Solução de problemas de controles de acesso e sessão para usuários finais

Este artigo fornece aos administradores do Microsoft Defender for Cloud Apps orientações sobre como investigar e resolver problemas comuns de acesso e controle de sessão, conforme experimentado pelos usuários finais.

Verificar requisitos mínimos

Antes de iniciar a solução de problemas, verifique se seu ambiente atende aos seguintes requisitos gerais mínimos para controles de acesso e sessão.

Requisito	Description
Licenciamento	Certifique-se de que tem uma licença válida para o Microsoft Defender for Cloud Apps.
Logon único (SSO)	Os aplicativos devem ser configurados com uma das soluções de logon único (SSO) suportadas: - Microsoft Entra ID usando SAML 2.0 ou OpenID Connect 2.0 - IdP não-Microsoft usando SAML 2.0
Suporte do navegador	Os controles de sessão estão disponíveis para sessões baseadas em navegador nas versões mais recentes dos seguintes navegadores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Safari da Apple A proteção no navegador para o Microsoft Edge também tem requisitos específicos, incluindo o usuário conectado com seu perfil de trabalho. Para obter mais informações, consulte Requisitos de proteção no navegador.
Tempo de inatividade	O Defender for Cloud Apps permite definir o comportamento padrão a ser aplicado se houver uma interrupção do serviço, como um componente que não funciona corretamente. Por exemplo, você pode optar por proteger (bloquear) ou ignorar (permitir) que os usuários realizem ações em conteúdo potencialmente confidencial quando os controles de política normais não puderem ser aplicados. Para configurar o comportamento padrão durante o tempo de inatividade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo>de Acesso Condicional Comportamento>padrão Permitir ou Bloquear acesso.

A página de monitoramento de usuários não está aparecendo

Ao rotear um usuário por meio do Defender for Cloud Apps, você pode notificá-lo de que sua sessão é monitorada. Por padrão, a página de monitoramento do usuário está habilitada.

Esta seção descreve as etapas de solução de problemas que recomendamos que você siga se a página de monitoramento do usuário estiver habilitada, mas não aparecer conforme o esperado.

Passos recomendados

1. No Portal do Microsoft Defender, selecione Configurações>de aplicativos na nuvem.

2. Em Controlo de Aplicações de Acesso Condicional, selecione Monitorização de utilizadores. Esta página mostra as opções de monitoramento de usuários disponíveis no Defender for Cloud Apps. Por exemplo:

   

3. Verifique se a opção Notificar os usuários de que suas atividades estão sendo monitoradas está selecionada.

4. Selecione se deseja usar a mensagem padrão ou fornecer uma mensagem personalizada:

   Tipo de mensagem	Detalhes
   Predefinição	Cabeçalho: O acesso a [Nome do aplicativo aparecerá aqui] é monitorado Corpo: Para maior segurança, sua organização permite o acesso a [Nome do aplicativo aparecerá aqui] no modo de monitor. O acesso só está disponível a partir de um navegador da Web.
   Personalizadas	Cabeçalho: Use esta caixa para fornecer um título personalizado para informar aos usuários que eles estão sendo monitorados. Corpo: Use esta caixa para adicionar outras informações personalizadas para o usuário, como quem contatar com perguntas, e suporta as seguintes entradas: texto sem formatação, rich text, hiperlinks.

5. Selecione Visualizar para verificar a página de monitoramento do usuário que aparece antes de acessar um aplicativo.

6. Selecione Guardar.

Não é possível acessar o aplicativo de um provedor de identidade que não seja da Microsoft

Se um usuário final receber uma falha geral depois de entrar em um aplicativo de um provedor de identidade que não seja da Microsoft, valide a configuração de IdP que não seja da Microsoft.

Passos recomendados

1. No Portal do Microsoft Defender, selecione Configurações>de aplicativos na nuvem.

2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

3. Na lista de aplicações, na linha em que aparece a aplicação à qual não consegue aceder, selecione os três pontos no final da linha e, em seguida, selecione Editar aplicação.

   1. Valide se o certificado SAML que foi carregado está correto.

   2. Verifique se URLs SSO válidas são fornecidas na configuração do aplicativo.

   3. Valide se os atributos e valores no aplicativo personalizado são refletidos nas configurações do provedor de identidade.

   Por exemplo:

   .

4. Se você ainda não conseguir acessar o aplicativo, abra um tíquete de suporte.

A página Algo Deu Errado é exibida

Às vezes, durante uma sessão com proxie, a página Algo deu errado pode aparecer. Este problema pode ocorrer quando:

• Um usuário faz login depois de ficar ocioso por um tempo
• Atualizar o navegador e o carregamento da página leva mais tempo do que o esperado
• O aplicativo IdP que não é da Microsoft não está configurado corretamente

Passos recomendados

1. Se o usuário final estiver tentando acessar um aplicativo configurado usando um IdP que não seja da Microsoft, consulte Não é possível acessar o aplicativo de um IdP não Microsoft e Status do aplicativo: Continuar a instalação.

2. Se o usuário final chegou inesperadamente a esta página, faça o seguinte:

   1. Reinicie a sessão do navegador.
   2. Limpe o histórico, os cookies e o cache do navegador.

As ações da área de transferência ou os controlos de ficheiros não estão a ser bloqueados

A capacidade de bloquear ações da área de transferência, como cortar, copiar, colar e controles de arquivo, como download, upload e impressão, é necessária para evitar cenários de exfiltração e infiltração de dados.

Essa capacidade permite que as empresas equilibrem segurança e produtividade para os usuários finais. Se você estiver tendo problemas com esses recursos, use as etapas a seguir para investigar o problema.

Nota

Recortar, copiar e colar não são bloqueados para dados dentro do mesmo documento do Excel. Apenas a cópia para locais externos é bloqueada.

Passos recomendados

Se a sessão estiver sendo intermediada, use as seguintes etapas para verificar a política:

1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Registro de atividades.

2. Use o filtro avançado, selecione Ação aplicada e defina seu valor igual a Bloqueado.

3. Verifique se há atividades de arquivo bloqueadas:

   1. Se houver uma atividade, expanda a gaveta de atividades clicando na atividade.

   2. Na guia Geral da gaveta de atividades, selecione o link de políticas correspondentes para verificar se a política imposta está presente.

   3. Se não vir a sua política, consulte Problemas ao criar políticas de acesso e sessão.

   4. Se você vir Acesso bloqueado/permitido devido ao Comportamento Padrão, isso indica que o sistema estava inativo e o comportamento padrão foi aplicado.

      1. Para alterar o comportamento padrão, no Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em seguida, em Controle de Aplicativo de Acesso Condicional, selecione Comportamento Padrão e defina o comportamento padrão como Permitir ou Bloquear acesso.

      2. Vá para o portal de administração do Microsoft 365 e monitore as notificações sobre o tempo de inatividade do sistema.

4. Se você ainda não conseguir ver a atividade bloqueada, abra um tíquete de suporte.

Os downloads não estão sendo protegidos

Como usuário final, o download de dados confidenciais em um dispositivo não gerenciado pode ser necessário. Nesses cenários, você pode proteger documentos com o Microsoft Purview Information Protection.

Se o usuário final não conseguir criptografar o documento com êxito, use as etapas a seguir para investigar o problema.

Passos recomendados

1. No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Registro de atividades.

2. Use o filtro avançado, selecione Ação aplicada e defina seu valor igual a Protegido.

3. Verifique se há atividades de arquivo bloqueadas:

   1. Se houver uma atividade, expanda a gaveta de atividades clicando na atividade

   2. Na guia Geral da gaveta de atividades, selecione o link de políticas correspondentes para verificar se a política imposta está presente.

   3. Se não vir a sua política, consulte Problemas ao criar políticas de acesso e sessão.

   4. Se você vir Acesso bloqueado/permitido devido ao Comportamento Padrão, isso indica que o sistema estava inativo e o comportamento padrão foi aplicado.

      1. Para alterar o comportamento padrão, no Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps. Em seguida, em Controle de Aplicativo de Acesso Condicional, selecione Comportamento Padrão e defina o comportamento padrão como Permitir ou Bloquear acesso.

      2. Vá para o Painel de Integridade do Serviço do Microsoft 365 e monitore as notificações sobre o tempo de inatividade do sistema.

   5. Se estiver a proteger o ficheiro com uma etiqueta de sensibilidade ou permissões personalizadas, na Descrição da atividade, certifique-se de que a extensão do ficheiro é um dos seguintes tipos de ficheiro suportados:

      • Palavra: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF se a Etiquetagem Unificada estiver ativada

   Se o tipo de arquivo não for suportado, na política de sessão, você poderá selecionar Bloquear download de qualquer arquivo que não seja suportado pela proteção nativa ou onde a proteção nativa não seja bem-sucedida.

4. Se você ainda não conseguir ver a atividade bloqueada, abra um tíquete de suporte.

Navegar para um URL específico de um aplicativo sufixo e aterrissar em uma página genérica

Em alguns cenários, navegar até um link pode resultar no destino do usuário na página inicial do aplicativo, em vez do caminho completo do link.

Gorjeta

O Defender for Cloud Apps mantém uma lista de aplicativos que são conhecidos por sofrerem perda de contexto. Para obter mais informações, consulte Limitações de perda de contexto.

Passos recomendados

Se você estiver usando um navegador diferente do Microsoft Edge e um usuário chegar à página inicial do aplicativo em vez do caminho completo do link, resolva o problema anexando .mcas.ms à URL original.

Por exemplo, se o URL original for:

https://www.github.com/organization/threads/threadnumber, altere-o para https://www.github.com.mcas.ms/organization/threads/threadnumber

Os usuários do Microsoft Edge se beneficiam da proteção no navegador, não são redirecionados para um proxy reverso e não precisam do sufixo .mcas.ms adicionado. Para aplicativos com perda de contexto, abra um tíquete de suporte.

O bloqueio de downloads faz com que as visualizações de PDF sejam bloqueadas

Ocasionalmente, quando visualiza ou imprime ficheiros PDF, as aplicações iniciam uma transferência do ficheiro. Isso faz com que o Defender for Cloud Apps intervenha para garantir que o download seja bloqueado e que os dados não sejam vazados do seu ambiente.

Por exemplo, se você criou uma política de sessão para bloquear downloads para o Outlook Web Access (OWA), a visualização ou impressão de arquivos PDF pode ser bloqueada, com uma mensagem como esta:

Para permitir a visualização, um administrador do Exchange deve executar as seguintes etapas:

1. Baixe o módulo PowerShell do Exchange Online.

2. Conecte-se ao módulo. Para obter mais informações, consulte Conectar-se ao PowerShell do Exchange Online.

3. Depois de se conectar ao PowerShell do Exchange Online, use o cmdlet Set-OwaMailboxPolicy para atualizar os parâmetros na política:

   Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
   

   Nota

   A política OwaMailboxPolicy-Default é o nome de diretiva OWA padrão no Exchange Online. Alguns clientes podem ter implantado ou criado uma política OWA personalizada com um nome diferente. Se você tiver várias políticas do OWA, elas poderão ser aplicadas a usuários específicos. Portanto, você também precisará atualizá-los para ter cobertura completa.

4. Depois que esses parâmetros forem definidos, execute um teste no OWA com um arquivo PDF e uma política de sessão configurada para bloquear downloads. A opção Download deve ser removida da lista suspensa e você pode visualizar o arquivo. Por exemplo:

   

Aviso de site semelhante aparece

Os agentes mal-intencionados podem criar URLs semelhantes aos URLs de outros sites para se passar por outros sites e enganar os utilizadores a acreditar que estão a navegar para outro site. Alguns navegadores tentam detetar esse comportamento e avisar os usuários antes de acessar a URL ou bloquear o acesso.

Em alguns casos raros, os utilizadores sob controlo de sessão recebem uma mensagem do navegador indicando acesso suspeito ao site. A razão para isso é que o navegador trata o domínio sufixo (por exemplo: .mcas.ms) como suspeito.

Esta mensagem só aparece para utilizadores do Chrome, uma vez que os utilizadores do Microsoft Edge beneficiam da proteção no navegador, sem a arquitetura de proxy reverso. Por exemplo:

Se você receber uma mensagem como essa, entre em contato com o suporte da Microsoft para abordá-la com o fornecedor do navegador relevante.

Segundo início de sessão (também conhecido como «segundo início de sessão»)

Alguns aplicativos têm mais de um link profundo para entrar. A menos que você defina os links de entrada nas configurações do aplicativo, os usuários podem ser redirecionados para uma página não reconhecida quando entrarem, bloqueando seu acesso.

A integração entre IdPs, como o Microsoft Entra ID, baseia-se na interceção de início de sessão de uma aplicação e no seu redirecionamento. Isso significa que os logins do navegador não podem ser controlados diretamente sem acionar um segundo login. Para acionar um segundo login, precisamos empregar um segundo URL de entrada especificamente para essa finalidade.

Se o aplicativo usar um nonce, o segundo login poderá ser transparente para os usuários ou eles serão solicitados a entrar novamente.

Se não for transparente para o utilizador final, adicione o segundo URL de início de sessão às definições da aplicação:

1. Vá para 'configurações''Aplicativos na nuvem''Aplicativos conectados''Aplicativos de controle de aplicativo de acesso condicional'

2. Selecione o aplicativo relevante e, em seguida, selecione os três pontos.

3. Selecione Editar aplicativo\Configuração de login avançada.

4. Adicione o segundo URL de início de sessão, conforme mencionado na página de erro.

Se tiver certeza de que o aplicativo não usa um nonce, você pode desativar isso editando as configurações do aplicativo conforme descrito em Entradas lentas.

Mais considerações para solucionar problemas de aplicativos

Ao solucionar problemas de aplicativos, há mais algumas coisas a considerar:

• Suporte de controles de sessão para navegadores modernos Os controles de sessão do Defender for Cloud Apps agora incluem suporte para o novo navegador Microsoft Edge baseado no Chromium. Embora continuemos a oferecer suporte às versões mais recentes do Internet Explorer e à versão herdada do Microsoft Edge, o suporte é limitado e recomendamos o uso do novo navegador Microsoft Edge.

• Os controles de sessão protegem a limitação A rotulagem de co-autenticação na ação "proteger" não é suportada pelos controles de sessão do Defender for Cloud Apps. Para obter mais informações, consulte Habilitar a coautoria para arquivos criptografados com rótulos de confidencialidade.

Conteúdos relacionados

• Proteja aplicativos com o controle de aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps
• Solução de problemas de acesso e controles de sessão para usuários administradores
• Solução de problemas - O que é *.mcas.ms, *.mcas-gov.usou *.mcas-gov.ms?