Solução de problemas para controles de acesso e sessão para usuário administrador

Este artigo oferece Instruções aos administradores do Microsoft Defender para Aplicativos de Nuvem sobre como investigar e solucionar problemas comuns de acesso e controle de sessão.

Observação

Qualquer solução de problemas relacionada à funcionalidade de proxy só é relevante para sessões que não sejam configuradas para proteção no navegador com o Microsoft Edge.

Verificar os requisitos mínimos

Antes de iniciar a solução de problemas, verifique se seu ambiente atende aos seguintes requisitos gerais mínimos para controles de acesso e sessão.

Requisito Descrição
Licenciamento Verifique se você tem uma licença válida para o Microsoft Defender para Aplicativos de Nuvem.
SSO (Logon único) Os aplicativos devem ser configurados com uma das soluções de SSO compatíveis:

- Microsoft Entra ID usando SAML 2.0 ou OpenID Connect 2.0
- IdP não Microsoft usando SAML 2.0
Suporte ao navegador Os controles de sessão estão disponíveis para sessões baseadas em navegador nas versões mais recentes dos seguintes navegadores:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A proteção no navegador do Microsoft Edge também tem requisitos específicos, incluindo o usuário conectado com seu perfil de trabalho. Para obter mais informações, consulte Requisitos de proteção no navegador.
Tempo de inatividade O Defender para Aplicativos de Nuvem permite que você defina o comportamento padrão a ser aplicado se houver uma interrupção do serviço, como um componente que não está funcionando corretamente.

Por exemplo, quando os controles de política normais não podem ser impostos, é possível optar por proteger (bloquear) ou ignorar (permitir) que os usuários executem ações em conteúdo potencialmente confidencial.

Para configurar o comportamento padrão durante o tempo de inatividade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo de Acesso Condicional>Comportamento padrão>Permitir ou Bloquear acesso.

Requisitos de proteção no navegador

Se você estiver usando a proteção no navegador com o Microsoft Edge e ainda estiver sendo atendido por um proxy reverso, verifique se atende aos seguintes requisitos adicionais:

  • O recurso está ativado nas configurações do Defender XDR. Para obter mais informações, consulte Definir as configurações de proteção no navegador.

  • Todas as políticas pelas quais o usuário é coberto são compatíveis com o Microsoft Edge for Business. Se um usuário for atendido por outra política que não seja compatíveis com o Microsoft Edge for Business, ele sempre será atendido pelo proxy reverso. Para obter mais informações, consulte Requisitos de proteção no navegador.

  • Você está usando uma plataforma compatível, incluindo um sistema operacional, uma plataforma de identidade e uma versão do Edge compatíveis. Para obter mais informações, consulte Requisitos de proteção no navegador.

Referência de solução de problemas para administradores

Use a seguinte tabela para localizar o problema que você está tentando solucionar:

Tipo de problema Problemas
Problemas de condição de rede Erros de rede ao navegar para uma página do navegador

Inícios de sessão lentos

Mais considerações sobre as condições de rede
Problemas de identificação de dispositivo Dispositivos em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra identificados incorretamente.

Os certificados de cliente não estão sendo solicitados quando esperado

Os certificados de cliente não estão sendo solicitados quando esperado
Os certificados de cliente são solicitados a cada início de sessão

Mais considerações sobre identificação do dispositivo
Problemas ao integrar um aplicativo O aplicativo não é exibido na página Controle de Aplicativos de Acesso Condicional

Status do aplicativo: continuar a instalação Não é possível configurar controles para aplicativos nativos

A opção Solicitar controle de sessão é exibida
Problemas ao criar políticas de acesso e sessão Em Políticas de Acesso Condicional, não é possível ver a opção controle de aplicativos de acesso condicional

Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o controle de aplicativos de acesso condicional

Não é possível criar políticas de sessão para um aplicativo

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Não é possível escolher Ação: Proteger

Mais considerações sobre aplicativos de integração
Diagnosticar e solucionar problemas com a barra de ferramentas Modo de Exibição do Administrador Ignorar sessão de proxy

Gravar uma sessão

Adicionar domínios para seu aplicativo

Problemas de condição de rede

Problemas comuns de condição de rede que é possível encontrar incluem:

Erros de rede ao navegar para uma página do navegador

Quando você configura pela primeira vez o acesso ao Defender para Aplicativos de Nuvem e os controles de sessão para um aplicativo, erros de rede comuns que podem surgir incluem: Este site não é seguro e Não há conexão de internet. Essas mensagens podem indicar um erro geral de configuração da rede.

Etapas recomendadas

  1. Configure seu firewall para funcionar com o Defender para Aplicativos de Nuvem usando os endereços IP do Azure e nomes DNS relevantes para seu ambiente.

    1. Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para seu data center do Defender para Aplicativos de Nuvem.
    2. Reinicie o dispositivo e a sessão do navegador
    3. Verifique se o logon está funcionando conforme o esperado
  2. Habilite o TLS 1.2 nas opções de internet do seu navegador. Por exemplo:

    Navegador Etapas
    Microsoft Internet Explorer 1. Abra o Internet Explorer
    2. Selecione a guia Ferramentas>Opções da Internet>Avançado
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie seu navegador e verifique se é possível acessar o aplicativo
    Microsoft Edge / Edge Chromium 1. Abra a pesquisa na barra de tarefas e procure por "Opções da Internet"
    2. Selecione Opções da Internet
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie seu navegador e verifique se você pode acessar o aplicativo
    Google Chrome 1. Abra o Google Chrome
    2. No canto superior direito, selecione Mais (3 pontos verticais) >Configurações
    3. Na parte inferior, selecione Avançado
    4. Em Sistema, selecione Abrir configurações de proxy
    5. Na guia Avançado, em Segurança, selecione TLS 1.2
    6. Selecione OK
    7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
    Mozilla Firefox 1. Abra o Mozilla Firefox
    2. Na barra de endereços, procure por "about:config"
    3. Na caixa Pesquisar, pesquise por "TLS"
    4. Clique duas vezes na entrada para security.tls.version.min
    5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária
    6. Selecione Salvar (marca de seleção à direita da caixa de valor)
    7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
    Safari Se estiver a utilizar o Safari versão 7 ou superior, o TLS 1.2 será ativado automaticamente

O Defender para Aplicativos de Nuvem usa protocolo TLS (protocolos 1.2+ para fornecer a melhor criptografia da categoria).

  • Aplicativos cliente nativos e navegadores que não oferecem suporte ao TLS 1.2+ não são acessíveis quando configurados com controle de sessão.
  • Os aplicativos SaaS que usam TLS 1.1 ou inferiores serão exibidos no navegador como se estivessem usando o TLS 1.2+ quando configurados com o Defender para Aplicativos de Nuvem.

Dica

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, oferecemos suporte às últimas versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Talvez você queira bloquear ou permitir o acesso especificamente a aplicativos móveis ou de desktop.

Inícios de sessão lentos

Encadeamento de proxy e manipulação de nonce são alguns dos problemas comuns que podem resultar em desempenho de início de sessão lento.

Etapas recomendadas

Configure seu ambiente para remover fatores que possam estar causando lentidão durante o início de sessão. Por exemplo, é possível ter firewalls ou encadeamento de proxy de encaminhamento configurados, o que conecta dois ou mais servidores proxy para navegar até a página pretendida. Também é possível ter outros fatores externos afetando a lentidão.

  1. Identifique se o encadeamento de proxy está ocorrendo em seu ambiente.
  2. Remova todos os proxies de encaminhamento sempre que possível.

Alguns aplicativos usam um hash nonce durante a autenticação para evitar ataques de reprodução. Por padrão, o Defender para Aplicativos de Nuvem pressupõe que um aplicativo usa um nonce. Se o aplicativo com o qual você está trabalhando não usar nonce, desative o nonce-handling para este aplicativo no Defender para Aplicativos de Nuvem:

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.
  2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
  3. Na lista de aplicativos, na linha na qual o aplicativo que você está configurando aparece, selecione os três pontos no final da linha e selecione Editar para o seu aplicativo.
  4. Selecione Nonce-handling para expandir a seção e, em seguida, desmarque Habilitar tratamento de Nonce.
  5. Saia do aplicativo e feche todas as sessões do navegador.
  6. Reinicie o navegador e entre no aplicativo novamente. Verifique se iniciar sessão está funcionando conforme o esperado.

Mais considerações sobre as condições de rede

Ao solucionar problemas de condições de rede, considere também as seguintes observações sobre o proxy do Defender para Aplicativos de Nuvem:

  • Verifique se sua sessão está sendo roteada para outro data center: o Defender para Aplicativos de Nuvem usa os Data Centers do Azure em todo o mundo para otimizar o desempenho por meio da geolocalização.

    Isso significa que a sessão de um usuário pode ser hospedada fora de uma região, dependendo dos padrões de tráfego e de sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

  • Desempenho do proxy: derivar uma linha de base de desempenho depende de muitos fatores fora do proxy do Defender para Aplicativos de Nuvem, como:

    • Que outros proxies ou gateways ficam em série com este proxy
    • De onde vem o usuário
    • Onde reside o recurso de destino
    • Solicitações específicas na página

    Em geral, qualquer proxy adiciona latência. As vantagens do proxy do Defender para Aplicativos de Nuvem são:

    • Usando a disponibilidade global dos controladores de domínio do Azure para geolocalizar usuários para o nó mais próximo e reduzir a distância de ida e volta. Os controladores de domínio do Azure podem geolocalizar em uma escala que poucos serviços em todo o mundo possuem.

    • Usando a integração com o Microsoft Entra Conditional Access para encaminhar apenas as sessões que você deseja fazer proxy para o nosso serviço, em vez de todos os usuários em todas as situações.

Problemas de identificação de dispositivo

O Defender para Aplicativos de Nuvem oferece as opções a seguir para identificar o estado de gerenciamento de um dispositivo.

  • Conformidade do Microsoft Intune
  • Ingressado no Domínio do Microsoft Entra híbrido
  • Certificados do cliente

Para obter mais informações, consulte Dispositivos gerenciados por identificação com Controle de Aplicativos de Acesso Condicional.

Problemas comuns de identificação de dispositivo que é possível encontrar incluem:

Dispositivos em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra identificados incorretamente‭.

O Acesso Condicional do Microsoft Entra permite que as informações de um dispositivo em conformidade com o Intune e ingressado de forma híbrida no Microsoft Entra sejam passadas diretamente para o Defender para Aplicativos de Nuvem. No Defender para Aplicativos de Nuvem, use o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais detalhes, consulte Introdução ao gerenciamento de dispositivos no Microsoft Entra ID.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

  2. Em Controle de Aplicativos de Acesso Condicional, selecione Identificação do Dispositivo. Esta página mostra as opções de identificação de dispositivo disponíveis no Defender para Aplicativos de Nuvem.

  3. Para identificação de dispositivo compatível com Intune e Identificação de ingresso híbrido do Microsoft Entra, respectivamente, selecione Exibir configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir do Microsoft Entra ID e do Intune, respectivamente.

  4. Crie uma política de acesso ou sessão com o filtro Rótulo de Dispositivo igual ao ingressado no Azure AD híbrido, compatível com o Intune ou ambos.

  5. Em um navegador, entre em um dispositivo que seja compatível com o Microsoft Entra híbrido ou com o Intune com base no seu filtro de política.

  6. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender para Aplicativos em Nuvem, na página Log de atividades, filtre o Rótulo de dispositivo igual ao ingressado no Azure AD híbrido, em conformidade com o Intune ou ambos com base em seus filtros de política.

  7. Se as atividades não estiverem sendo preenchidas no log de atividades do Defender para Aplicativos de Nuvem, vá para Microsoft Entra ID e execute as seguintes etapas:

    1. Em Monitoramento>Entradas, verifique se há atividades de entrada nos logs.

    2. Selecione a entrada de log relevante para o dispositivo no qual você se conectou.

    3. No painel Detalhes, na guia Informações do dispositivo, verifique se o dispositivo é Gerenciado (adicionado ao Azure Active Directory híbrido) ou Em conformidade (em conformidade com o Intune).

      Se você não puder verificar o estado, tente outra entrada de log ou verifique se os dados do dispositivo estão configurados corretamente no Microsoft Entra ID.

    4. Para o Acesso Condicional, alguns navegadores podem exigir configuração extra, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de acesso condicional.

    5. Se você ainda não vir as informações do dispositivo na página de Entrada, abra um tíquete de suporte para o Microsoft Entra ID.

Os certificados de cliente não estão sendo solicitados quando esperado

O mecanismo de identificação de dispositivos pode solicitar autenticação de dispositivos relevantes usando certificados do cliente. É possível carregar um certificado de autoridade de certificação (CA) raiz ou intermediário X.509, formatado no formato de certificado PEM.

Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados do cliente apresentados durante uma sessão. Para obter mais informações, consulte Verificar o gerenciamento de dispositivos sem o Microsoft Entra.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

  2. Em Controle de Aplicativos de Acesso Condicional, selecione Identificação do Dispositivo. Esta página mostra as opções de identificação de dispositivo disponíveis com o Defender para Aplicativos de Nuvem.

  3. Verifique se você carregou um certificado de autoridade de certificação raiz X.509 ou AC intermediária. Você deve carregar o certificado de autoridade de certificação usado para assinar para sua autoridade de certificação.

  4. Crie uma política de acesso ou sessão com o filtro Rótulo do dispositivo igual ao certificado de cliente válido.

  5. Certifique-se de que o certificado do cliente seja:

    • Implantado usando o formato de arquivo PKCS #12, normalmente uma extensão de arquivo .p12 ou .pfx
    • Instalado no repositório do usuário, não no repositório do dispositivo, do dispositivo que você está usando para teste
  6. Reinicie a sessão do navegador.

  7. Ao fazer login no aplicativo protegido:

    • Verifique se você foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Se estiver usando o iOS, certifique-se de que está usando o navegador Safari.
    • Se você estiver usando o Firefox, também deverá adicionar o certificado ao próprio repositório de certificados do Firefox. Todos os outros navegadores usam o mesmo repositório de certificados padrão.
  8. Valide se o certificado do cliente é solicitado no navegador.

    Se não aparecer, tente um navegador diferente. A maioria dos principais navegadores oferece suporte à execução de uma verificação de certificado do cliente. No entanto, os aplicativos da área de trabalho e móveis geralmente usam navegadores internos que podem não dar suporte a essa verificação e, portanto, afetam a autenticação desses aplicativos.

  9. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender para Aplicativos de Nuvem, na página log de atividades, adicione um filtro na Tag do dispositivo igual ao certificado do cliente válido.

  10. Se você ainda não vir o prompt, abra um tíquete de suporte e inclua as seguintes informações:

    • Os detalhes do navegador ou aplicativo nativo onde você teve o problema
    • A versão do sistema operacional, como iOS/Android/Windows 10
    • Mencione se o prompt está funcionando no Microsoft Edge Chromium

Os certificados de cliente são solicitados a cada entrada

Se você estiver enfrentando o certificado do cliente aparecendo depois de abrir uma nova guia, isso pode ser devido às configurações ocultas nas Opções da Internet. Verifique suas configurações no navegador. Por exemplo:

No Microsoft Internet Explorer

  1. Abra o Internet Explorer, selecione Ferramentas>Opções da Internet>Avançadas.
  2. Em Segurança, selecione Não solicitar seleção de Certificado do Cliente quando existir apenas um certificado> Selecione Aplicar>OK.
  3. Reinicie seu navegador e verifique se é possível acessar o aplicativo sem solicitações extras.

Microsoft Edge / Edge Chromium:

  1. Abra a pesquisa na barra de tarefas e procure Opções da Internet.
  2. Selecione Opções da Internet>Segurança>Intranet local>Nível personalizado.
  3. Em Diversos>Não solicitar a seleção de Certificado do Cliente quando houver apenas um certificado, selecione Desabilitar.
  4. Selecione OK>Aplicar>OK.
  5. Reinicie seu navegador e verifique se é possível acessar o aplicativo sem solicitações extras.

Mais considerações sobre identificação do dispositivo

Ao solucionar problemas de identificação de dispositivo, é possível exigir a revogação de certificados para certificados de cliente.

Os certificados revogados pela autoridade de certificação não são mais confiáveis. A seleção dessa opção requer que todos os certificados passem pelo protocolo CRL. Se o certificado do cliente não contiver um ponto de extremidade de CRL, não será possível se conectar a partir do dispositivo gerenciado.

Problemas ao integrar um aplicativo

Os aplicativos do Microsoft Entra ID são automaticamente integrados ao Defender para Aplicativos de Nuvem para Acesso Condicional e Controles de Sessão. Você deve integrar manualmente aplicativos com IdP não Microsoft, incluindo aplicativos personalizados e de catálogo.

Para saber mais, veja:

Os cenários comuns que é possível encontrar ao integrar um aplicativo incluem:

O aplicativo não é exibido na página Controle de Aplicativos de Acesso Condicional

Ao integrar um aplicativo com IdP não Microsoft ao controle de aplicativos de acesso condicional, a etapa final nos guias de implantação é fazer com que o usuário final navegue até o aplicativo. Execute as etapas nesta seção se o aplicativo não estiver aparecendo na página Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos de Controle de Aplicativos de Acesso Condicional esperada.

Etapas recomendadas

  1. Verifique se seu aplicativo cumpre os seguintes pré-requisitos de Controle de Aplicativos de Acesso Condicional:

    • Verifique se você tem uma licença válida para o Defender para Aplicativos de Nuvem.
    • Crie um aplicativo duplicado.
    • Verifique se o aplicativo usa o protocolo SAML.
    • Valide se você integrou totalmente o aplicativo e se o status do aplicativo é Conectado.
  2. Certifique-se de navegar para o aplicativo em uma nova sessão do navegador usando um novo modo de navegação anônima ou entrando novamente.

Observação

Os aplicativos do Entra ID só aparecem na página Aplicativos de Controle de Aplicativos de Acesso Condicional depois de configurados em pelo menos uma política ou se você tiver uma política sem nenhuma especificação de aplicativo e um usuário tiver entrado no aplicativo.

Status do aplicativo: Continuar a instalação

O status de um aplicativo pode variar e pode incluir Continuar Configuração, Conectado ou Sem Atividades.

Para aplicativos conectados por meio de provedores de identidade (IdP) que não sejam da Microsoft, se a configuração não estiver concluída, ao acessar o aplicativo, você verá uma página com o status de Continuar Instalação. Use as etapas a seguir para concluir a configuração.

Etapas recomendadas

  1. Selecione Continuar instalação.

  2. Analise os artigos a seguir e verifique se você concluiu todas as etapas necessárias:

    Você deve prestar atenção especial nas etapas a seguir:

    1. Certifique-se de criar um novo aplicativo SAML personalizado. Você precisa desse aplicativo para alterar as URLs e os atributos SAML que podem não estar disponíveis nos aplicativos de galeria.
    2. Se o seu provedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID da Entidade ou Público-alvo, altere o identificador do aplicativo original.

Não é possível configurar controles para aplicativos internos

Os aplicativos internos podem ser detectados heuristicamente e é possível usar políticas de acesso para monitorá-los ou bloqueá-los. Use as etapas a seguir para configurar controles para aplicativos nativos.

Etapas recomendadas

  1. Em uma política de acesso, adicione um filtro de Aplicativo cliente e defina-o como Móvel e desktop.

  2. Em Ações, selecione Bloquear.

  3. Opcionalmente, personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos. Por exemplo, personalize esta mensagem para Você deve usar um navegador da Web para acessar este aplicativo.

  4. Teste e valide se o controle está funcionando conforme o esperado.

O aplicativo não foi reconhecido na página exibida

O Defender para Aplicativos de Nuvem pode reconhecer mais de 31.000 aplicativos por meio do catálogo de aplicativos de nuvem.

Se você estiver usando um aplicativo personalizado configurado por meio do Microsoft Entra SSO e não for um dos aplicativos compatíveis, você se deparará com uma página Aplicativo não reconhecido. Para resolver o problema, você deve configurar o aplicativo com o Controle de Aplicativos de Acesso Condicional.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

  2. Na barra de notificação, selecione Exibir novos aplicativos.

  3. Na lista de novos aplicativos, localize o aplicativo que você está integrando, selecione o sinal + e selecione Adicionar.

    1. Selecione se o aplicativo é personalizado ou padrão.
    2. Continue no assistente, verifique se os Domínios definidos pelo usuário especificados estão corretos para o aplicativo que você está configurando.
  4. Verifique se o aplicativo está exibido na página de aplicativos Controle de Aplicativos de Acesso Condicional.

A opção Solicitar controle de sessão é exibida

Depois de integrar um aplicativo com IdP não Microsoft, você poderá ver a opção Solicitar controle de sessão. Isso ocorre porque somente aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outro aplicativo, você deve passar por um processo de autointegração.

Siga as instruções em Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados com IdPs que não são da Microsoft.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

  2. Em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

  3. Insira o nome da entidade de segurança ou o email do usuário que integrará o aplicativo e selecione Salvar.

  4. Acesse o aplicativo que você está implantando. A página exibida depende se o aplicativo é reconhecido. Execute uma das seguintes opções, dependendo da página exibida:

    • Não reconhecido. Você verá uma página Aplicativo não reconhecido que solicita que você configure o aplicativo. Execute as seguintes etapas:

      1. Integre o aplicativo para Controle de Aplicativos de Acesso Condicional.
      2. Adicione os domínios para o aplicativo.
      3. Instalar os certificados do aplicativo.
    • Reconhecido. Se seu aplicativo for reconhecido, você verá uma página de integração solicitando que você continue o processo de configuração da aplicativos.

      Observação: verifique se o aplicativo está configurado com todos os domínios necessários para que o aplicativo funcione corretamente, então volte para a página do aplicativo.

Mais considerações sobre aplicativos de integração

Ao solucionar problemas para aplicativos de integração, há algumas coisas extras a serem consideradas.

  • Entenda a diferença entre as configurações da política de acesso condicional do Microsoft Entra: "Somente monitor", "Bloquear downloads" e "Usar política personalizada"

    Nas políticas de acesso condicional do Microsoft Entra, você pode configurar os seguintes controles internos do Defender para Aplicativos de Nuvem: Monitorar somente e Bloquear downloads. Essas configurações se aplicam e impõem o recurso de proxy do Defender para Aplicativos de Nuvem para aplicativos na nuvem e condições configuradas no Microsoft Entra ID.

    Para políticas mais complexas, selecione Usar política personalizada, que permite configurar políticas de acesso e sessão no Defender para Aplicativos de Nuvem.

  • Compreender a opção de filtro de aplicativo cliente "Mobile and desktop" nas políticas de acesso

    Nas políticas de acesso do Defender para Aplicativos de Nuvem, a menos que o filtro aplicativo do cliente esteja definido como Móvel e Área de Trabalho, a política de acesso resultante se aplica às sessões do browser.

    A razão para isso é evitar o proxy inadvertido de sessões de usuário, o que pode ser um subproduto do uso desse filtro.

Problemas ao criar políticas de acesso e sessão

As políticas do Defender para Aplicativos de Nuvem contêm as seguintes políticas configuráveis:

  • Políticas de acesso: usadas para monitorar ou bloquear o acesso a aplicativos de navegador, móveis e/ou desktop.
  • Políticas de sessão Usado para monitorar, bloquear e executar ações específicas para evitar cenários de infiltração e exfiltração de dados no navegador.

Para usar essas políticas no Defender para Aplicativos de Nuvem, você deve primeiro configurar uma política no Acesso Condicional do Microsoft Entra para estender os controles de sessão:

  1. Na política do Microsoft Entra em Controles de Acesso, selecione Sessão>Use Controle de Aplicativos de Acesso Condicional.

  2. Selecione uma política interna (Somente monitorar ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Defender para Aplicativos de Nuvem.

  3. Escolha Selecionar para continuar.

Os cenários comuns que é possível encontrar ao configurar essas políticas incluem:

Em Políticas de Acesso Condicional, não é possível ver a opção controle de aplicativos de acesso condicional

Para encaminhar sessões para o Defender para Aplicativos de Nuvem, as política de acesso condicional do Microsoft Entra devem ser configuradas para incluir controles de sessão do controle de aplicativos de acesso condicional.

Etapas recomendadas

Se não vir a opção Controle de Aplicativos de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para o Microsoft Entra ID P1 e uma licença válida para o Defender para Aplicativos de Nuvem.

Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o controle de aplicativos de acesso condicional

Ao criar uma política de acesso ou sessão, é possível ver a seguinte mensagem de erro: Você não tem nenhum aplicativo implantado com o controle de aplicativos de acesso condicional. Esse erro indica que o aplicativo é com IdP que não é da Microsoft e que não foi integrado para o Controle de Aplicativos de Acesso Condicional.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

  2. Se você vir a mensagem Nenhum aplicativo conectado, use os seguintes guias para implantar aplicativos:

Se você tiver problemas durante a implantação do aplicativo, consulte Problemas ao integrar um aplicativo.

Não é possível criar políticas de sessão para um aplicativo

Depois de integrar um aplicativo com IdP que não é da Microsoft para o Controle de Aplicativos de Acesso Condicional, na página Aplicativos de Controle de Aplicativos de Acesso Condicional, você poderá ver a opção: Solicitação de controle de sessão.

Observação

Os aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outro aplicativo com IdP não Microsoft, você deve passar por um processo de autointegração. Etapas recomendadas

  1. Implante o aplicativo no controle de sessão. Para mais informações, consulte Implantar aplicativos personalizados com IdP que não são da Microsoft para Controle de Aplicativos de Acesso Condicional.

  2. Crie uma política de sessão e selecione o filtro Aplicativo.

  3. Verifique se o aplicativo agora está listado na lista suspensa.

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Em políticas de sessão, ao usar o tipo de controle de sessão de Baixar arquivo de controle (com inspeção), é possível usar o método de inspeção Serviço de Classificação de Dados para verificar seus arquivos em tempo real e detectar conteúdo confidencial que corresponda a qualquer um dos critérios configurados.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, use as etapas a seguir para investigar o problema.

Etapas recomendadas

  1. Verifique se o Tipo de controle de sessão está definido como Controlar download de arquivo (com inspeção).

    Observação

    O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Download do arquivo de controle (com inspeção).

  2. Determine se o recurso Serviço de Classificação de Dados está disponível em sua região:

    • Se o recurso não estiver disponível em sua região, use o método de inspeção DLP integrado.
    • Se o recurso estiver disponível em sua região, mas você ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados, abra um tíquete de suporte.

Não é possível escolher Ação: Proteger

Nas políticas de sessão, ao usar o tipo de controle de sessão Baixar arquivo de controle (com inspeção) além das ações Monitorar e Bloquear, é possível especificar a ação Proteger. Essa ação permite que você permita downloads de arquivos com a opção de criptografar ou aplicar permissões ao arquivo com base em condições, inspeção de conteúdo ou ambas.

Se a ação Proteger não estiver disponível, use as etapas a seguir para investigar o problema.

Etapas recomendadas

  1. Se a ação Proteger não estiver disponível ou estiver acinzentada, verifique se você tem uma licença do Microsoft Purview. Para obter mais informações, consulte Integração da Proteção de Informações do Microsoft Purview.

  2. Se a ação Proteger estiver disponível, mas não estiver vendo os rótulos apropriados.

    1. In Defender for Cloud Apps, in the menu bar, select the settings icon >Microsoft Information Protection, and verify that the integration is enabled.

    2. Para rótulos do Office, no portal do Microsoft Purview, verifique se a opção Rótulo Unificado está selecionada.

Diagnosticar e solucionar problemas com a barra de ferramentas Modo de Exibição do Administrador

A barra de ferramentas Modo de Exibição do Administrador fica na parte inferior da tela e fornece ferramentas para que os usuários administradores diagnostiquem e solucionem problemas com o controle de aplicativos de acesso condicional.

Para exibir a barra de ferramentas Modo de Exibição de Administrador, você deve adicionar contas de usuário administrador específicas à lista de integração/manutenção de aplicativos nas configurações do Microsoft Defender XDR.

Para adicionar um usuário à lista de integração/manutenção do aplicativo:

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

  2. Role para baixo e, em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

  3. Insira o nome principal ou o endereço de email do usuário administrador que você deseja adicionar.

  4. Selecione a opção Permitir que esses usuários ignorem o Controle de Aplicativos de Acesso Condicional de dentro de uma sessão por proxy e selecione Salvar.

    Por exemplo:

    Captura de tela da configurações de integração / manutenção do aplicativo.

Na próxima vez que um dos usuários listados iniciar uma nova sessão em um aplicativo compatível no qual ele é um administrador, a barra de ferramentas Modo de Exibição do Administrador será exibida na parte inferior do navegador.

Por exemplo, a imagem a seguir mostra a barra de ferramentas Modo de Exibição de Administrador exibida na parte inferior de uma janela do navegador, ao usar o OneNote no navegador:

Captura de tela da barra de ferramentas Vista de administrador.

As seções a seguir descrevem como usar a barra de ferramentas Modo de Exibição do Administrador para testar e solucionar problemas.

Modo de teste

Como usuário administrador, convém testar as próximas correções de bugs de proxy antes que a versão mais recente seja totalmente implementada para todos os locatários. Forneça seus comentários sobre a correção de bug para a equipe de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando em modo de teste, apenas os usuários administradores são expostos a alterações fornecidas nas correções de bugs. Não há efeito sobre outros usuários.

  • Para ativar o modo de teste, na barra de ferramentas Modo de Exibição do Administrador, selecione Modo de Teste.
  • Quando terminar o teste, selecione Finalizar modo de teste para retornar à funcionalidade normal.

Ignorar sessão de proxy

Se você estiver usando um navegador diferente do Edge e tiver dificuldade para acessar ou carregar seu aplicativo, convém verificar se o problema é com o proxy de Acesso Condicional executando o aplicativo sem o proxy.

Para ignorar o proxy, na barra de ferramentas Modo de Exibição do Administrador, selecione Ignorar experiência. Confirme se a sessão foi ignorada observando que a URL não é sufixada.

O proxy de Acesso Condicional é usado novamente na próxima sessão.

Para obter mais informações, consulte Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de Nuvem e Proteção no navegador com o Microsoft Edge para Empresas (Preview).

Segunda entrada (também conhecido como "segunda entrada")

Alguns aplicativos têm mais de um link direto para entrar. A menos que você defina os links de entrada nas configurações do aplicativo, os usuários podem ser redirecionados para uma página não reconhecida quando entrarem, bloqueando seu acesso.

A integração entre IdPs, como o Microsoft Entra ID, baseia-se na interceptação de uma entrada de aplicativo e no redirecionamento. Isso significa que as entradas do navegador não podem ser controladas diretamente sem acionar uma segunda entrada. Para acionar uma segunda entrada, precisamos empregar uma segunda URL de entrada especificamente para essa finalidade.

Se o aplicativo usar um nonce, o segundo logon poderá ser transparente para os usuários ou será solicitado que eles entrem novamente.

Se não for transparente para o usuário final, adicione a segunda URL de entrada às configurações do aplicativo:

Vá para Configurações > Aplicativos de nuvem > Aplicativos conectados > Controle de Aplicativos de Acesso Condicional

Selecione o aplicativo relevante e, em seguida, selecione os três pontos.

Selecione Editar aplicativo\Configuração de entrada avançada.

Adicione a segunda URL de entrada, conforme mencionado na página de erro.

Se você tiver certeza de que o aplicativo não usa um nonce, poderá desativá-lo editando as configurações dos aplicativos, conforme descrito em Entradas lentas.

Gravar uma sessão

Talvez você queira ajudar a análise da causa raiz de um problema enviando uma gravação de sessão para engenheiros de suporte da Microsoft. Use a barra de ferramentas Modo de Exibição do administrador para gravar sua sessão.

Observação

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

  1. Use a barra de ferramentas Modo de Exibição, selecione Gravar sessão. Quando solicitado, selecione Continuar para aceitar os termos. Por exemplo:

    Captura de tela da caixa de diálogo da declaração de privacidade de gravação da sessão.

  2. Entre no aplicativo, se necessário, para começar a simular a sessão.

  3. Quando terminar de gravar o cenário, certifique-se de selecionar Parar gravação na barra de ferramentas Modo de Exibição do Administrador.

Para ver as sessões gravadas:

Depois do fim da gravação, exiba as sessões gravadas selecionando Gravações de sessão na barra de ferramentas do Modo de Exibição de Administração. Uma lista de sessões gravadas das 48 horas anteriores é exibida. Por exemplo:

Captura de tela das gravações da sessão.

Para gerenciar suas gravações, selecione um arquivo e, em seguida, selecione Excluir ou Download, conforme necessário. Por exemplo:

Captura de tela do download ou da exclusão de uma gravação.

Adicionar domínios para seu aplicativo

Associar os domínios corretos a um aplicativo permite que o Defender para Aplicativos de Nuvem imponha políticas e atividades de auditoria.

Por exemplo, se foi configurada uma política que bloqueia o download de arquivos para um domínio associado, os downloads de arquivos pelo aplicativo desse domínio serão bloqueados. No entanto, os downloads de arquivos pelo aplicativo de domínios não associados ao aplicativo não serão bloqueados e a ação não será auditada no log de atividades.

Se um administrador navegar em um aplicativo por proxy para um domínio não reconhecido, que o Defender para Aplicativos de Nuvem não considera para uma parte do mesmo aplicativo ou qualquer outro aplicativo, a mensagem Domínio não reconhecido será exibida, solicitando que o administrador adicione o domínio para que ele seja protegido da próxima vez. Nesses casos, se o administrador não quiser adicionar o domínio, nenhuma ação será necessária.

Observação

O Defender para Aplicativos de Nuvem ainda adiciona um sufixo a domínios não associados ao aplicativo para garantir uma experiência de usuário perfeita.

Para adicionar domínios para seu aplicativo:

  1. Abra seu aplicativo em um navegador, com a barra de ferramentas Exibição do Administrador do Defender para Aplicativos de Nuvem visível na tela.

  2. Na barra de ferramentas Exibição do Administrador, selecione Domínios descobertos.

  3. No painel Domínios descobertos, anote os nomes de domínio listados ou exporte a lista como um arquivo .csv.

    O painel Domínios descobertos mostra uma lista de todos os domínios que não estão associados ao aplicativo. O nome DNS do domínio totalmente qualificado.

  4. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem>Aplicativos conectados>Aplicativos de Controle de Aplicativos de Acesso Condicional.

  5. Localize seu aplicativo na tabela. Selecione o menu de opções à direita e, em seguida, selecione Editar aplicativo.

  6. No campo Domínios definidos pelo usuário, insira os domínios que você deseja associar a este aplicativo.

    • Para exibir a lista de domínios já configurados no aplicativo, selecione o link Exibir domínios do aplicativo.

    • Ao adicionar domínios, considere se deseja adicionar domínios específicos ou usar um asterisco (*****como um curinga para usar vários domínios ao mesmo tempo.

      Por exemplo, sub1.contoso.com,sub2.contoso.com são exemplos de domínios específicos. Para adicionar ambos os domínios de uma só vez, bem como outros domínios irmãos, use *.contoso.com.

Para mais informações, consulte Proteger aplicativos com o Microsoft Defender para Aplicativos de Nuvem Controle de Aplicativos de Acesso Condicional.