Condividi tramite


Risoluzione dei problemi relativi ai controlli di accesso e sessione per gli utenti finali

Questo articolo fornisce agli amministratori di app Microsoft Defender per il cloud indicazioni su come analizzare e risolvere i problemi comuni di accesso e controllo delle sessioni, come riscontrato dagli utenti finali.

Verificare i requisiti minimi

Prima di iniziare la risoluzione dei problemi, assicurarsi che l'ambiente soddisfi i requisiti generali seguenti per i controlli di accesso e sessione.

Requisito Descrizione
Licenze Assicurarsi di avere una licenza valida per le app di Microsoft Defender per il cloud.
Accesso Single Sign-On (SSO) Le app devono essere configurate con una delle soluzioni SSO (Single Sign-On) supportate:

- Microsoft Entra ID con SAML 2.0 o OpenID Connect 2.0
- IdP non Microsoft con SAML 2.0
Supporto browser I controlli sessione sono disponibili per le sessioni basate su browser nelle versioni più recenti dei browser seguenti:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

La protezione nel browser per Microsoft Edge prevede anche requisiti specifici, tra cui l'utente che ha eseguito l'accesso con il proprio profilo di lavoro. Per altre informazioni, vedere Requisiti di protezione nel browser.
Tempo di inattività Defender per il cloud App consente di definire il comportamento predefinito da applicare in caso di interruzione del servizio, ad esempio un componente che non funziona correttamente.

Ad esempio, è possibile scegliere di rafforzare (bloccare) o ignorare (consentire) agli utenti di eseguire azioni su contenuti potenzialmente sensibili quando i normali controlli dei criteri non possono essere applicati.

Per configurare il comportamento predefinito durante il tempo di inattività del sistema, in Microsoft Defender XDR passare a Impostazioni>Comportamento>predefinito controllo>app per l'accesso condizionale Consenti o Blocca l'accesso.

La pagina di monitoraggio degli utenti non viene visualizzata

Quando si instrada un utente attraverso le app di Defender per il cloud, è possibile notificare all'utente che la sessione è monitorata. Per impostazione predefinita, la pagina di monitoraggio utente è abilitata.

Questa sezione descrive i passaggi per la risoluzione dei problemi che è consigliabile eseguire se la pagina di monitoraggio degli utenti è abilitata ma non viene visualizzata come previsto.

Procedure consigliate

  1. Nel portale di Microsoft Defender selezionare Impostazioni>app cloud.

  2. In Controllo app per l'accesso condizionale selezionare Monitoraggio utenti. Questa pagina mostra le opzioni di monitoraggio degli utenti disponibili in app di Defender per il cloud. Ad esempio:

    Screenshot delle opzioni di monitoraggio utente.

  3. Verificare che l'opzione Notifica agli utenti che l'attività sia monitorata sia selezionata.

  4. Selezionare se si vuole usare il messaggio predefinito o specificare un messaggio personalizzato:

    Tipo di messaggio Dettagli
    Predefinita Intestazione:
    L'accesso a [Nome app verrà visualizzato qui] viene monitorato
    Corpo:
    Per una maggiore sicurezza, l'organizzazione consente l'accesso a [Nome app verrà visualizzato qui] in modalità di monitoraggio. L'accesso è disponibile solo da un Web browser.
    Personalizzazione Intestazione:
    Usare questa casella per specificare un'intestazione personalizzata per informare gli utenti che vengono monitorati.
    Corpo:
    Utilizzare questa casella per aggiungere altre informazioni personalizzate per l'utente, ad esempio chi contattare con domande e supporta gli input seguenti: testo normale, rtf, collegamenti ipertestuali.
  5. Selezionare Anteprima per verificare la pagina di monitoraggio degli utenti visualizzata prima di accedere a un'app.

  6. Seleziona Salva.

Non è possibile accedere all'app da un provider di identità non Microsoft

Se un utente finale riceve un errore generale dopo l'accesso a un'app da un provider di identità non Microsoft, convalidare la configurazione non Microsoft IdP.

Procedure consigliate

  1. Nel portale di Microsoft Defender selezionare Impostazioni>app cloud.

  2. In App connesse selezionare App di controllo app per l'accesso condizionale.

  3. Nell'elenco di app, nella riga in cui non è possibile accedere all'app, selezionare i tre puntini alla fine della riga e quindi selezionare Modifica app.

    1. Verificare che il certificato SAML caricato sia corretto.

    2. Verificare che nella configurazione dell'app siano specificati URL SSO validi.

    3. Verificare che gli attributi e i valori nell'app personalizzata vengano riflessi nelle impostazioni del provider di identità.

    Ad esempio:

    Screenshot della pagina delle informazioni SAML..

  4. Se non è ancora possibile accedere all'app, aprire un ticket di supporto.

Viene visualizzata la pagina Si è verificato un errore

In alcuni casi, durante una sessione con proxy, potrebbe essere visualizzata la pagina Qualcosa di sbagliato . Ciò può verificarsi quando:

  • Un utente accede dopo essere inattiva per un po'
  • L'aggiornamento del browser e del caricamento della pagina richiede più tempo del previsto
  • L'app IdP non Microsoft non è configurata correttamente

Procedure consigliate

  1. Se l'utente finale sta tentando di accedere a un'app configurata con un IdP non Microsoft, vedere Non è possibile accedere all'app da un IdP non Microsoft e dallo stato dell'app: Continua l'installazione.

  2. Se l'utente finale ha raggiunto questa pagina in modo imprevisto, eseguire le operazioni seguenti:

    1. Riavviare la sessione del browser.
    2. Cancella cronologia, cookie e cache dal browser.

Le azioni degli Appunti o i controlli file non vengono bloccati

La possibilità di bloccare azioni degli Appunti, ad esempio i controlli taglia, copia, incolla e file, ad esempio download, caricamento e stampa, è necessaria per evitare scenari di esfiltrazione e infiltrazione dei dati.

Questa capacità consente alle aziende di bilanciare la sicurezza e la produttività per gli utenti finali. Se si verificano problemi con queste funzionalità, seguire questa procedura per analizzare il problema.

Nota

Tagliare, copiare e incollare non vengono bloccati per i dati all'interno dello stesso documento di Excel. Solo la copia in posizioni esterne è bloccata.

Procedure consigliate

Se la sessione viene inoltrata tramite proxy, seguire questa procedura per verificare i criteri:

  1. In App cloud del portale di Microsoft Defender selezionare Log attività.

  2. Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Bloccato.

  3. Verificare che siano presenti attività di file bloccate:

    1. Se è presente un'attività, espandere il pannello attività facendo clic sull'attività.

    2. Nella scheda Generale del pannello attività selezionare il collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.

    3. Se i criteri non vengono visualizzati, vedere Problemi durante la creazione di criteri di accesso e sessione.

    4. Se viene visualizzato Accesso bloccato/consentito a causa del comportamento predefinito, indica che il sistema è inattivo e che è stato applicato il comportamento predefinito.

      1. Per modificare il comportamento predefinito, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Controllo app per l'accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca l'accesso.

      2. Passare al portale di amministrazione di Microsoft 365 e monitorare le notifiche relative ai tempi di inattività del sistema.

  4. Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.

I download non sono protetti

In qualità di utente finale, potrebbe essere necessario scaricare dati sensibili in un dispositivo non gestito. In questi scenari è possibile proteggere i documenti con Microsoft Purview Information Protection.

Se l'utente finale non riesce a crittografare correttamente il documento, seguire questa procedura per analizzare il problema.

Procedure consigliate

  1. In App cloud del portale di Microsoft Defender selezionare Log attività.

  2. Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Protetto.

  3. Verificare che siano presenti attività di file bloccate:

    1. Se è presente un'attività, espandere il pannello attività facendo clic sull'attività

    2. Nella scheda Generale del pannello attività selezionare il collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.

    3. Se i criteri non vengono visualizzati, vedere Problemi durante la creazione di criteri di accesso e sessione.

    4. Se viene visualizzato Accesso bloccato/consentito a causa del comportamento predefinito, indica che il sistema è inattivo e che è stato applicato il comportamento predefinito.

      1. Per modificare il comportamento predefinito, nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In Controllo app per l'accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca l'accesso.

      2. Passare al dashboard sull'integrità dei servizi di Microsoft 365 e monitorare le notifiche relative ai tempi di inattività del sistema.

    5. Se si protegge il file con un'etichetta di riservatezza o autorizzazioni personalizzate, nella descrizione dell'attività assicurarsi che l'estensione del file sia uno dei tipi di file supportati seguenti:

      • Parola: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF se l'etichettatura unificata è abilitata

    Se il tipo di file non è supportato, nei criteri di sessione è possibile selezionare Blocca il download di qualsiasi file non supportato dalla protezione nativa o in cui la protezione nativa non riesce.

  4. Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.

In alcuni scenari, l'esplorazione di un collegamento potrebbe comportare l'atterraggio dell'utente nella home page dell'app anziché il percorso completo del collegamento.

Suggerimento

Defender per il cloud App mantiene un elenco di app note per la perdita di contesto. Per altre informazioni, vedere Limitazioni della perdita di contesto.

Procedure consigliate

Se si usa un browser diverso da Microsoft Edge e un utente si trova nella home page dell'app invece del percorso completo del collegamento, risolvere il problema aggiungendo .mcas.ms all'URL originale.

Ad esempio, se l'URL originale è:

https://www.github.com/organization/threads/threadnumber, modificarlo in https://www.github.com.mcas.ms/organization/threads/threadnumber

Gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, non vengono reindirizzati a un proxy inverso e non devono avere il .mcas.ms suffisso aggiunto. Per le app che riscontrano una perdita di contesto, aprire un ticket di supporto.

Blocco dei download causa il blocco delle anteprime PDF

In alcuni casi, quando si visualizzano in anteprima o si stampano file PDF, le app avviano un download del file. Ciò fa sì che le app Defender per il cloud intervenire per assicurarsi che il download venga bloccato e che i dati non vengano persi dall'ambiente.

Ad esempio, se è stato creato un criterio di sessione per bloccare i download per Outlook Web Access (OWA), l'anteprima o la stampa di file PDF potrebbe essere bloccata, con un messaggio simile al seguente:

Screenshot di un messaggio di download bloccato.

Per consentire l'anteprima, un amministratore di Exchange deve seguire questa procedura:

  1. Scaricare il modulo PowerShell di Exchange Online.

  2. Connettersi al modulo. Per altre informazioni, vedere Connettersi a PowerShell per Exchange Online.

  3. Dopo la connessione a PowerShell di Exchange Online, usare il cmdlet Set-OwaMailboxPolicy per aggiornare i parametri nei criteri:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Nota

    Il criterio OwaMailboxPolicy-Default è il nome predefinito dei criteri OWA in Exchange Online. Alcuni clienti potrebbero aver distribuito criteri OWA aggiuntivi o creati con un nome diverso. Se sono presenti più criteri OWA, possono essere applicati a utenti specifici. Sarà quindi necessario aggiornarli anche per avere una copertura completa.

  4. Dopo aver impostato questi parametri, eseguire un test in OWA con un file PDF e un criterio di sessione configurato per bloccare i download. L'opzione Download deve essere rimossa dall'elenco a discesa ed è possibile visualizzare in anteprima il file. Ad esempio:

    Screenshot di un'anteprima PDF non bloccata.

Viene visualizzato un avviso simile del sito

Gli attori malintenzionati possono creare URL simili agli URL di altri siti per rappresentare e ingannare gli utenti a credere di passare a un altro sito. Alcuni browser tentano di rilevare questo comportamento e avvisano gli utenti prima di accedere all'URL o bloccare l'accesso.

In alcuni rari casi, gli utenti sotto il controllo sessione ricevono un messaggio dal browser che indica l'accesso sospetto al sito. Il motivo è che il browser considera il dominio suffisso (ad esempio: .mcas.ms) come sospetto.

Questo messaggio viene visualizzato solo per gli utenti di Chrome, perché gli utenti di Microsoft Edge traggono vantaggio dalla protezione nel browser, senza l'architettura del proxy inverso. Ad esempio:

Screenshot di un avviso del sito simile in Chrome.

Se viene visualizzato un messaggio simile al seguente, contattare il supporto tecnico Microsoft per rivolgersi al fornitore del browser pertinente.

Secondo accesso (noto anche come "secondo account di accesso")

Alcune applicazioni hanno più di un collegamento diretto per l'accesso. A meno che non definisci i collegamenti di accesso nelle impostazioni dell'app, gli utenti potrebbero essere reindirizzati a una pagina non riconosciuta quando accedono, bloccando l'accesso.

L'integrazione tra provider di identità, ad esempio Microsoft Entra ID, si basa sull'intercettazione di un accesso dell'app e sul reindirizzamento. Ciò significa che gli accessi al browser non possono essere controllati direttamente senza attivare un secondo accesso. Per attivare un secondo accesso, è necessario usare un secondo URL di accesso in modo specifico per tale scopo.

Se l'app usa un nonce, il secondo accesso potrebbe essere trasparente per gli utenti o viene richiesto di eseguire di nuovo l'accesso.

Se non è trasparente per l'utente finale, aggiungere il secondo URL di accesso alle impostazioni dell'app:

  1. Passare a 'settings''Cloud apps''connected apps'''Conditional Access App Control Apps'

  2. Selezionare l'app pertinente e quindi selezionare i tre puntini.

  3. Selezionare Modifica app\Configurazione di accesso avanzata.

  4. Aggiungere il secondo URL di accesso come indicato nella pagina di errore.

Se si è certi che l'app non usa un nonce, è possibile disabilitare questa impostazione modificando le impostazioni delle app come descritto in Accessi lenti.

Altre considerazioni per la risoluzione dei problemi delle app

Durante la risoluzione dei problemi delle app, è necessario prendere in considerazione altri aspetti:

  • Il supporto dei controlli sessione per i browser moderni Defender per il cloud controlli sessione app include ora il supporto per il nuovo browser Microsoft Edge basato su Chromium. Mentre continuiamo a supportare le versioni più recenti di Internet Explorer e la versione legacy di Microsoft Edge, il supporto è limitato e consigliamo di usare il nuovo browser Microsoft Edge.

  • I controlli sessione proteggono l'etichettatura condivisa dell'autenticazione condivisa nell'azione "proteggi" non sono supportati dai controlli sessione di Defender per il cloud app. Per altre informazioni, vedere Abilitare la creazione condivisa per i file crittografati con etichette di riservatezza.