Solução de problemas de acesso e controles de sessão para usuários administradores

Este artigo fornece aos administradores do Microsoft Defender for Cloud Apps orientações sobre como investigar e resolver problemas comuns de acesso e controle de sessão, conforme experimentado pelos administradores.

Nota

Qualquer solução de problemas relacionada à funcionalidade de proxy só é relevante para sessões que não estão configuradas para proteção no navegador com o Microsoft Edge.

Verificar requisitos mínimos

Antes de iniciar a solução de problemas, verifique se seu ambiente atende aos seguintes requisitos gerais mínimos para controles de acesso e sessão.

Requisito	Description
Licenciamento	Certifique-se de que tem uma licença válida para o Microsoft Defender for Cloud Apps.
Logon único (SSO)	Os aplicativos devem ser configurados com uma das soluções de SSO suportadas: - Microsoft Entra ID usando SAML 2.0 ou OpenID Connect 2.0 - IdP não-Microsoft usando SAML 2.0
Suporte do navegador	Os controles de sessão estão disponíveis para sessões baseadas em navegador nas versões mais recentes dos seguintes navegadores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Safari da Apple A proteção no navegador para o Microsoft Edge também tem requisitos específicos, incluindo o usuário conectado com seu perfil de trabalho. Para obter mais informações, consulte Requisitos de proteção no navegador.
Tempo de inatividade	O Defender for Cloud Apps permite definir o comportamento padrão a ser aplicado se houver uma interrupção do serviço, como um componente que não funciona corretamente. Por exemplo, quando os controles de política normais não podem ser aplicados, você pode optar por proteger (bloquear) ou ignorar (permitir) que os usuários realizem ações em conteúdo potencialmente confidencial. Para configurar o comportamento padrão durante o tempo de inatividade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo>de Acesso Condicional Comportamento>padrão Permitir ou Bloquear acesso.

Requisitos de proteção no navegador

Se você estiver usando a proteção no navegador com o Microsoft Edge e ainda estiver sendo atendido por um proxy reverso, verifique se você atende aos seguintes requisitos adicionais:

• O recurso está ativado nas configurações do Defender XDR. Para obter mais informações, consulte Definir configurações de proteção no navegador.

• Todas as políticas pelas quais o usuário é coberto são suportadas pelo Microsoft Edge for Business. Se um usuário for atendido por outra política que não é suportada pelo Microsoft Edge for Business, ele sempre será atendido pelo proxy reverso. Para obter mais informações, consulte Requisitos de proteção no navegador.

• Você está usando uma plataforma compatível, incluindo um sistema operacional compatível, uma plataforma de identidade e uma versão do Edge. Para obter mais informações, consulte Requisitos de proteção no navegador.

Referência de solução de problemas para administradores

Use a tabela a seguir para localizar o problema que você está tentando solucionar:

Tipo de problema	Problemas
Problemas de condição de rede	Erros de rede ao navegar para uma página do navegador Entradas lentas Mais considerações sobre as condições da rede
Problemas de identificação do dispositivo	Dispositivos compatíveis com o Intune ou com o Microsoft Entra integrados incorretamente Os certificados de cliente não são solicitados quando esperado Os certificados de cliente não são solicitados quando esperado Os certificados de cliente são solicitados a cada entrada Mais considerações para a identificação do dispositivo
Problemas ao integrar um aplicativo	A aplicação não aparece na página Aplicações de Controlo de Aplicações de Acesso Condicional Status do aplicativo: Continuar a configuraçãoNão é possível configurar controles para aplicativos nativos A página do aplicativo não é reconhecida é exibida A opção Solicitar controle de sessão é exibida Mais considerações para aplicativos de integração
Problemas ao criar políticas de acesso e sessão	Nas políticas de Acesso Condicional, não é possível ver a opção Controlo de Aplicação de Acesso Condicional Mensagem de erro ao criar uma política: você não tem nenhum aplicativo implantado com o Controle de Aplicativo de Acesso Condicional Não é possível criar políticas de sessão para um aplicativo Não é possível escolher Método de inspeção: Serviço de classificação de dados Não é possível escolher Ação: Proteger Mais considerações para aplicativos de integração
Diagnosticar e solucionar problemas com a barra de ferramentas Admin View	Ignorar sessão de proxy Gravar uma sessão

Problemas de condição de rede

Problemas comuns de condição de rede que você pode encontrar incluem:

• Erros de rede ao navegar para uma página do navegador
• Início de sessão lento
• Considerações adicionais

Erros de rede ao navegar para uma página do navegador

Quando você configura pela primeira vez os controles de acesso e sessão do Defender for Cloud Apps para um aplicativo, os erros comuns de rede que podem surgir incluem: Este site não é seguro e não há conexão com a Internet. Essas mensagens podem indicar um erro geral de configuração de rede.

Passos recomendados

1. Configure seu firewall para funcionar com o Defender for Cloud Apps usando os endereços IP do Azure e nomes DNS relevantes para seu ambiente.

   1. Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para o seu centro de dados do Defender for Cloud Apps.
   2. Reinicie o dispositivo e a sessão do navegador
   3. Verifique se o início de sessão está a funcionar como esperado

2. Ative o TLS 1.2 nas opções de internet do seu navegador. Por exemplo:

   Browser	Passos
   Microsoft Internet Explorer	1. Abra o Internet Explorer 2. Selecione Ferramentas>Guia>Opções da Internet Advance 3. Em Segurança, selecione TLS 1.2 4. Selecione Aplicar e, em seguida, selecione OK 5. Reinicie o navegador e verifique se você pode acessar o aplicativo
   Microsoft Edge / Edge Chromium	1. Abra a pesquisa a partir da barra de tarefas e procure por "Opções da Internet" 2. Selecione Opções da Internet 3. Em Segurança, selecione TLS 1.2 4. Selecione Aplicar e, em seguida, selecione OK 5. Reinicie o navegador e verifique se você pode acessar o aplicativo
   Google Chrome	1. Abra o Google Chrome 2. No canto superior direito, selecione Mais (3 pontos verticais) >Configurações 3. Na parte inferior, selecione Avançado 4. Em Sistema, selecione Abrir configurações de proxy 5. Na guia Avançado , em Segurança, selecione TLS 1.2 6. Selecione OK 7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
   Mozilla Firefox	1. Abra o Mozilla Firefox 2. Na barra de endereço e procure por "about:config" 3. Na caixa Pesquisar, procure por "TLS" 4. Clique duas vezes na entrada security.tls.version.min 5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária 6. Selecione Salvar (marca de seleção à direita da caixa de valor) 7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
   Safári	Se estiver a utilizar o Safari versão 7 ou superior, o TLS 1.2 é ativado automaticamente

O Defender for Cloud Apps usa os protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria:

• Aplicativos e navegadores cliente nativos que não suportam TLS 1.2+ não são acessíveis quando configurados com controle de sessão.
• Os aplicativos SaaS que usam TLS 1.1 ou inferior aparecem no navegador como usando TLS 1.2+ quando configurados com o Defender for Cloud Apps.

Gorjeta

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, suportamos as versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Talvez você queira bloquear ou permitir o acesso especificamente a aplicativos móveis ou de desktop.

Entradas lentas

Encadeamento de proxy e manipulação de não-ces são alguns dos problemas comuns que podem resultar em desempenho de entrada lento.

Passos recomendados

Configure seu ambiente para remover quaisquer fatores que possam estar causando lentidão durante o login. Por exemplo, você pode ter firewalls ou encadeamento de proxy de encaminhamento configurado, que conecta dois ou mais servidores proxy para navegar até a página pretendida. Você também pode ter outros fatores externos que afetam a lentidão.

1. Identifique se o encadeamento de proxy está ocorrendo em seu ambiente.
2. Remova todos os proxies de encaminhamento sempre que possível.

Alguns aplicativos usam um hash nonce durante a autenticação para evitar ataques de repetição. Por padrão, o Defender for Cloud Apps pressupõe que um aplicativo usa um nonce. Se o aplicativo com o qual você está trabalhando não usar nonce, desative o nonce-handling para este aplicativo no Defender for Cloud Apps:

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.
2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
3. Na lista de aplicações, na linha em que a aplicação que está a configurar é apresentada, selecione os três pontos no final da linha e, em seguida, selecione Editar para a sua aplicação.
4. Selecione Nonce-handling para expandir a seção e, em seguida, desmarque Enable nonce handling.
5. Saia do aplicativo e feche todas as sessões do navegador.
6. Reinicie o navegador e inicie sessão na aplicação novamente. Verifique se o início de sessão está a funcionar conforme esperado.

Mais considerações sobre as condições da rede

Ao solucionar problemas de condições de rede, considere também as seguintes observações sobre o proxy do Defender for Cloud Apps:

• Verifique se a sua sessão está a ser encaminhada para outro centro de dados: o Defender for Cloud Apps utiliza os Data Centers do Azure em todo o mundo para otimizar o desempenho através da geolocalização.

  Isso significa que a sessão de um usuário pode ser hospedada fora de uma região, dependendo dos padrões de tráfego e de sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

• Desempenho do proxy: a derivação de uma linha de base de desempenho depende de muitos fatores fora do proxy do Defender for Cloud Apps, como:

  • Que outros proxies ou gateways ficam em série com esse proxy
  • De onde vem o utilizador
  • Onde reside o recurso visado
  • Pedidos específicos na página

  Em geral, qualquer proxy adiciona latência. As vantagens do proxy do Defender for Cloud Apps são:

  • Usando a disponibilidade global dos controladores de domínio do Azure para geolocalizar os usuários para o nó mais próximo e reduzir a distância de ida e volta. Os controladores de domínio do Azure podem geolocalizar em uma escala que poucos serviços em todo o mundo têm.

  • Usando a integração com o Microsoft Entra Conditional Access para encaminhar apenas as sessões que você deseja proxy para o nosso serviço, em vez de todos os usuários em todas as situações.

Problemas de identificação do dispositivo

O Defender for Cloud Apps fornece as seguintes opções para identificar o estado de gerenciamento de um dispositivo.

• Conformidade com o Microsoft Intune
• Domínio híbrido do Microsoft Entra ingressado
• Certificados de cliente

Para obter mais informações, consulte Dispositivos gerenciados por identidade com controle de aplicativo de acesso condicional.

Os problemas comuns de identificação de dispositivos que você pode encontrar incluem:

• Dispositivos compatíveis com o Intune ou com o Microsoft Entra integrados incorretamente
• Os certificados de cliente não são solicitados quando esperado
• Os certificados de cliente são solicitados a cada entrada
• Considerações adicionais

Dispositivos compatíveis com o Intune ou com o Microsoft Entra integrados incorretamente

O Acesso Condicional do Microsoft Entra permite que as informações de dispositivos associados ao Intune e híbridos do Microsoft Entra sejam passadas diretamente para o Defender for Cloud Apps. No Defender for Cloud Apps, use o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais informações, consulte Introdução ao gerenciamento de dispositivos no Microsoft Entra ID.

Passos recomendados

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

2. Em Controlo de Aplicação de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação do dispositivo disponíveis no Defender for Cloud Apps.

3. Para identificação de dispositivo compatível com o Intune e identificação de associação híbrida do Microsoft Entra, respetivamente, selecione Ver configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir do Microsoft Entra ID e do Intune, respetivamente.

4. Crie uma política de acesso ou sessão com o filtro Marca de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos.

5. Num browser, inicie sessão num dispositivo que seja associado ao Microsoft Entra híbrido ou compatível com o Intune com base no seu filtro de política.

6. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender for Cloud Apps, na página Registo de atividades, filtre a Etiqueta de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos com base nos seus filtros de política.

7. Se as atividades não estiverem sendo preenchidas no registro de atividades do Defender for Cloud Apps, vá para o ID do Microsoft Entra e execute as seguintes etapas:

   1. Em Monitorando>Entradas, verifique se há atividades de entrada nos logs.

   2. Selecione a entrada de registo relevante para o dispositivo em que iniciou sessão.

   3. No painel Detalhes, no separador Informações do dispositivo, verifique se o dispositivo é Gerido (associado ao AAD Híbrido) ou Compatível (compatível com o Intune).

      Se não conseguir verificar nenhum dos estados, tente outra entrada de registo ou certifique-se de que os dados do dispositivo estão configurados corretamente no ID do Microsoft Entra.

   4. Para o Acesso Condicional, alguns navegadores podem exigir configuração extra, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de Acesso Condicional.

   5. Se você ainda não vir as informações do dispositivo na página Entradas, abra um tíquete de suporte para o Microsoft Entra ID.

Os certificados de cliente não são solicitados quando esperado

O mecanismo de identificação de dispositivos pode solicitar autenticação de dispositivos relevantes usando certificados de cliente. Você pode carregar um certificado de autoridade de certificação (CA) raiz ou intermediária X.509, formatado no formato de certificado PEM.

Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados de cliente apresentados durante uma sessão. Para obter mais informações, consulte Verificar o gerenciamento de dispositivos sem o Microsoft Entra.

Passos recomendados

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

2. Em Controlo de Aplicação de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis com o Defender for Cloud Apps.

3. Verifique se você carregou um certificado de autoridade de certificação raiz ou intermediária X.509. Você deve carregar o certificado da autoridade de certificação usado para assinar sua autoridade de certificação.

4. Crie uma política de acesso ou sessão com o filtro Device Tag igual a Valid client certificate.

5. Certifique-se de que o seu certificado de cliente é:

   • Implantado usando o formato de arquivo PKCS #12, normalmente uma extensão de arquivo .p12 ou .pfx
   • Instalado no repositório do usuário, não no repositório do dispositivo, do dispositivo que você está usando para teste

6. Reinicie a sessão do navegador.

7. Ao iniciar sessão na aplicação protegida:

   • Verifique se você foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Se estiver a utilizar o iOS, certifique-se de que está a utilizar o navegador Safari.
   • Se você estiver usando o Firefox, você também deve adicionar o certificado ao próprio armazenamento de certificados do Firefox. Todos os outros navegadores usam o mesmo armazenamento de certificados padrão.

8. Valide se o certificado do cliente é solicitado no navegador.

   Se não aparecer, tente um navegador diferente. A maioria dos principais navegadores suporta a realização de uma verificação de certificado de cliente. No entanto, os aplicativos móveis e de desktop geralmente usam navegadores internos que podem não suportar essa verificação e, portanto, afetar a autenticação para esses aplicativos.

9. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender for Cloud Apps, na página Registro de atividades , adicione um filtro na Device Tag igual ao certificado de cliente válido.

10. Se você ainda não vir o prompt, abra um tíquete de suporte e inclua as seguintes informações:

    • Os detalhes do navegador ou aplicativo nativo onde você teve o problema
    • A versão do sistema operacional, como iOS/Android/Windows 10
    • Mencione se o prompt está funcionando no Microsoft Edge Chromium

Os certificados de cliente são solicitados a cada entrada

Se o certificado do cliente aparecer depois de abrir uma nova guia, isso pode ser devido às configurações ocultas nas Opções da Internet. Verifique as suas definições no navegador. Por exemplo:

No Microsoft Internet Explorer:

1. Abra o Internet Explorer e selecione a guia Ferramentas>Opções>da Internet Avançadas.
2. Em Segurança, selecione Não solicitar a seleção de Certificado de Cliente quando existir> apenas um certificado Selecione Aplicar>OK.
3. Reinicie o navegador e verifique se você pode acessar o aplicativo sem as solicitações extras.

No Microsoft Edge / Edge Chromium:

1. Abra a pesquisa na barra de tarefas e procure Opções da Internet.
2. Selecione Opções>da Internet Segurança>Intranet>local Nível personalizado.
3. Em Diversos>Não solicitar a seleção de Certificado de Cliente quando existir apenas um certificado, selecione Desabilitar.
4. Selecione OK>Aplicar>OK.
5. Reinicie o navegador e verifique se você pode acessar o aplicativo sem as solicitações extras.

Mais considerações para a identificação do dispositivo

Ao solucionar problemas de identificação de dispositivos, você pode exigir a revogação de certificados para certificados de cliente.

Os certificados revogados pela autoridade de certificação não são mais confiáveis. Selecionar essa opção requer que todos os certificados passem pelo protocolo CRL. Se o certificado do cliente não contiver um ponto de extremidade de CRL, você não poderá se conectar a partir do dispositivo gerenciado.

Problemas ao integrar um aplicativo

Você pode integrar os seguintes tipos de aplicativos para controles de acesso e sessão:

• Aplicativos de catálogo: aplicativos que vêm com controles de sessão prontos para uso, conforme indicado pelo rótulo Controle de sessão .

• Qualquer aplicativo (personalizado): aplicativos de linha de negócios (LOB) personalizados ou locais podem ser integrados a controles de sessão por um administrador.

Por exemplo:

Ao integrar um aplicativo, certifique-se de que você seguiu os guias de implantação de proxy cuidadosamente. Para obter mais informações, consulte:

1. Implantar aplicativos de catálogo com controles de sessão
2. Implante aplicativos LOB personalizados, aplicativos SaaS sem recursos e aplicativos locais hospedados por meio do proxy de aplicativo Microsoft Entra com controles de sessão

Os cenários comuns que você pode encontrar ao integrar um aplicativo incluem:

• A aplicação não aparece na página Aplicações de Controlo de Aplicações de Acesso Condicional
• Estado da aplicação: Continuar a configuração
• Não é possível configurar controles para aplicativos nativos
• A página do aplicativo não é reconhecida é exibida
• A opção Solicitar controle de sessão é exibida
• Considerações adicionais

A aplicação não aparece na página Aplicações de Controlo de Aplicações de Acesso Condicional

Ao integrar um aplicativo ao Controle de Aplicativo de Acesso Condicional, a etapa final de implantação é fazer com que o usuário final navegue até o aplicativo. Siga os passos nesta secção se a aplicação não estiver a aparecer como esperado.

Passos recomendados

1. Verifique se seu aplicativo atende aos seguintes pré-requisitos do aplicativo Acesso Condicional, dependendo do seu provedor de identidade:

   • ID do Microsoft Entra:

     1. Verifique se você tem uma licença válida para o Microsoft Entra ID P1, além de uma licença do Defender for Cloud Apps.
     2. Certifique-se de que o aplicativo usa o SAML 2.0 ou o protocolo OpenID Connect.
     3. Certifique-se de que o SSO do aplicativo no Microsoft Entra ID.

   • Não-Microsoft:

     1. Certifique-se de que tem uma licença válida do Defender for Cloud Apps.
     2. Crie um aplicativo duplicado.
     3. Certifique-se de que o aplicativo usa o protocolo SAML.
     4. Valide se você integrou totalmente o aplicativo e se o status do aplicativo é Conectado.

2. Na sua política do Microsoft Entra, em Sessão, certifique-se de que a sessão é forçada a encaminhar para o Defender for Cloud Apps. Isso, por sua vez, permite que o aplicativo apareça na página de aplicativos de Controle de Aplicativo de Acesso Condicional, da seguinte maneira:

   • O Controle de Aplicativo de Acesso Condicional está selecionado.
   • Na lista suspensa de políticas internas, Monitor somente está selecionado

3. Certifique-se de navegar para o aplicativo em uma nova sessão do navegador usando um novo modo de navegação anônima ou entrando novamente.

Estado da aplicação: Continuar a configuração

O status de um aplicativo pode variar e pode incluir Continuar configuração, Conectado ou Sem atividades.

Para aplicativos conectados por meio de provedores de identidade não Microsoft (IdP), se a configuração não estiver concluída, ao acessar o aplicativo, você verá uma página com o status de Continuar a Instalação. Use as etapas a seguir para concluir a configuração.

Passos recomendados

1. Selecione Continuar configuração.

2. Percorra o guia de implantação e verifique se você concluiu todas as etapas. Preste especial atenção às seguintes notas:

   1. Certifique-se de criar um novo aplicativo SAML personalizado. Você precisa deste aplicativo para alterar as URLs e os atributos SAML que podem não estar disponíveis em aplicativos de galeria.
   2. Se o seu provedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID de Entidade ou Audiência, altere o identificador do aplicativo original.

Não é possível configurar controles para aplicativos nativos

Os aplicativos nativos podem ser detetados heuristicamente e você pode usar políticas de acesso para monitorá-los ou bloqueá-los. Use as etapas a seguir para configurar controles para aplicativos nativos.

Passos recomendados

1. Em uma política de acesso, adicione um filtro de aplicativo cliente e defina-o como Móvel e área de trabalho.

2. Em Ações, selecione Bloquear.

3. Opcionalmente, personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos. Por exemplo, personalize esta mensagem para Você deve usar um navegador da Web para acessar este aplicativo.

4. Teste e valide se o controle está funcionando conforme o esperado.

A página do aplicativo não é reconhecida é exibida

O Defender for Cloud Apps pode reconhecer mais de 31.000 aplicativos por meio do Cloud App Catalog.

Se estiver a utilizar uma aplicação personalizada configurada através do Microsoft Entra SSO e não for uma das aplicações suportadas, deparar-se-á com uma página A aplicação não é reconhecida . Para resolver o problema, você deve configurar o aplicativo no Controle de Aplicativo de Acesso Condicional.

Passos recomendados

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

2. No banner, selecione Exibir novos aplicativos.

3. Na lista de novas aplicações, localize a aplicação que está a integrar, selecione o + sinal e, em seguida, selecione Adicionar.

   1. Selecione se o aplicativo é personalizado ou padrão.
   2. Continue pelo assistente, certifique-se de que os domínios definidos pelo usuário especificados estão corretos para o aplicativo que você está configurando.

4. Verifique se o aplicativo aparece na página Aplicativos de Controle de Aplicativo de Acesso Condicional.

A opção Solicitar controle de sessão é exibida

Depois de adicionar um aplicativo, você poderá ver a opção Solicitar controle de sessão. Isso ocorre porque apenas os aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outro aplicativo, você deve passar por um processo de autointegração.

Passos recomendados

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

2. Em Controlo de Aplicações de Acesso Condicional, selecione Integração/manutenção de aplicações.

3. Introduza o nome principal do utilizador ou o e-mail dos utilizadores que irão integrar a aplicação e, em seguida, selecione Guardar.

4. Aceda à aplicação que está a implementar. A página que você vê depende se o aplicativo é reconhecido. Siga um destes procedimentos, dependendo da página exibida:

   • Não reconhecido. Você vê uma página Aplicativo não reconhecido que solicita que você configure seu aplicativo. Efetue os seguintes passos:

     1. Adicione o aplicativo ao Controle de Aplicativo de Acesso Condicional.
     2. Adicione os domínios para o aplicativo e, em seguida, retorne ao aplicativo e atualize a página.
     3. Instale os certificados para o aplicativo.

   • Reconhecido. Se seu aplicativo for reconhecido, você verá uma página de integração solicitando que você continue o processo de configuração do aplicativo. Para obter mais informações, consulte Implantar o controle de aplicativo de acesso condicional para aplicativos personalizados usando a ID do Microsoft Entra.

     Verifique se o aplicativo está configurado com todos os domínios necessários para que o aplicativo funcione corretamente. Para configurar domínios extras, prossiga para Adicionar os domínios para o aplicativo e retorne à página do aplicativo.

Mais considerações para aplicativos de integração

Ao solucionar problemas de aplicativos de integração, lembre-se de que os aplicativos no Controle de Aplicativo de Acesso Condicional não se alinham com os aplicativos do Microsoft Entra.

Os nomes dos aplicativos no Microsoft Entra ID e no Defender for Cloud Apps podem diferir com base nas maneiras como os produtos identificam os aplicativos.

• O Defender for Cloud Apps identifica aplicativos que usam os domínios do aplicativo e os adiciona ao catálogo de aplicativos na nuvem, onde temos mais de 31.000 aplicativos. Dentro de cada aplicativo, você pode visualizar ou adicionar ao subconjunto de domínios.

• Por outro lado, o Microsoft Entra ID identifica aplicativos que usam entidades de serviço. Para obter mais informações, consulte Objetos principais de aplicativo e serviço na ID do Microsoft Entra.

Na prática, essa diferença significa que selecionar o SharePoint Online no Microsoft Entra ID é equivalente a selecionar aplicativos, como o Word Online e o Teams, no Defender for Cloud Apps, porque todos os aplicativos usam o sharepoint.com domínio.

Problemas ao criar políticas de acesso e sessão

O Defender for Cloud Apps fornece as seguintes políticas configuráveis:

• Políticas de acesso: usadas para monitorar ou bloquear o acesso a aplicativos de navegador, dispositivos móveis e/ou desktop.
• Políticas de sessão. Usado para monitorar, bloquear e executar ações específicas para evitar cenários de infiltração e exfiltração de dados no navegador.

Para usar essas políticas no Defender for Cloud Apps, você deve primeiro configurar uma política no Acesso Condicional do Microsoft Entra para estender os controles de sessão:

1. Na política do Microsoft Entra, em Controles de acesso, selecione Controle de Aplicativo de Acesso Condicional de Uso de Sessão>.

2. Selecione uma política interna (Monitorar somente ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Defender for Cloud Apps.

3. Selecione Selecionar para continuar.

Os cenários comuns que você pode encontrar ao configurar essas políticas incluem:

• Nas políticas de Acesso Condicional, não é possível ver a opção Controlo de Aplicação de Acesso Condicional
• Mensagem de erro ao criar uma política: você não tem nenhum aplicativo implantado com o Controle de Aplicativo de Acesso Condicional
• Não é possível criar políticas de sessão para um aplicativo
• Não é possível escolher Método de inspeção: Serviço de classificação de dados
• Não é possível escolher Ação: Proteger
• Considerações adicionais

Nas políticas de Acesso Condicional, não é possível ver a opção Controlo de Aplicação de Acesso Condicional

Para rotear sessões para o Defender for Cloud Apps, as políticas de Acesso Condicional do Microsoft Entra devem ser configuradas para incluir controles de sessão do Controle de Aplicativo de Acesso Condicional.

Passos recomendados

Se não vir a opção Controlo de Aplicação de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para o Microsoft Entra ID P1 e uma licença válida do Defender for Cloud Apps.

Mensagem de erro ao criar uma política: você não tem nenhum aplicativo implantado com o Controle de Aplicativo de Acesso Condicional

Ao criar uma política de acesso ou sessão, poderá ver a seguinte mensagem de erro: Você não tem nenhum aplicativo implantado com o Controle de Aplicativo de Acesso Condicional. Esse erro indica que o aplicativo não foi implantado.

Passos recomendados

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

2. Se você vir a mensagem Nenhum aplicativo conectado, use os seguintes guias para implantar aplicativos:

   • Implantar aplicativos de catálogo que tenham o controle de sessão habilitado
   • Implante aplicativos de linha de negócios personalizados, aplicativos SaaS sem recursos e aplicativos locais hospedados por meio do proxy de aplicativo Microsoft Entra com controles de sessão

Se você tiver algum problema durante a implantação do aplicativo, consulte Problemas ao integrar um aplicativo.

Não é possível criar políticas de sessão para um aplicativo

Depois de adicionar um aplicativo personalizado, na página Aplicativos de Controle de Aplicativo de Acesso Condicional, você poderá ver a opção: Solicitar controle de sessão.

Nota

Os aplicativos de catálogo têm controles de sessão prontos para uso. Para quaisquer outros aplicativos, você deve passar por um processo de autointegração. Para obter mais informações, consulte Aplicativos pré-integrados.

Passos recomendados

1. Implante seu aplicativo no controle de sessão. Para obter mais informações, consulte Implantar aplicativos de linha de negócios personalizados, aplicativos SaaS sem recursos e aplicativos locais hospedados por meio do proxy de aplicativo Microsoft Entra com controles de sessão.

2. Crie uma política de sessão e selecione o Filtro de aplicativo .

3. Verifique se seu aplicativo agora está listado na lista suspensa.

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Nas políticas de sessão, ao usar o tipo de controle de sessão de download de arquivo de controle (com inspeção), você pode usar o método de inspeção do Serviço de Classificação de Dados para verificar seus arquivos em tempo real e detetar conteúdo confidencial que corresponda a qualquer um dos critérios configurados.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, use as etapas a seguir para investigar o problema.

Passos recomendados

1. Verifique se o tipo de controle de sessão está definido como Download de arquivo de controle (com inspeção).

   Nota

   O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Download do arquivo de controle (com inspeção ).

2. Determine se o recurso Serviço de Classificação de Dados está disponível na sua região:

   • Se o recurso não estiver disponível na sua região, use o método de inspeção DLP integrado.
   • Se o recurso estiver disponível em sua região, mas você ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados, abra um tíquete de suporte.

Não é possível escolher Ação: Proteger

Nas políticas de sessão, ao usar o tipo de controle de sessão Download de arquivo de controle (com inspeção), além das ações Monitorar e Bloquear , você pode especificar a ação Proteger . Essa ação permite que você permita downloads de arquivos com a opção de criptografar ou aplicar permissões ao arquivo com base em condições, inspeção de conteúdo ou ambas.

Se a ação Proteger não estiver disponível, use as etapas a seguir para investigar o problema.

Passos recomendados

1. Se a ação Proteger não estiver disponível ou estiver acinzentada, verifique se você tem a licença do Azure Information Protection (AIP) Premium P1. Para obter mais informações, consulte Integração da Proteção de Informações do Microsoft Purview.

2. Se a ação Proteger estiver disponível, mas não estiver vendo os rótulos apropriados.

   1. No Defender for Cloud Apps, na barra de menus, selecione o ícone >de configurações Proteção de Informações da Microsoft e verifique se a integração está ativada.

   2. Para etiquetas do Office, no portal AIP, certifique-se de que a opção Etiquetagem Unificada está selecionada.

Mais considerações para aplicativos de integração

Ao solucionar problemas para aplicativos de integração, há algumas coisas extras a serem consideradas.

• Entenda a diferença entre as configurações da política de Acesso Condicional do Microsoft Entra: "Apenas monitor", "Bloquear downloads" e "Usar política personalizada"

  Nas políticas de Acesso Condicional do Microsoft Entra, você pode configurar os seguintes controles internos do Defender for Cloud Apps: Monitorar somente e Bloquear downloads. Essas configurações se aplicam e impõem o recurso de proxy do Defender for Cloud Apps para aplicativos em nuvem e condições configuradas no ID do Microsoft Entra.

  Para políticas mais complexas, selecione Usar política personalizada, que permite configurar políticas de acesso e sessão no Defender for Cloud Apps.

• Compreender a opção de filtro de aplicativo cliente "Mobile and desktop" nas políticas de acesso

  Nas políticas de acesso do Defender for Cloud Apps, a menos que o filtro Aplicativo cliente esteja definido como Móvel e desktop, a política de acesso resultante se aplica às sessões do navegador.

  A razão para isso é evitar o proxy inadvertido de sessões de usuário, o que pode ser um subproduto do uso desse filtro.

Diagnosticar e solucionar problemas com a barra de ferramentas Admin View

A barra de ferramentas Visualização do administrador fica na parte inferior da tela e fornece ferramentas para que os usuários administradores diagnostiquem e solucionem problemas com o Controle de Aplicativo de Acesso Condicional.

Para exibir a barra de ferramentas Modo de Exibição de Administrador, você deve adicionar contas de usuário administrador específicas à lista de integração/manutenção de aplicativos nas configurações do Microsoft Defender XDR.

Para adicionar um utilizador à lista de integração/manutenção da aplicação:

1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

2. Desloque-se para baixo e, em Controlo de Aplicação de Acesso Condicional, selecione Integração/manutenção da aplicação.

3. Digite o nome principal ou o endereço de e-mail do usuário administrador que você deseja adicionar.

4. Selecione a opção Permitir que esses usuários ignorem o Controle de Aplicativo de Acesso Condicional de dentro de uma sessão por proxy e selecione Salvar.

   Por exemplo:

   

Da próxima vez que um dos utilizadores listados iniciar uma nova sessão numa aplicação suportada em que seja administrador, a barra de ferramentas Visualização do administrador é apresentada na parte inferior do browser.

Por exemplo, a imagem a seguir mostra a barra de ferramentas Modo de Exibição de Administrador exibida na parte inferior de uma janela do navegador, ao usar o OneNote no navegador:

As seções a seguir descrevem como usar a barra de ferramentas Admin View para testar e solucionar problemas.

Modo de teste

Como um usuário administrador, você pode querer testar as próximas correções de bugs de proxy antes que a versão mais recente seja totalmente implementada para todos os locatários. Forneça seus comentários sobre a correção de bugs à equipe de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando no modo de teste, apenas os usuários administradores são expostos a quaisquer alterações fornecidas nas correções de bugs. Não há efeito sobre outros usuários.

• Para ativar o modo de teste, na barra de ferramentas Visualização do administrador, selecione Modo de teste.
• Quando terminar o teste, selecione Terminar Modo de teste para retornar à funcionalidade regular.

Ignorar sessão de proxy

Se você tiver dificuldade para acessar ou carregar seu aplicativo, convém verificar se o problema é com o proxy de acesso condicional executando o aplicativo sem o proxy.

Para ignorar o proxy, na barra de ferramentas Visualização do administrador, selecione Ignorar experiência. Confirme se a sessão foi ignorada, observando que a URL não é sufixada.

O proxy de acesso condicional é usado novamente na próxima sessão.

Para obter mais informações, consulte Controle de aplicativo de acesso condicional do Microsoft Defender for Cloud Apps e Proteção no navegador com o Microsoft Edge for Business (Visualização).

Gravar uma sessão

Você pode querer ajudar a análise da causa raiz de um problema enviando uma gravação de sessão para os engenheiros de suporte da Microsoft. Use a barra de ferramentas Admin View para gravar sua sessão.

Nota

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

1. Na barra de ferramentas Visualização do administrador, selecione Gravar sessão. Quando solicitado, selecione Continuar para aceitar os termos. Por exemplo:

   

2. Inicie sessão na sua aplicação, se necessário, para começar a simular a sessão.

3. Quando terminar de gravar o cenário, certifique-se de selecionar Parar gravação na barra de ferramentas Admin View .

Para ver as suas sessões gravadas:

Depois de concluir a gravação, visualize as sessões gravadas selecionando Gravações da sessão na barra de ferramentas Visualização do administrador. É apresentada uma lista de sessões gravadas das 48 horas anteriores. Por exemplo:

Para gerenciar suas gravações, selecione um arquivo e, em seguida, selecione Excluir ou Baixar , conforme necessário. Por exemplo:

Próximos passos

Para obter mais informações, consulte Solução de problemas de acesso e controles de sessão para usuários finais.