Partager via


Dépannage des contrôles d’accès et de session pour les utilisateurs administrateurs

Cet article fournit aux administrateurs de Microsoft Defender for Cloud Apps des conseils sur la manière d’examiner et de résoudre les problèmes courants de contrôle d’accès et de session rencontrés par les administrateurs.

Remarque

Tout dépannage lié à la fonctionnalité du proxy concerne uniquement les sessions qui ne sont pas configurées pour la protection dans le navigateur avec Microsoft Edge.

Vérifier la configuration minimale requise

Avant de commencer la résolution des problèmes, assurez-vous que votre environnement répond aux conditions minimales requises suivantes pour les contrôles d’accès et de session.

Condition requise Description
Gestion des licences Veillez à disposer d’une licence valide pour Microsoft Defender for Cloud Apps.
Authentification unique (SSO) Les applications doivent être configurées avec l’une des solutions d’authentification unique prises en charge :

– Microsoft Entra ID avec SAML 2.0 ou OpenID Connect 2.0
– IdP non-Microsoft compatible SAML 2.0
Prise en charge des navigateurs Les contrôles de session sont disponibles pour les sessions basées sur un navigateur sur les dernières versions des navigateurs suivants :

– Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

La protection dans le navigateur pour Microsoft Edge a également des exigences spécifiques, notamment que l’utilisateur soit connecté avec son profil professionnel. Pour en savoir plus, consultez Exigences en matière de protection dans le navigateur.
Temps d’arrêt : Defender for Cloud Apps vous permet de définir le comportement par défaut à appliquer en cas d’interruption de service, par exemple un composant qui ne fonctionne pas correctement.

Par exemple, lorsque les contrôles de stratégie normaux ne peuvent pas être appliqués, vous pouvez choisir de renforcer (bloquer) ou de contourner (autoriser) les utilisateurs pour qu’ils effectuent des actions sur du contenu potentiellement sensible.

Pour configurer le comportement par défaut pendant le temps d’arrêt du système, dans Microsoft Defender XDR, accédez à Paramètres>Comportement par défaut du contrôle d’application par accès conditionnel>>Autoriser ou bloquer l’accès.

Conditions requises pour la protection dans le navigateur

Si vous utilisez la protection dans le navigateur avec Microsoft Edge et que vous êtes toujours desservi par un proxy inverse, assurez-vous que vous remplissez les conditions supplémentaires suivantes :

Référence des problèmes de résolution des problèmes pour les administrateurs

Utilisez le tableau suivant pour rechercher le problème que vous essayez de résoudre :

Type de problème Problèmes
Problèmes de condition réseau Erreurs réseau lors de la navigation vers une page de navigateur

Connexions lentes

Autres considérations relatives aux conditions réseau
Problèmes d’identification des appareils Appareils compatibles Intune ou appareils connectés hybrides Microsoft Entra mal identifiés

Les certificats clients ne sont pas déclenchés au moment attendu

Les certificats clients ne sont pas déclenchés au moment attendu
Les certificats clients sont déclenchés à chaque connexion

Autres considérations relatives à l’identification des appareils
Problèmes lors de l’intégration d’une application L’application n’est pas mentionnée sur la page Applications de contrôle d’application par accès conditionnel

État de l’application : Continuer le programme d’installationImpossible de configurer des contrôles pour les applications natives

L’option de contrôle de session de la requête s’affiche
Problèmes lors de la création de stratégies d’accès et de session Dans les stratégies d’accès conditionnel, vous ne pouvez pas voir l’option Contrôle d’application par accès conditionnel

Message d’erreur lors de la création d’une stratégie : vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel

Impossible de créer des stratégies de session pour une application

Impossible de choisir la méthode d’inspection : service de classification des données

Impossible de choisir l’action : Protéger

Autres considérations relatives à l’intégration d’applications
Diagnostiquer et résoudre les problèmes avec la barre d’outils Affichage administration Contourner la session proxy

Enregistrer une session

Ajouter des domaines pour votre application

Problèmes de condition réseau

Les problèmes courants liés à la condition réseau que vous pouvez rencontrer sont les suivants :

Erreurs réseau lors de la navigation vers une page de navigateur

Lorsque vous configurez pour la première fois les contrôles d’accès et de session Defender for Cloud Apps pour une application, les erreurs réseau courantes qui peuvent survenir sont les suivantes : Ce site n’est pas sécurisé et Il n’y a pas de connexion Internet. Ces messages peuvent indiquer une erreur de configuration réseau générale.

Étapes recommandées

  1. Configurez votre pare-feu pour qu’il fonctionne avec Defender for Cloud Apps à l’aide des adresses IP Azure et des noms DNS pertinents pour votre environnement.

    1. Ajoutez le port de sortie 443 pour les adresses IP et les noms DNS suivants pour votre centre de données Defender for Cloud Apps.
    2. Redémarrez votre appareil et votre session de navigateur
    3. Vérifiez que l’authentification fonctionne comme prévu
  2. Activez TLS 1.2 dans les options Internet de votre navigateur. Par exemple :

    Browser Étapes
    Microsoft Internet Explorer 1. Ouvrir Internet Explorer
    2. Sélectionnez l’onglet Outils>Options Internet>Avancé
    3. Sous Sécurité, sélectionnez TLS 1.2
    4. Sélectionnez Appliquer, puis OK
    5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application
    Microsoft Edge / Edge Chromium 1. Ouvrez la recherche à partir de la barre des tâches et recherchez « Options Internet »
    2. Sélectionnez Options Internet
    3. Sous Sécurité, sélectionnez TLS 1.2
    4. Sélectionnez Appliquer, puis OK
    5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application
    Google Chrome 1. Ouvrez Google Chrome
    2. En haut à droite, sélectionnez Plus (3 points verticaux) >Paramètres
    3. En bas, sélectionnez Avancé
    4. Sous Système, sélectionnez Ouvrir les paramètres du proxy
    5. Sous l’onglet Avancé, sous Sécurité, sélectionnez TLS 1.2
    6. Sélectionnez OK
    7. Redémarrez votre navigateur et vérifiez que vous êtes en mesure d’accéder à l’application
    Mozilla Firefox 1. Ouvrez Mozilla Firefox
    2. Dans la barre d’adresses, recherchez « about:config »
    3. Dans la zone de recherche cherchez « TLS »
    4. Double-cliquez sur l’entrée pour security.tls.version.min
    5. Définissez la valeur entière sur 3 pour forcer TLS 1.2 comme version minimale requise
    6. Sélectionnez Enregistrer (coche à droite de la zone de valeur)
    7. Redémarrez votre navigateur et vérifiez que vous êtes en mesure d’accéder à l’application
    Safari Si vous utilisez Safari version 7 ou ultérieure, TLS 1.2 est automatiquement activé

Defender for Cloud Apps utilise les protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de classe optimale :

  • Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session.
  • Les applications SaaS qui utilisent TLS 1.1 ou version antérieure s’affichent dans le navigateur en utilisant TLS 1.2+ lorsqu’elles sont configurées avec Defender for Cloud Apps.

Conseil

Bien que les contrôles de session soient conçus pour fonctionner avec n’importe quel navigateur sur toute plateforme majeure sur n’importe quel système d’exploitation, nous prenons en charge les dernières versions de Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Vous pouvez bloquer ou autoriser l’accès spécifiquement aux applications mobiles ou de bureau.

Connexions lentes

Le chaînage de proxy et la gestion nonce figurent parmi les problèmes courants qui pourraient entraîner des performances de connexion lentes.

Étapes recommandées

Configurez votre environnement pour supprimer tous les facteurs susceptibles d’entraîner une lenteur pendant la connexion. Par exemple, vous pouvez avoir configuré des pare-feu ou un chaînage de proxys de transfert, qui connecte deux serveurs proxy ou plus pour accéder à la page prévue. Vous pouvez également avoir d’autres facteurs externes affectant la lenteur.

  1. Identifiez si le chaînage de proxy se produit dans votre environnement.
  2. Supprimez les proxys de transfert si possible.

Certaines applications utilisent un hachage nonce pendant l’authentification pour empêcher les attaques par rejeu. Par défaut, Defender for Cloud Apps suppose qu’une application utilise un nonce. Si l’application avec laquelle vous travaillez n’utilise pas de nonce, désactivez la gestion nonce pour cette application dans Defender for Cloud Apps :

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.
  2. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.
  3. Dans la liste des applications, dans la ligne où apparaît l’application que vous configurez, sélectionnez les trois points en fin de ligne, puis sous Détails de l’application, sélectionnez Modifier l’application.
  4. Sélectionnez Gestion des nonces pour développer la section, puis désactivez Activer la gestion des nonces.
  5. Déconnectez-vous de l’application et fermez toutes les sessions de navigateur.
  6. Redémarrez votre navigateur, puis connectez-vous à nouveau à l’appli. Vérifiez que l’authentification fonctionne comme prévu.

Autres considérations relatives aux conditions réseau

Lors de la résolution des problèmes de conditions réseau, tenez également compte des notes suivantes sur le proxy Defender for Cloud Apps :

  • Vérifiez si votre session est acheminée vers un autre centre de données : Defender for Cloud Apps tire parti des centres de données Azure dans le monde entier pour optimiser les performances par le biais de la géolocalisation.

    Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

  • Performance du proxy : La dérivation d’une base de référence de performances dépend de nombreux facteurs en dehors du proxy Defender for Cloud Apps, tels que :

    • Autres proxies ou passerelles installés en série avec ce proxy
    • Provenance de l’utilisateur
    • Emplacement de la ressource ciblée
    • Demandes spécifiques sur la page

    En général, tout proxy ajoute une latence. Les avantages du proxy Defender for Cloud Apps sont les suivants :

    • Utilisation de la disponibilité globale des contrôleurs de domaine Azure pour géolocaliser les utilisateurs vers le nœud le plus proche et réduire leur distance aller-retour. Les contrôleurs de domaine Azure peuvent géolocaliser à grande échelle quelques services du monde entier.

    • À l’aide de l’intégration à l’accès conditionnel Microsoft Entra pour acheminer uniquement les sessions avec lesquelles vous voulez utiliser un proxy vers notre service, au lieu de tous les utilisateurs dans toutes les situations.

Problèmes d’identification des appareils

Defender for Cloud Apps fournit les options suivantes pour identifier l’état de gestion d’un appareil.

  • Conformité Microsoft Intune
  • Jonction hybride de domaine Microsoft Entra
  • Certificats clients

Pour plus d’informations, veuillez consulter la section Appareils gérés par l’identité avec contrôle d’applications par accès conditionnel.

Les problèmes courants d’identification des appareils que vous pouvez rencontrer sont les suivants :

Appareils compatibles Intune ou appareils connectés hybrides Microsoft Entra mal identifiés

L’accès conditionnel Microsoft Entra permet aux informations d’appareil à jonction hybride conforme Intune et Microsoft Entra d’être transmises directement à Defender for Cloud Apps. Dans Defender for Cloud Apps, utilisez l’état de l’appareil comme filtre pour les stratégies d’accès ou de session.

Pour plus d’informations, consultez Présentation de la gestion des appareils dans Microsoft Entra ID.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Identification des appareils. Cette page affiche les options d’identification des appareils disponibles dans Defender for Cloud Apps.

  3. Pour l’identification des appareils compatibles Intune et l’identification de jonction hybride Microsoft Entra respectivement, sélectionnez Afficher la configuration et vérifiez que les services sont configurés. Les services sont automatiquement synchronisés à partir de Microsoft Entra ID et d’Intune, respectivement.

  4. Créez une stratégie d’accès ou de session avec le filtre Étiquette d’appareil égal à Jonction Azure AD Hybride, compatible avec Intune ou les deux.

  5. Dans un navigateur, connectez-vous à un appareil joint à Microsoft Entra hybride ou compatible Intune en fonction de votre filtre de stratégie.

  6. Vérifiez que les activités de ces appareils remplissent le journal. Dans Defender for Cloud Apps, à la page du journal d’activité, filtrez sur Étiquette d’appareil égale à Jonction Azure AD hybride, compatible Intune ou les deux en fonction de vos filtres de stratégie.

  7. Si les activités ne sont pas renseignées dans le journal d’activité Defender for Cloud Apps, accédez à Microsoft Entra ID et effectuez les étapes suivantes :

    1. Sous Supervision>Connexions, vérifiez que les journaux contiennent des activités de connexion.

    2. Sélectionnez l’entrée de journal correspondant à l’appareil auquel vous vous êtes connecté.

    3. Dans le volet Détails, sous l’onglet Informations sur l’appareil, vérifiez que l’appareil est Géré (joint à Azure AD Hybride) ou Conforme (conforme à Intune).

      Si vous ne pouvez pas vérifier l’un ou l’autre état, essayez une autre entrée de journal ou vérifiez que les données de votre appareil sont configurées correctement dans Microsoft Entra ID.

    4. Pour l’accès conditionnel, certains navigateurs peuvent nécessiter une configuration supplémentaire telle que l’installation d’une extension. Pour plus d’informations, consultez Prise en charge du navigateur Accès conditionnel.

    5. Si vous ne voyez toujours pas les informations de l’appareil dans la page Connexions, ouvrez un ticket de support pour Microsoft Entra ID.

Les certificats clients ne sont pas déclenchés au moment attendu

Le mécanisme d’identification des appareils peut exiger une authentification desdits appareils à l’aide de certificats clients. Vous pouvez charger un certificat d’autorité de certification racine ou intermédiaire X.509, mis en forme au format de certificat PEM.

Les certificats doivent contenir la clé publique de l’autorité de certification, qui est ensuite utilisée pour signer les certificats clients présentés pendant une session. Pour en savoir plus, consultez Vérifier la gestion des appareils sans Microsoft Entra.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Identification des appareils. Cette page affiche les options d’identification des appareils disponibles avec Defender for Cloud Apps.

  3. Vérifiez que vous avez chargé un certificat d’autorité de certification racine ou intermédiaire X.509. Vous devez charger le certificat d’autorité de certification utilisé pour vous connecter à votre autorité de certification.

  4. Créez une stratégie d’accès ou de session avec l’Étiquette d’appareil égal au certificat client valide.

  5. Vérifiez que votre certificat client est :

    • Déployé à l’aide du format de fichier PKCS #12, généralement une extension de fichier .p12 ou .pfx
    • Installé dans le magasin d’utilisateur, et non dans le magasin d’appareil, de l’appareil que vous utilisez pour les tests
  6. Redémarrez votre session de navigateur.

  7. Lors de la connexion à l’application protégée :

    • Vérifiez que vous êtes redirigé vers la syntaxe d’URL suivante : <https://*.managed.access-control.cas.ms/aad_login>
    • Si vous utilisez iOS, vérifiez que vous utilisez le navigateur Safari.
    • Si vous utilisez Firefox, vous devez également ajouter le certificat au magasin de certificats de Firefox. Tous les autres navigateurs utilisent le même magasin de certificats par défaut.
  8. Vérifiez que le certificat client est déclenché dans votre navigateur.

    S’il n’apparaît pas, essayez un autre navigateur. La plupart des principaux navigateurs prennent en charge l’exécution d’une vérification du certificat client. Toutefois, les applications mobiles et de bureau utilisent souvent des navigateurs intégrés qui peuvent ne pas prendre en charge cette vérification et donc affecter l’authentification pour ces applications.

  9. Vérifiez que les activités de ces appareils remplissent le journal. Dans Defender for Cloud Apps, sur la page Journal d’activité, ajoutez un filtre sur Étiquette d’appareil égale à Certificat client valide.

  10. Si vous ne voyez toujours pas l’invite, ouvrez un ticket de support et incluez les informations suivantes :

    • Détails du navigateur ou de l’application native où vous avez rencontré le problème
    • La version du système d’exploitation, par exemple iOS/Android/Windows 10
    • Mentionner si l’invite fonctionne sur Microsoft Edge Chromium

Les certificats clients sont déclenchés à chaque connexion

Si vous constatez que le certificat client s’affiche après l’ouverture d’un nouvel onglet, cela peut être dû aux paramètres masqués dans Options Internet. Vérifiez vos paramètres dans votre navigateur. Par exemple :

Dans Microsoft Internet Explorer :

  1. Ouvrez Internet Explorer et sélectionnez Outils>Options Internet>Avancé.
  2. Sous Sécurité, sélectionnez Ne pas demander la sélection d’un certificat client lorsqu’il n’existe qu’un seul certificat> Sélectionnez Appliquer>OK.
  3. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application sans les invites supplémentaires.

Dans Microsoft Edge / Edge Chromium :

  1. Ouvrez la recherche à partir de la barre des tâches et recherchez Options Internet.
  2. Sélectionnez Options Internet>Sécurité>Intranet local>Niveau personnalisé.
  3. Sous Divers>Ne pas demander la sélection d’un certificat client lorsqu’il n’existe qu’un seul certificat, sélectionnez Désactiver.
  4. Sélectionnez OK>Appliquer>OK.
  5. Redémarrez votre navigateur et vérifiez que vous pouvez accéder à l’application sans les invites supplémentaires.

Autres considérations relatives à l’identification des appareils

Lors de la résolution des problèmes d’identification de l’appareil, vous pouvez exiger la révocation de certificats clients.

Les certificats révoqués par l’autorité de certification ne sont plus approuvés. La sélection de cette option nécessite que tous les certificats passent le protocole de liste de révocation de certificats. Si votre certificat client ne contient pas de point de terminaison de liste de révocation de certificats, vous ne pouvez pas vous connecter à partir de l’appareil géré.

Problèmes lors de l’intégration d’une application

Les applications Microsoft Entra ID sont automatiquement intégrées à Defender pour Cloud Apps pour l'accès conditionnel et les contrôles de session. Vous devez intégrer manuellement les applications IdP non Microsoft, y compris les applications de catalogue et les applications personnalisées.

Pour plus d’informations, consultez l’article suivant :

Les scénarios courants que vous pouvez rencontrer lors de l’intégration d’une application sont les suivants :

L’application n’est pas mentionnée sur la page Applications de contrôle d’application par accès conditionnel

Lors de l'intégration d'une application IdP non Microsoft au contrôle d'application par accès conditionnel, la dernière étape du déploiement consiste à demander à l'utilisateur final d'accéder à l'application. Effectuez les étapes de cette section si l'application n'apparaît pas sur la page Réglages >Applications cloud >Applications connectées >Applications à accès conditionnel attendue.

Étapes recommandées

  1. Assurez-vous que votre application respecte les conditions préalables suivantes en matière de contrôle d'application à accès conditionnel :

    • Veillez à disposer d’une licence valide pour Defender for Cloud Apps.
    • Créez une application en double.
    • Vérifiez que l’application utilise le protocole SAML.
    • Vérifiez que vous avez entièrement intégré l’application et que l’état de l’application est Connectée.
  2. Veillez à accéder à l’application dans une nouvelle session de navigateur en utilisant un nouveau mode incognito ou en vous connectant à nouveau.

Remarque

Les applications d'Entra ID apparaissent sur la page des applications de contrôle d'accès conditionnel seulement après avoir été configurées dans au moins une stratégie, ou si vous avez une stratégie sans aucune spécification d'application et qu'un utilisateur s'est connecté à l'application.

État de l’application : Continuer l’installation

L’état d’une application peut varier et peut inclure Continuer l’installation, Connecté ou Aucune activité.

Pour les applications connectées via des fournisseurs d’identité non-Microsoft (IdP), si la configuration n’est pas terminée, lors de l’accès à l’application, vous voyez une page avec l’état Continuer l’installation. Suivez les étapes suivantes pour terminer la configuration.

Étapes recommandées

  1. Sélectionnez Continuer l’installation.

  2. Lisez les articles suivants et vérifiez que vous avez suivi toutes les étapes requises :

    Prêtez une attention particulière aux étapes suivantes :

    1. Veillez à créer une nouvelle application SAML personnalisée. Vous avez besoin de cette application pour modifier les URL et les attributs SAML qui peuvent ne pas être disponibles dans les applications de galerie.
    2. Si votre fournisseur d’identité n’autorise pas la réutilisation du même identificateur, également appelé ID d’entité ou Audience, modifiez l’identificateur de l’application d’origine.

Impossible de configurer des contrôles pour mes applications intégrées

Les applications intégrées peuvent être détectées de manière heuristique et vous pouvez utiliser des stratégies d’accès pour les surveiller ou les bloquer. Procédez comme suit pour configurer des contrôles pour les applications natives.

Étapes recommandées

  1. Dans une stratégie d’accès, ajoutez un filtre Application cliente et définissez-le sur Applications de bureau et mobiles.

  2. Sous Actions, sélectionnez Bloquer.

  3. Vous pouvez aussi personnaliser le message de blocage que vos utilisateurs reçoivent quand ils ne parviennent pas à télécharger des fichiers. Par exemple, personnalisez ce message pour afficher Vous devez utiliser un navigateur Web pour accéder à cette application.

  4. Testez et vérifiez que le contrôle fonctionne comme prévu.

La page L’application n’est pas reconnue s’affiche

Defender for Cloud Apps peut reconnaître plus de 31 000 applications via le catalogue d’applications cloud.

Si vous utilisez une application personnalisée configurée via l’authentification unique Microsoft Entra et que ce n’est pas l’une des applications prises en charge, vous arriverez sur une page Application non reconnue. Pour résoudre le problème, vous devez configurer l’application sur le contrôle d’application par accès conditionnel.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  2. Dans la bannière, sélectionnez Afficher les nouvelles applications.

  3. Dans la liste des nouvelles applications, localisez l’application que vous intégrez, sélectionnez le signe +, puis sélectionnez Ajouter.

    1. Indiquez si l’application est une application personnalisée ou standard.
    2. Poursuivez avec l’Assistant, vérifiez que les domaines définis par l’utilisateur spécifiés sont corrects pour l’application que vous configurez.
  4. Vérifiez que l’application est mentionnée dans la page Applications de Contrôle d’application par accès conditionnel.

L’option de contrôle de session de la requête s’affiche

Après l'intégration d'une application IdP non Microsoft, il est possible que l'option Demander le contrôle de session s'affiche. Cela se produit, car seules les applications catalogue ont des contrôles de session prêtes à l’emploi. Pour toute autre application, vous devez suivre un processus d’intégration automatique.

Suivez les instructions à la page Déployer un contrôle d'application à accès conditionnel pour les applications personnalisées avec des IdP non Microsoft.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Sous Contrôle d’application par accès conditionnel, sélectionnez Intégration/maintenance des applications.

  3. Saisissez le nom du principal ou l'e-mail de l'utilisateur qui procédera à l'intégration de l'application, puis sélectionnez Enregistrer.

  4. Accédez à l’application que vous déployez. La page que vous voyez dépend de la reconnaissance de l’application. Effectuez l’une des étapes suivantes, selon la page que vous voyez :

    • Non reconnu. Vous voyez une page Application non reconnue qui vous invite à configurer votre application. Procédez comme suit :

      1. Intégrer l'application pour le contrôle d'application à accès conditionnel.
      2. Ajoutez les domaines pour l'application.
      3. Installez les certifications de l'application.
    • Reconnu. Si votre application est reconnue, une page d’intégration vous invite à poursuivre le processus de configuration de l’application.

      Assurez-vous que l'application est configurée avec tous les domaines nécessaires à son bon fonctionnement, puis revenez à la page de l'application.

Autres considérations relatives à l’intégration d’applications

Lors de la résolution des problèmes liés à l’intégration d’applications, il existe des éléments supplémentaires à prendre en compte.

  • Comprendre la différence entre les paramètres de stratégie d’accès conditionnel Microsoft Entra : « Surveiller uniquement », « Bloquer les téléchargements » et « Utiliser une stratégie personnalisée »

    Dans les stratégies d’accès conditionnel Microsoft Entra, vous pouvez configurer les contrôles intégrés Defender for Cloud Apps suivants : Surveiller uniquement et bloquer les téléchargements. Ces paramètres s’appliquent et appliquent la fonctionnalité proxy Defender for Cloud Apps pour les applications cloud et les conditions configurées dans Microsoft Entra ID.

    Pour des stratégies plus complexes, sélectionnez Utiliser une stratégie personnalisée, qui vous permet de configurer les stratégies d’accès et de session dans Defender for Cloud Apps.

  • Comprendre l’option de filtre d’application cliente « mobile et de bureau » dans les stratégies d’accès

    Dans les stratégies d’accès de Defender for Cloud Apps, à moins que le filtre Application cliente soit défini sur Applications de bureau et mobiles, la stratégie d’accès qui en résulte s’applique aux sessions de navigateur.

    La raison est d’empêcher le traitement proxy par inadvertance des sessions utilisateur, ce qui peut être une conséquence de l’utilisation de ce filtre.

Problèmes lors de la création de stratégies d’accès et de session

Defender for Cloud Apps fournit les stratégies configurables suivantes :

  • Stratégies d’accès : Utilisées pour surveiller ou bloquer l’accès aux applications de navigateur, mobiles et/ou de bureau.
  • Stratégies de session. Utilisé pour surveiller, bloquer et effectuer des actions spécifiques afin d’empêcher l’infiltration et l’exfiltration de données dans le navigateur.

Pour utiliser ces stratégies dans Defender for Cloud Apps, vous devez d’abord configurer une stratégie dans l’accès conditionnel de Microsoft Entra pour étendre les contrôles de session :

  1. Dans la stratégie Microsoft Entra, sous Contrôle d’accès, sélectionnez Session>Utiliser le Contrôle d’application par accès conditionnel.

  2. Sélectionnez une stratégie intégrée (Surveiller uniquement ou Bloquer les téléchargements) ou Utilisez une stratégie personnalisée pour définir une stratégie avancée dans Defender for Cloud Apps.

  3. Choisissez Sélectionner pour continuer.

Les scénarios courants que vous pouvez rencontrer lors de la configuration de ces stratégies sont les suivants :

Dans les stratégies d’accès conditionnel, vous ne pouvez pas voir l’option Contrôle d’application par accès conditionnel

Pour router les sessions vers Defender for Cloud Apps, les stratégies d’accès conditionnel Microsoft Entra doivent être configurées de manière à inclure des contrôles de session du contrôle d’application par accès conditionnel.

Étapes recommandées

Si vous ne voyez pas l’option Contrôle d’application par accès conditionnel dans votre stratégie d’accès conditionnel, vérifiez que vous disposez d’une licence valide pour Microsoft Entra ID P1 et d’une licence Defender for Cloud Apps valide.

Message d’erreur lors de la création d’une stratégie : vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel

Lors de la création d’une stratégie d’accès ou de session, vous pouvez voir le message d’erreur suivant s’afficher : Vous n’avez pas d’applications déployées avec le contrôle d’application par accès conditionnel. Cette erreur signifie que l'application n'est pas une application IdP Microsoft et qu'elle n'a pas été intégrée au contrôle d'accès conditionnel.

Étapes recommandées

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud. Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.

  2. Si vous voyez le message Aucune application connectée, utilisez les guides suivants pour déployer des applications :

Si vous rencontrez des problèmes lors du déploiement de l’application, consultez Problèmes lors de l’intégration d’une application.

Impossible de créer des stratégies de session pour une application

Après avoir intégré une application IdP non Microsoft au contrôle d'accès conditionnel, vous trouverez peut-être l'option suivante sur la page des applications de contrôle d'accès conditionnel : Demander le contrôle de session.

Remarque

Les applications de catalogue ont des contrôles de session prêtes à l’emploi. Pour toute autre application IdP non Microsoft, vous devez passer par un processus d'intégration. Étapes recommandées

  1. Déployez votre application sur le contrôle de session. Pour plus d’informations, veuillez consulter la section Intégrer des applications personnalisées d’un IdP non-Microsoft pour le contrôle des applications par accès conditionnel.

  2. Créez une stratégie de session et sélectionnez le filtre Application.

  3. Vérifiez que votre application est désormais répertoriée dans la liste déroulante.

Impossible de choisir la méthode d’inspection : service de classification des données

Dans les stratégies de session, lorsque vous utilisez le type de contrôle de session Contrôler le téléchargement de fichiers (avec inspection), vous pouvez utiliser la méthode d’inspection du service de classification des données pour analyser vos fichiers en temps réel et détecter le contenu sensible qui correspond aux critères que vous avez configurés.

Si la méthode d’inspection du service de classification des données n’est pas disponible, procédez comme suit pour examiner le problème.

Étapes recommandées

  1. Vérifiez que le Type de contrôle de session est défini sur Contrôler le téléchargement de fichiers (avec inspection).

    Remarque

    La méthode d’inspection du service de classification des données est disponible uniquement pour l’option de téléchargement du fichier de contrôle (avec inspection).

  2. Déterminez si la fonctionnalité service de classification des données est disponible dans votre région :

    • Si la fonctionnalité n’est pas disponible dans votre région, utilisez la méthode d’inspection DLPintégrée.
    • Si la fonctionnalité est disponible dans votre région, mais que vous ne pouvez toujours pas voir la méthode d’inspection du service de classification des données, ouvrez un ticket de support.

Impossible de choisir l’action : Protéger

Dans les stratégies de session, lorsque vous utilisez le type de contrôle de session Contrôler le téléchargement de fichiers (avec inspection), en plus des actions Surveiller et Bloquer, vous pouvez spécifier l’action Protéger. Cette action vous permet d’autoriser les téléchargements de fichiers avec l’option permettant de chiffrer ou d’appliquer des autorisations au fichier en fonction des conditions, de l’inspection du contenu ou des deux.

Si l’action Protéger n’est pas disponible, procédez comme suit pour examiner le problème.

Étapes recommandées

  1. Si l'action Protéger n'est pas disponible ou est grisée, vérifiez que vous disposez d'une licence Microsoft Purview. Pour plus d’informations, consultez la Intégration de Protection des données Microsoft Purview.

  2. Si l’action Protéger est disponible, mais les étiquettes appropriées ne sont pas visibles.

    1. Dans Defender for Cloud Apps, dans la barre de menus, sélectionnez l’icône des paramètres >Microsoft Information Protection et vérifiez que l’intégration est activée.

    2. Pour les étiquettes Office, dans le portail Microsoft Purview, assurez-vous que l'option Étiquetage unifié est sélectionnée.

Diagnostiquer et résoudre les problèmes avec la barre d’outils Affichage administration

La barre d’outils Vue administrateur se trouve en bas de votre écran et fournit des outils permettant aux utilisateurs administrateurs de diagnostiquer et de résoudre les problèmes liés au contrôle d’application par accès conditionnel.

Pour afficher la barre d’outils Vue administrateur, vous devez vous assurer d’ajouter des comptes d’utilisateur d’administrateur spécifiques à la liste d’intégration/maintenance des applications dans les paramètres microsoft Defender XDR.

Pour ajouter un utilisateur à la liste d’intégration/maintenance des applications :

  1. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud.

  2. Faites défiler et, sous Contrôle d’application par accès conditionnel, sélectionnez Intégration/maintenance des applications.

  3. Entrez le nom principal ou l’adresse e-mail de l’utilisateur administrateur que vous souhaitez ajouter.

  4. Sélectionnez l’option Autoriser ces utilisateurs à contourner le contrôle d’application par accès conditionnel à partir d’une option de session avec proxy, puis sélectionnez Enregistrer.

    Par exemple :

    Capture d'écran des applications d'intégration et de maintenance.

La prochaine fois que l’un des utilisateurs répertoriés démarre une nouvelle session dans une application prise en charge dont il est administrateur, la barre d’outils Vue administrateur s’affiche en bas du navigateur.

Par exemple, l’image suivante montre la barre d’outils Vue administrateur en bas d’une fenêtre de navigateur, lors de l’utilisation de OneNote dans le navigateur :

Capture d'écran de la barre d'outils Admin View.

Les sections suivantes décrivent comment utiliser la barre d’outils Affichage administration pour tester et résoudre les problèmes.

Mode Test

En tant qu’utilisateur administrateur, vous pouvez tester les correctifs de bogues de proxy à venir avant que la dernière version soit entièrement déployée sur tous les clients. Envoyez vos retours d’expérience sur les correctifs à l’équipe du support Microsoft pour contribuer à accélérer les cycles de publication.

En mode de test, seuls les utilisateurs administrateurs sont exposés aux modifications fournies dans les correctifs de bogues. Il n’y a aucun effet sur d’autres utilisateurs.

  • Pour activer le mode de test, dans la barre d’outils Affichage administration, sélectionnez Mode de test.
  • Une fois que vous avez terminé votre test, sélectionnez Terminer le mode test pour revenir aux fonctionnalités régulières.

Contourner la session proxy

Si vous utilisez un navigateur autre qu'Edge et que vous avez des difficultés à accéder à votre application ou à la charger, vous pouvez vérifier si le problème est lié au proxy d'accès conditionnel en exécutant l'application sans le proxy.

Pour contourner le proxy, dans la barre d’outils Vue administrateur, sélectionnez Contourner l’expérience. Vérifiez que la session est ignorée en notant que l’URL n’est pas jointe d’un suffixe.

Le proxy d’accès conditionnel est utilisé à nouveau dans votre prochaine session.

Pour en savoir plus, consultez les sections Contrôle des applications à accès conditionnel Microsoft Defender pour Cloud Apps et Protection dans le navigateur avec Microsoft Edge entreprise (Préversion).

Deuxième connexion (également connue sous le nom de « seconde connexion »)

Certaines applications disposent de plusieurs liens profonds pour se connecter. À moins que vous ne définissiez les liens de connexion dans les applications, les utilisateurs peuvent être redirigés vers une page non reconnue lorsqu’ils se connectent, ce qui bloque leur accès.

L’intégration entre les applications comme Microsoft Entra ID est basée sur l’interception de l’ouverture de session d’une application et sa redirection. Cela signifie que les ouvertures de session par navigateur ne peuvent pas être contrôlées directement sans déclencher une deuxième ouverture de session. Pour déclencher une deuxième connexion, nous devons utiliser une deuxième URL de connexion spécialement prévue à cet effet.

Si l’application utilise un nonce, la deuxième connexion peut être transparente pour les utilisateurs, ou ils sont invités à se connecter à nouveau.

Si ce n’est pas transparent pour l’utilisateur final, ajoutez l’URL de seconde connexion aux applications :

Accédez à Paramètres > Applications cloud > Applications connectées > Applications de contrôle d’application par accès conditionnel

Sélectionnez l’application concernée, puis les trois points.

Sélectionnez Modifier l’application\Configuration avancée de la connexion.

Ajoutez la deuxième URL de connexion comme indiqué dans la page d’erreur.

Si vous êtes sûr que l’application n’utilise pas de nonce, vous pouvez le désactiver en modifiant les paramètres de l’application, comme indiqué dans la section Connexions lentes.

Enregistrer une session

Vous pouvez contribuer à analyser la cause racine d’un problème en envoyant un enregistrement de session aux ingénieurs du support technique Microsoft. Utilisez la barre d’outils Affichage administration pour enregistrer votre session.

Remarque

Toutes les données personnelles sont supprimées des enregistrements.

Pour enregistrer une session :

  1. Dans la barre d’outils Vue administrateur, sélectionnez Enregistrer la session. Quand le système vous y invite, sélectionnez Continuer pour accepter les conditions. Par exemple :

    Capture d'écran de la boîte de dialogue de la déclaration de confidentialité de l'enregistrement de session.

  2. Connectez-vous à votre application si nécessaire pour commencer à simuler la session.

  3. Lorsque vous avez terminé l’enregistrement du scénario, veillez à sélectionner Arrêter l’enregistrement dans la barre d’outils Vue administrateur.

Pour afficher vos sessions enregistrées :

Une fois que vous avez terminé l’enregistrement, affichez les sessions enregistrées en sélectionnant les enregistrements de session à partir de la barre d’outils Vue administrateur. Une liste des sessions enregistrées des 48 heures précédentes s’affiche. Par exemple :

Capture d'écran des enregistrements de la session.

Pour gérer vos enregistrements, sélectionnez un fichier, puis sélectionnez Supprimer ou Télécharger selon le besoin. Par exemple :

Capture d'écran du téléchargement ou de la suppression d'un enregistrement.

Ajouter des domaines pour votre application

L’association des domaines appropriés à une application permet à Defender for Cloud Apps d’appliquer des stratégies et des activités d’audit.

Par exemple, si vous avez configuré une stratégie qui bloque le téléchargement de fichiers pour un domaine associé, les téléchargements de fichiers par l’application à partir de ce domaine seront bloqués. Toutefois, les téléchargements de fichiers par l’application à partir de domaines non associés à l’application ne seront pas bloqués et l’action ne sera pas auditée dans le journal d’activité.

Si un administrateur parcourt une application proxy vers un domaine non reconnu, que Defender pour Cloud Apps ne considère pas comme faisant partie de la même application ou d'une autre application, le message Domaine non reconnu s'affiche, invitant l'administrateur à ajouter le domaine afin qu'il soit protégé la prochaine fois. Dans ce cas, si l'administrateur ne souhaite pas ajouter le domaine, aucune action n'est nécessaire.

Remarque

Defender for Cloud Apps ajoute toujours un suffixe aux domaines non associés à l’application pour garantir une expérience utilisateur transparente.

Pour ajouter des domaines pour votre application :

  1. Ouvrez votre application dans un navigateur, avec la barre d'outils Admin View de Defender pour Cloud Apps visible sur votre écran.

  2. Dans la barre d'outils Vue d'administration, sélectionnez Domaines découverts.

  3. Dans le volet Domaines découverts, notez les noms de domaines listés ou exportez la liste dans un fichier .csv.

    Le volet Domaines découverts affiche une liste de tous les domaines qui ne sont pas associés à l'application. Les noms de domaine sont complets.

  4. Dans Microsoft Defender XDR, sélectionnez Paramètres>Applications cloud>Applications connectées>Applications de contrôle d’applications par accès conditionnel.

  5. Localisez votre application dans le tableau. Sélectionnez le menu d'options à droite, puis sélectionnez Modifier l'application.

  6. Dans le champ Domaines définis par l'utilisateur, saisissez les domaines que vous souhaitez associer à cette application.

    • Pour afficher la liste des domaines déjà configurés dans l'application, sélectionnez le lien Afficher les domaines de l'application.

    • Lorsque vous ajoutez des domaines, déterminez si vous souhaitez ajouter des domaines spécifiques ou utiliser un astérisque (*****) comme caractère générique pour utiliser plusieurs domaines à la fois.

      Par exemple, sub1.contoso.com et sub2.contoso.com sont des exemples de domaines spécifiques. Pour ajouter ces deux domaines à la fois, ainsi que d'autres domaines frères, utilisez *.contoso.com.

Pour en savoir plus, consultez Protéger les applications avec le contrôle d’accès conditionnel des apps par Microsoft Defender pour Cloud Apps.