Risoluzione dei problemi relativi ai controlli di accesso e sessione per gli utenti finali
Questo articolo fornisce agli amministratori di app Microsoft Defender per il cloud indicazioni su come analizzare e risolvere i problemi comuni di accesso e controllo delle sessioni, come riscontrato dagli utenti finali.
Verificare i requisiti minimi
Prima di iniziare la risoluzione dei problemi, assicurarsi che l'ambiente soddisfi i requisiti generali seguenti per i controlli di accesso e sessione.
Requisito | Descrizione |
---|---|
Licenze | Assicurarsi di avere una licenza valida per le app di Microsoft Defender per il cloud. |
Accesso Single Sign-On (SSO) | Le app devono essere configurate con una delle soluzioni SSO (Single Sign-On) supportate: - Microsoft Entra ID con SAML 2.0 o OpenID Connect 2.0 - IdP non Microsoft con SAML 2.0 |
Supporto browser | I controlli sessione sono disponibili per le sessioni basate su browser nelle versioni più recenti dei browser seguenti: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari La protezione nel browser per Microsoft Edge prevede anche requisiti specifici, tra cui l'utente che ha eseguito l'accesso con il proprio profilo di lavoro. Per altre informazioni, vedere Requisiti di protezione nel browser. |
Tempo di inattività | Defender per il cloud App consente di definire il comportamento predefinito da applicare in caso di interruzione del servizio, ad esempio un componente che non funziona correttamente. Ad esempio, è possibile scegliere di rafforzare (bloccare) o ignorare (consentire) agli utenti di eseguire azioni su contenuti potenzialmente sensibili quando i normali controlli dei criteri non possono essere applicati. Per configurare il comportamento predefinito durante il tempo di inattività del sistema, in Microsoft Defender XDR passare a Impostazioni>Comportamento>predefinito controllo>app per l'accesso condizionale Consenti o Blocca l'accesso. |
La pagina di monitoraggio degli utenti non viene visualizzata
Quando si instrada un utente attraverso le app di Defender per il cloud, è possibile notificare all'utente che la sessione è monitorata. Per impostazione predefinita, la pagina di monitoraggio utente è abilitata.
Questa sezione descrive i passaggi per la risoluzione dei problemi che è consigliabile eseguire se la pagina di monitoraggio degli utenti è abilitata ma non viene visualizzata come previsto.
Procedure consigliate
Nel portale di Microsoft Defender selezionare Impostazioni>app cloud.
In Controllo app per l'accesso condizionale selezionare Monitoraggio utenti. Questa pagina mostra le opzioni di monitoraggio degli utenti disponibili in app di Defender per il cloud. Ad esempio:
Verificare che l'opzione Notifica agli utenti che l'attività sia monitorata sia selezionata.
Selezionare se si vuole usare il messaggio predefinito o specificare un messaggio personalizzato:
Tipo di messaggio Dettagli Predefinita Intestazione:
L'accesso a [Nome app verrà visualizzato qui] viene monitorato
Corpo:
Per una maggiore sicurezza, l'organizzazione consente l'accesso a [Nome app verrà visualizzato qui] in modalità di monitoraggio. L'accesso è disponibile solo da un Web browser.Personalizzazione Intestazione:
Usare questa casella per specificare un'intestazione personalizzata per informare gli utenti che vengono monitorati.
Corpo:
Utilizzare questa casella per aggiungere altre informazioni personalizzate per l'utente, ad esempio chi contattare con domande e supporta gli input seguenti: testo normale, rtf, collegamenti ipertestuali.Selezionare Anteprima per verificare la pagina di monitoraggio degli utenti visualizzata prima di accedere a un'app.
Seleziona Salva.
Non è possibile accedere all'app da un provider di identità non Microsoft
Se un utente finale riceve un errore generale dopo l'accesso a un'app da un provider di identità non Microsoft, convalidare la configurazione non Microsoft IdP.
Procedure consigliate
Nel portale di Microsoft Defender selezionare Impostazioni>app cloud.
In App connesse selezionare App di controllo app per l'accesso condizionale.
Nell'elenco di app, nella riga in cui non è possibile accedere all'app, selezionare i tre puntini alla fine della riga e quindi selezionare Modifica app.
Verificare che il certificato SAML caricato sia corretto.
Verificare che nella configurazione dell'app siano specificati URL SSO validi.
Verificare che gli attributi e i valori nell'app personalizzata vengano riflessi nelle impostazioni del provider di identità.
Ad esempio:
.
Se non è ancora possibile accedere all'app, aprire un ticket di supporto.
Viene visualizzata la pagina Si è verificato un errore
In alcuni casi, durante una sessione con proxy, potrebbe essere visualizzata la pagina Qualcosa di sbagliato . Ciò può verificarsi quando:
- Un utente accede dopo essere inattiva per un po'
- L'aggiornamento del browser e del caricamento della pagina richiede più tempo del previsto
- L'app IdP non Microsoft non è configurata correttamente
Procedure consigliate
Se l'utente finale sta tentando di accedere a un'app configurata con un IdP non Microsoft, vedere Non è possibile accedere all'app da un IdP non Microsoft e dallo stato dell'app: Continua l'installazione.
Se l'utente finale ha raggiunto questa pagina in modo imprevisto, eseguire le operazioni seguenti:
- Riavviare la sessione del browser.
- Cancella cronologia, cookie e cache dal browser.
Le azioni degli Appunti o i controlli file non vengono bloccati
La possibilità di bloccare azioni degli Appunti, ad esempio i controlli taglia, copia, incolla e file, ad esempio download, caricamento e stampa, è necessaria per evitare scenari di esfiltrazione e infiltrazione dei dati.
Questa capacità consente alle aziende di bilanciare la sicurezza e la produttività per gli utenti finali. Se si verificano problemi con queste funzionalità, seguire questa procedura per analizzare il problema.
Procedure consigliate
Se la sessione viene inoltrata tramite proxy, seguire questa procedura per verificare i criteri:
In App cloud del portale di Microsoft Defender selezionare Log attività.
Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Bloccato.
Verificare che siano presenti attività di file bloccate:
Se è presente un'attività, espandere il pannello attività facendo clic sull'attività.
Nella scheda Generale del pannello attività selezionare il collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.
Se i criteri non vengono visualizzati, vedere Problemi durante la creazione di criteri di accesso e sessione.
Se viene visualizzato Accesso bloccato/consentito a causa del comportamento predefinito, indica che il sistema è inattivo e che è stato applicato il comportamento predefinito.
Per modificare il comportamento predefinito, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Controllo app per l'accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca l'accesso.
Passare al portale di amministrazione di Microsoft 365 e monitorare le notifiche relative ai tempi di inattività del sistema.
Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.
I download non sono protetti
In qualità di utente finale, potrebbe essere necessario scaricare dati sensibili in un dispositivo non gestito. In questi scenari è possibile proteggere i documenti con Microsoft Purview Information Protection.
Se l'utente finale non riesce a crittografare correttamente il documento, seguire questa procedura per analizzare il problema.
Procedure consigliate
In App cloud del portale di Microsoft Defender selezionare Log attività.
Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Protetto.
Verificare che siano presenti attività di file bloccate:
Se è presente un'attività, espandere il pannello attività facendo clic sull'attività
Nella scheda Generale del pannello attività selezionare il collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.
Se i criteri non vengono visualizzati, vedere Problemi durante la creazione di criteri di accesso e sessione.
Se viene visualizzato Accesso bloccato/consentito a causa del comportamento predefinito, indica che il sistema è inattivo e che è stato applicato il comportamento predefinito.
Per modificare il comportamento predefinito, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Controllo app per l'accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca l'accesso.
Passare al dashboard sull'integrità dei servizi di Microsoft 365 e monitorare le notifiche relative ai tempi di inattività del sistema.
Se si protegge il file con un'etichetta di riservatezza o autorizzazioni personalizzate, nella descrizione dell'attività assicurarsi che l'estensione del file sia uno dei tipi di file supportati seguenti:
Parola: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF se l'etichettatura unificata è abilitata
Se il tipo di file non è supportato, nei criteri di sessione è possibile selezionare Blocca il download di qualsiasi file non supportato dalla protezione nativa o in cui la protezione nativa non riesce.
Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.
Passaggio a un URL specifico di un'app con suffisso e destinazione in una pagina generica
In alcuni scenari, l'esplorazione di un collegamento potrebbe comportare l'atterraggio dell'utente nella home page dell'app anziché il percorso completo del collegamento.
Suggerimento
Defender per il cloud App mantiene un elenco di app note per la perdita di contesto. Per altre informazioni, vedere Limitazioni della perdita di contesto.
Procedure consigliate
Se si usa un browser diverso da Microsoft Edge e un utente si trova nella home page dell'app invece del percorso completo del collegamento, risolvere il problema aggiungendo .mcas.ms
all'URL originale.
Ad esempio, se l'URL originale è:
https://www.github.com/organization/threads/threadnumber
, modificarlo in https://www.github.com.mcas.ms/organization/threads/threadnumber
Gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, non vengono reindirizzati a un proxy inverso e non devono avere il .mcas.ms
suffisso aggiunto. Per le app che riscontrano una perdita di contesto, aprire un ticket di supporto.
Blocco dei download causa il blocco delle anteprime PDF
In alcuni casi, quando si visualizzano in anteprima o si stampano file PDF, le app avviano un download del file. Ciò fa sì che le app Defender per il cloud intervenire per assicurarsi che il download venga bloccato e che i dati non vengano persi dall'ambiente.
Ad esempio, se è stato creato un criterio di sessione per bloccare i download per Outlook Web Access (OWA), l'anteprima o la stampa di file PDF potrebbe essere bloccata, con un messaggio simile al seguente:
Per consentire l'anteprima, un amministratore di Exchange deve seguire questa procedura:
Scaricare il modulo PowerShell di Exchange Online.
Connettersi al modulo. Per ulteriori informazioni, vedere Connessione a Exchange Online PowerShell.
Dopo la connessione a PowerShell di Exchange Online, usare il cmdlet Set-OwaMailboxPolicy per aggiornare i parametri nei criteri:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
Nota
Il criterio OwaMailboxPolicy-Default è il nome predefinito dei criteri OWA in Exchange Online. Alcuni clienti potrebbero aver distribuito criteri OWA aggiuntivi o creati con un nome diverso. Se sono presenti più criteri OWA, possono essere applicati a utenti specifici. Sarà quindi necessario aggiornarli anche per avere una copertura completa.
Dopo aver impostato questi parametri, eseguire un test in OWA con un file PDF e un criterio di sessione configurato per bloccare i download. L'opzione Download deve essere rimossa dall'elenco a discesa ed è possibile visualizzare in anteprima il file. Ad esempio:
Viene visualizzato un avviso simile del sito
Gli attori malintenzionati possono creare URL simili agli URL di altri siti per rappresentare e ingannare gli utenti a credere di passare a un altro sito. Alcuni browser tentano di rilevare questo comportamento e avvisano gli utenti prima di accedere all'URL o bloccare l'accesso.
In alcuni rari casi, gli utenti sotto il controllo sessione ricevono un messaggio dal browser che indica l'accesso sospetto al sito. Il motivo è che il browser considera il dominio suffisso (ad esempio: .mcas.ms
) come sospetto.
Questo messaggio viene visualizzato solo per gli utenti di Chrome, perché gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, senza l'architettura del proxy inverso. Ad esempio:
Se viene visualizzato un messaggio simile al seguente, contattare il supporto tecnico Microsoft per rivolgersi al fornitore del browser pertinente.
Altre considerazioni per la risoluzione dei problemi delle app
Durante la risoluzione dei problemi delle app, è necessario prendere in considerazione altri aspetti:
Il supporto dei controlli sessione per i browser moderni Defender per il cloud controlli sessione app include ora il supporto per il nuovo browser Microsoft Edge basato su Chromium. Mentre continuiamo a supportare le versioni più recenti di Internet Explorer e la versione legacy di Microsoft Edge, il supporto è limitato e consigliamo di usare il nuovo browser Microsoft Edge.
I controlli sessione proteggono l'etichettatura condivisa dell'autenticazione condivisa nell'azione "proteggi" non sono supportati dai controlli sessione di Defender per il cloud app. Per altre informazioni, vedere Abilitare la creazione condivisa per i file crittografati con etichette di riservatezza.