

Une page Survenue d’un problème s’affiche

Parfois, lors d’une session en proxy, la page Un problème est survenu peut s’afficher. Ceci peut se produire quand :

  • Un utilisateur se connecte après avoir été inactif pendant un certain temps
  • L’actualisation du navigateur et du chargement de page prend plus de temps que prévu
  • L’application IdP non-Microsoft n’est pas configurée correctement

Étapes recommandées

  1. Si l’utilisateur final tente d’accéder à une application configurée à l’aide d’un fournisseur d’identité non-Microsoft, consultez Impossible d’accéder à l’application à partir d’un idP non-Microsoft et État de l’application : continuer le programme d’installation.

  2. Si l’utilisateur final a atteint de façon inattendue cette page, procédez comme suit :

    1. Redémarrez votre session de navigateur.
    2. Effacez l’historique, les cookies et le cache à partir du navigateur.

Les actions du Presse-papiers ou les contrôles de fichier ne sont pas bloqués

La possibilité de bloquer les actions du Presse-papiers telles que couper, copier, coller et les contrôles de fichier comme le téléchargement, le chargement et l’impression est nécessaire pour empêcher l’exfiltration et les scénarios d’infiltration des données.

Cette capacité permet aux entreprises d’équilibrer la sécurité et la productivité pour les utilisateurs finaux. Si vous rencontrez des problèmes avec ces fonctionnalités, procédez comme suit pour examiner le problème.

Remarque

Couper, copier et coller ne sont pas bloqués pour les données dans le même document Excel. Seule la copie vers des emplacements externes est bloquée.

Étapes recommandées

Si la session est traitée par proxy, procédez comme suit pour vérifier la stratégie :

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Journal d’activité.

  2. Utilisez le filtre avancé, sélectionnez Action Appliquée et définissez sa valeur sur Bloqué.

  3. Vérifiez qu’il existe des activités de fichier bloquées :

    1. S’il existe une activité, développez le tiroir d’activité en cliquant sur l’activité.

    2. Sous l’onglet Général du tiroir d’activité, sélectionnez le lien des stratégies correspondantes pour vérifier que la stratégie que vous avez appliquée est présente.

    3. Si vous ne voyez pas votre stratégie, consultez Problèmes lors de la création de stratégies d’accès et de session.

    4. Si vous voyez Access bloqué/autorisé en raison du comportement par défaut, cela indique que le système a été arrêté et que le comportement par défaut a été appliqué.

      1. Pour modifier le comportement par défaut, dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Ensuite, sous Contrôle d’application par accès conditionnel, sélectionnez Comportement par défaut et définissez le comportement par défaut sur Autoriser ou Bloquer l’accès.

      2. Accédez au portail d’administration Microsoft 365 et surveillez les notifications sur les temps d’arrêt du système.

  4. Si vous ne parvenez toujours pas à voir l’activité bloquée, ouvrez un ticket de support.

Les téléchargements ne sont pas protégés

En tant qu’utilisateur final, le téléchargement de données sensibles sur un appareil non géré peut être nécessaire. Dans ces scénarios, vous pouvez protéger des documents avec Protection des données Microsoft Purview.

Si l’utilisateur final ne peut pas chiffrer correctement le document, procédez comme suit pour examiner le problème.

Étapes recommandées

  1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Journal d’activité.

  2. Utilisez le filtre avancé, sélectionnez Action appliquée et définissez sa valeur sur Protégé.

  3. Vérifiez qu’il existe des activités de fichier bloquées :

    1. S’il existe une activité, développez le tiroir d’activité en cliquant sur l’activité

    2. Sous l’onglet Général du tiroir d’activité, sélectionnez le lien des stratégies correspondantes pour vérifier que la stratégie que vous avez appliquée est présente.

    3. Si vous ne voyez pas votre stratégie, consultez Problèmes lors de la création de stratégies d’accès et de session.

    4. Si vous voyez Access bloqué/autorisé en raison du comportement par défaut, cela indique que le système a été arrêté et que le comportement par défaut a été appliqué.

      1. Pour modifier le comportement par défaut, dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Ensuite, sous Contrôle d’application par accès conditionnel, sélectionnez Comportement par défaut et définissez le comportement par défaut sur Autoriser ou Bloquer l’accès.

      2. Accédez au Tableau de bord Intégrité des services Microsoft 365 et surveillez les notifications sur les temps d’arrêt du système.

    5. Si vous protégez le fichier avec une étiquette AIP ou des autorisations personnalisées, dans la Description de l’activité, vérifiez que l’extension de fichier est l’un des types de fichiers pris en charge suivants :

      • Word : docm, docx, dotm, dotx

      • Excel : xlam, xlsm, xlsx, xltx

      • PowerPoint : potm, potx, ppsx, ppsm, pptm, pptx

      • PDF si l’étiquetage unifié est activé

    Si le type de fichier n’est pas pris en charge, dans la stratégie de session, vous pouvez sélectionner Bloquer le téléchargement d’un fichier qui n’est pas pris en charge par la protection native ou pour lequel la protection native échoue.

  4. Si vous ne parvenez toujours pas à voir l’activité bloquée, ouvrez un ticket de support.

Navigation vers une URL particulière d’une application suivie d’un suffixe et ouverture d’une page générique

Dans certains scénarios, la navigation vers un lien peut amener l’utilisateur sur la page d’accueil de l’application plutôt que sur le chemin complet du lien.

Conseil

Defender for Cloud Apps gère une liste d’applications connues pour avoir des pertes de contexte. Pour en savoir plus, consultez Limites de la perte de contexte.

Étapes recommandées

Si vous utilisez un navigateur autre que Microsoft Edge et qu’un utilisateur arrive sur la page d’accueil de l’application au lieu du chemin complet du lien, résolvez le problème en ajoutant .mcas.ms à l’URL d’origine.

Par exemple, si l’URL d’origine est :

https://www.github.com/organization/threads/threadnumber, remplacez-la par https://www.github.com.mcas.ms/organization/threads/threadnumber

Les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, ne sont pas redirigés vers un proxy inverse et ne devraient pas avoir besoin d’ajouter le suffixe .mcas.ms. Pour les applications présentant une perte de contexte, ouvrez un ticket de support.

Le blocage des téléchargements entraîne le blocage des préversions PDF

Parfois, lorsque vous prévisualisez ou imprimez des fichiers PDF, les applications lancent un téléchargement du fichier. Cela entraîne l’intervention de Defender for Cloud Apps afin de s’assurer que le téléchargement est bloqué et que les données ne sont pas divulguées à partir de votre environnement.

Par exemple, si vous avez créé une stratégie de session pour bloquer les téléchargements pour Outlook Web Access (OWA), l’aperçu ou l’impression de fichiers PDF peut être bloqué, avec un message semblable à ceci :

Screenshot of a Download blocked message.

Pour autoriser l’aperçu, un administrateur Exchange doit effectuer les étapes suivantes :

  1. Téléchargez le module Exchange Online PowerShell.

  2. Connecter au module. Pour plus d’informations, voir Se connecter à Exchange Online PowerShell.

  3. Après vous être connecté à Exchange Online PowerShell, utilisez la cmdlet Set-OwaMailboxPolicy pour mettre à jour les paramètres de la stratégie :

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false

    Remarque

    La stratégie OwaMailboxPolicy-Default est le nom de stratégie OWA par défaut dans Exchange Online. Certains clients ont peut-être déployé des stratégies OWA supplémentaires ou créées avec un autre nom. Si vous avez plusieurs stratégies OWA, elles peuvent être appliquées à des utilisateurs spécifiques. Par conséquent, vous devez également les mettre à jour pour avoir une couverture complète.

  4. Une fois ces paramètres définis, effectuez un test sur OWA avec un fichier PDF et une stratégie de session configurée pour bloquer les téléchargements. L’option Télécharger doit être supprimée de la liste déroulante et vous pouvez afficher un aperçu du fichier. Par exemple :

    Screenshot of a PDF preview not blocked.

Un avertissement de site similaire s’affiche

Des acteurs malveillants peuvent créer des URL semblables aux URL d’autres sites afin d’usurper l’identité et d’inciter les utilisateurs à croire qu’ils consultent un autre site. Certains navigateurs tentent de détecter ce comportement et d’avertir les utilisateurs avant tout accès à l’URL ou de bloquer l’accès.

Dans certains cas rares, les utilisateurs sous contrôle de session reçoivent un message du navigateur indiquant l’accès suspect au site. La raison est que le navigateur traite le domaine adjoint d’un suffixe (par exemple : .mcas.ms) comme suspect.

Ce message n’apparaît que pour les utilisateurs de Chrome, car les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, sans architecture de proxy inverse. Par exemple :

Screenshot of a similar site warning in Chrome.

Si vous recevez un message de ce type, contactez l’assistance de Microsoft afin de résoudre le problème avec le fournisseur du navigateur concerné.

Deuxième connexion (également connue sous le nom de « seconde connexion »)

Certaines applications disposent de plusieurs liens profonds pour se connecter. À moins que vous ne définissiez les liens de connexion dans les applications, les utilisateurs peuvent être redirigés vers une page non reconnue lorsqu’ils se connectent, ce qui bloque leur accès.

L’intégration entre les applications comme Microsoft Entra ID est basée sur l’interception de l’ouverture de session d’une application et sa redirection. Cela signifie que les ouvertures de session par navigateur ne peuvent pas être contrôlées directement sans déclencher une deuxième ouverture de session. Pour déclencher une deuxième connexion, nous devons utiliser une deuxième URL de connexion spécialement prévue à cet effet.

Si l’application utilise un nonce, la deuxième connexion peut être transparente pour les utilisateurs, ou ils sont invités à se connecter à nouveau.

Si ce n’est pas transparent pour l’utilisateur final, ajoutez l’URL de seconde connexion aux applications :

  1. Accédez à « paramètres » « Applications cloud » « applications connectées » « Applications de contrôle d’application par accès conditionnel »

  2. Sélectionnez l’application concernée, puis les trois points.

  3. Sélectionnez Modifier l’application\Configuration avancée de la connexion.

  4. Ajoutez la deuxième URL de connexion comme indiqué dans la page d’erreur.

Si vous êtes sûr que l’application n’utilise pas de nonce, vous pouvez le désactiver en modifiant les paramètres de l’application, comme indiqué dans la section Connexions lentes.

Autres éléments à prendre en compte pour le dépannage des applications

Lors du dépannage des applications, il y a d’autres éléments à prendre en compte :

  • La prise en charge des contrôles de session pour les navigateurs modernes Les contrôles de session de Defender for Cloud Apps incluent désormais la prise en charge du nouveau navigateur Microsoft Edge basé sur Chromium. Nous continuerons à prendre en charge la dernière version d’Internet Explorer et la version existante de Microsoft Edge, mais de façon limitée ; nous vous recommandons donc d’utiliser le nouveau navigateur Microsoft Edge.

  • Les contrôles de session protègent la limitation L’étiquetage Co-Auth sous l’action « protéger » n’est pas pris en charge par les contrôles de session de Defender for Cloud Apps. Pour plus d’informations, voir Activer la coautorisation pour les fichiers chiffrés avec des étiquettes de sensibilité.

Étapes suivantes

Pour plus d’informations, consultez Dépannage des contrôles d’accès et de session pour les utilisateurs administrateurs.