Solución de problemas de acceso y controles de sesión para usuarios administradores

En este artículo se proporcionan Microsoft Defender for Cloud Apps administradores instrucciones sobre cómo investigar y resolver problemas comunes de acceso y control de sesión que experimentan los administradores.

Nota:

Cualquier solución de problemas relacionada con la funcionalidad de proxy solo es relevante para las sesiones que no están configuradas para la protección en el explorador con Microsoft Edge.

Comprobación de los requisitos mínimos

Antes de empezar a solucionar problemas, asegúrese de que el entorno cumple los siguientes requisitos generales mínimos para los controles de acceso y sesión.

Requisito Descripción
Licencias Asegúrese de que tiene una licencia válida para Microsoft Defender for Cloud Apps.
Inicio de sesión único (SSO) Las aplicaciones deben configurarse con una de las soluciones de SSO compatibles:

- Microsoft Entra ID mediante SAML 2.0 o OpenID Connect 2.0
- IdP ajeno a Microsoft que usa SAML 2.0
Compatibilidad con exploradores Los controles de sesión están disponibles para sesiones basadas en explorador en las versiones más recientes de los siguientes exploradores:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

La protección en el explorador para Microsoft Edge también tiene requisitos específicos, incluido el usuario que inició sesión con su perfil de trabajo. Para obtener más información, consulte Requisitos de protección en el explorador.
Tiempo de inactividad Defender for Cloud Apps permite definir el comportamiento predeterminado que se aplicará si hay una interrupción del servicio, como un componente que no funciona correctamente.

Por ejemplo, cuando no se pueden aplicar los controles de directiva normales, puede optar por impedir (bloquear) o omitir (permitir) que los usuarios realicen acciones sobre contenido potencialmente confidencial.

Para configurar el comportamiento predeterminado durante el tiempo de inactividad del sistema, en Microsoft Defender XDR, vaya a Configuración>Control de aplicaciones de acceso condicional>Comportamiento predeterminado>Permitir o Bloquear el acceso.

Requisitos de protección en el explorador

Si usa la protección en el explorador con Microsoft Edge y sigue siendo atendido por un proxy inverso, asegúrese de cumplir los siguientes requisitos adicionales:

  • La característica está activada en la configuración de Defender. Para obtener más información, consulte Configuración de la protección en el explorador.

  • Todas las directivas que se aplican al usuario son compatibles con Microsoft Edge for Business. Si a un usuario se le aplica otra directiva que no es compatible con Microsoft Edge for Business, siempre se le atiende mediante el proxy inverso. Para obtener más información, consulte Requisitos de protección en el explorador.

  • Usa una plataforma compatible, incluidos un sistema operativo compatible, una plataforma de identidad y una versión de Edge. Para obtener más información, consulte Requisitos de protección en el explorador.

Referencia de solución de problemas para administradores

Use la tabla siguiente para encontrar el problema que está intentando solucionar:

Tipo de problema Problemas
Problemas de condición de red Errores de red al navegar a una página del explorador

Inicios de sesión lentos

Más consideraciones sobre las condiciones de red
Problemas de identificación de dispositivos Dispositivos identificados erróneamente como compatibles con Intune o unidos de forma híbrida a Microsoft Entra

Los certificados de cliente no se solicitan cuando deberían

Los certificados de cliente no se solicitan cuando deberían
Los certificados de cliente se solicitan en cada inicio de sesión

Más consideraciones para la identificación de dispositivos
Problemas al incorporar una aplicación La aplicación no aparece en la página aplicaciones de control de aplicaciones de acceso condicional

Estado de la aplicación: Continuar el programa de instalaciónNo se pueden configurar controles para aplicaciones nativas

Aparece la opción solicitar control de sesión
Problemas al crear directivas de acceso y sesión En las políticas de acceso condicional, no se puede ver la opción de control de aplicaciones para acceso condicional

Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con el control de aplicación de acceso condicional

No se pueden crear directivas de sesión para una aplicación

No se puede elegir el método de inspección: Servicio de clasificación de datos

No se puede seleccionar Acción: Proteger

Más consideraciones para la incorporación de aplicaciones
Diagnosticar y solucionar problemas con la barra de herramientas de la Vista de administrador Omitir sesión de proxy

Registro de una sesión

Agregar dominios para la aplicación

Problemas de condición de red

Entre los problemas comunes de condición de red que puede encontrar se incluyen:

Errores de red al navegar a una página del explorador

Al configurar por primera vez Defender for Cloud Apps controles de acceso y sesión para una aplicación, entre los errores de red comunes que pueden surgir se incluyen: Este sitio no es seguro y no hay conexión a Internet. Estos mensajes pueden indicar un error general de configuración de red.

Pasos recomendados

  1. Configure el firewall para que funcione con Defender for Cloud Apps mediante las direcciones IP Azure y los nombres DNS pertinentes para su entorno.

    1. Agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS para el centro de datos de Defender for Cloud Apps.
    2. Reiniciar el dispositivo y la sesión del explorador
    3. Compruebe que el inicio de sesión funciona según lo previsto.
  2. Habilite TLS 1.2 en las opciones de Internet del explorador. Por ejemplo:

    Navegador Pasos
    Microsoft Internet Explorer 1. Abra Internet Explorer.
    2. Seleccione Herramientas>Opciones de Internet>pestaña Avanzadas
    3. En Seguridad, seleccione TLS 1.2.
    4. Seleccione Aplicar y, a continuación, seleccione Aceptar.
    5. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Microsoft Edge/Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet"
    2. Seleccione Opciones de Internet.
    3. En Seguridad, seleccione TLS 1.2.
    4. Seleccione Aplicar y, a continuación, seleccione Aceptar.
    5. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Google Chrome 1. Abrir Google Chrome
    2. En la parte superior derecha, seleccione Más (3 puntos verticales) >Configuración
    3. En la parte inferior, seleccione Avanzadas.
    4. En Sistema, seleccione Abrir configuración de proxy.
    5. En la pestaña Avanzadas, en Seguridad, seleccione TLS 1.2.
    6. Seleccione Aceptar.
    7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Mozilla Firefox 1. Abra Mozilla Firefox.
    2. En la barra de direcciones y busque "about:config"
    3. En el cuadro De búsqueda, busque "TLS"
    4. Haga doble clic en la entrada security.tls.version.min
    5. Establezca el valor entero en 3 para forzar TLS 1.2 como la versión mínima necesaria.
    6. Seleccione Guardar (marca de verificación a la derecha del cuadro de valor)
    7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Safari Si usa la versión 7 o posterior de Safari, TLS 1.2 se habilita automáticamente.

Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar el mejor cifrado de su clase:

  • Las aplicaciones cliente nativas y los exploradores que no admiten TLS 1.2+ no son accesibles cuando se configuran con el control de sesión.
  • Las aplicaciones SaaS que usan TLS 1.1 o versiones inferiores aparecen en el explorador como con TLS 1.2+ cuando se configuran con Defender for Cloud Apps.

Sugerencia

Aunque los controles de sesión están diseñados para funcionar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admiten las versiones más recientes de Microsoft Edge, Google Chrome, Mozilla Firefox o Apple Safari. Es posible que quiera bloquear o permitir el acceso específicamente a aplicaciones móviles o de escritorio.

Inicios de sesión lentos

El encadenamiento de proxies y la gestión de nonce son algunos de los problemas habituales que podrían provocar un inicio de sesión lento.

Pasos recomendados

Configure el entorno para quitar los factores que podrían estar causando lentitud durante el inicio de sesión. Por ejemplo, es posible que tengas configurados cortafuegos o el encadenamiento de proxies de reenvío, lo que conecta dos o más servidores proxy para acceder a la página deseada. También puede tener otros factores externos que afectan a la lentitud.

  1. Determine si se está produciendo un encadenamiento de proxy en su entorno.
  2. Elimine los proxies directos siempre que sea posible.

Algunas aplicaciones usan un hash de nonce durante la autenticación para evitar ataques de reproducción. De forma predeterminada, Defender for Cloud Apps asume que una aplicación usa un nonce. Si la aplicación con la que está trabajando no usa Nonce, deshabilite el control de nonce para esta aplicación en Defender for Cloud Apps:

  1. En el portal de Defender, seleccione Configuración>De aplicaciones en la nube.
  2. En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.
  3. En la lista de aplicaciones, en la fila en la que aparece la aplicación que está configurando, seleccione los tres puntos al final de la fila y, a continuación, seleccione Editar para la aplicación.
  4. Seleccione Nonce-handling para desplegar la sección y, a continuación, desmarque Enable nonce handling.
  5. Cierre la sesión de la aplicación y cierre todas las sesiones del explorador.
  6. Reinicie el explorador e inicie sesión de nuevo en la aplicación. Compruebe que el inicio de sesión funciona según lo esperado.

Más consideraciones sobre las condiciones de red

Al solucionar problemas de condiciones de red, tenga en cuenta también las notas siguientes sobre el proxy de Defender for Cloud Apps:

  • Compruebe si la sesión se enruta a otro centro de datos: Defender for Cloud Apps usa Azure centros de datos de todo el mundo para optimizar el rendimiento mediante la geolocalización.

    Esto significa que la sesión de un usuario podría hospedarse fuera de una región, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de sesión en estos centros de datos.

  • Rendimiento del proxy: derivar una línea base de rendimiento depende de muchos factores fuera del proxy Defender for Cloud Apps, como:

    • ¿Qué otros servidores proxy o puertas de enlace se encuentran en serie con este proxy?
    • De dónde procede el usuario
    • Dónde reside el recurso de destino
    • Solicitudes específicas en la página

    En general, cualquier proxy agrega latencia. Las ventajas del proxy Defender for Cloud Apps son:

    • Uso de la disponibilidad global de los controladores de dominio de Azure para geolocalizar a los usuarios y dirigirlos al nodo más cercano, reduciendo así su distancia de ida y vuelta. Los controladores de dominio de Azure pueden geolocalizar a una escala al alcance de muy pocos servicios en todo el mundo.

    • Use la integración con Acceso condicional de Microsoft Entra para redirigir únicamente a nuestro servicio las sesiones que desee pasar por el proxy, en lugar de hacerlo con todos los usuarios en cualquier situación.

Problemas de identificación de dispositivos

Defender for Cloud Apps proporciona las siguientes opciones para identificar el estado de administración de un dispositivo.

  • Cumplimiento de Microsoft Intune
  • Dominio híbrido Microsoft Entra unido
  • Certificados de cliente

Para obtener más información, consulte Dispositivos administrados por identidad con control de aplicaciones de acceso condicional.

Entre los problemas comunes de identificación de dispositivos que puede encontrar se incluyen:

Dispositivos identificados erróneamente como conformes con Intune o unidos de forma híbrida a Microsoft Entra

Acceso condicional de Microsoft Entra permite transmitir directamente a Defender for Cloud Apps la información de los dispositivos compatibles con Intune y unidos a Microsoft Entra híbrido. En Defender for Cloud Apps, use el estado del dispositivo como filtro para las directivas de acceso o sesión.

Para obtener más información, consulte Introducción a la administración de dispositivos en Microsoft Entra id.

Pasos recomendados

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube.

  2. En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender for Cloud Apps.

  3. Para la identificación de dispositivos conformes con Intune y la identificación de unión híbrida a Microsoft Entra, respectivamente, seleccione Ver configuración y compruebe que los servicios estén configurados. Los servicios se sincronizan automáticamente desde Microsoft Entra id. e Intune, respectivamente.

  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Híbrido Azure unido a AD, compatible con Intune o ambos.

  5. En un explorador, inicie sesión desde un dispositivo que esté unido de forma híbrida a Microsoft Entra o sea compatible con Intune, según el filtro de directiva.

  6. Compruebe que las actividades de estos dispositivos se están registrando en el registro. En Defender for Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Híbrido Azure unido a AD, compatible con Intune o ambos en función de los filtros de directiva.

  7. Si las actividades no se rellenan en el registro de actividad de Defender for Cloud Apps, vaya a Microsoft Entra id. y siga estos pasos:

    1. En Supervisión>Inicios de sesión, compruebe que hay actividad de inicio de sesión en los registros.

    2. Seleccione la entrada de registro correspondiente para el dispositivo en el que inició sesión.

    3. En el panel Detalles, en la pestaña Información del dispositivo, compruebe que el dispositivo está administrado (unido a Azure AD híbrido) o compatible (compatible con Intune).

      Si no puede comprobar ninguno de los estados, pruebe otra entrada de registro o asegúrese de que los datos del dispositivo están configurados correctamente en Microsoft Entra identificador.

    4. En el caso del acceso condicional, algunos exploradores pueden requerir una configuración adicional, como la instalación de una extensión. Para obtener más información, consulte Compatibilidad con el explorador de acceso condicional.

    5. Si todavía no ve la información del dispositivo en la página Inicios de sesión, abra un ticket de soporte para Microsoft Entra ID.

Los certificados de cliente no se solicitan cuando se espera

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos pertinentes mediante certificados de cliente. Puede cargar un certificado X.509 de autoridad de certificación (CA) raíz o intermedia, en formato PEM.

Los certificados deben contener la clave pública de la ENTIDAD de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión. Para obtener más información, consulte Comprobar si hay administración de dispositivos sin Microsoft Entra.

Pasos recomendados

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube.

  2. En Control de aplicaciones de acceso condicional, seleccione Identificación de dispositivos. En esta página se muestran las opciones de identificación del dispositivo disponibles con Defender for Cloud Apps.

  3. Compruebe que ha cargado un certificado X.509 de CA raíz o intermedia. Debe cargar el certificado de la CA que se utiliza para firmar los certificados de su autoridad de certificación.

  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual al certificado de cliente válido.

  5. Asegúrese de que el certificado de cliente es:

    • Implementado con el formato de archivo PKCS #12, normalmente una extensión de archivo .p12 o .pfx
    • Instalado en el repositorio de usuario, no en el repositorio de dispositivo, del dispositivo que está usando para las pruebas.
  6. Reinicie la sesión del explorador.

  7. Al iniciar sesión en la aplicación protegida:

    • Compruebe que se le redirige a la siguiente sintaxis de dirección URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Si usa iOS, asegúrese de que usa el explorador Safari.
    • Si usa Firefox, también debe agregar el certificado al almacén de certificados propio de Firefox. Todos los demás exploradores usan el mismo almacén de certificados predeterminado.
  8. Valide que el certificado de cliente se solicita en el explorador.

    Si no aparece, pruebe con otro explorador. La mayoría de los exploradores principales admiten la realización de una comprobación de certificado de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen usar exploradores integrados que podrían no admitir esta comprobación y, por tanto, afectan a la autenticación de estas aplicaciones.

  9. Compruebe que las actividades de estos dispositivos se están registrando en el registro. En Defender for Cloud Apps, en la página Registro de actividad, agregue un filtro en Etiqueta de dispositivo igual al certificado de cliente válido.

  10. Si todavía no ve el mensaje, abra un ticket de soporte e incluya la siguiente información:

    • Los detalles del explorador o la aplicación nativa en la que ha experimentado el problema
    • La versión del sistema operativo, como iOS/Android/Windows 10
    • Indique si el prompt funciona en Microsoft Edge Chromium.

Los certificados de cliente se solicitan en cada inicio de sesión

Si está experimentando que el certificado de cliente aparece después de abrir una nueva pestaña, esto puede deberse a la configuración oculta dentro de Las opciones de Internet. Compruebe la configuración en el explorador. Por ejemplo:

En Microsoft Internet Explorer:

  1. Abra Internet Explorer y seleccione Herramientas>Opciones de Internet>la pestaña Opciones avanzadas.
  2. En Seguridad, seleccione No solicitar la selección de certificado de cliente cuando solo exista> un certificado Seleccione Aplicar>aceptar.
  3. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.

En Microsoft Edge/Edge Chromium:

  1. Abra la búsqueda desde la barra de tareas y busque Opciones de Internet.
  2. Seleccione Opciones de Internet>Seguridad>Intranet local>Nivel personalizado.
  3. En Varios>no solicite la selección del certificado de cliente cuando solo exista un certificado, seleccione Deshabilitar.
  4. Seleccione Aceptar>Aplicar>Aceptar.
  5. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.

Más consideraciones para la identificación de dispositivos

Al solucionar problemas de identificación de dispositivos, puede requerir la revocación de certificados para certificados de cliente.

Los certificados revocados por la entidad de certificación ya no son de confianza. La selección de esta opción requiere que todos los certificados pasen el protocolo CRL. Si el certificado de cliente no contiene un punto de conexión CRL, no se puede conectar desde el dispositivo administrado.

Problemas al incorporar una aplicación

Las aplicaciones de Microsoft Entra ID se integran automáticamente en Defender for Cloud Apps para Acceso condicional y controles de sesión. Debe integrar manualmente las aplicaciones de IdP que no son de Microsoft, incluidas tanto las aplicaciones del catálogo como las personalizadas.

Para más información, vea:

Entre los escenarios comunes que puede encontrar al incorporar una aplicación se incluyen:

La aplicación no aparece en la página aplicaciones de control de aplicaciones de acceso condicional

Al incorporar una aplicación que no es de Microsoft IdP al control de aplicación de acceso condicional, el paso final de implementación es hacer que el usuario final navegue a la aplicación. Siga los pasos de esta sección si la aplicación no aparece como se esperaba en la página Configuración > Aplicaciones en la nube > Aplicaciones conectadas > Aplicaciones de control de aplicaciones de acceso condicional.

Pasos recomendados

  1. Asegúrese de que la aplicación cumple los siguientes requisitos previos de control de aplicaciones de acceso condicional:

    • Asegúrese de que tiene una licencia de Defender for Cloud Apps válida.
    • Cree una aplicación duplicada.
    • Asegúrese de que la aplicación usa el protocolo SAML.
    • Valide que ha incorporado completamente la aplicación y que el estado de la aplicación es Conectado.
  2. Asegúrese de navegar a la aplicación en una nueva sesión del explorador mediante un nuevo modo de incógnito o iniciando sesión de nuevo.

Nota:

Las aplicaciones de Entra ID solo aparecen en la página Aplicaciones de Control de aplicaciones de acceso condicional después de configurarse en al menos una directiva, o si tiene una directiva sin especificar ninguna aplicación y un usuario ha iniciado sesión en ella.

Estado de la aplicación: Continuar el programa de instalación

El estado de una aplicación puede variar y puede incluir Continuar la instalación, Conectado o Sin actividades.

En el caso de las aplicaciones conectadas a través de proveedores de identidades que no son de Microsoft (IdP), si la instalación no está completa, al acceder a la aplicación verá una página con el estado Continuar instalación. Siga estos pasos para completar la instalación.

Pasos recomendados

  1. Seleccione Continuar con la configuración.

  2. Revise los artículos siguientes y compruebe que ha completado todos los pasos necesarios:

    Preste especial atención a los pasos siguientes:

    1. Asegúrese de crear una nueva aplicación SAML personalizada. Necesita esta aplicación para cambiar las direcciones URL y los atributos SAML que podrían no estar disponibles en las aplicaciones de la galería.
    2. Si el proveedor de identidades no permite la reutilización del mismo identificador, también conocido como Id. de entidad o Audiencia, cambie el identificador de la aplicación original.

No se pueden configurar controles para aplicaciones integradas

Las aplicaciones integradas se pueden detectar heurísticamente y puede usar directivas de acceso para supervisarlas o bloquearlas. Siga estos pasos para configurar controles para aplicaciones nativas.

Pasos recomendados

  1. En una directiva de acceso, agregue un filtro de aplicación cliente y establézcalo en Móvil y escritorio.

  2. En Acciones, seleccione Bloquear.

  3. Opcionalmente, personalice el mensaje de bloqueo que reciben los usuarios cuando no pueden descargar archivos. Por ejemplo, personalice este mensaje en Debe usar un explorador web para acceder a esta aplicación.

  4. Pruebe y valide que el control funciona según lo esperado.

Aparece la página Aplicación no reconocida

Defender for Cloud Apps puede reconocer más de 31 000 aplicaciones a través del catálogo de aplicaciones en la nube.

Si usa una aplicación personalizada configurada a través de Microsoft Entra sso y no es una de las aplicaciones admitidas, se encontrará con una página Aplicación no reconocida. Para resolver el problema, debe configurar la aplicación con el control de aplicaciones de Acceso Condicional.

Pasos recomendados

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube. En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.

  2. En el banner, seleccione Ver nuevas aplicaciones.

  3. En la lista de nuevas aplicaciones, busque la aplicación que va a incorporar, seleccione el + signo y, a continuación, seleccione Agregar.

    1. Seleccione si la aplicación es una aplicación personalizada o estándar .
    2. Continúe con el asistente y asegúrese de que los dominios definidos por el usuario especificados son correctos para la aplicación que está configurando.
  4. Compruebe que la aplicación aparece en la página Aplicaciones de control de aplicaciones de acceso condicional.

Aparece la opción solicitar control de sesión

Después de incorporar una aplicación de IdP que no es de Microsoft, es posible que vea la opción Solicitar control de sesión . Esto ocurre porque solo las aplicaciones de catálogo tienen controles de sesión integrados. Para cualquier otra aplicación, debe pasar por un proceso de incorporación automática.

Siga las instrucciones en Implementar el control de aplicaciones de acceso condicional para aplicaciones personalizadas con proveedores de identidad que no son Microsoft.

Pasos recomendados

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.

  3. Escriba el nombre principal o el correo electrónico del usuario que va a incorporar la aplicación y, a continuación, seleccione Guardar.

  4. Vaya a la aplicación que va a implementar. La página que vea dependerá de si se reconoce la aplicación. Realice una de las siguientes acciones, en función de la página que vea:

    • No reconocido. Verá una página Aplicación no reconocida que le pide que configure la aplicación. Siga estos pasos:

      1. Integre la aplicación para el control de aplicaciones de Acceso condicional.
      2. Agregue los dominios de la aplicación.
      3. Instale los certificados de la aplicación.
    • Reconocido. Si se reconoce la aplicación, verá una página de incorporación que le pide que continúe con el proceso de configuración de la aplicación.

      Asegúrese de que la aplicación está configurada con todos los dominios necesarios para que la aplicación funcione correctamente y, a continuación, vuelva a la página de la aplicación.

Más consideraciones para la incorporación de aplicaciones

Al solucionar problemas de incorporación de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Comprender la diferencia entre la configuración de la directiva de acceso condicional de Microsoft Entra: "Solo supervisión", "Bloquear descargas" y "Usar directiva personalizada"

    En las directivas de acceso condicional de Microsoft Entra, puede configurar los siguientes controles integrados de Defender for Cloud Apps: Solo supervisar y Bloquear descargas. Estas configuraciones aplican y hacen cumplir la función de proxy de Defender for Cloud Apps para las aplicaciones en la nube y las condiciones configuradas en Microsoft Entra ID.

    Para directivas más complejas, seleccione Usar directiva personalizada, que le permite configurar directivas de acceso y sesión en Defender for Cloud Apps.

  • Descripción de la opción de filtro de aplicaciones cliente "Mobile and desktop" en las directivas de acceso

    En las directivas de acceso de Defender for Cloud Apps, a menos que el filtro Aplicación cliente esté configurado como Móvil y escritorio, la directiva de acceso resultante se aplica a las sesiones del navegador.

    El motivo de esto es evitar redirigir inadvertidamente las sesiones de usuario a través de un proxy, lo que podría ser una consecuencia del uso de este filtro.

Problemas al crear directivas de acceso y sesión

Defender for Cloud Apps proporciona las siguientes directivas configurables:

  • Directivas de acceso: se usa para supervisar o bloquear el acceso a aplicaciones de explorador, móviles o de escritorio.
  • Directivas de sesión. Se usa para supervisar, bloquear y realizar acciones específicas para evitar escenarios de infiltración y filtración de datos en el explorador.

Para usar estas directivas en Defender for Cloud Apps, debe configurar primero una directiva en Acceso condicional de Microsoft Entra para extender los controles de sesión:

  1. En la directiva de Microsoft Entra, en Controles de acceso, seleccione Usar sesión>control de aplicaciones de acceso condicional.

  2. Seleccione una directiva integrada (Solo supervisar o Bloquear descargas) o Use custom policy (Usar directiva personalizada) para establecer una directiva avanzada en Defender for Cloud Apps.

  3. Seleccione Seleccionar para continuar.

Entre los escenarios comunes que puede encontrar al configurar estas directivas se incluyen:

En las directivas de acceso condicional, no se puede ver la opción de control de aplicaciones de acceso condicional.

Para enrutar las sesiones a Defender for Cloud Apps, las directivas de acceso condicional de Microsoft Entra deben configurarse para incluir controles de sesión de control de aplicaciones de acceso condicional.

Pasos recomendados

Si no ve la opción Conditional Access App Control en la directiva de acceso condicional, asegúrese de que tiene una licencia válida de Microsoft Entra ID P1 y una licencia válida de Defender for Cloud Apps.

Mensaje de error al crear una directiva: No tienes ninguna aplicación implementada con el control de aplicaciones de acceso condicional

Al crear una directiva de acceso o sesión, es posible que vea el siguiente mensaje de error: No tiene ninguna aplicación implementada con el control de aplicaciones de acceso condicional. Este error indica que la aplicación es una aplicación de IdP que no es de Microsoft que no se ha incorporado para el control de aplicación de acceso condicional.

Pasos recomendados

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube. En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.

  2. Si ve el mensaje No hay aplicaciones conectadas, use las siguientes guías para implementar aplicaciones:

Si tiene algún problema al implementar la aplicación, consulte Problemas al incorporar una aplicación.

No se pueden crear directivas de sesión para una aplicación

Después de incorporar una aplicación de IdP que no es de Microsoft para el control de aplicaciones de acceso condicional, en la página Aplicaciones de control de aplicaciones de acceso condicional , puede ver la opción: Solicitar control de sesión.

Nota:

Las aplicaciones de catálogo tienen controles de sesión integrados. Para cualquier otra aplicación de IdP que no sea de Microsoft, debe pasar por un proceso de incorporación automática. Pasos recomendados

  1. Implementa tu aplicación en el control de sesiones. Para obtener más información, consulte Incorporación de aplicaciones personalizadas que no son de Microsoft IdP para el control de aplicaciones de acceso condicional.

  2. Cree una directiva de sesión y seleccione el filtro Aplicación .

  3. Asegúrese de que la aplicación aparece ahora en la lista desplegable.

No se puede elegir el método de inspección: Servicio de clasificación de datos

En las directivas de sesión, al usar el tipo de control de sesión De descarga de archivos de control (con inspección), puede usar el método de inspección del servicio de clasificación de datos para examinar los archivos en tiempo real y detectar contenido confidencial que coincida con cualquiera de los criterios que haya configurado.

Si el método de inspección del servicio de clasificación de datos no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Compruebe que el tipo de control de sesión está establecido en Control de descarga de archivos (con inspección).

    Nota:

    El método de inspección del servicio de clasificación de datos solo está disponible para la opción De descarga de archivos de control (con inspección ).

  2. Determine si la característica Servicio de clasificación de datos está disponible en su región:

    • Si la característica no está disponible en su región, use el método de inspección DLP integrado .
    • Si la función está disponible en su región pero aun así sigue sin poder ver el método de inspección del Servicio de clasificación de datos, abra una solicitud de soporte técnico.

No se puede seleccionar la acción: Proteger

En las directivas de sesión, al usar el tipo de control de sesión Controlar la descarga de archivos (con inspección), además de las acciones Supervisar y Bloquear, puede especificar la acción Proteger. Esta acción le permite permitir descargas de archivos con la opción de cifrar o aplicar permisos al archivo en función de las condiciones, la inspección de contenido o ambos.

Si la acción Proteger no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Si la acción Proteger no está disponible o está atenuada, compruebe que tiene una licencia de Microsoft Purview. Para obtener más información, consulte integración Microsoft Purview Information Protection.

  2. Si la acción Proteger está disponible, pero no puede ver las etiquetas correspondientes.

    1. En Defender for Cloud Apps, en la barra de menús, seleccione el icono > de configuración Microsoft Information Protection y compruebe que la integración está habilitada.

    2. En el caso de las etiquetas de Office, en el portal de Microsoft Purview, asegúrese de que el etiquetado unificado está seleccionado.

Diagnosticar y solucionar problemas con la barra de herramientas de la vista de administración

La barra de herramientas Administración Vista se encuentra en la parte inferior de la pantalla y proporciona herramientas para que los usuarios administradores diagnostiquen y solucionen problemas con el control de aplicaciones de acceso condicional.

Para ver la barra de herramientas Vista de administrador, debe asegurarse de agregar cuentas de usuario de administrador específicas a la lista de incorporación y mantenimiento de aplicaciones en la configuración del portal de Defender.

Para agregar un usuario a la lista de incorporación o mantenimiento de aplicaciones:

  1. En Microsoft Defender XDR, seleccione Configuración de Aplicaciones>en la nube.

  2. Desplácese hacia abajo y, en Control de aplicaciones de acceso condicional, seleccione Incorporación o mantenimiento de aplicaciones.

  3. Escriba el nombre principal o la dirección de correo electrónico del usuario administrador que desea agregar.

  4. Seleccione la opción Habilitar que estos usuarios omitan el control de aplicaciones de acceso condicional desde dentro de una sesión con proxy y, a continuación, seleccione Guardar.

    Por ejemplo:

    Captura de pantalla de la configuración de incorporación o mantenimiento de aplicaciones.

La próxima vez que uno de los usuarios enumerados inicie una nueva sesión en una aplicación compatible en la que sea administrador, la barra de herramientas Ver Administración se muestra en la parte inferior del explorador.

Por ejemplo, en la siguiente imagen se muestra la barra de herramientas ver Administración que se muestra en la parte inferior de una ventana del explorador, cuando se usa OneNote en el explorador:

Captura de pantalla de la barra de herramientas de la vista de administración.

En las secciones siguientes se describe cómo usar la barra de herramientas ver Administración para probar y solucionar problemas.

Modo de prueba

Como usuario administrador, es posible que quiera probar las próximas correcciones de errores de proxy antes de que la versión más reciente se implemente completamente en todos los inquilinos. Proporcione sus comentarios sobre la corrección de errores al equipo de soporte técnico de Microsoft para ayudar a acelerar los ciclos de lanzamiento.

Cuando se encuentra en modo de prueba, solo los usuarios administradores se exponen a los cambios proporcionados en las correcciones de errores. No hay ningún efecto en otros usuarios.

  • Para activar el modo de prueba, en la barra de herramientas ver Administración, seleccione Modo de prueba.
  • Cuando haya terminado las pruebas, seleccione Finalizar modo de prueba para volver a la funcionalidad normal.

Omitir sesión de proxy

Si usa un explorador que no es de Edge y tiene dificultades para acceder a la aplicación o cargarla, es posible que desee comprobar si el problema se produce con el proxy de acceso condicional mediante la ejecución de la aplicación sin el proxy.

Para omitir el proxy, en la barra de herramientas de Vista de administración, seleccione Omitir experiencia. Confirme que la sesión se omite; para ello, tenga en cuenta que la dirección URL no tiene sufijo.

El proxy de acceso condicional se usa de nuevo en la siguiente sesión.

Para obtener más información, consulte Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional y protección en el explorador con Microsoft Edge para negocios (versión preliminar).

Segundo inicio de sesión (también conocido como "segundo inicio de sesión")

Algunas aplicaciones tienen más de un vínculo profundo para iniciar sesión. A menos que defina los vínculos de inicio de sesión en la configuración de la aplicación, es posible que se redirija a los usuarios a una página no reconocida cuando inicien sesión, lo que bloqueará su acceso.

La integración entre proveedores de identidad (IdP), como Microsoft Entra ID, se basa en interceptar el inicio de sesión en una aplicación y redirigirlo. Esto significa que los inicios de sesión del explorador no se pueden controlar directamente sin desencadenar un segundo inicio de sesión. Para desencadenar un segundo inicio de sesión, es preciso emplear una segunda dirección URL de inicio de sesión específicamente para ese fin.

Si la aplicación usa un nonce, el segundo inicio de sesión podría ser transparente para los usuarios o se les pedirá que vuelvan a iniciar sesión.

Si no es transparente para el usuario final, agregue la segunda dirección URL de inicio de sesión a la configuración de la aplicación:

Vaya a Configuración > Aplicaciones > en la nube Aplicaciones conectadas Aplicaciones > de acceso condicional Aplicaciones de control de aplicaciones

Seleccione la aplicación correspondiente y, a continuación, seleccione los tres puntos.

Seleccione Editar aplicación\Configuración de inicio de sesión avanzada.

Agregue la segunda dirección URL de inicio de sesión como se mencionó en la página de error.

Si está seguro de que la aplicación no usa un nonce, puede deshabilitarlo editando la configuración de las aplicaciones como se describe en Inicios de sesión lentos.

Registro de una sesión

Es posible que desee ayudar al análisis de la causa principal de un problema mediante el envío de una grabación de sesión a los ingenieros de soporte técnico de Microsoft. Usa la barra de herramientas Vista de administrador para grabar tu sesión.

Nota:

Todos los datos personales se quitan de las grabaciones.

Para registrar una sesión:

  1. En la barra de herramientas Vista de administración, seleccione Grabar sesión. Cuando se le solicite, seleccione Continuar para aceptar los términos. Por ejemplo:

    Captura de pantalla del cuadro de diálogo de declaración de privacidad de grabación de sesión.

  2. Inicie sesión en la aplicación si es necesario para empezar a simular la sesión.

  3. Cuando termine de grabar el escenario, asegúrese de seleccionar Detener grabación en la barra de herramientas Administración Ver.

Para ver las sesiones grabadas:

Una vez que haya terminado de grabar, vea las sesiones grabadas; para ello, seleccione Grabaciones de sesión en la barra de herramientas Administración Ver. Aparece una lista de sesiones grabadas de las 48 horas anteriores. Por ejemplo:

Captura de pantalla de las grabaciones de sesión.

Para administrar las grabaciones, seleccione un archivo y, a continuación, seleccione Eliminar o Descargar según sea necesario. Por ejemplo:

Captura de pantalla de la descarga o eliminación de una grabación.

Agregar dominios para la aplicación

Asociar los dominios correctos a una aplicación permite Defender for Cloud Apps aplicar directivas y actividades de auditoría.

Por ejemplo, si ha configurado una directiva que bloquea la descarga de archivos para un dominio asociado, se bloquearán las descargas de archivos de la aplicación desde ese dominio. Sin embargo, las descargas de archivos de la aplicación desde dominios no asociados a la aplicación no se bloquearán y la acción no se auditará en el registro de actividad.

Si un administrador navega por una aplicación con proxy hasta un dominio no reconocido, que Defender for Cloud Apps no considera parte de la misma aplicación ni de ninguna otra, aparece el mensaje Dominio no reconocido, en el que se pide al administrador que agregue el dominio para que quede protegido la próxima vez. En tales casos, si el administrador no quiere agregar el dominio, no se necesita ninguna acción.

Nota:

Defender for Cloud Apps sigue agregando un sufijo a los dominios no asociados a la aplicación para garantizar una experiencia de usuario sin problemas.

Para agregar dominios para la aplicación:

  1. Abra la aplicación en un navegador, con la barra de herramientas Vista de administrador de Defender for Cloud Apps visible en su pantalla.

  2. En la barra de herramientas Administración Vista, seleccione Dominios detectados.

  3. En el panel Dominios detectados , anote los nombres de dominio enumerados o exporte la lista como un archivo .csv.

    El panel Dominios detectados muestra una lista de todos los dominios que no están asociados a la aplicación. Los nombres de dominio están completamente cualificados.

  4. En Microsoft Defender XDR, seleccione Configuración>Aplicaciones en la nube>Aplicaciones conectadas>Aplicaciones de Control de aplicaciones de acceso condicional.

  5. Busque la aplicación en la tabla. Seleccione el menú de opciones de la derecha y, a continuación, seleccione Editar aplicación.

  6. En el campo Dominios definidos por el usuario , escriba los dominios que desea asociar a esta aplicación.

    • Para ver la lista de dominios ya configurados en la aplicación, seleccione el vínculo Ver dominios de aplicación .

    • Al agregar dominios, considere si desea agregar dominios específicos o usar un asterisco (***** como comodín para usar varios dominios a la vez.

      Por ejemplo, sub1.contoso.com,sub2.contoso.com son ejemplos de dominios específicos. Para agregar ambos dominios a la vez, así como otros dominios del mismo nivel, use *.contoso.com.

Para obtener más información, consulte Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional.