Partilhar via


Solução de problemas de acesso e controles de sessão para usuários administradores

Este artigo fornece aos administradores do Microsoft Defender for Cloud Apps orientações sobre como investigar e resolver problemas comuns de acesso e controle de sessão, conforme experimentado pelos administradores.

Nota

Qualquer solução de problemas relacionada à funcionalidade de proxy só é relevante para sessões que não estão configuradas para proteção no navegador com o Microsoft Edge.

Verificar requisitos mínimos

Antes de iniciar a solução de problemas, verifique se seu ambiente atende aos seguintes requisitos gerais mínimos para controles de acesso e sessão.

Requisito Description
Licenciamento Certifique-se de que tem uma licença válida para o Microsoft Defender for Cloud Apps.
Logon único (SSO) Os aplicativos devem ser configurados com uma das soluções de SSO suportadas:

- Microsoft Entra ID usando SAML 2.0 ou OpenID Connect 2.0
- IdP não-Microsoft usando SAML 2.0
Suporte do navegador Os controles de sessão estão disponíveis para sessões baseadas em navegador nas versões mais recentes dos seguintes navegadores:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Safari da Apple

A proteção no navegador para o Microsoft Edge também tem requisitos específicos, incluindo o usuário conectado com seu perfil de trabalho. Para obter mais informações, consulte Requisitos de proteção no navegador.
Tempo de inatividade O Defender for Cloud Apps permite definir o comportamento padrão a ser aplicado se houver uma interrupção do serviço, como um componente que não funciona corretamente.

Por exemplo, quando os controles de política normais não podem ser aplicados, você pode optar por proteger (bloquear) ou ignorar (permitir) que os usuários realizem ações em conteúdo potencialmente confidencial.

Para configurar o comportamento padrão durante o tempo de inatividade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo>de Acesso Condicional Comportamento>padrão Permitir ou Bloquear acesso.

Requisitos de proteção no navegador

Se você estiver usando a proteção no navegador com o Microsoft Edge e ainda estiver sendo atendido por um proxy reverso, verifique se você atende aos seguintes requisitos adicionais:

  • O recurso está ativado nas configurações do Defender XDR. Para obter mais informações, consulte Definir configurações de proteção no navegador.

  • Todas as políticas pelas quais o usuário é coberto são suportadas pelo Microsoft Edge for Business. Se um usuário for atendido por outra política que não é suportada pelo Microsoft Edge for Business, ele sempre será atendido pelo proxy reverso. Para obter mais informações, consulte Requisitos de proteção no navegador.

  • Você está usando uma plataforma compatível, incluindo um sistema operacional compatível, uma plataforma de identidade e uma versão do Edge. Para obter mais informações, consulte Requisitos de proteção no navegador.

Referência de solução de problemas para administradores

Use a tabela a seguir para localizar o problema que você está tentando solucionar:

Tipo de problema Problemas
Problemas de condição de rede Erros de rede ao navegar para uma página do navegador

Entradas lentas

Mais considerações sobre as condições da rede
Problemas de identificação do dispositivo Dispositivos compatíveis com o Intune ou com o Microsoft Entra integrados incorretamente

Os certificados de cliente não são solicitados quando esperado

Os certificados de cliente não são solicitados quando esperado
Os certificados de cliente são solicitados a cada entrada

Mais considerações para a identificação do dispositivo
Problemas ao integrar um aplicativo O aplicativo não aparece na página de aplicativos de controle de aplicativo de acesso condicional

Status do aplicativo: Continuar a configuração Não é possível configurar controles para aplicativos nativos

A opção Solicitar controle de sessão é exibida
Problemas ao criar políticas de acesso e sessão Nas políticas de Acesso Condicional, não é possível ver a opção de controlo da aplicação de acesso condicional

Mensagem de erro ao criar uma política: você não tem nenhum aplicativo implantado com controle de aplicativo de acesso condicional

Não é possível criar políticas de sessão para um aplicativo

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Não é possível escolher Ação: Proteger

Mais considerações para aplicativos de integração
Diagnosticar e solucionar problemas com a barra de ferramentas Admin View Ignorar sessão de proxy

Gravar uma sessão

Adicionar domínios para seu aplicativo

Problemas de condição de rede

Problemas comuns de condição de rede que você pode encontrar incluem:

Erros de rede ao navegar para uma página do navegador

Quando você configura pela primeira vez os controles de acesso e sessão do Defender for Cloud Apps para um aplicativo, os erros comuns de rede que podem surgir incluem: Este site não é seguro e não há conexão com a Internet. Essas mensagens podem indicar um erro geral de configuração de rede.

Passos recomendados

  1. Configure seu firewall para funcionar com o Defender for Cloud Apps usando os endereços IP do Azure e nomes DNS relevantes para seu ambiente.

    1. Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para o seu centro de dados do Defender for Cloud Apps.
    2. Reinicie o dispositivo e a sessão do navegador
    3. Verifique se o início de sessão está a funcionar como esperado
  2. Ative o TLS 1.2 nas opções de internet do seu navegador. Por exemplo:

    Browser Passos
    Microsoft Internet Explorer 1. Abra o Internet Explorer
    2. Selecione Ferramentas>Guia>Opções da Internet Advance
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o navegador e verifique se você pode acessar o aplicativo
    Microsoft Edge / Edge Chromium 1. Abra a pesquisa a partir da barra de tarefas e procure por "Opções da Internet"
    2. Selecione Opções da Internet
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o navegador e verifique se você pode acessar o aplicativo
    Google Chrome 1. Abra o Google Chrome
    2. No canto superior direito, selecione Mais (3 pontos verticais) >Configurações
    3. Na parte inferior, selecione Avançado
    4. Em Sistema, selecione Abrir configurações de proxy
    5. Na guia Avançado , em Segurança, selecione TLS 1.2
    6. Selecione OK
    7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
    Mozilla Firefox 1. Abra o Mozilla Firefox
    2. Na barra de endereço e procure por "about:config"
    3. Na caixa Pesquisar, procure por "TLS"
    4. Clique duas vezes na entrada security.tls.version.min
    5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária
    6. Selecione Salvar (marca de seleção à direita da caixa de valor)
    7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
    Safári Se estiver a utilizar o Safari versão 7 ou superior, o TLS 1.2 é ativado automaticamente

O Defender for Cloud Apps usa os protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria:

  • Aplicativos e navegadores cliente nativos que não suportam TLS 1.2+ não são acessíveis quando configurados com controle de sessão.
  • Os aplicativos SaaS que usam TLS 1.1 ou inferior aparecem no navegador como usando TLS 1.2+ quando configurados com o Defender for Cloud Apps.

Gorjeta

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, suportamos as versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Talvez você queira bloquear ou permitir o acesso especificamente a aplicativos móveis ou de desktop.

Entradas lentas

Encadeamento de proxy e manipulação de não-ces são alguns dos problemas comuns que podem resultar em desempenho de entrada lento.

Passos recomendados

Configure seu ambiente para remover quaisquer fatores que possam estar causando lentidão durante o login. Por exemplo, você pode ter firewalls ou encadeamento de proxy de encaminhamento configurado, que conecta dois ou mais servidores proxy para navegar até a página pretendida. Você também pode ter outros fatores externos que afetam a lentidão.

  1. Identifique se o encadeamento de proxy está ocorrendo em seu ambiente.
  2. Remova todos os proxies de encaminhamento sempre que possível.

Alguns aplicativos usam um hash nonce durante a autenticação para evitar ataques de repetição. Por padrão, o Defender for Cloud Apps pressupõe que um aplicativo usa um nonce. Se o aplicativo com o qual você está trabalhando não usar nonce, desative o nonce-handling para este aplicativo no Defender for Cloud Apps:

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.
  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
  3. Na lista de aplicações, na linha em que a aplicação que está a configurar é apresentada, selecione os três pontos no final da linha e, em seguida, selecione Editar para a sua aplicação.
  4. Selecione Nonce-handling para expandir a seção e, em seguida, desmarque Enable nonce handling.
  5. Saia do aplicativo e feche todas as sessões do navegador.
  6. Reinicie o navegador e inicie sessão na aplicação novamente. Verifique se o início de sessão está a funcionar conforme esperado.

Mais considerações sobre as condições da rede

Ao solucionar problemas de condições de rede, considere também as seguintes observações sobre o proxy do Defender for Cloud Apps:

  • Verifique se a sua sessão está a ser encaminhada para outro centro de dados: o Defender for Cloud Apps utiliza os Data Centers do Azure em todo o mundo para otimizar o desempenho através da geolocalização.

    Isso significa que a sessão de um usuário pode ser hospedada fora de uma região, dependendo dos padrões de tráfego e de sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

  • Desempenho do proxy: a derivação de uma linha de base de desempenho depende de muitos fatores fora do proxy do Defender for Cloud Apps, como:

    • Que outros proxies ou gateways ficam em série com esse proxy
    • De onde vem o utilizador
    • Onde reside o recurso visado
    • Pedidos específicos na página

    Em geral, qualquer proxy adiciona latência. As vantagens do proxy do Defender for Cloud Apps são:

    • Usando a disponibilidade global dos controladores de domínio do Azure para geolocalizar os usuários para o nó mais próximo e reduzir a distância de ida e volta. Os controladores de domínio do Azure podem geolocalizar em uma escala que poucos serviços em todo o mundo têm.

    • Usando a integração com o Microsoft Entra Conditional Access para encaminhar apenas as sessões que você deseja proxy para o nosso serviço, em vez de todos os usuários em todas as situações.

Problemas de identificação do dispositivo

O Defender for Cloud Apps fornece as seguintes opções para identificar o estado de gerenciamento de um dispositivo.

  • Conformidade com o Microsoft Intune
  • Domínio híbrido do Microsoft Entra ingressado
  • Certificados de cliente

Para obter mais informações, consulte Dispositivos gerenciados por identidade com controle de aplicativo de Acesso Condicional.

Os problemas comuns de identificação de dispositivos que você pode encontrar incluem:

Dispositivos compatíveis com o Intune ou com o Microsoft Entra integrados incorretamente

O Acesso Condicional do Microsoft Entra permite que as informações de dispositivos associados ao Intune e híbridos do Microsoft Entra sejam passadas diretamente para o Defender for Cloud Apps. No Defender for Cloud Apps, use o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais informações, consulte Introdução ao gerenciamento de dispositivos no Microsoft Entra ID.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

  2. Em Controlo de Aplicação de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação do dispositivo disponíveis no Defender for Cloud Apps.

  3. Para identificação de dispositivo compatível com o Intune e identificação de associação híbrida do Microsoft Entra, respetivamente, selecione Ver configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir do Microsoft Entra ID e do Intune, respetivamente.

  4. Crie uma política de acesso ou sessão com o filtro Marca de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos.

  5. Num browser, inicie sessão num dispositivo que seja associado ao Microsoft Entra híbrido ou compatível com o Intune com base no seu filtro de política.

  6. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender for Cloud Apps, na página Registo de atividades, filtre a Etiqueta de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos com base nos seus filtros de política.

  7. Se as atividades não estiverem sendo preenchidas no registro de atividades do Defender for Cloud Apps, vá para o ID do Microsoft Entra e execute as seguintes etapas:

    1. Em Monitorando>Entradas, verifique se há atividades de entrada nos logs.

    2. Selecione a entrada de registo relevante para o dispositivo em que iniciou sessão.

    3. No painel Detalhes, no separador Informações do dispositivo, verifique se o dispositivo é Gerido (associado ao AAD Híbrido) ou Compatível (compatível com o Intune).

      Se não conseguir verificar nenhum dos estados, tente outra entrada de registo ou certifique-se de que os dados do dispositivo estão configurados corretamente no ID do Microsoft Entra.

    4. Para o Acesso Condicional, alguns navegadores podem exigir configuração extra, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de Acesso Condicional.

    5. Se você ainda não vir as informações do dispositivo na página Entradas, abra um tíquete de suporte para o Microsoft Entra ID.

Os certificados de cliente não são solicitados quando esperado

O mecanismo de identificação de dispositivos pode solicitar autenticação de dispositivos relevantes usando certificados de cliente. Você pode carregar um certificado de autoridade de certificação (CA) raiz ou intermediária X.509, formatado no formato de certificado PEM.

Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados de cliente apresentados durante uma sessão. Para obter mais informações, consulte Verificar o gerenciamento de dispositivos sem o Microsoft Entra.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

  2. Em Controlo de Aplicação de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis com o Defender for Cloud Apps.

  3. Verifique se você carregou um certificado de autoridade de certificação raiz ou intermediária X.509. Você deve carregar o certificado da autoridade de certificação usado para assinar sua autoridade de certificação.

  4. Crie uma política de acesso ou sessão com o filtro Device Tag igual a Valid client certificate.

  5. Certifique-se de que o seu certificado de cliente é:

    • Implantado usando o formato de arquivo PKCS #12, normalmente uma extensão de arquivo .p12 ou .pfx
    • Instalado no repositório do usuário, não no repositório do dispositivo, do dispositivo que você está usando para teste
  6. Reinicie a sessão do navegador.

  7. Ao iniciar sessão na aplicação protegida:

    • Verifique se você foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Se estiver a utilizar o iOS, certifique-se de que está a utilizar o navegador Safari.
    • Se você estiver usando o Firefox, você também deve adicionar o certificado ao próprio armazenamento de certificados do Firefox. Todos os outros navegadores usam o mesmo armazenamento de certificados padrão.
  8. Valide se o certificado do cliente é solicitado no navegador.

    Se não aparecer, tente um navegador diferente. A maioria dos principais navegadores suporta a realização de uma verificação de certificado de cliente. No entanto, os aplicativos móveis e de desktop geralmente usam navegadores internos que podem não suportar essa verificação e, portanto, afetar a autenticação para esses aplicativos.

  9. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender for Cloud Apps, na página Registro de atividades , adicione um filtro na Device Tag igual ao certificado de cliente válido.

  10. Se você ainda não vir o prompt, abra um tíquete de suporte e inclua as seguintes informações:

    • Os detalhes do navegador ou aplicativo nativo onde você teve o problema
    • A versão do sistema operacional, como iOS/Android/Windows 10
    • Mencione se o prompt está funcionando no Microsoft Edge Chromium

Os certificados de cliente são solicitados a cada entrada

Se o certificado do cliente aparecer depois de abrir uma nova guia, isso pode ser devido às configurações ocultas nas Opções da Internet. Verifique as suas definições no navegador. Por exemplo:

No Microsoft Internet Explorer:

  1. Abra o Internet Explorer e selecione a guia Ferramentas>Opções>da Internet Avançadas.
  2. Em Segurança, selecione Não solicitar a seleção de Certificado de Cliente quando existir> apenas um certificado Selecione Aplicar>OK.
  3. Reinicie o navegador e verifique se você pode acessar o aplicativo sem as solicitações extras.

No Microsoft Edge / Edge Chromium:

  1. Abra a pesquisa na barra de tarefas e procure Opções da Internet.
  2. Selecione Opções>da Internet Segurança>Intranet>local Nível personalizado.
  3. Em Diversos>Não solicitar a seleção de Certificado de Cliente quando existir apenas um certificado, selecione Desabilitar.
  4. Selecione OK>Aplicar>OK.
  5. Reinicie o navegador e verifique se você pode acessar o aplicativo sem as solicitações extras.

Mais considerações para a identificação do dispositivo

Ao solucionar problemas de identificação de dispositivos, você pode exigir a revogação de certificados para certificados de cliente.

Os certificados revogados pela autoridade de certificação não são mais confiáveis. Selecionar essa opção requer que todos os certificados passem pelo protocolo CRL. Se o certificado do cliente não contiver um ponto de extremidade de CRL, você não poderá se conectar a partir do dispositivo gerenciado.

Problemas ao integrar um aplicativo

Os aplicativos Microsoft Entra ID são automaticamente integrados ao Defender for Cloud Apps for Conditional Access e controles de sessão. Você deve integrar manualmente aplicativos IdP que não sejam da Microsoft, incluindo aplicativos de catálogo e personalizados.

Para obter mais informações, consulte:

Os cenários comuns que você pode encontrar ao integrar um aplicativo incluem:

O aplicativo não aparece na página de aplicativos de controle de aplicativo de acesso condicional

Ao integrar um aplicativo IdP que não seja da Microsoft ao controle de aplicativo de acesso condicional, a etapa final de implantação é fazer com que o usuário final navegue até o aplicativo. Siga os passos nesta secção se a aplicação não estiver a aparecer na página Aplicações na nuvem Aplicações > na nuvem > Aplicações ligadas > Acesso condicional Aplicações de controlo de aplicações esperadas.

Passos recomendados

  1. Verifique se seu aplicativo atende aos seguintes pré-requisitos de controle de aplicativo de Acesso Condicional:

    • Certifique-se de que tem uma licença válida do Defender for Cloud Apps.
    • Crie um aplicativo duplicado.
    • Certifique-se de que o aplicativo usa o protocolo SAML.
    • Valide se você integrou totalmente o aplicativo e se o status do aplicativo é Conectado.
  2. Certifique-se de navegar para o aplicativo em uma nova sessão do navegador usando um novo modo de navegação anônima ou entrando novamente.

Nota

As aplicações Entra ID só aparecem na página Aplicações de Controlo de Aplicações de Acesso Condicional depois de estarem configuradas em pelo menos uma política ou se tiver uma política sem qualquer especificação de aplicação e um utilizador tiver iniciado sessão na aplicação.

Estado da aplicação: Continuar a configuração

O status de um aplicativo pode variar e pode incluir Continuar configuração, Conectado ou Sem atividades.

Para aplicativos conectados por meio de provedores de identidade não Microsoft (IdP), se a configuração não estiver concluída, ao acessar o aplicativo, você verá uma página com o status de Continuar a Instalação. Use as etapas a seguir para concluir a configuração.

Passos recomendados

  1. Selecione Continuar configuração.

  2. Reveja os seguintes artigos e verifique se concluiu todos os passos necessários:

    Preste especial atenção aos seguintes passos:

    1. Certifique-se de criar um novo aplicativo SAML personalizado. Você precisa deste aplicativo para alterar as URLs e os atributos SAML que podem não estar disponíveis em aplicativos de galeria.
    2. Se o seu provedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID de Entidade ou Audiência, altere o identificador do aplicativo original.

Não é possível configurar controles para aplicativos internos

As aplicações incorporadas podem ser detetadas heuristicamente e pode utilizar políticas de acesso para as monitorizar ou bloquear. Use as etapas a seguir para configurar controles para aplicativos nativos.

Passos recomendados

  1. Em uma política de acesso, adicione um filtro de aplicativo cliente e defina-o como Móvel e área de trabalho.

  2. Em Ações, selecione Bloquear.

  3. Opcionalmente, personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos. Por exemplo, personalize esta mensagem para Você deve usar um navegador da Web para acessar este aplicativo.

  4. Teste e valide se o controle está funcionando conforme o esperado.

A página do aplicativo não é reconhecida é exibida

O Defender for Cloud Apps pode reconhecer mais de 31.000 aplicativos por meio do catálogo de aplicativos na nuvem.

Se estiver a utilizar uma aplicação personalizada configurada através do Microsoft Entra SSO e não for uma das aplicações suportadas, deparar-se-á com uma página A aplicação não é reconhecida . Para resolver o problema, você deve configurar o aplicativo com o controle de aplicativo Acesso Condicional.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. No banner, selecione Exibir novos aplicativos.

  3. Na lista de novas aplicações, localize a aplicação que está a integrar, selecione o + sinal e, em seguida, selecione Adicionar.

    1. Selecione se o aplicativo é personalizado ou padrão.
    2. Continue pelo assistente, certifique-se de que os domínios definidos pelo usuário especificados estão corretos para o aplicativo que você está configurando.
  4. Verifique se o aplicativo aparece na página Aplicativos de Controle de Aplicativo de Acesso Condicional.

A opção Solicitar controle de sessão é exibida

Depois de integrar um aplicativo IdP que não seja da Microsoft, você poderá ver a opção Solicitar controle de sessão. Isso ocorre porque apenas os aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outro aplicativo, você deve passar por um processo de autointegração.

Siga as instruções em Implantar controle de aplicativo de Acesso Condicional para aplicativos personalizados com IdPs que não sejam da Microsoft.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Integração/manutenção de aplicações.

  3. Introduza o nome principal ou o e-mail do utilizador que irá integrar a aplicação e, em seguida, selecione Guardar.

  4. Aceda à aplicação que está a implementar. A página que você vê depende se o aplicativo é reconhecido. Siga um destes procedimentos, dependendo da página exibida:

    • Não reconhecido. Você vê uma página Aplicativo não reconhecido que solicita que você configure seu aplicativo. Efetue os seguintes passos:

      1. Integre o aplicativo para controle de aplicativo de Acesso Condicional.
      2. Adicione os domínios para o aplicativo.
      3. Instale os certificados do aplicativo.
    • Reconhecido. Se seu aplicativo for reconhecido, você verá uma página de integração solicitando que você continue o processo de configuração do aplicativo.

      Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente e, em seguida, regresse à página da aplicação.

Mais considerações para aplicativos de integração

Ao solucionar problemas para aplicativos de integração, há algumas coisas extras a serem consideradas.

  • Entenda a diferença entre as configurações da política de Acesso Condicional do Microsoft Entra: "Apenas monitor", "Bloquear downloads" e "Usar política personalizada"

    Nas políticas de Acesso Condicional do Microsoft Entra, você pode configurar os seguintes controles internos do Defender for Cloud Apps: Monitorar somente e Bloquear downloads. Essas configurações se aplicam e impõem o recurso de proxy do Defender for Cloud Apps para aplicativos em nuvem e condições configuradas no ID do Microsoft Entra.

    Para políticas mais complexas, selecione Usar política personalizada, que permite configurar políticas de acesso e sessão no Defender for Cloud Apps.

  • Compreender a opção de filtro de aplicativo cliente "Mobile and desktop" nas políticas de acesso

    Nas políticas de acesso do Defender for Cloud Apps, a menos que o filtro Aplicativo cliente esteja definido como Móvel e desktop, a política de acesso resultante se aplica às sessões do navegador.

    A razão para isso é evitar o proxy inadvertido de sessões de usuário, o que pode ser um subproduto do uso desse filtro.

Problemas ao criar políticas de acesso e sessão

O Defender for Cloud Apps fornece as seguintes políticas configuráveis:

  • Políticas de acesso: usadas para monitorar ou bloquear o acesso a aplicativos de navegador, dispositivos móveis e/ou desktop.
  • Políticas de sessão. Usado para monitorar, bloquear e executar ações específicas para evitar cenários de infiltração e exfiltração de dados no navegador.

Para usar essas políticas no Defender for Cloud Apps, você deve primeiro configurar uma política no Acesso Condicional do Microsoft Entra para estender os controles de sessão:

  1. Na política do Microsoft Entra, em Controles de acesso, selecione Controle de Aplicativo de Acesso Condicional de Uso de Sessão>.

  2. Selecione uma política interna (Monitorar somente ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Defender for Cloud Apps.

  3. Selecione Selecionar para continuar.

Os cenários comuns que você pode encontrar ao configurar essas políticas incluem:

Nas políticas de Acesso Condicional, não é possível ver a opção de controlo da aplicação de acesso condicional

Para rotear sessões para o Defender for Cloud Apps, as políticas de Acesso Condicional do Microsoft Entra devem ser configuradas para incluir controles de sessão de controle de aplicativo de acesso condicional.

Passos recomendados

Se não vir a opção Controlo de Aplicação de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para o Microsoft Entra ID P1 e uma licença válida do Defender for Cloud Apps.

Mensagem de erro ao criar uma política: você não tem nenhum aplicativo implantado com controle de aplicativo de acesso condicional

Ao criar uma política de acesso ou sessão, poderá ver a seguinte mensagem de erro: Você não tem nenhum aplicativo implantado com controle de aplicativo de acesso condicional. Esse erro indica que o aplicativo é um aplicativo IdP que não é da Microsoft que não foi integrado para o controle de aplicativo de Acesso Condicional.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. Se você vir a mensagem Nenhum aplicativo conectado, use os seguintes guias para implantar aplicativos:

Se você tiver algum problema durante a implantação do aplicativo, consulte Problemas ao integrar um aplicativo.

Não é possível criar políticas de sessão para um aplicativo

Depois de integrar um aplicativo IdP que não seja da Microsoft para controle de aplicativo de Acesso Condicional, na página de aplicativos de Controle de Aplicativo de Acesso Condicional, você poderá ver a opção: Solicitar controle de sessão.

Nota

Os aplicativos de catálogo têm controles de sessão prontos para uso. Para quaisquer outros aplicativos IdP que não sejam da Microsoft, você deve passar por um processo de autointegração. Passos recomendados

  1. Implante seu aplicativo no controle de sessão. Para obter mais informações, consulte Aplicativos personalizados de IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional.

  2. Crie uma política de sessão e selecione o Filtro de aplicativo .

  3. Verifique se seu aplicativo agora está listado na lista suspensa.

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Nas políticas de sessão, ao usar o tipo de controle de sessão de download de arquivo de controle (com inspeção), você pode usar o método de inspeção do Serviço de Classificação de Dados para verificar seus arquivos em tempo real e detetar conteúdo confidencial que corresponda a qualquer um dos critérios configurados.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, use as etapas a seguir para investigar o problema.

Passos recomendados

  1. Verifique se o tipo de controle de sessão está definido como Download de arquivo de controle (com inspeção).

    Nota

    O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Download do arquivo de controle (com inspeção ).

  2. Determine se o recurso Serviço de Classificação de Dados está disponível na sua região:

    • Se o recurso não estiver disponível na sua região, use o método de inspeção DLP integrado.
    • Se o recurso estiver disponível em sua região, mas você ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados, abra um tíquete de suporte.

Não é possível escolher Ação: Proteger

Nas políticas de sessão, ao usar o tipo de controle de sessão Download de arquivo de controle (com inspeção), além das ações Monitorar e Bloquear , você pode especificar a ação Proteger . Essa ação permite que você permita downloads de arquivos com a opção de criptografar ou aplicar permissões ao arquivo com base em condições, inspeção de conteúdo ou ambas.

Se a ação Proteger não estiver disponível, use as etapas a seguir para investigar o problema.

Passos recomendados

  1. Se a ação Proteger não estiver disponível ou estiver acinzentada, verifique se você tem uma licença do Microsoft Purview. Para obter mais informações, consulte Integração da Proteção de Informações do Microsoft Purview.

  2. Se a ação Proteger estiver disponível, mas não estiver vendo os rótulos apropriados.

    1. No Defender for Cloud Apps, na barra de menus, selecione o ícone >de configurações Proteção de Informações da Microsoft e verifique se a integração está ativada.

    2. Para etiquetas do Office, no portal Microsoft Purview, certifique-se de que a opção Etiquetagem Unificada está selecionada.

Diagnosticar e solucionar problemas com a barra de ferramentas Admin View

A barra de ferramentas Modo de Exibição do administrador fica na parte inferior da tela e fornece ferramentas para que os usuários administradores diagnostiquem e solucionem problemas com o controle de aplicativo de acesso condicional.

Para exibir a barra de ferramentas Modo de Exibição de Administrador, você deve adicionar contas de usuário administrador específicas à lista de integração/manutenção de aplicativos nas configurações do Microsoft Defender XDR.

Para adicionar um utilizador à lista de integração/manutenção da aplicação:

  1. No Microsoft Defender XDR, selecione Configurações>de aplicativos na nuvem.

  2. Desloque-se para baixo e, em Controlo de Aplicação de Acesso Condicional, selecione Integração/manutenção da aplicação.

  3. Digite o nome principal ou o endereço de e-mail do usuário administrador que você deseja adicionar.

  4. Selecione a opção Permitir que esses usuários ignorem o Controle de Aplicativo de Acesso Condicional de dentro de uma sessão por proxy e selecione Salvar.

    Por exemplo:

    Captura de ecrã das definições de integração/manutenção da aplicação.

Da próxima vez que um dos utilizadores listados iniciar uma nova sessão numa aplicação suportada em que seja administrador, a barra de ferramentas Visualização do administrador é apresentada na parte inferior do browser.

Por exemplo, a imagem a seguir mostra a barra de ferramentas Modo de Exibição de Administrador exibida na parte inferior de uma janela do navegador, ao usar o OneNote no navegador:

Captura de ecrã da barra de ferramentas Visualização do administrador.

As seções a seguir descrevem como usar a barra de ferramentas Admin View para testar e solucionar problemas.

Modo de teste

Como um usuário administrador, você pode querer testar as próximas correções de bugs de proxy antes que a versão mais recente seja totalmente implementada para todos os locatários. Forneça seus comentários sobre a correção de bugs à equipe de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando no modo de teste, apenas os usuários administradores são expostos a quaisquer alterações fornecidas nas correções de bugs. Não há efeito sobre outros usuários.

  • Para ativar o modo de teste, na barra de ferramentas Visualização do administrador, selecione Modo de teste.
  • Quando terminar o teste, selecione Terminar Modo de teste para retornar à funcionalidade regular.

Ignorar sessão de proxy

Se você estiver usando um navegador que não seja de borda e tiver dificuldade para acessar ou carregar seu aplicativo, convém verificar se o problema está no proxy de Acesso Condicional executando o aplicativo sem o proxy.

Para ignorar o proxy, na barra de ferramentas Visualização do administrador, selecione Ignorar experiência. Confirme se a sessão foi ignorada, observando que a URL não é sufixada.

O proxy de Acesso Condicional é usado novamente na próxima sessão.

Para obter mais informações, consulte Controle de aplicativo de acesso condicional do Microsoft Defender for Cloud Apps e Proteção no navegador com o Microsoft Edge for Business (Visualização).

Segundo início de sessão (também conhecido como «segundo início de sessão»)

Alguns aplicativos têm mais de um link profundo para entrar. A menos que você defina os links de entrada nas configurações do aplicativo, os usuários podem ser redirecionados para uma página não reconhecida quando entrarem, bloqueando seu acesso.

A integração entre IdPs, como o Microsoft Entra ID, baseia-se na interceção de início de sessão de uma aplicação e no seu redirecionamento. Isso significa que os logins do navegador não podem ser controlados diretamente sem acionar um segundo login. Para acionar um segundo login, precisamos empregar um segundo URL de entrada especificamente para essa finalidade.

Se o aplicativo usar um nonce, o segundo login poderá ser transparente para os usuários ou eles serão solicitados a entrar novamente.

Se não for transparente para o utilizador final, adicione o segundo URL de início de sessão às definições da aplicação:

Aceda a Definições > Aplicações > na nuvem Aplicações > ligadas Aplicações de controlo de aplicações de acesso condicional

Selecione o aplicativo relevante e, em seguida, selecione os três pontos.

Selecione Editar aplicativo\Configuração de login avançada.

Adicione o segundo URL de início de sessão, conforme mencionado na página de erro.

Se tiver certeza de que o aplicativo não usa um nonce, você pode desativar isso editando as configurações do aplicativo conforme descrito em Entradas lentas.

Gravar uma sessão

Você pode querer ajudar a análise da causa raiz de um problema enviando uma gravação de sessão para os engenheiros de suporte da Microsoft. Use a barra de ferramentas Admin View para gravar sua sessão.

Nota

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

  1. Na barra de ferramentas Visualização do administrador, selecione Gravar sessão. Quando solicitado, selecione Continuar para aceitar os termos. Por exemplo:

    Captura de ecrã da caixa de diálogo da declaração de privacidade de gravação da sessão.

  2. Inicie sessão na sua aplicação, se necessário, para começar a simular a sessão.

  3. Quando terminar de gravar o cenário, certifique-se de selecionar Parar gravação na barra de ferramentas Admin View .

Para ver as suas sessões gravadas:

Depois de concluir a gravação, visualize as sessões gravadas selecionando Gravações da sessão na barra de ferramentas Visualização do administrador. É apresentada uma lista de sessões gravadas das 48 horas anteriores. Por exemplo:

Captura de ecrã das gravações da sessão.

Para gerenciar suas gravações, selecione um arquivo e, em seguida, selecione Excluir ou Baixar , conforme necessário. Por exemplo:

Captura de ecrã a mostrar a transferência ou eliminação de uma gravação.

Adicionar domínios para seu aplicativo

Associar os domínios corretos a um aplicativo permite que o Defender for Cloud Apps aplique políticas e atividades de auditoria.

Por exemplo, se você configurou uma política que bloqueia o download de arquivos para um domínio associado, os downloads de arquivos pelo aplicativo desse domínio serão bloqueados. No entanto, os downloads de arquivos pelo aplicativo de domínios não associados ao aplicativo não serão bloqueados e a ação não será auditada no registro de atividades.

Se um administrador navegar em um aplicativo com proxy para um domínio não reconhecido, que o Defender for Cloud Apps não considera para uma parte do mesmo aplicativo ou qualquer outro aplicativo, a mensagem de domínio não reconhecido será exibida, solicitando que o administrador adicione o domínio para que ele seja protegido na próxima vez. Nesses casos, se o administrador não quiser adicionar o domínio, nenhuma ação será necessária.

Nota

O Defender for Cloud Apps ainda adiciona um sufixo a domínios não associados ao aplicativo para garantir uma experiência de usuário perfeita.

Para adicionar domínios ao seu aplicativo:

  1. Abra seu aplicativo em um navegador com a barra de ferramentas Defender for Cloud Apps Admin View visível na tela.

  2. Na barra de ferramentas Visualização do administrador, selecione Domínios descobertos.

  3. No painel Domínios descobertos, anote os nomes de domínio listados ou exporte a lista como um arquivo .csv.

    O painel Domínios descobertos mostra uma lista de todos os domínios que não estão associados ao aplicativo. Os nomes de domínio são totalmente qualificados.

  4. No Microsoft Defender XDR, selecione Configurações>Aplicativos>na nuvem Aplicativos conectados Aplicativos> de controle de aplicativo de acesso condicional.

  5. Localize seu aplicativo na tabela. Selecione o menu de opções à direita e, em seguida, selecione Editar aplicativo.

  6. No campo Domínios definidos pelo utilizador, introduza os domínios que pretende associar a esta aplicação.

    • Para exibir a lista de domínios já configurados no aplicativo, selecione o link Exibir domínios do aplicativo.

    • Ao adicionar domínios, considere se deseja adicionar domínios específicos ou usar um asterisco (*****como curinga para usar vários domínios ao mesmo tempo.

      Por exemplo, sub1.contoso.comsãosub2.contoso.com exemplos de domínios específicos. Para adicionar ambos os domínios de uma só vez, bem como outros domínios irmãos, use *.contoso.com.

Para obter mais informações, consulte Proteger aplicativos com o controle de aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps.