Resolução de problemas de acesso e controlos de sessão para utilizadores administradores

Este artigo fornece aos administradores do Microsoft Defender para Aplicativos de Nuvem orientações sobre como investigar e resolver problemas comuns de acesso e de controle de sessão enfrentados pelos administradores.

Observação

Qualquer resolução de problemas relacionada com a funcionalidade de proxy só é relevante para sessões que não estejam configuradas para proteção no browser com o Microsoft Edge.

Verificar os requisitos mínimos

Antes de começar a resolução de problemas, certifique-se de que o seu ambiente cumpre os seguintes requisitos gerais mínimos para controlos de acesso e sessão.

Requisito Descrição
Licenciamento Certifique-se de que tem uma licença válida para Microsoft Defender para Aplicativos de Nuvem.
SSO (logon único) As aplicações têm de ser configuradas com uma das soluções de SSO suportadas:

- Microsoft Entra ID com SAML 2.0 ou OpenID Connect 2.0
- IdP que não seja da Microsoft usando SAML 2.0
Suporte do navegador Os controlos de sessão estão disponíveis para sessões baseadas no browser nas versões mais recentes dos seguintes browsers:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A proteção no navegador para o Microsoft Edge também tem requisitos específicos, incluindo que o usuário esteja conectado com seu perfil de trabalho. Para obter mais informações, veja Requisitos de proteção no browser.
Indisponibilidade Defender para Aplicativos de Nuvem permite-lhe definir o comportamento predefinido a aplicar se existir uma interrupção do serviço, como um componente que não está a funcionar corretamente.

Por exemplo, quando os controlos de política normais não podem ser aplicados, pode optar por proteger (bloquear) ou ignorar (permitir) que os utilizadores efetuem ações em conteúdos potencialmente confidenciais.

Para configurar o comportamento padrão durante a indisponibilidade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo de Acesso Condicional>Comportamento padrão>Permitir ou Bloquear acesso.

Requisitos de proteção no browser

Se estiver a utilizar a proteção no browser com o Microsoft Edge e ainda estiver a ser servido por um proxy inverso, certifique-se de que cumpre os seguintes requisitos adicionais:

  • O recurso está ativado em suas configurações de Defender. Para obter mais informações, veja Configurar definições de proteção no browser.

  • Todas as políticas pelas quais o utilizador é abrangido são suportadas para Microsoft Edge para Empresas. Se um usuário for atendido por outra política que não tenha suporte no Microsoft Edge for Business, ele sempre será atendido pelo proxy reverso. Para obter mais informações, veja Requisitos de proteção no browser.

  • Está a utilizar uma plataforma suportada, incluindo um sistema operativo suportado, uma plataforma de identidade e uma versão do Edge. Para obter mais informações, veja Requisitos de proteção no browser.

Referência para solução de problemas para administradores

Utilize a tabela seguinte para encontrar o problema que está a tentar resolver:

Tipo de problema Problemas
Problemas de condição de rede Erros de rede ao navegar para uma página do browser

Inícios de sessão lentos

Mais considerações sobre as condições de rede
Problemas de identificação do dispositivo Dispositivos identificados incorretamente como em conformidade com o Intune ou ingressados de forma híbrida no Microsoft Entra

Os certificados do cliente não são solicitados quando deveriam

Os certificados do cliente não são solicitados quando deveriam
Os certificados do cliente são solicitados a cada login

Mais considerações sobre a identificação de dispositivos
Problemas ao integrar uma aplicação O aplicativo não aparece na página de aplicativos do Controle de Aplicativos de Acesso Condicional

Status de Aplicações: Continuar a ConfiguraçãoNão é possível configurar controlos para aplicações nativas

A opção Solicitar controle da sessão é exibida
Problemas ao criar políticas de acesso e sessão Nas políticas de Acesso Condicional, não pode ver a opção de controlo de aplicações de acesso condicional

Mensagem de erro ao criar uma política: não tem aplicações implementadas com o controlo de aplicações de acesso condicional

Não é possível criar políticas de sessão para uma aplicação

Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados

Não é possível escolher a Ação: Proteger

Mais considerações sobre a inclusão de aplicações
Diagnostique e solucione problemas com a barra de ferramentas da Admin View Ignorar sessão de proxy

Gravar uma sessão

Adicionar domínios à sua aplicação

Problemas de condição de rede

Os problemas comuns de condição de rede que pode encontrar incluem:

Erros de rede ao navegar para uma página do browser

Quando configura Defender para Aplicativos de Nuvem controlos de acesso e sessão para uma aplicação pela primeira vez, os erros de rede comuns que podem surgir incluem: Este site não é seguro e não existe ligação à Internet. Estas mensagens podem indicar um erro de configuração de rede geral.

Etapas recomendadas

  1. Configure o firewall para funcionar com o Defender para Aplicativos de Nuvem usando os endereços IP do Azure e os nomes DNS relevantes para o seu ambiente.

    1. Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para o seu datacenter Defender para Aplicativos de Nuvem.
    2. Reiniciar o dispositivo e a sessão do browser
    3. Verifique se o login está funcionando conforme esperado
  2. Ative o TLS 1.2 nas opções de Internet do browser. Por exemplo:

    Navegador Etapas
    Microsoft Internet Explorer 1. Abra o Explorer da Internet
    2. Selecione Ferramentas>Opções da Internet>guia Avançado
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o browser e verifique se consegue aceder à aplicação
    Microsoft Edge/Edge Chromium 1. Abra a pesquisa a partir da barra de tarefas e procure "Opções da Internet"
    2. Selecione Opções da Internet
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o browser e verifique se consegue aceder à aplicação
    Google Chrome 1. Abra o Google Chrome
    2. No canto superior direito, selecione Mais (3 pontos verticais) >Definições
    3. Na parte inferior, selecione Avançadas
    4. Em Sistema, selecione Abrir definições de proxy
    5. No separador Avançadas , em Segurança, selecione TLS 1.2
    6. Selecione OK
    7. Reinicie o browser e verifique se consegue aceder à aplicação
    Mozilla Firefox 1. Abra o Mozilla Firefox
    2. Na barra de endereço e procure "about:config"
    3. Na caixa de pesquisa, pesquise por "TLS"
    4. Dê um clique duplo na entrada de security.tls.version.min
    5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária
    6. Selecione Salvar (marca de seleção à direita do campo de valor)
    7. Reinicie o browser e verifique se consegue aceder à aplicação
    Safari Se estiver a utilizar a versão 7 ou superior do Safari, o TLS 1.2 é ativado automaticamente

Defender para Aplicativos de Nuvem utiliza protocolos TLS (Transport Layer Security) 1.2+ para fornecer encriptação de melhor classe:

  • As aplicações cliente nativas e os browsers que não suportam o TLS 1.2+ não estão acessíveis quando configurados com o controlo de sessão.
  • As aplicações SaaS que utilizam o TLS 1.1 ou inferior aparecem no browser como utilizando o TLS 1.2+ quando configuradas com Defender para Aplicativos de Nuvem.

Dica

Embora os controlos de sessão sejam criados para funcionar com qualquer browser em qualquer plataforma principal em qualquer sistema operativo, suportamos as versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Poderá querer bloquear ou permitir o acesso especificamente a aplicações móveis ou de ambiente de trabalho.

Logins lentos

O encadeamento de proxy e o processamento de nonce são alguns dos problemas comuns que podem resultar num desempenho de início de sessão lento.

Etapas recomendadas

Configure seu ambiente para remover quaisquer fatores que possam estar causando lentidão durante a entrada. Por exemplo, você pode ter firewalls ou encadeamento de proxies de encaminhamento configurados, o que conecta dois ou mais servidores proxy para acessar a página desejada. Também pode ter outros fatores externos que afetam a lentidão.

  1. Identifique se o encadeamento de proxy está ocorrendo em seu ambiente.
  2. Remova todos os proxies reencaminhados sempre que possível.

Algumas aplicações utilizam um hash nonce durante a autenticação para impedir ataques de repetição. Por predefinição, Defender para Aplicativos de Nuvem parte do princípio de que uma aplicação utiliza um nonce. Se a aplicação com que está a trabalhar não utilizar nonce, desative o processamento de nonces para esta aplicação no Defender para Aplicativos de Nuvem:

  1. No portal Defender, selecione Configurações>de Aplicativos de Nuvem.
  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
  3. Na lista de aplicativos, na linha em que aparece o aplicativo que você está configurando, selecione os três pontos no final da linha e, em seguida, selecione Editar para o seu aplicativo.
  4. Selecione Processamento de nonce para expandir a secção e, em seguida, desmarque Ativar processamento de nonce.
  5. Termine sessão na aplicação e feche todas as sessões do browser.
  6. Reinicie o browser e inicie sessão novamente na aplicação. Verifique se o login está funcionando como esperado.

Mais considerações sobre as condições de rede

Ao resolver problemas de condições de rede, considere também as seguintes notas sobre o proxy Defender para Aplicativos de Nuvem:

  • Verifique se a sessão está a ser encaminhada para outro datacenter: Defender para Aplicativos de Nuvem utiliza datacenters Azure em todo o mundo para otimizar o desempenho através da geolocalização.

    Isto significa que a sessão de um utilizador pode estar alojada fora de uma região, dependendo dos padrões de tráfego e da respetiva localização. No entanto, para proteger a sua privacidade, não são armazenados dados de sessão nestes datacenters.

  • Desempenho do proxy: a derivação de uma linha de base de desempenho depende de muitos fatores fora do proxy Defender para Aplicativos de Nuvem, tais como:

    • Que outros proxies ou gateways estão em série com este proxy
    • De onde vem o utilizador
    • Onde reside o recurso de destino
    • Pedidos específicos na página

    Em geral, qualquer proxy adiciona latência. As vantagens do proxy Defender para Aplicativos de Nuvem são:

    • Usar a disponibilidade global dos controladores de domínio do Azure para direcionar os usuários ao nó mais próximo com base na geolocalização e reduzir a latência de ida e volta. Os controladores de domínio do Azure podem estar geolocalizados em uma escala que poucos serviços no mundo alcançam.

    • Usando a integração com o Acesso Condicional do Microsoft Entra para encaminhar por proxy apenas as sessões que você deseja para o nosso serviço, em vez de encaminhar por proxy todos os usuários em todas as situações.

Problemas de identificação do dispositivo

Defender para Aplicativos de Nuvem fornece as seguintes opções para identificar o estado de gestão de um dispositivo.

  • Conformidade do Microsoft Intune
  • Domínio de Microsoft Entra Híbrido associado
  • Certificados de cliente

Para obter mais informações, veja Dispositivos geridos por identidade com controlo de aplicações de Acesso Condicional.

Os problemas comuns de identificação de dispositivos que poderá encontrar incluem:

Dispositivos em conformidade com o Intune ou ingressados de forma híbrida no Microsoft Entra identificados incorretamente

O Acesso Condicional do Microsoft Entra permite que as informações de dispositivos em conformidade com o Intune e ingressados de forma híbrida no Microsoft Entra sejam passadas diretamente para o Defender para Aplicativos de Nuvem. No Defender para Aplicativos de Nuvem, utilize o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais informações, veja Introdução à gestão de dispositivos no ID do Microsoft Entra.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis no Defender para Aplicativos de Nuvem.

  3. Para identificação de dispositivos compatíveis com o Intune e Microsoft Entra identificação híbrida associada, respetivamente, selecione Ver configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir de Microsoft Entra ID e Intune, respetivamente.

  4. Crie uma política de acesso ou sessão com o filtro Etiqueta de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos.

  5. Num browser, inicie sessão num dispositivo Microsoft Entra associado híbrido ou compatível com o Intune com base no filtro de política.

  6. Verifique se as atividades destes dispositivos estão a preencher o registo. No Defender para Aplicativos de Nuvem, na página Registo de atividades, filtre na Etiqueta do Dispositivo igual a Azure AD Híbrida associada, compatível com o Intune ou ambos com base nos filtros de política.

  7. Se as atividades não estiverem a ser preenchidas no registo de atividades Defender para Aplicativos de Nuvem, aceda a Microsoft Entra ID e siga os seguintes passos:

    1. Em Monitoramento>Entradas, verifique se há atividades de entrada nos logs.

    2. Selecione a entrada de registo relevante para o dispositivo no qual iniciou sessão.

    3. No painel Detalhes, na guia Informações do dispositivo, verifique se o dispositivo está Gerenciado (ingressado no Azure AD Híbrido) ou Em conformidade (em conformidade com o Intune).

      Se não conseguir verificar nenhum dos estados, experimente outra entrada de registo ou certifique-se de que os dados do dispositivo estão configurados corretamente no Microsoft Entra ID.

    4. Para o Acesso Condicional, alguns browsers podem necessitar de configuração adicional, como a instalação de uma extensão. Para obter mais informações, veja Suporte do browser de Acesso Condicional.

    5. Se você ainda não visualizar as informações do dispositivo na página Logins, abra um tíquete de suporte para Microsoft Entra ID.

Os certificados de cliente não estão sendo solicitados quando deveriam

O mecanismo de identificação de dispositivos pode pedir autenticação a partir de dispositivos relevantes através de certificados de cliente. Você pode fazer upload de um certificado X.509 de autoridade certificadora (CA) raiz ou intermediária, formatado no formato de certificado PEM.

Os certificados têm de conter a chave pública da AC, que é utilizada para assinar os certificados de cliente apresentados durante uma sessão. Para obter mais informações, veja Verificar a gestão de dispositivos sem Microsoft Entra.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis com Defender para Aplicativos de Nuvem.

  3. Verifique se você carregou um certificado de AC raiz ou intermediária X.509. Você deve fazer upload do certificado da AC usado para assinar sua autoridade certificadora.

  4. Crie uma política de acesso ou sessão com o filtro Etiqueta de Dispositivo igual a Certificado de cliente válido.

  5. Certifique-se de que o certificado de cliente é:

    • Implementado com o formato de ficheiro PKCS #12, normalmente uma extensão de ficheiro .p12 ou .pfx
    • Instalado no repositório do usuário, não no repositório do dispositivo, do dispositivo que você está usando para teste
  6. Reinicie a sessão do browser.

  7. Ao iniciar sessão na aplicação protegida:

    • Verifique se foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Se estiver a utilizar o iOS, certifique-se de que está a utilizar o browser Safari.
    • Se estiver a utilizar o Firefox, também tem de adicionar o certificado ao arquivo de certificados do Firefox. Todos os outros browsers utilizam o mesmo arquivo de certificados predefinido.
  8. Confirme que o certificado de cliente é solicitado no browser.

    Se não aparecer, experimente um browser diferente. A maioria dos principais navegadores suporta a realização de uma verificação de certificado de cliente. No entanto, os aplicativos móveis e de desktop frequentemente usam navegadores integrados que podem não oferecer suporte a essa verificação e, portanto, prejudicar a autenticação nesses aplicativos.

  9. Verifique se as atividades destes dispositivos estão a preencher o registo. No Defender para Aplicativos de Nuvem, na página Registo de atividades, adicione um filtro na Etiqueta do Dispositivo igual a Certificado de cliente válido.

  10. Se você ainda não vir o prompt, abra um ticket de suporte e inclua as seguintes informações:

    • Os detalhes do browser ou da aplicação nativa onde ocorreu o problema
    • A versão do sistema operativo, como iOS/Android/Windows 10
    • Mencione se o prompt funciona no Microsoft Edge Chromium

Os certificados de cliente são solicitados a cada entrada no sistema

Se o certificado de cliente aparecer depois de abrir um novo separador, tal poderá dever-se às definições ocultadas nas Opções da Internet. Verifique as definições no browser. Por exemplo:

No Microsoft Internet Explorer:

  1. Abra a Internet Explorer e selecione Ferramentas>, separador Opções>da Internet Avançadas.
  2. Em Segurança, selecione Não pedir a seleção do Certificado de Cliente quando existir> apenas um certificado, selecione Aplicar>OK.
  3. Reinicie o browser e verifique se consegue aceder à aplicação sem os pedidos adicionais.

No Microsoft Edge/Edge Chromium:

  1. Abra a pesquisa a partir da barra de tarefas e procure Opções da Internet.
  2. Selecione Opções da Internet>Segurança>Intranet local>Nível personalizado.
  3. Em Diversos>Não solicitar a seleção do Certificado do Cliente quando houver apenas um certificado, selecione Desativar.
  4. Selecione OK>Aplicar>OK.
  5. Reinicie o browser e verifique se consegue aceder à aplicação sem os pedidos adicionais.

Mais considerações sobre a identificação de dispositivos

Durante a solução de problemas de identificação de dispositivos, você pode exigir a revogação de certificados de cliente.

Os certificados revogados pela AC já não são fidedignos. Selecionar esta opção requer que todos os certificados passem o protocolo CRL. Se o certificado do cliente não contiver um ponto de extremidade da CRL, você não poderá se conectar a partir do dispositivo gerenciado.

Problemas ao integrar uma aplicação

Os aplicativos do Microsoft Entra ID são automaticamente integrados ao Defender para Aplicativos de Nuvem para Acesso Condicional e controles de sessão. Você deve adicionar manualmente os aplicativos de IdP que não sejam da Microsoft, incluindo aplicativos do catálogo e aplicativos personalizados.

Para saber mais, confira:

Os cenários comuns que pode encontrar ao integrar uma aplicação incluem:

O aplicativo não aparece na página de aplicativos do Controle de Aplicativos de Acesso Condicional

Ao integrar uma aplicação IdP que não seja da Microsoft no controlo de aplicações de acesso condicional, o passo final de implementação é fazer com que o utilizador final navegue para a aplicação. Siga as etapas nesta seção se o aplicativo não estiver aparecendo na página Configurações > Aplicativos de nuvem > Aplicativos conectados > Aplicativos do Controle de Aplicativos de Acesso Condicional como esperado.

Etapas recomendadas

  1. Certifique-se de que a aplicação cumpre os seguintes pré-requisitos de controlo de aplicações de Acesso Condicional:

    • Certifique-se de que tem uma licença de Defender para Aplicativos de Nuvem válida.
    • Criar uma aplicação duplicada.
    • Certifique-se de que a aplicação utiliza o protocolo SAML.
    • Confirme que integrou totalmente a aplicação e que o status da aplicação é Ligado.
  2. Certifique-se de que navega para a aplicação numa nova sessão do browser utilizando um novo modo incógnito ou iniciando sessão novamente.

Observação

Os aplicativos do Entra ID só aparecem na página Aplicativos do Controle de Aplicativos de Acesso Condicional depois de serem configurados em pelo menos uma política ou se você tiver uma política sem nenhuma especificação de aplicativo e um usuário tiver entrado no aplicativo.

Status de Aplicações: Continuar a Configuração

O status de uma aplicação pode variar e pode incluir Continuar a Configuração, Ligado ou Sem Atividades.

Para aplicações ligadas através de fornecedores de identidade (IdP) não Microsoft, se a configuração não estiver concluída, quando aceder à aplicação, verá uma página com o status de Continuar a Configuração. Utilize os seguintes passos para concluir a configuração.

Etapas recomendadas

  1. Selecione Continuar Configuração.

  2. Reveja os seguintes artigos e verifique se concluiu todos os passos necessários:

    Preste especial atenção aos seguintes passos:

    1. Certifique-se de que cria uma nova aplicação SAML personalizada. Precisa desta aplicação para alterar os URLs e os atributos SAML que podem não estar disponíveis nas aplicações da galeria.
    2. Se o seu fornecedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID da Entidade ou Audiência, altere o identificador da aplicação original.

Não é possível configurar controlos para aplicações incorporadas

As aplicações incorporadas podem ser detetadas heuristicamente e pode utilizar políticas de acesso para monitorizá-las ou bloqueá-las. Utilize os seguintes passos para configurar controlos para aplicações nativas.

Etapas recomendadas

  1. Numa política de acesso, adicione um filtro da aplicação Cliente e defina-o como Móvel e ambiente de trabalho.

  2. Em Ações, selecione Bloquear.

  3. Opcionalmente, personalize a mensagem de bloqueio que os seus utilizadores recebem quando não conseguem transferir ficheiros. Por exemplo, personalize esta mensagem para Tem de utilizar um browser para aceder a esta aplicação.

  4. Teste e confirme se o controlo está a funcionar conforme esperado.

A página Aplicativo não é reconhecido é exibida

Defender para Aplicativos de Nuvem consegue reconhecer mais de 31 000 aplicações através do catálogo de aplicações na cloud.

Se estiver a utilizar uma aplicação personalizada configurada através de Microsoft Entra SSO e não for uma das aplicações suportadas, verá que uma Aplicação não é reconhecida. Para resolver o problema, você deve configurar o aplicativo com o controle de aplicativo do Acesso Condicional.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. No banner, selecione Ver novos apps.

  3. Na lista de novos aplicativos, localize o aplicativo que você está integrando, selecione o sinal de + e, em seguida, selecione Adicionar.

    1. Selecione se a aplicação é uma aplicação personalizada ou padrão .
    2. Continue através do assistente, certifique-se de que os domínios definidos pelo utilizador especificados estão corretos para a aplicação que está a configurar.
  4. Verifique se a aplicação aparece na página Aplicações de Controlo de Aplicações de Acesso Condicional .

A opção para solicitar controle da sessão é exibida

Depois de integrar uma aplicação IdP que não seja da Microsoft, poderá ver a opção Pedir controlo de sessão . Isso ocorre porque apenas os aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outra aplicação, tem de passar por um processo de integração automática.

Siga as instruções em Implementar o controlo de aplicações de Acesso Condicional para aplicações personalizadas com IdPs não Microsoft.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem.

  2. Em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

  3. Introduza o nome principal ou o e-mail do utilizador que irá integrar a aplicação e, em seguida, selecione Guardar.

  4. Aceda à aplicação que está a implementar. A página que vê depende se a aplicação é reconhecida. Execute uma das seguintes ações, dependendo da página exibida:

    • Não reconhecido. Verá uma página Aplicação não reconhecida que lhe pede para configurar a sua aplicação. Efetue os seguintes passos:

      1. Integre a aplicação para o controlo de aplicações de Acesso Condicional.
      2. Adicione os domínios da aplicação.
      3. Instale os certificados da aplicação.
    • Reconhecido. Se a sua aplicação for reconhecida, verá uma página de inclusão a pedir-lhe para continuar o processo de configuração da aplicação.

      Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente e, em seguida, regresse à página da aplicação.

Mais considerações sobre a inclusão de aplicações

Ao solucionar problemas na integração de aplicativos, há alguns pontos extras a considerar.

  • Compreenda a diferença entre as definições de política de Acesso Condicional do Microsoft Entra: "Apenas monitorização", "Bloquear transferências" e "Utilizar política personalizada"

    Nas políticas de Acesso Condicional do Microsoft Entra, é possível configurar os seguintes controles internos do Defender para Aplicativos de Nuvem: Somente monitorar e Bloquear downloads. Essas configurações se aplicam e impõem o recurso de proxy do Defender para Aplicativos de Nuvem para aplicativos de nuvem e condições configurados no Microsoft Entra ID.

    Para políticas mais complexas, selecione Utilizar política personalizada, que lhe permite configurar políticas de acesso e sessão no Defender para Aplicativos de Nuvem.

  • Entenda a opção de filtro do aplicativo cliente "Dispositivos móveis e desktop" em políticas de acesso

    No Defender para Aplicativos de Nuvem políticas de acesso, a menos que o filtro Aplicação cliente esteja definido como Móvel e ambiente de trabalho, a política de acesso resultante aplica-se às sessões do browser.

    O motivo disso é evitar fazer proxy, sem querer, de sessões de usuário, o que pode ser um efeito colateral do uso deste filtro.

Problemas ao criar políticas de acesso e sessão

Defender para Aplicativos de Nuvem fornece as seguintes políticas configuráveis:

  • Políticas de acesso: utilizadas para monitorizar ou bloquear o acesso a aplicações de browser, dispositivos móveis e/ou de ambiente de trabalho.
  • Políticas de Sessão. Utilizado para monitorizar, bloquear e executar ações específicas para impedir cenários de infiltração e transferência de dados no browser.

Para utilizar estas políticas no Defender para Aplicativos de Nuvem, primeiro tem de configurar uma política no Microsoft Entra Acesso Condicional para expandir os controlos de sessão:

  1. Na política de Microsoft Entra, em Controlos de acesso, selecione Utilização da Sessão>Controlo de Aplicações de Acesso Condicional.

  2. Selecione uma política incorporada (Monitorizar apenas ou Bloquear transferências) ou Utilize a política personalizada para definir uma política avançada no Defender para Aplicativos de Nuvem.

  3. Selecione Selecionar para continuar.

Os cenários comuns que poderá encontrar ao configurar estas políticas incluem:

Nas políticas de Acesso Condicional, não pode ver a opção de controlo de aplicações de acesso condicional

Para encaminhar sessões para o Defender para Aplicativos de Nuvem, as políticas de Acesso Condicional do Microsoft Entra devem ser configuradas para incluir controles de sessão do controle de aplicativo de acesso condicional.

Etapas recomendadas

Se não vir a opção Controlo de Aplicações de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para Microsoft Entra ID P1 e uma licença de Defender para Aplicativos de Nuvem válida.

Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o controle de aplicativo de acesso condicional

Ao criar uma política de acesso ou sessão, poderá ver a seguinte mensagem de erro: Não tem aplicações implementadas com controlo de aplicação de acesso condicional. Este erro indica que a aplicação é uma aplicação IdP não Microsoft que não foi integrada para o controlo de aplicações de Acesso Condicional.

Etapas recomendadas

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. Se vir a mensagem Nenhuma aplicação ligada, utilize os seguintes guias para implementar aplicações:

Se tiver problemas durante a implementação da aplicação, veja Problemas ao integrar uma aplicação.

Não é possível criar políticas de sessão para uma aplicação

Depois de integrar uma aplicação IdP não Microsoft para controlo de aplicações de Acesso Condicional, na página Aplicações de Controlo de Aplicações de Acesso Condicional , poderá ver a opção: Pedir controlo de sessão.

Observação

Aplicativos de catálogo têm controles de sessão prontos para uso. Para quaisquer outras aplicações IdP que não sejam da Microsoft, tem de passar por um processo de integração automática. Etapas recomendadas

  1. Implante seu aplicativo no controle de sessão. Para obter mais informações, veja Integrar aplicações personalizadas IdP não Microsoft para controlo de aplicações de Acesso Condicional.

  2. Crie uma política de sessão e selecione o filtro Aplicação .

  3. Certifique-se de que a sua aplicação está agora listada na lista pendente.

Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados

Nas políticas de sessão, ao utilizar o tipo de controlo Controlo de transferência de ficheiros (com inspeção), pode utilizar o método de inspeção do Serviço de Classificação de Dados para analisar os seus ficheiros em tempo real e detetar conteúdo confidencial que corresponda a qualquer um dos critérios que configurou.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, utilize os seguintes passos para investigar o problema.

Etapas recomendadas

  1. Verifique se o tipo de controlo Sessão está definido como Transferência de ficheiros de controlo (com inspeção).

    Observação

    O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Transferência de ficheiros de controlo (com inspeção ).

  2. Determine se a funcionalidade Serviço de Classificação de Dados está disponível na sua região:

    • Se a funcionalidade não estiver disponível na sua região, utilize o método de inspeção de DLP integrado.
    • Se a funcionalidade estiver disponível na sua região, mas ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados , abra um pedido de suporte.

Não é possível selecionar a ação: Proteger

Nas políticas de sessão, ao usar o tipo de controle de sessão Controlar download de arquivo (com inspeção), além das ações Monitorar e Bloquear, você pode especificar a ação Proteger. Esta ação permite-lhe permitir transferências de ficheiros com a opção de encriptar ou aplicar permissões ao ficheiro com base em condições, inspeção de conteúdo ou ambos.

Se a ação Proteger não estiver disponível, utilize os seguintes passos para investigar o problema.

Etapas recomendadas

  1. Se a ação Proteger não estiver disponível ou estiver indisponível, verifique se tem uma licença do Microsoft Purview. Para obter mais informações, consulte Integração com a Proteção de Informações do Microsoft Purview.

  2. Se a ação Proteger estiver disponível, mas não estiver a ver as etiquetas adequadas.

    1. No Defender para Aplicativos de Nuvem, na barra de menus, selecione o ícone > de definições microsoft Proteção de Informações e verifique se a integração está ativada.

    2. Para etiquetas do Office, no portal do Microsoft Purview, certifique-se de que a opção Etiquetagem Unificada está selecionada.

Diagnostique e solucione problemas com a barra de ferramentas Admin View

A barra de ferramentas Administração View encontra-se na parte inferior do ecrã e fornece ferramentas para os utilizadores administradores diagnosticarem e resolverem problemas com o controlo de aplicações de acesso condicional.

Para exibir a barra de ferramentas da Exibição de administrador, você deve se certificar de adicionar contas de usuário administrador específicas à lista de integração/manutenção de aplicativos nas configurações do portal do Defender.

Para adicionar um usuário à lista de integração/manutenção do aplicativo:

  1. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem.

  2. Role para baixo e, em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

  3. Introduza o nome principal ou endereço de e-mail do utilizador administrador que pretende adicionar.

  4. Selecione a opção Permitir que estes utilizadores ignorem o Controlo de Aplicações de Acesso Condicional dentro de uma sessão com eixo e, em seguida, selecione Guardar.

    Por exemplo:

    Captura de tela das configurações de integração inicial/manutenção do aplicativo.

Da próxima vez que um dos utilizadores listados iniciar uma nova sessão numa aplicação suportada onde é administrador, a barra de ferramentas Administração View é apresentada na parte inferior do browser.

Por exemplo, a imagem seguinte mostra a barra de ferramentas Ver Administração apresentada na parte inferior de uma janela do browser ao utilizar o OneNote no browser:

Captura de tela da barra de ferramentas da Visualização do administrador.

As secções seguintes descrevem como utilizar a barra de ferramentas Administração Ver para testar e resolver problemas.

Modo de teste

Enquanto utilizador administrador, poderá querer testar as correções de erros de proxy futuras antes de a versão mais recente ser totalmente implementada em todos os inquilinos. Forneça o seu feedback sobre a correção de erros à equipa de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando estão no modo de teste, apenas os utilizadores administradores são expostos a quaisquer alterações fornecidas nas correções de erros. Não há qualquer efeito nos outros utilizadores.

  • Para ativar o modo de teste, na barra de ferramentas Administração Ver, selecione Modo de Teste.
  • Quando terminar o teste, selecione Terminar Modo de Teste para voltar à funcionalidade normal.

Ignorar sessão de proxy

Se estiver a utilizar um browser não Edge e tiver dificuldades em aceder ou carregar a sua aplicação, poderá querer verificar se o problema está relacionado com o proxy de Acesso Condicional ao executar a aplicação sem o proxy.

Para ignorar o proxy, na barra de ferramentas da Exibição de administrador, selecione Experiência de bypass. Confirme que a sessão é ignorada observando que a URL não tem sufixo.

O proxy de Acesso Condicional é utilizado novamente na próxima sessão.

Para obter mais informações, veja Microsoft Defender para Aplicativos de Nuvem controlo de aplicações de Acesso Condicional e Proteção no browser com Microsoft Edge para Empresas (Pré-visualização).

Segundo login (também conhecido como "segundo login")

Alguns aplicativos têm mais de um link profundo para fazer login. A menos que defina as ligações de início de sessão nas definições da aplicação, os utilizadores poderão ser redirecionados para uma página não reconhecida quando iniciam sessão, bloqueando o respetivo acesso.

A integração entre IdPs, como o Microsoft Entra ID, baseia-se na interceptação de uma entrada no aplicativo e no redirecionamento dessa entrada. Isto significa que os logins no navegador não podem ser controlados diretamente sem desencadear um segundo login. Para acionar um segundo início de sessão, temos de utilizar um segundo URL de início de sessão especificamente para esse fim.

Se o app usar um nonce, o segundo login poderá ser transparente para os usuários, ou será solicitado que façam login novamente.

Se não for transparente para o utilizador final, adicione o segundo URL de início de sessão às definições da aplicação:

Acesse Configurações Aplicativos de nuvem > Aplicativos conectados > Aplicativos de Controle de Aplicativos de Acesso Condicional

Selecione a aplicação relevante e, em seguida, selecione os três pontos.

Selecione Editar aplicação\Configuração de início de sessão avançada.

Adicione o URL secundário de início de sessão conforme mencionado na página de erro.

Se você tem certeza de que o aplicativo não usa nonce, pode desativar isso editando as configurações do aplicativo, conforme descrito em Logins lentos.

Gravar uma sessão

Poderá querer ajudar na análise da causa raiz de um problema ao enviar uma gravação de sessão aos engenheiros de suporte da Microsoft. Use a barra de ferramentas Visão do administrador para gravar sua sessão.

Observação

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

  1. Na barra de ferramentas Administração Ver, selecione Gravar sessão. Quando lhe for pedido, selecione Continuar para aceitar os termos. Por exemplo:

    Captura de tela da caixa de diálogo da declaração de privacidade da gravação da sessão.

  2. Inicie sessão na sua aplicação, se necessário, para começar a simular a sessão.

  3. Quando terminar de gravar o cenário, certifique-se de selecionar a opção Parar gravação na barra de ferramentas Visualização do Administrador.

Para ver as sessões gravadas:

Depois de terminar a gravação, veja as sessões gravadas ao selecionar Gravações de sessão na barra de ferramentas Administração Ver. É apresentada uma lista de sessões gravadas das 48 horas anteriores. Por exemplo:

Captura de ecrã a mostrar as gravações da sessão.

Para gerir as suas gravações, selecione um ficheiro e, em seguida, selecione Eliminar ou Transferir conforme necessário. Por exemplo:

Captura de ecrã a mostrar a transferência ou eliminação de uma gravação.

Adicionar domínios à sua aplicação

Associar os domínios corretos a uma aplicação permite Defender para Aplicativos de Nuvem impor políticas e atividades de auditoria.

Por exemplo, se tiver configurado uma política que bloqueia a transferência de ficheiros para um domínio associado, as transferências de ficheiros pela aplicação a partir desse domínio serão bloqueadas. No entanto, as transferências de ficheiros pela aplicação a partir de domínios não associados à aplicação não serão bloqueadas e a ação não será auditada no registo de atividades.

Se um administrador navegar, em um aplicativo com proxy, até um domínio não reconhecido, que o Defender para Aplicativos de Nuvem não considera como parte do mesmo aplicativo nem de qualquer outro aplicativo, a mensagem Domínio não reconhecido será exibida, solicitando que o administrador adicione o domínio para que ele seja protegido na próxima vez. Nestes casos, se o administrador não quiser adicionar o domínio, não é necessária qualquer ação.

Observação

Defender para Aplicativos de Nuvem ainda adiciona um sufixo a domínios não associados à aplicação para garantir uma experiência de utilizador totalmente integrada.

Para adicionar domínios à sua aplicação:

  1. Abra seu aplicativo em um navegador, com a barra de ferramentas da Exibição de administrador do Defender para Aplicativos de Nuvem visível na tela.

  2. Na barra de ferramentas da Visão do administrador, selecione Domínios detectados.

  3. No painel Domínios detetados , anote os nomes de domínio listados ou exporte a lista como um ficheiro de .csv.

    O painel Domínios detetados mostra uma lista de todos os domínios que não estão associados à aplicação. Os nomes de domínio são completamente qualificados.

  4. No Microsoft Defender XDR, selecione Configurações>Aplicativos de Nuvem>Aplicativos conectados>Aplicativos do Controle de Aplicativos de Acesso Condicional.

  5. Localize a sua aplicação na tabela. Selecione o menu de opções à direita e, em seguida, selecione Editar aplicação.

  6. No campo Domínios definidos pelo utilizador , introduza os domínios que pretende associar a esta aplicação.

    • Para ver a lista de domínios já configurados na aplicação, selecione a ligação Ver domínios de aplicações .

    • Ao adicionar domínios, considere se pretende adicionar domínios específicos ou utilizar um asterisco (***** como um caráter universal para utilizar vários domínios ao mesmo tempo.

      Por exemplo, sub1.contoso.com,sub2.contoso.com são exemplos de domínios específicos. Para adicionar ambos os domínios de uma só vez, bem como outros domínios de irmãos, utilize *.contoso.com.

Para obter mais informações, consulte Proteger aplicativos com o controle de aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de Nuvem.