Dépannage des contrôles d’accès et de session pour les utilisateurs finaux
Cet article fournit aux administrateurs de Microsoft Defender for Cloud Apps des conseils sur la manière d’examiner et de résoudre les problèmes courants de contrôle d’accès et de session rencontrés par les utilisateurs finaux.
Vérifier la configuration minimale requise
Avant de commencer la résolution des problèmes, assurez-vous que votre environnement répond aux conditions minimales requises suivantes pour les contrôles d’accès et de session.
Condition requise | Description |
---|---|
Gestion des licences | Veillez à disposer d’une licence valide pour Microsoft Defender for Cloud Apps. |
Authentification unique (SSO) | Les applications doivent être configurées avec l’une des solutions d’authentification unique (SSO) prises en charge : – Microsoft Entra ID avec SAML 2.0 ou OpenID Connect 2.0 – IdP non-Microsoft compatible SAML 2.0 |
Prise en charge des navigateurs | Les contrôles de session sont disponibles pour les sessions basées sur un navigateur sur les dernières versions des navigateurs suivants : – Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari La protection dans le navigateur pour Microsoft Edge a également des exigences spécifiques, notamment que l’utilisateur soit connecté avec son profil professionnel. Pour en savoir plus, consultez Exigences en matière de protection dans le navigateur. |
Temps d’arrêt : | Defender for Cloud Apps vous permet de définir le comportement par défaut à appliquer en cas d’interruption de service, par exemple un composant qui ne fonctionne pas correctement. Par exemple, vous pouvez choisir de bloquer ou d’autoriser les utilisateurs à effectuer des actions sur des contenus potentiellement sensibles lorsque les contrôles normaux de la stratégie ne peuvent pas être appliqués. Pour configurer le comportement par défaut pendant le temps d’arrêt du système, dans Microsoft Defender XDR, accédez à Paramètres>Comportement par défaut du contrôle d’application par accès conditionnel>>Autoriser ou bloquer l’accès. |
La page de surveillance des utilisateurs n’apparaît pas
Lors de l’acheminement d’un utilisateur via le Defender for Cloud Apps, vous pouvez informer l’utilisateur que sa session est surveillée. Par défaut, la page de surveillance des utilisateurs est activée.
Cette section décrit les étapes de dépannage que nous vous recommandons de suivre si la page de surveillance de l’utilisateur est activée mais n’apparaît pas comme prévu.
Étapes recommandées
Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications cloud.
Sous Contrôle d’application par accès conditionnel, sélectionnez Surveillance utilisateur. Cette page affiche les options de surveillance des utilisateurs disponibles dans Defender for cloud Apps. Par exemple :
Vérifiez que l’option Avertir les utilisateurs que leur activité est surveillée est sélectionnée.
Indiquez si vous souhaitez utiliser le message par défaut ou fournir un message personnalisé :
Type de message Détails Par défaut En-tête :
L’accès à [Nom de l’application affiché ici] est surveillé
Corps :
Pour améliorer la sécurité, votre organisation autorise l’accès à [Nom de l’application affiché ici] en mode surveillance. L’accès est disponible uniquement à partir d’un navigateur Web.Personnalisée En-tête :
Utilisez cette zone pour fournir un titre personnalisé afin d’informer les utilisateurs qu’ils sont surveillés.
Corps :
Utilisez cette boîte pour ajouter d’autres informations personnalisées pour l’utilisateur, par exemple qui contacter en cas de questions, et prend en charge les entrées suivantes : texte brut, texte enrichi, liens hypertextes.Sélectionnez Aperçu pour vérifier la page de surveillance des utilisateurs qui s’affiche avant d’accéder à une application.
Cliquez sur Enregistrer.
Impossible d’accéder à l’application à partir d’un fournisseur d’identité non-Microsoft
Si un utilisateur final reçoit un échec général après la connexion à une application à partir d’un fournisseur d’identité non-Microsoft, validez la configuration du fournisseur d’identité non-Microsoft.
Étapes recommandées
Dans le portail Microsoft Defender, sélectionnez Paramètres>Applications cloud.
Sous Applications connectées, sélectionnez Applis de contrôle d’application par accès conditionnel.
Dans la liste des applications, dans la ligne où apparaît l’application à laquelle vous ne pouvez pas accéder, choisissez les trois points en fin de ligne, puis sélectionnez Modifier l’application.
Vérifiez que le certificat SAML chargé est correct.
Vérifiez que des URL SSO valides sont fournies dans la configuration de l’application.
Vérifiez que les attributs et les valeurs de l’application personnalisée sont reflétés dans les paramètres du fournisseur d’identité.
Par exemple :
.
Si vous ne pouvez toujours pas ouvrir l’application, ouvrez un ticket de support.
Une page Survenue d’un problème s’affiche
Parfois, lors d’une session en proxy, la page Un problème est survenu peut s’afficher. Ceci peut se produire quand :
- Un utilisateur se connecte après avoir été inactif pendant un certain temps
- L’actualisation du navigateur et du chargement de page prend plus de temps que prévu
- L’application IdP non-Microsoft n’est pas configurée correctement
Étapes recommandées
Si l’utilisateur final tente d’accéder à une application configurée à l’aide d’un fournisseur d’identité non-Microsoft, consultez Impossible d’accéder à l’application à partir d’un idP non-Microsoft et État de l’application : continuer le programme d’installation.
Si l’utilisateur final a atteint de façon inattendue cette page, procédez comme suit :
- Redémarrez votre session de navigateur.
- Effacez l’historique, les cookies et le cache à partir du navigateur.
Les actions du Presse-papiers ou les contrôles de fichier ne sont pas bloqués
La possibilité de bloquer les actions du Presse-papiers telles que couper, copier, coller et les contrôles de fichier comme le téléchargement, le chargement et l’impression est nécessaire pour empêcher l’exfiltration et les scénarios d’infiltration des données.
Cette capacité permet aux entreprises d’équilibrer la sécurité et la productivité pour les utilisateurs finaux. Si vous rencontrez des problèmes avec ces fonctionnalités, procédez comme suit pour examiner le problème.
Étapes recommandées
Si la session est traitée par proxy, procédez comme suit pour vérifier la stratégie :
Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Journal d’activité.
Utilisez le filtre avancé, sélectionnez Action Appliquée et définissez sa valeur sur Bloqué.
Vérifiez qu’il existe des activités de fichier bloquées :
S’il existe une activité, développez le tiroir d’activité en cliquant sur l’activité.
Sous l’onglet Général du tiroir d’activité, sélectionnez le lien des stratégies correspondantes pour vérifier que la stratégie que vous avez appliquée est présente.
Si vous ne voyez pas votre stratégie, consultez Problèmes lors de la création de stratégies d’accès et de session.
Si vous voyez Access bloqué/autorisé en raison du comportement par défaut, cela indique que le système a été arrêté et que le comportement par défaut a été appliqué.
Pour modifier le comportement par défaut, dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Ensuite, sous Contrôle d’application par accès conditionnel, sélectionnez Comportement par défaut et définissez le comportement par défaut sur Autoriser ou Bloquer l’accès.
Accédez au portail d’administration Microsoft 365 et surveillez les notifications sur les temps d’arrêt du système.
Si vous ne parvenez toujours pas à voir l’activité bloquée, ouvrez un ticket de support.
Les téléchargements ne sont pas protégés
En tant qu’utilisateur final, le téléchargement de données sensibles sur un appareil non géré peut être nécessaire. Dans ces scénarios, vous pouvez protéger des documents avec Protection des données Microsoft Purview.
Si l’utilisateur final ne peut pas chiffrer correctement le document, procédez comme suit pour examiner le problème.
Étapes recommandées
Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Journal d’activité.
Utilisez le filtre avancé, sélectionnez Action appliquée et définissez sa valeur sur Protégé.
Vérifiez qu’il existe des activités de fichier bloquées :
S’il existe une activité, développez le tiroir d’activité en cliquant sur l’activité
Sous l’onglet Général du tiroir d’activité, sélectionnez le lien des stratégies correspondantes pour vérifier que la stratégie que vous avez appliquée est présente.
Si vous ne voyez pas votre stratégie, consultez Problèmes lors de la création de stratégies d’accès et de session.
Si vous voyez Access bloqué/autorisé en raison du comportement par défaut, cela indique que le système a été arrêté et que le comportement par défaut a été appliqué.
Pour modifier le comportement par défaut, dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Ensuite, sous Contrôle d’application par accès conditionnel, sélectionnez Comportement par défaut et définissez le comportement par défaut sur Autoriser ou Bloquer l’accès.
Accédez au Tableau de bord Intégrité des services Microsoft 365 et surveillez les notifications sur les temps d’arrêt du système.
Si vous protégez le fichier avec une étiquette de sensibilité ou des permissions personnalisées, dans la description de l'activité, assurez-vous que l'extension du fichier est l'un des types de fichiers pris en charge suivants :
Word : docm, docx, dotm, dotx
Excel : xlam, xlsm, xlsx, xltx
PowerPoint : potm, potx, ppsx, ppsm, pptm, pptx
PDF si l’étiquetage unifié est activé
Si le type de fichier n’est pas pris en charge, dans la stratégie de session, vous pouvez sélectionner Bloquer le téléchargement d’un fichier qui n’est pas pris en charge par la protection native ou pour lequel la protection native échoue.
Si vous ne parvenez toujours pas à voir l’activité bloquée, ouvrez un ticket de support.
Navigation vers une URL particulière d’une application suivie d’un suffixe et ouverture d’une page générique
Dans certains scénarios, la navigation vers un lien peut amener l’utilisateur sur la page d’accueil de l’application plutôt que sur le chemin complet du lien.
Conseil
Defender for Cloud Apps gère une liste d’applications connues pour avoir des pertes de contexte. Pour en savoir plus, consultez Limites de la perte de contexte.
Étapes recommandées
Si vous utilisez un navigateur autre que Microsoft Edge et qu’un utilisateur arrive sur la page d’accueil de l’application au lieu du chemin complet du lien, résolvez le problème en ajoutant .mcas.ms
à l’URL d’origine.
Par exemple, si l’URL d’origine est :
https://www.github.com/organization/threads/threadnumber
, remplacez-la par https://www.github.com.mcas.ms/organization/threads/threadnumber
Les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, ne sont pas redirigés vers un proxy inverse et ne devraient pas avoir besoin d’ajouter le suffixe .mcas.ms
. Pour les applications présentant une perte de contexte, ouvrez un ticket de support.
Le blocage des téléchargements entraîne le blocage des préversions PDF
Parfois, lorsque vous prévisualisez ou imprimez des fichiers PDF, les applications lancent un téléchargement du fichier. Cela entraîne l’intervention de Defender for Cloud Apps afin de s’assurer que le téléchargement est bloqué et que les données ne sont pas divulguées à partir de votre environnement.
Par exemple, si vous avez créé une stratégie de session pour bloquer les téléchargements pour Outlook Web Access (OWA), l’aperçu ou l’impression de fichiers PDF peut être bloqué, avec un message semblable à ceci :
Pour autoriser la préversion, un administrateur Exchange doit effectuer les étapes suivantes :
Téléchargez le module Exchange Online PowerShell.
Connecter au module. Pour plus d’informations, voir Se connecter à Exchange Online PowerShell.
Après vous être connecté à Exchange Online PowerShell, utilisez la cmdlet Set-OwaMailboxPolicy pour mettre à jour les paramètres de la stratégie :
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
Remarque
La stratégie OwaMailboxPolicy-Default est le nom de stratégie OWA par défaut dans Exchange Online. Certains clients ont peut-être déployé des stratégies OWA supplémentaires ou créées avec un autre nom. Si vous avez plusieurs stratégies OWA, elles peuvent être appliquées à des utilisateurs spécifiques. Par conséquent, vous devez également les mettre à jour pour avoir une couverture complète.
Une fois ces paramètres définis, effectuez un test sur OWA avec un fichier PDF et une stratégie de session configurée pour bloquer les téléchargements. L’option Télécharger doit être supprimée de la liste déroulante et vous pouvez afficher un aperçu du fichier. Par exemple :
Un avertissement de site similaire s’affiche
Des acteurs malveillants peuvent créer des URL semblables aux URL d’autres sites afin d’usurper l’identité et d’inciter les utilisateurs à croire qu’ils consultent un autre site. Certains navigateurs tentent de détecter ce comportement et d’avertir les utilisateurs avant tout accès à l’URL ou de bloquer l’accès.
Dans certains cas rares, les utilisateurs sous contrôle de session reçoivent un message du navigateur indiquant l’accès suspect au site. La raison est que le navigateur traite le domaine adjoint d’un suffixe (par exemple : .mcas.ms
) comme suspect.
Ce message n’apparaît que pour les utilisateurs de Chrome, car les utilisateurs de Microsoft Edge bénéficient d’une protection dans le navigateur, sans architecture de proxy inverse. Par exemple :
Si vous recevez un message de ce type, contactez l’assistance de Microsoft afin de résoudre le problème avec le fournisseur du navigateur concerné.
Autres éléments à prendre en compte pour le dépannage des applications
Lors du dépannage des applications, il y a d’autres éléments à prendre en compte :
La prise en charge des contrôles de session pour les navigateurs modernes Les contrôles de session de Defender for Cloud Apps incluent désormais la prise en charge du nouveau navigateur Microsoft Edge basé sur Chromium. Nous continuerons à prendre en charge la dernière version d’Internet Explorer et la version existante de Microsoft Edge, mais de façon limitée ; nous vous recommandons donc d’utiliser le nouveau navigateur Microsoft Edge.
Les contrôles de session protègent la limitation L’étiquetage Co-Auth sous l’action « protéger » n’est pas pris en charge par les contrôles de session de Defender for Cloud Apps. Pour plus d’informations, voir Activer la coautorisation pour les fichiers chiffrés avec des étiquettes de sensibilité.