Resolução de problemas de acesso e controlos de sessão para utilizadores administradores

Este artigo fornece aos administradores do Microsoft Defender for Cloud Apps orientações sobre como investigar e resolver problemas comuns de acesso e controlo de sessão, conforme enfrentados pelos administradores.

Nota

Qualquer resolução de problemas relacionada com a funcionalidade de proxy só é relevante para sessões que não estejam configuradas para proteção no browser com o Microsoft Edge.

Verificar os requisitos mínimos

Antes de começar a resolução de problemas, certifique-se de que o seu ambiente cumpre os seguintes requisitos gerais mínimos para controlos de acesso e sessão.

Requisito Descrição
Licenciamento Certifique-se de que tem uma licença válida para Microsoft Defender for Cloud Apps.
Início de sessão único (SSO) As aplicações têm de ser configuradas com uma das soluções de SSO suportadas:

- Microsoft Entra ID com recurso a SAML 2.0 ou OpenID Connect 2.0
- IdP que não seja da Microsoft com SAML 2.0
Suporte do browser Os controlos de sessão estão disponíveis para sessões baseadas no browser nas versões mais recentes dos seguintes browsers:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Safari Apple

A proteção no navegador no Microsoft Edge também tem requisitos específicos, incluindo que o utilizador tenha iniciado sessão com o respetivo perfil de trabalho. Para obter mais informações, veja Requisitos de proteção no browser.
Tempo de inatividade Defender for Cloud Apps permite-lhe definir o comportamento predefinido a aplicar se existir uma interrupção do serviço, como um componente que não está a funcionar corretamente.

Por exemplo, quando os controlos de política normais não podem ser aplicados, pode optar por proteger (bloquear) ou ignorar (permitir) que os utilizadores efetuem ações em conteúdos potencialmente confidenciais.

Para configurar o comportamento predefinido durante a indisponibilidade do sistema, no Microsoft Defender XDR, aceda a Definições>Controlo de Aplicações de Acesso Condicional>Comportamento predefinido>Permitir ou Bloquear acesso.

Requisitos de proteção no browser

Se estiver a utilizar a proteção no browser com o Microsoft Edge e ainda estiver a ser servido por um proxy inverso, certifique-se de que cumpre os seguintes requisitos adicionais:

  • A funcionalidade está ativada nas definições do Defender. Para obter mais informações, veja Configurar definições de proteção no browser.

  • Todas as políticas pelas quais o utilizador é abrangido são suportadas para Microsoft Edge para Empresas. Se um utilizador estiver abrangido por outra política que não seja suportada no Microsoft Edge para Empresas, será sempre servido pelo proxy inverso. Para obter mais informações, veja Requisitos de proteção no browser.

  • Está a utilizar uma plataforma suportada, incluindo um sistema operativo suportado, uma plataforma de identidade e uma versão do Edge. Para obter mais informações, veja Requisitos de proteção no browser.

Referência de problemas de resolução para administradores

Utilize a tabela seguinte para encontrar o problema que está a tentar resolver:

Tipo de problema Problemas
Problemas de condição de rede Erros de rede ao navegar para uma página do browser

Inícios de sessão lentos

Mais considerações sobre as condições de rede
Problemas de identificação do dispositivo Dispositivos em conformidade com o Intune ou associados híbridos ao Microsoft Entra identificados incorretamente

Os certificados de cliente não estão a ser solicitados conforme esperado

Os certificados de cliente não estão a ser solicitados conforme esperado
Os certificados de cliente são pedidos sempre que inicia sessão

Mais considerações sobre a identificação de dispositivos
Problemas ao integrar uma aplicação A aplicação não aparece na página de aplicações de controlo de aplicações de acesso condicional

Estado da aplicação: Continuar a ConfiguraçãoNão é possível configurar controlos para aplicações nativas

É apresentada a opção para solicitar controlo da sessão
Problemas ao criar políticas de acesso e sessão Nas políticas de Acesso Condicional, não pode ver a opção de controlo de aplicações de acesso condicional

Mensagem de erro ao criar uma política: não tem nenhuma aplicação implementada com o controlo de aplicações de acesso condicional

Não é possível criar políticas de sessão para uma aplicação

Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados

Não é possível escolher a Ação: Proteger

Mais considerações sobre a inclusão de aplicações
Diagnosticar e solucionar problemas com a barra de ferramentas Admin View Ignorar sessão de proxy

Gravar uma sessão

Adicionar domínios à sua aplicação

Problemas de condição de rede

Os problemas comuns de condição de rede que pode encontrar incluem:

Erros de rede ao navegar para uma página do browser

Quando está a configurar pela primeira vez Defender for Cloud Apps controlos de acesso e sessão de uma aplicação, os erros de rede comuns que podem surgir incluem: Este site não é seguro e não existe ligação à Internet. Estas mensagens podem indicar um erro de configuração de rede geral.

Passos recomendados

  1. Configure a sua firewall para funcionar com o Defender for Cloud Apps utilizando os endereços IP do Azure e os nomes DNS relevantes para o seu ambiente.

    1. Adicione a porta 443 de saída aos seguintes endereços IP e nomes DNS do seu centro de dados do Defender for Cloud Apps.
    2. Reiniciar o dispositivo e a sessão do browser
    3. Verifique se o início de sessão está a funcionar conforme esperado
  2. Ative o TLS 1.2 nas opções de Internet do browser. Por exemplo:

    Navegador Passos
    Microsoft Internet Explorer 1. Abra o Internet Explorer
    2. Selecione Ferramentas>Opções da Internet>separador Avançadas
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o browser e verifique se consegue aceder à aplicação
    Microsoft Edge/Edge Chromium 1. Abra a pesquisa a partir da barra de tarefas e procure "Opções da Internet"
    2. Selecione Opções da Internet
    3. Em Segurança, selecione TLS 1.2
    4. Selecione Aplicar e, em seguida, selecione OK
    5. Reinicie o browser e verifique se consegue aceder à aplicação
    Google Chrome 1. Abra o Google Chrome
    2. No canto superior direito, selecione Mais (3 pontos verticais) >Definições
    3. Na parte inferior, selecione Avançadas
    4. Em Sistema, selecione Abrir definições de proxy
    5. No separador Avançadas , em Segurança, selecione TLS 1.2
    6. Selecione OK
    7. Reinicie o browser e verifique se consegue aceder à aplicação
    Mozilla Firefox 1. Abra o Mozilla Firefox
    2. Na barra de endereço e procure "about:config"
    3. Na caixa de pesquisa, pesquise por "TLS"
    4. Faça duplo clique na entrada de security.tls.version.min
    5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária
    6. Selecione Guardar (marca de verificação à direita da caixa de valor)
    7. Reinicie o browser e verifique se consegue aceder à aplicação
    Safari Se estiver a utilizar a versão 7 ou superior do Safari, o TLS 1.2 é ativado automaticamente

Defender for Cloud Apps utiliza protocolos TLS (Transport Layer Security) 1.2+ para fornecer encriptação de melhor classe:

  • As aplicações cliente nativas e os browsers que não suportam o TLS 1.2+ não estão acessíveis quando configurados com o controlo de sessão.
  • As aplicações SaaS que utilizam o TLS 1.1 ou inferior aparecem no browser como utilizando o TLS 1.2+ quando configuradas com Defender for Cloud Apps.

Sugestão

Embora os controlos de sessão sejam criados para funcionar com qualquer browser em qualquer plataforma principal em qualquer sistema operativo, suportamos as versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Poderá querer bloquear ou permitir o acesso especificamente a aplicações móveis ou de ambiente de trabalho.

Inícios de sessão lentos

O encadeamento de proxy e o processamento de nonce são alguns dos problemas comuns que podem resultar num desempenho de início de sessão lento.

Passos recomendados

Configure o seu ambiente para remover quaisquer fatores que possam estar a causar lentidão durante o início de sessão. Por exemplo, pode ter firewalls ou encadeamento de proxies de reencaminhamento configurados, que liga dois ou mais servidores proxy para aceder à página pretendida. Também pode ter outros fatores externos que afetam a lentidão.

  1. Identifique se o encadeamento de proxy está a ocorrer no seu ambiente.
  2. Remova quaisquer proxies diretos, sempre que possível.

Algumas aplicações utilizam um hash nonce durante a autenticação para impedir ataques de repetição. Por predefinição, Defender for Cloud Apps parte do princípio de que uma aplicação utiliza um nonce. Se a aplicação com que está a trabalhar não utilizar nonce, desative o processamento de nonce para esta aplicação no Defender for Cloud Apps:

  1. No portal Defender, selecione Definições>Aplicações Cloud.
  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
  3. Na lista de aplicações, na linha onde aparece a aplicação que está a configurar, selecione os três pontos no final da linha e, em seguida, selecione Editar da aplicação.
  4. Selecione Processamento de nonce para expandir a secção e, em seguida, desmarque Ativar processamento de nonce.
  5. Termine sessão na aplicação e feche todas as sessões do browser.
  6. Reinicie o browser e inicie sessão novamente na aplicação. Verifique se o início de sessão está a funcionar conforme esperado.

Mais considerações sobre as condições de rede

Ao resolver problemas de condições de rede, considere também as seguintes notas sobre o proxy Defender for Cloud Apps:

  • Verifique se a sua sessão está a ser encaminhada para outro datacenter: Defender for Cloud Apps utiliza Azure Data Centers em todo o mundo para otimizar o desempenho através da geolocalização.

    Isto significa que a sessão de um utilizador pode estar alojada fora de uma região, dependendo dos padrões de tráfego e da respetiva localização. No entanto, para proteger a sua privacidade, não são armazenados dados de sessão nestes datacenters.

  • Desempenho do proxy: a derivação de uma linha de base de desempenho depende de muitos fatores fora do proxy Defender for Cloud Apps, tais como:

    • Que outros proxies ou gateways se encontram em série com este proxy
    • De onde vem o utilizador
    • Onde reside o recurso de destino
    • Pedidos específicos na página

    Em geral, qualquer proxy adiciona latência. As vantagens do proxy Defender for Cloud Apps são:

    • Utilizar a disponibilidade global dos controladores de domínio do Azure para geolocalizar os utilizadores no nó mais próximo e reduzir a distância de ida e volta. Os controladores de domínio do Azure podem determinar a geolocalização a uma escala que poucos serviços no mundo conseguem alcançar.

    • Utilizar a integração com o Acesso Condicional do Microsoft Entra para encaminhar para o nosso serviço apenas as sessões que pretende colocar em proxy, em vez de todos os utilizadores, em todas as situações.

Problemas de identificação do dispositivo

Defender for Cloud Apps fornece as seguintes opções para identificar o estado de gestão de um dispositivo.

  • Conformidade do Microsoft Intune
  • Associado a um domínio híbrido do Microsoft Entra
  • Certificados de cliente

Para obter mais informações, veja Dispositivos geridos por identidade com controlo de aplicações de Acesso Condicional.

Os problemas comuns de identificação de dispositivos que poderá encontrar incluem:

Dispositivos em conformidade com o Intune ou associados de forma híbrida ao Microsoft Entra identificados incorretamente

O Acesso Condicional do Microsoft Entra permite que as informações de dispositivos compatíveis com o Intune e associados ao Microsoft Entra de forma híbrida sejam transmitidas diretamente para o Defender for Cloud Apps. No Defender for Cloud Apps, utilize o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais informações, veja Introdução à gestão de dispositivos no ID do Microsoft Entra.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na Cloud.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis no Defender for Cloud Apps.

  3. Para identificação de dispositivos compatíveis com o Intune e Microsoft Entra identificação híbrida associada, respetivamente, selecione Ver configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir de Microsoft Entra ID e Intune, respetivamente.

  4. Crie uma política de acesso ou sessão com o filtro Etiqueta de Dispositivo igual ao Azure AD híbrido associado, compatível com o Intune ou ambos.

  5. Num browser, inicie sessão num dispositivo Microsoft Entra associado híbrido ou compatível com o Intune com base no filtro de política.

  6. Verifique se as atividades destes dispositivos estão a preencher o registo. No Defender for Cloud Apps, na página Registo de atividades, aplique um filtro em Etiqueta do dispositivo igual a associado ao Azure AD híbrido, compatível com o Intune ou ambos, com base nos filtros da política.

  7. Se as atividades não estiverem a aparecer no registo de atividades do Defender for Cloud Apps, aceda ao Microsoft Entra ID e execute os passos seguintes:

    1. Em Monitorização>Inícios de sessão, verifique se existem registos de inícios de sessão.

    2. Selecione a entrada de registo relevante para o dispositivo no qual iniciou sessão.

    3. No painel de Detalhes, no separador Informações do dispositivo, verifique se o dispositivo está Gerido (associado ao Azure AD híbrido) ou em Conformidade (em conformidade com o Intune).

      Se não conseguir verificar nenhum dos estados, experimente outra entrada de registo ou certifique-se de que os dados do dispositivo estão configurados corretamente no Microsoft Entra ID.

    4. Para o Acesso Condicional, alguns browsers podem necessitar de configuração adicional, como a instalação de uma extensão. Para obter mais informações, veja Suporte do browser de Acesso Condicional.

    5. Se ainda não vir as informações do dispositivo na página Inícios de sessão, abra um pedido de suporte para Microsoft Entra ID.

Não é pedida a apresentação de certificados de cliente quando previsto

O mecanismo de identificação de dispositivos pode pedir autenticação a partir de dispositivos relevantes através de certificados de cliente. Pode carregar um certificado de autoridade de certificação (AC) de raiz ou intermédia X.509, formatado no formato de certificado PEM.

Os certificados têm de conter a chave pública da AC, que é utilizada para assinar os certificados de cliente apresentados durante uma sessão. Para obter mais informações, veja Verificar a gestão de dispositivos sem Microsoft Entra.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na cloud.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Identificação do dispositivo. Esta página mostra as opções de identificação de dispositivos disponíveis com Defender for Cloud Apps.

  3. Verifique se carregou um certificado X.509 de AC raiz ou intermédia. Tem de carregar o certificado da AC utilizado para assinar a sua autoridade de certificação.

  4. Crie uma política de acesso ou sessão com o filtro Etiqueta de Dispositivo igual a Certificado de cliente válido.

  5. Certifique-se de que o certificado de cliente é:

    • Implementado com o formato de ficheiro PKCS #12, normalmente uma extensão de ficheiro .p12 ou .pfx
    • Instalado no arquivo do utilizador, e não no arquivo do dispositivo, do dispositivo que está a utilizar para testes
  6. Reinicie a sessão do browser.

  7. Ao iniciar sessão na aplicação protegida:

    • Verifique se foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
    • Se estiver a utilizar o iOS, certifique-se de que está a utilizar o browser Safari.
    • Se estiver a utilizar o Firefox, também tem de adicionar o certificado ao arquivo de certificados do Firefox. Todos os outros browsers utilizam o mesmo arquivo de certificados predefinido.
  8. Confirme que o certificado de cliente é solicitado no browser.

    Se não aparecer, experimente um browser diferente. A maioria dos browsers principais suporta a realização de uma verificação de certificado de cliente. No entanto, as aplicações móveis e de ambiente de trabalho utilizam frequentemente browsers incorporados que podem não suportar esta verificação e, por conseguinte, afetam a autenticação destas aplicações.

  9. Verifique se as atividades destes dispositivos estão a preencher o registo. No Defender for Cloud Apps, na página Registo de atividades, adicione um filtro na Etiqueta do Dispositivo igual a Certificado de cliente válido.

  10. Se ainda não vir a mensagem, abra um pedido de suporte e inclua as seguintes informações:

    • Os detalhes do browser ou da aplicação nativa onde ocorreu o problema
    • A versão do sistema operativo, como iOS/Android/Windows 10
    • Indique se o prompt funciona no Microsoft Edge Chromium

Os certificados de cliente são solicitados em cada início de sessão

Se o certificado de cliente aparecer depois de abrir um novo separador, tal poderá dever-se às definições ocultadas nas Opções da Internet. Verifique as definições no browser. Por exemplo:

No Internet Explorer da Microsoft:

  1. Abra o Internet Explorer e selecione o separador Ferramentas>Opções>da Internet Avançadas .
  2. Em Segurança, selecione Não pedir a seleção do Certificado de Cliente quando existir> apenas um certificado, selecione Aplicar>OK.
  3. Reinicie o browser e verifique se consegue aceder à aplicação sem os pedidos adicionais.

No Microsoft Edge/Edge Chromium:

  1. Abra a pesquisa a partir da barra de tarefas e procure Opções da Internet.
  2. Selecione Opções da Internet>Segurança>Intranet local>Nível personalizado.
  3. Em Diversos>Não pedir a seleção do certificado de cliente quando existir apenas um certificado, selecione Desativar.
  4. Selecione OK>Aplicar>OK.
  5. Reinicie o browser e verifique se consegue aceder à aplicação sem os pedidos adicionais.

Mais considerações sobre a identificação de dispositivos

Ao resolver problemas de identificação de dispositivos, pode exigir a revogação dos Certificados de Cliente.

Os certificados revogados pela AC já não são fidedignos. Selecionar esta opção requer que todos os certificados passem o protocolo CRL. Se o certificado de cliente não contiver um ponto final da CRL, não é possível estabelecer ligação a partir do dispositivo gerido.

Problemas ao integrar uma aplicação

As aplicações do Microsoft Entra ID são automaticamente integradas no Defender for Cloud Apps para Acesso Condicional e controlos de sessão. Tem de adicionar manualmente aplicações de IdP que não sejam da Microsoft, incluindo aplicações de catálogo e aplicações personalizadas.

Para mais informações, consulte:

Os cenários comuns que pode encontrar ao integrar uma aplicação incluem:

A aplicação não aparece na página de aplicações do Conditional Access App Control

Ao integrar uma aplicação IdP que não seja da Microsoft no controlo de aplicações de acesso condicional, o passo final de implementação é fazer com que o utilizador final navegue para a aplicação. Siga os passos desta secção se a aplicação não aparecer na página Definições > Aplicações na cloud > Aplicações ligadas > Aplicações de Controlo de Aplicações de Acesso Condicional como esperado.

Passos recomendados

  1. Certifique-se de que a aplicação cumpre os seguintes pré-requisitos de controlo de aplicações de Acesso Condicional:

    • Certifique-se de que tem uma licença de Defender for Cloud Apps válida.
    • Criar uma aplicação duplicada.
    • Certifique-se de que a aplicação utiliza o protocolo SAML.
    • Confirme que integrou totalmente a aplicação e que o estado da aplicação é Ligado.
  2. Certifique-se de que navega para a aplicação numa nova sessão do browser utilizando um novo modo incógnito ou iniciando sessão novamente.

Nota

As aplicações Entra ID só aparecem na página Aplicações do Controlo de Aplicações de Acesso Condicional depois de serem configuradas em, pelo menos, uma política, ou se tiver uma política sem qualquer especificação de aplicação e um utilizador tiver iniciado sessão na aplicação.

Estado da aplicação: Continuar a Configuração

O estado de uma aplicação pode variar e pode incluir Continuar a Configuração, Ligado ou Sem Atividades.

Para aplicações ligadas através de fornecedores de identidade não Microsoft (IdP), se a configuração não estiver concluída, quando aceder à aplicação, verá uma página com o estado Continuar a Configuração. Utilize os seguintes passos para concluir a configuração.

Passos recomendados

  1. Selecione Continuar Configuração.

  2. Reveja os seguintes artigos e verifique se concluiu todos os passos necessários:

    Preste especial atenção aos seguintes passos:

    1. Certifique-se de que cria uma nova aplicação SAML personalizada. Precisa desta aplicação para alterar os URLs e os atributos SAML que podem não estar disponíveis nas aplicações da galeria.
    2. Se o seu fornecedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID da Entidade ou Audiência, altere o identificador da aplicação original.

Não é possível configurar controlos para aplicações incorporadas

As aplicações incorporadas podem ser detetadas heuristicamente e pode utilizar políticas de acesso para monitorizá-las ou bloqueá-las. Utilize os seguintes passos para configurar controlos para aplicações nativas.

Passos recomendados

  1. Numa política de acesso, adicione um filtro da aplicação Cliente e defina-o como Móvel e ambiente de trabalho.

  2. Em Ações, selecione Bloquear.

  3. Opcionalmente, personalize a mensagem de bloqueio que os seus utilizadores recebem quando não conseguem transferir ficheiros. Por exemplo, personalize esta mensagem para Tem de utilizar um browser para aceder a esta aplicação.

  4. Teste e confirme se o controlo está a funcionar conforme esperado.

A página Aplicação não é reconhecida

Defender for Cloud Apps consegue reconhecer mais de 31 000 aplicações através do catálogo de aplicações na cloud.

Se estiver a utilizar uma aplicação personalizada configurada através de Microsoft Entra SSO e não for uma das aplicações suportadas, verá que uma Aplicação não é reconhecida. Para resolver o problema, tem de configurar a aplicação com o controlo de aplicações de Acesso Condicional.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na cloud. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. No banner, selecione Ver novas aplicações.

  3. Na lista de novas aplicações, localize a aplicação que está a configurar, selecione o sinal + e, em seguida, selecione Adicionar.

    1. Selecione se a aplicação é uma aplicação personalizada ou padrão .
    2. Continue através do assistente, certifique-se de que os domínios definidos pelo utilizador especificados estão corretos para a aplicação que está a configurar.
  4. Verifique se a aplicação aparece na página Aplicações de Controlo de Aplicações de Acesso Condicional .

É apresentada a opção para solicitar o controlo da sessão

Depois de integrar uma aplicação IdP que não seja da Microsoft, poderá ver a opção Pedir controlo de sessão . Isto acontece porque apenas as aplicações de catálogo têm controlos de sessão predefinidos. Para qualquer outra aplicação, tem de passar por um processo de integração automática.

Siga as instruções em Implementar o controlo de aplicações de Acesso Condicional para aplicações personalizadas com IdPs não Microsoft.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na cloud.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Integração/manutenção de aplicações.

  3. Introduza o nome principal ou o e-mail do utilizador que irá integrar a aplicação e, em seguida, selecione Guardar.

  4. Aceda à aplicação que está a implementar. A página que vê depende se a aplicação é reconhecida. Efetue um dos seguintes procedimentos, consoante a página que vir:

    • Não reconhecido. Verá uma página Aplicação não reconhecida que lhe pede para configurar a sua aplicação. Efetue os seguintes passos:

      1. Integre a aplicação para o controlo de aplicações de Acesso Condicional.
      2. Adicione os domínios da aplicação.
      3. Instale os certificados da aplicação.
    • Reconhecido. Se a sua aplicação for reconhecida, verá uma página de inclusão a pedir-lhe para continuar o processo de configuração da aplicação.

      Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente e, em seguida, regresse à página da aplicação.

Mais considerações sobre a inclusão de aplicações

Ao resolver problemas relacionados com a integração de aplicações, há alguns aspetos adicionais a ter em conta.

  • Compreenda a diferença entre as definições de política de Acesso Condicional do Microsoft Entra: "Apenas monitorização", "Bloquear transferências" e "Utilizar política personalizada"

    Nas políticas de Acesso Condicional do Microsoft Entra, pode configurar os seguintes controlos incorporados do Defender for Cloud Apps: Apenas monitorizar e Bloquear transferências. Estas definições aplicam-se e impõem a funcionalidade de proxy Defender for Cloud Apps para aplicações na cloud e condições configuradas no Microsoft Entra ID.

    Para políticas mais complexas, selecione Utilizar política personalizada, que lhe permite configurar políticas de acesso e sessão no Defender for Cloud Apps.

  • Compreender a opção de filtro da aplicação cliente "Dispositivos móveis e computador" nas políticas de acesso

    Nas políticas de acesso do Defender for Cloud Apps, a menos que o filtro Aplicação cliente esteja definido como Dispositivos móveis e computadores, a política de acesso resultante aplica-se a sessões do navegador.

    A razão para isto é evitar o encaminhamento inadvertido, por proxy, de sessões de utilizador, o que pode ser um efeito secundário da utilização deste filtro.

Problemas ao criar políticas de acesso e sessão

Defender for Cloud Apps fornece as seguintes políticas configuráveis:

  • Políticas de acesso: utilizadas para monitorizar ou bloquear o acesso a aplicações de browser, dispositivos móveis e/ou de ambiente de trabalho.
  • Políticas de sessão. Utilizado para monitorizar, bloquear e executar ações específicas para impedir cenários de infiltração e transferência de dados no browser.

Para utilizar estas políticas no Defender for Cloud Apps, primeiro tem de configurar uma política no Microsoft Entra Acesso Condicional para expandir os controlos de sessão:

  1. Na política de Microsoft Entra, em Controlos de acesso, selecione Utilização da Sessão>Controlo de Aplicações de Acesso Condicional.

  2. Selecione uma política incorporada (Monitorizar apenas ou Bloquear transferências) ou Utilize a política personalizada para definir uma política avançada no Defender for Cloud Apps.

  3. Selecione Selecionar para continuar.

Os cenários comuns que poderá encontrar ao configurar estas políticas incluem:

Nas políticas de Acesso Condicional, não pode ver a opção de controlo de aplicações de acesso condicional

Para encaminhar sessões para o Defender for Cloud Apps, as políticas de Acesso Condicional do Microsoft Entra têm de ser configuradas para incluir controlos de sessão do controlo de aplicações de Acesso Condicional.

Passos recomendados

Se não vir a opção Controlo de Aplicações de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para Microsoft Entra ID P1 e uma licença de Defender for Cloud Apps válida.

Mensagem de erro ao criar uma política: não tem quaisquer aplicações implementadas com o controlo de aplicações de acesso condicional

Ao criar uma política de acesso ou sessão, poderá ver a seguinte mensagem de erro: Não tem aplicações implementadas com controlo de aplicação de acesso condicional. Este erro indica que a aplicação é uma aplicação IdP não Microsoft que não foi integrada para o controlo de aplicações de Acesso Condicional.

Passos recomendados

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na cloud. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  2. Se vir a mensagem Nenhuma aplicação ligada, utilize os seguintes guias para implementar aplicações:

Se tiver problemas durante a implementação da aplicação, veja Problemas ao integrar uma aplicação.

Não é possível criar políticas de sessão para uma aplicação

Depois de integrar uma aplicação IdP não Microsoft para controlo de aplicações de Acesso Condicional, na página Aplicações de Controlo de Aplicações de Acesso Condicional , poderá ver a opção: Pedir controlo de sessão.

Nota

As aplicações de catálogo têm controlos de sessão integrados de origem. Para quaisquer outras aplicações IdP que não sejam da Microsoft, tem de passar por um processo de integração automática. Passos recomendados

  1. Implemente a sua aplicação no controlo de sessões. Para obter mais informações, veja Integrar aplicações personalizadas IdP não Microsoft para controlo de aplicações de Acesso Condicional.

  2. Crie uma política de sessão e selecione o filtro Aplicação .

  3. Certifique-se de que a sua aplicação está agora listada na lista pendente.

Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados

Nas políticas de sessão, ao utilizar o tipo de controlo Controlo de transferência de ficheiros (com inspeção), pode utilizar o método de inspeção do Serviço de Classificação de Dados para analisar os seus ficheiros em tempo real e detetar conteúdo confidencial que corresponda a qualquer um dos critérios que configurou.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, utilize os seguintes passos para investigar o problema.

Passos recomendados

  1. Verifique se o tipo de controlo de sessão está definido como Controlar a transferência de ficheiros (com inspeção).

    Nota

    O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Transferência de ficheiros de controlo (com inspeção ).

  2. Determine se a funcionalidade Serviço de Classificação de Dados está disponível na sua região:

    • Se a funcionalidade não estiver disponível na sua região, utilize o método de inspeção DLP integrado.
    • Se a funcionalidade estiver disponível na sua região, mas ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados , abra um pedido de suporte.

Não é possível selecionar Ação: Proteger

Nas políticas de sessão, ao utilizar o tipo de controlo de sessão Controlo de transferência de ficheiros (com inspeção), para além das ações Monitorizar e Bloquear, pode especificar a ação Proteger. Esta ação permite-lhe permitir transferências de ficheiros com a opção de encriptar ou aplicar permissões ao ficheiro com base em condições, inspeção de conteúdo ou ambos.

Se a ação Proteger não estiver disponível, utilize os seguintes passos para investigar o problema.

Passos recomendados

  1. Se a ação Proteger não estiver disponível ou estiver indisponível, verifique se tem uma licença do Microsoft Purview. Para obter mais informações, consulte integração com a Proteção de Informações do Microsoft Purview.

  2. Se a ação Proteger estiver disponível, mas não estiver a ver as etiquetas adequadas.

    1. No Defender for Cloud Apps, na barra de menus, selecione o ícone > de definições microsoft Information Protection e verifique se a integração está ativada.

    2. Para etiquetas do Office, no portal do Microsoft Purview, certifique-se de que a opção Etiquetagem Unificada está selecionada.

Diagnostique e resolva problemas com a barra de ferramentas Admin View

A barra de ferramentas Administração View encontra-se na parte inferior do ecrã e fornece ferramentas para os utilizadores administradores diagnosticarem e resolverem problemas com o controlo de aplicações de acesso condicional.

Para visualizar a barra de ferramentas da Vista de Administrador, deve certificar-se de adicionar contas de utilizador administrativo específicas à lista de integração/manutenção da aplicação nas definições do portal Defender.

Para adicionar um utilizador à lista de integração / manutenção da aplicação:

  1. No Microsoft Defender XDR, selecione Definições>Aplicações na cloud.

  2. Desça e, em Controlo de Aplicações para Acesso Condicional, selecione Integração/manutenção de aplicações.

  3. Introduza o nome principal ou endereço de e-mail do utilizador administrador que pretende adicionar.

  4. Selecione a opção Ativar estes utilizadores para ignorarem o Controlo de Aplicações para Acesso Condicional numa sessão com proxy e, em seguida, selecione Guardar.

    Por exemplo:

    Captura de ecrã das definições da aplicação para configuração inicial/manutenção.

Da próxima vez que um dos utilizadores listados iniciar uma nova sessão numa aplicação suportada onde é administrador, a barra de ferramentas Administração View é apresentada na parte inferior do browser.

Por exemplo, a imagem seguinte mostra a barra de ferramentas Ver Administração apresentada na parte inferior de uma janela do browser ao utilizar o OneNote no browser:

Captura de ecrã da barra de ferramentas da Vista de Administração.

As secções seguintes descrevem como utilizar a barra de ferramentas Administração Ver para testar e resolver problemas.

Modo de teste

Enquanto utilizador administrador, poderá querer testar as correções de erros de proxy futuras antes de a versão mais recente ser totalmente implementada em todos os inquilinos. Forneça o seu feedback sobre a correção de erros à equipa de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando estão no modo de teste, apenas os utilizadores administradores são expostos a quaisquer alterações fornecidas nas correções de erros. Não há qualquer efeito nos outros utilizadores.

  • Para ativar o modo de teste, na barra de ferramentas Administração Ver, selecione Modo de Teste.
  • Quando terminar o teste, selecione Terminar Modo de Teste para voltar à funcionalidade normal.

Ignorar sessão de proxy

Se estiver a utilizar um browser não Edge e tiver dificuldades em aceder ou carregar a sua aplicação, poderá querer verificar se o problema está relacionado com o proxy de Acesso Condicional ao executar a aplicação sem o proxy.

Para ignorar o proxy, na barra de ferramentas Administração Ver, selecione Ignorar experiência. Confirme que a sessão é contornada, verificando que o URL não tem sufixo.

O proxy de Acesso Condicional é utilizado novamente na próxima sessão.

Para obter mais informações, consulte Microsoft Defender for Cloud Apps — controlo de aplicações de Acesso Condicional e Proteção no navegador com Microsoft Edge for Business (Pré-visualização).

Segundo início de sessão (também conhecido como "segundo acesso")

Algumas aplicações têm mais de uma ligação profunda para iniciar sessão. A menos que defina as ligações de início de sessão nas definições da aplicação, os utilizadores poderão ser redirecionados para uma página não reconhecida quando iniciam sessão, bloqueando o respetivo acesso.

A integração entre IdPs, como o Microsoft Entra ID, baseia-se na interceção e no redirecionamento do início de sessão numa aplicação. Isto significa que os inícios de sessão no navegador não podem ser controlados diretamente sem desencadear um segundo início de sessão. Para acionar um segundo início de sessão, temos de utilizar um segundo URL de início de sessão especificamente para esse fim.

Se a aplicação utilizar um nonce, o segundo início de sessão poderá ser transparente para os utilizadores ou ser-lhes-á pedido que iniciem sessão novamente.

Se não for transparente para o utilizador final, adicione o segundo URL de início de sessão às definições da aplicação:

Aceda a Definições > Aplicações na cloud > Aplicações ligadas > Aplicações de Controlo de Aplicações de Acesso Condicional

Selecione a aplicação relevante e, em seguida, selecione os três pontos.

Selecione Editar aplicação\Configuração de início de sessão avançada.

Adicione o segundo URL de início de sessão, conforme mencionado na página de erro.

Se tiver a certeza de que a aplicação não utiliza um nonce, pode desativar isto editando as definições da aplicação, conforme descrito em Inícios de sessão lentos.

Gravar uma sessão

Poderá querer ajudar na análise da causa raiz de um problema ao enviar uma gravação de sessão aos engenheiros de suporte da Microsoft. Use a barra de ferramentas Admin View para gravar a sua sessão.

Nota

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

  1. Na barra de ferramentas Administração Ver, selecione Gravar sessão. Quando lhe for pedido, selecione Continuar para aceitar os termos. Por exemplo:

    Captura de ecrã da caixa de diálogo da declaração de privacidade da gravação de sessão.

  2. Inicie sessão na sua aplicação, se necessário, para começar a simular a sessão.

  3. Quando terminar de gravar o cenário, certifique-se de selecionar Parar gravação na barra de ferramentas da Vista de Administração.

Para ver as sessões gravadas:

Depois de terminar a gravação, veja as sessões gravadas ao selecionar Gravações de sessão na barra de ferramentas Administração Ver. É apresentada uma lista de sessões gravadas das 48 horas anteriores. Por exemplo:

Captura de ecrã a mostrar as gravações da sessão.

Para gerir as suas gravações, selecione um ficheiro e, em seguida, selecione Eliminar ou Transferir conforme necessário. Por exemplo:

Captura de ecrã a mostrar a transferência ou eliminação de uma gravação.

Adicionar domínios à sua aplicação

Associar os domínios corretos a uma aplicação permite Defender for Cloud Apps impor políticas e atividades de auditoria.

Por exemplo, se tiver configurado uma política que bloqueia a transferência de ficheiros para um domínio associado, as transferências de ficheiros pela aplicação a partir desse domínio serão bloqueadas. No entanto, as transferências de ficheiros pela aplicação a partir de domínios não associados à aplicação não serão bloqueadas e a ação não será auditada no registo de atividades.

Se um administrador navegar, numa aplicação com proxy, para um domínio não reconhecido, que o Defender for Cloud Apps não considera fazer parte da mesma aplicação nem de qualquer outra aplicação, é apresentada a mensagem Domínio não reconhecido, solicitando ao administrador que adicione o domínio para que fique protegido da próxima vez. Nestes casos, se o administrador não quiser adicionar o domínio, não é necessária qualquer ação.

Nota

Defender for Cloud Apps ainda adiciona um sufixo a domínios não associados à aplicação para garantir uma experiência de utilizador totalmente integrada.

Para adicionar domínios à sua aplicação:

  1. Abra a sua aplicação num navegador, com a barra de ferramentas Vista de administrador do Defender for Cloud Apps visível no ecrã.

  2. Na barra de ferramentas da Vista de administração, selecione Domínios detetados.

  3. No painel Domínios detetados , anote os nomes de domínio listados ou exporte a lista como um ficheiro de .csv.

    O painel Domínios detetados mostra uma lista de todos os domínios que não estão associados à aplicação. Os nomes de domínio são completamente qualificados.

  4. No Microsoft Defender XDR, selecione Definições>Aplicações na Cloud>Aplicações ligadas>Aplicações de Controlo de Aplicações de Acesso Condicional.

  5. Localize a sua aplicação na tabela. Selecione o menu de opções à direita e, em seguida, selecione Editar aplicação.

  6. No campo Domínios definidos pelo utilizador , introduza os domínios que pretende associar a esta aplicação.

    • Para ver a lista de domínios já configurados na aplicação, selecione a ligação Ver domínios de aplicações .

    • Ao adicionar domínios, considere se pretende adicionar domínios específicos ou utilizar um asterisco (***** como um caráter universal para utilizar vários domínios ao mesmo tempo.

      Por exemplo, sub1.contoso.com,sub2.contoso.com são exemplos de domínios específicos. Para adicionar ambos os domínios de uma só vez, bem como outros domínios de irmãos, utilize *.contoso.com.

Para obter mais informações, veja Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional.