Solución de problemas de controles de sesión y acceso

Nota

Hemos cambiado el nombre Microsoft Cloud App Security. Ahora se denomina Microsoft Defender para Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, vea este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog de Seguridad de Microsoft Ignite.

En este artículo se proporciona a los administradores instrucciones sobre cómo investigar y resolver problemas comunes de acceso y control de sesión que experimentan los administradores y los usuarios finales.

Antes de continuar, asegúrese de que el entorno cumple los siguientes requisitos mínimos generales para los controles de acceso y sesión.

  • Licencias:asegúrese de que tiene una licencia válida.
  • Single Sign-On (SSO):las aplicaciones deben configurarse con una de las soluciones de SSO admitidas.
    • Azure Active Directory (Azure AD) mediante SAML 2.0 o OpenID Conectar 2.0
    • IdP de terceros con SAML 2.0
  • Compatibilidad conexploradores: los controles de sesión están disponibles para las sesiones basadas en exploradores en estos exploradores compatibles: Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente).
  • Tiempode inactividad: Defender para Cloud Apps permite definir el comportamiento predeterminado que se aplicará si hay una interrupción del servicio, como un componente que no funciona correctamente. Puede optar por proteger (bloquear) u omitir (permitir) que los usuarios tome medidas sobre contenido potencialmente confidencial cuando no se puedan aplicar los controles de directiva normales. Este comportamiento predeterminado durante el tiempo de inactividad del sistema se puede configurar en el portal de Defender para Cloud Apps, como se muestra a continuación: Configuración Control de aplicaciones de acceso condicional comportamiento predeterminado Permitir o bloquear el acceso.

Problemas experimentados por los administradores

Esta sección es para los administradores que configuran controles de acceso y sesión con Defender para Cloud Apps y ayuda a identificar situaciones comunes que pueden surgir en las áreas siguientes:

Sección Issues
Las condiciones de la red - -
- -
- -
Identificación del dispositivo - -
- -
- -
- -
Incorporación de una aplicación - -
- -
- -
- -
- -
- -
Creación de directivas de acceso y sesión - -
- -
- -
- -
- -
- -

Las condiciones de la red

Entre los problemas comunes de condición de red que pueden surgir se incluyen:

Errores de red al navegar a una página del explorador

La primera vez que configura Defender para Cloud Apps controles de acceso y sesión para una aplicación, los errores de red comunes que pueden surgir incluyen: "Este sitio no es seguro" y "No hay conexión a Internet". Estos mensajes pueden indicar un error general de configuración de red.

Pasos recomendados

  1. Configure el firewall para que funcione con Defender for Cloud Apps mediante las direcciones IP de Azure y los nombres DNS pertinentes para su entorno.

    1. Agregue el puerto de salida 443 para las siguientes direcciones IP y nombres DNS para el centro de datos de Defender para Cloud Apps.
    2. Reiniciar el dispositivo y la sesión del explorador
    3. Compruebe que el inicio de sesión funciona según lo previsto.
  2. Habilite TLS 1.2 en las opciones de Internet del explorador.

    Nota

    • Defender para Cloud Apps aprovecha los protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar el mejor cifrado de su clase. Las aplicaciones cliente nativas y los exploradores que no admiten TLS 1.2+ no serán accesibles cuando se configuren con control de sesión. Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones inferiores aparecerán en el explorador como usar TLS 1.2+ cuando se configuren con Defender para Cloud Apps.
    • Aunque los controles de sesión están creados para funcionar con cualquier explorador en cualquier plataforma principal de cualquier sistema operativo, se admiten Microsoft Edge (más reciente), Google Chrome (más reciente), Mozilla Firefox (más reciente) o Apple Safari (más reciente). También se puede bloquear o permitir el acceso a aplicaciones móviles y de escritorio.
    Browser Pasos
    Microsoft Internet Explorer 1. Abra Internet Explorer
    2. Seleccione herramientas Opcionesde Internet PestañaAvanzadas
    3. En Seguridad,seleccione TLS 1.2.
    4. Seleccione Aplicary, a continuación, seleccione Aceptar.
    5. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Microsoft Edge/ Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet".
    2. Seleccione Opciones de Internet.
    3. En Seguridad,seleccione TLS 1.2.
    4. Seleccione Aplicary, a continuación, seleccione Aceptar.
    5. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Google Chrome 1. Abrir Google Chrome
    2. En la parte superior derecha, haga clic en Más (3 puntos verticales) Configuración
    3. En la parte inferior, haga clic en Avanzadas.
    4. EnSistema , haga clic en Abrir configuración de proxy.
    5. En la pestaña Avanzadas, en Seguridad,seleccione TLS 1.2.
    6. Haga clic en Aceptar
    7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Mozilla Firefox 1. Abrir Mozilla Firefox
    2. En la barra de direcciones y busque "about:config".
    3. En el cuadro Buscar, busque "TLS".
    4. Haga doble clic en la entrada de security.tls.version.min.
    5. Establezca el valor entero en 3 para forzar TLS 1.2 como la versión mínima necesaria
    6. Haga clic en Guardar (marca de verificación a la derecha del cuadro de valor)
    7. Reinicie el explorador y compruebe que puede acceder a la aplicación.
    Safari Si usa Safari versión 7 o posterior, TLS 1.2 se habilita automáticamente.

Inicio de sesión lento

El encadenamiento de proxy y el control de nonce son algunos de los problemas comunes que podrían dar lugar a un rendimiento de inicio de sesión lento.

Pasos recomendados

  1. Configure el entorno para quitar el firewall y reenviar el encadenamiento de proxy, conectar dos o más servidores proxy para navegar a la página deseada y otros factores externos que pueden provocar lentitud en el proceso de inicio de sesión.

    1. Identificar si el encadenamiento de proxy se está produciendo en su entorno
    2. Quitar servidores proxy de reenvío adicionales siempre que sea posible
  2. Desactive el control de nonce para las aplicaciones que no usan nonce.

    Nota

    Algunas aplicaciones usan un hash nonce durante la autenticación para evitar ataques de reproducción. De forma predeterminada, Defender para Cloud Apps supone que una aplicación usa un valor nonce. Si la aplicación con la que está trabajando no usa nonce, puede deshabilitar el control de nonce para esta aplicación en Defender para Cloud Apps.

    1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y,a continuación, seleccione Control de aplicaciones de acceso condicional .
    2. En la lista de aplicaciones, en la fila en la que aparece la aplicación que está configurando, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
    3. Haga clic en Control de nonce para expandir la sección y, a continuación, desactive Habilitar control de nonce.
    4. Cierre la sesión de la aplicación y cierre todas las sesiones del explorador.
    5. Reinicie el explorador e inicie sesión en la aplicación y compruebe que el inicio de sesión funciona según lo previsto.

Consideraciones adicionales

Al solucionar problemas de condiciones de red, hay algunos aspectos adicionales que se deben tener en cuenta sobre el proxy de Defender para Cloud Apps.

  • La sesión se enruta a otro centro de datos

    Defender para Cloud Apps aprovecha los centros de datos de Azure de todo el mundo para optimizar el rendimiento a través de la geolocalización. Esto significa que la sesión de un usuario puede hospedarse fuera de una región, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger su privacidad, no se almacenan datos de la sesión en estos centros de datos.

  • Rendimiento del proxy

    Derivar una línea base de rendimiento depende de muchos factores fuera del proxy de Defender para Cloud Apps, como:

    • Qué otros servidores proxy o puertas de enlace se pueden usar en serie con este proxy
    • De dónde viene el usuario
    • Dónde reside el recurso de destino
    • Solicitudes específicas en la página

    En general, cualquier proxy agregará latencia. Las ventajas del proxy de Defender para Cloud Apps son:

    • Aprovechar la disponibilidad global de los controladores de dominio de Azure para geolocalizar a los usuarios en el nodo más cercano y reducir su distancia de ida y vuelta, en una escala que pocos servicios de todo el mundo tienen.
    • Aprovechar la integración con Azure AD acceso condicional para enrutar solo las sesiones que desea usar como proxy a nuestro servicio, en lugar de todos los usuarios en todas las situaciones.

Identificación de dispositivos

Defender para Cloud Apps proporciona las siguientes opciones para identificar el estado de administración de un dispositivo.

  1. Microsoft Intune cumplimiento normativo
  2. Hybrid Azure AD domain joined
  3. Certificados de cliente

Para más información sobre la identificación de dispositivos, consulte Identificación de dispositivos administrados.

Entre los problemas comunes de identificación de dispositivos que pueden surgir se incluyen:

Dispositivos unidos a dispositivos unidos Azure AD Intune o compatibles con Intune no identificados

Azure AD el acceso condicional permite que la información del dispositivo compatible con Intune y unida a Hybrid Azure AD se pase directamente a Defender para Cloud Apps, donde el estado del dispositivo se puede usar como filtro para las directivas de acceso o sesión. Para obtener más información, vea Introducción a la administración de dispositivos en Azure Active Directory.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Identificación del dispositivo. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender para Cloud Apps.

  3. Para la identificación de dispositivos compatibles con Intune y la identificación Azure AD unidos a hybrid, respectivamente, haga clic en Ver configuración y compruebe que los servicios están configurados.

    Nota

    Se sincronizan automáticamente desde Azure AD e Intune, respectivamente.

  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a hybrid Azure AD unido,compatible con Intuneo ambos.

  5. En un explorador, inicie sesión en un dispositivo que esté unido a hybrid Azure AD o compatible con Intune en función del filtro de directiva.

  6. Compruebe que las actividades de estos dispositivos están rellenar el registro. En Defender para Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Hybrid Azure AD joined, Intune complianto ambos en función de los filtros de directiva.

  7. Si las actividades no se están rellenar en el registro de actividad de Defender para Cloud Apps, vaya a Azure AD y haga lo siguiente:

    1. En Supervisiónde inicios de sesión,compruebe que hay actividades de inicio de sesión en los registros.
    2. Seleccione la entrada de registro correspondiente al dispositivo en el que inició sesión.
    3. En el panel Detalles, en la pestaña Información del dispositivo, compruebe que el dispositivo está administrado (unido a Azure AD híbrido) o es compatible (compatible con Intune). Si no puede comprobar ninguno de estos estados, pruebe con otra entrada de registro o asegúrese de que los datos del dispositivo estén configurados correctamente en Azure AD.
    4. Para el acceso condicional, algunos exploradores pueden requerir una configuración adicional, como la instalación de una extensión. Use la información de la guía de compatibilidad del explorador de acceso condicional para configurar el explorador.
    5. Si sigue sin ver la información del dispositivo en la página Inicios de sesión, abra una vale de soporte técnico para Azure AD.

Los certificados de cliente no se solicitan cuando se espera

El mecanismo de identificación de dispositivos puede solicitar la autenticación de los dispositivos que usan certificados de cliente. Puede cargar una entidad de certificación (CA) raíz o intermedia (CA) X.509 con el formato de certificado PEM. Estos certificados deben contener la clave pública de la entidad de certificación, que luego se usa para firmar los certificados de cliente presentados durante una sesión. Para obtener más información sobre los certificados de cliente, vea Dispositivos autenticados concertificado de cliente.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.
  2. En Control de aplicaciones de acceso condicional, seleccione Identificación del dispositivo. En esta página se muestran las opciones de identificación del dispositivo disponibles en Defender para Cloud Apps.
  3. Compruebe que ha cargado una entidad de certificación raíz o intermedia X.509. Debe cargar la entidad de certificación que se usa para firmar la entidad de certificación correspondiente.
  4. Cree una directiva de acceso o sesión con el filtro Etiqueta de dispositivo igual a Certificado de cliente válido.
  5. Asegúrese de que el certificado de cliente es:
    • se implementa con el PKCS #12 de archivo, normalmente una extensión de archivo .p12 o .pfx.
    • instalado en el almacén de usuarios, no en el almacén de dispositivos, del dispositivo que usa para las pruebas.
  6. Reinicio de la sesión del explorador
  7. Al iniciar sesión en la aplicación protegida
    • Compruebe que se le redirige a la dirección URL. <https://*.managed.access-control.cas.ms/aad_login>
    • Si usa iOS, asegúrese de que usa el explorador Safari.
    • Si usa Firefox, también debe agregar el certificado al propio almacén de certificados de Firefox. Todos los demás exploradores usan el mismo almacén de certificados predeterminado. Obtenga información sobre cómo agregar un certificado al almacén de certificados de Firefox.
  8. Valide que el certificado de cliente se le solicite en el explorador.
    • Si no aparece, pruebe otro explorador. La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio a menudo aprovechan los exploradores integrados que pueden no admitir esta comprobación y, por tanto, afectan a la autenticación de estas aplicaciones.
  9. Compruebe que las actividades de estos dispositivos están rellenar el registro. En Defender para Cloud Apps, en la página Registro de actividad, filtre por Etiqueta de dispositivo igual a Certificado de cliente válido.
  10. Si todavía no ve el mensaje, abra una vale de soporte técnico e incluya la siguiente información:
    • Detalles del explorador o la aplicación nativa en la que experimentó el problema
    • La versión del sistema operativo (p. ej., iOS/Android/Windows 10)
    • Mencione si el mensaje funciona en Edge Chromium

Los certificados de cliente se solicitan en cada inicio de sesión

Si está experimentando el certificado de cliente que aparece después de abrir una nueva pestaña, esto puede deberse a la configuración oculta en Opciones de Internet.

Browser Pasos
Microsoft Internet Explorer 1. Abra Internet Explorer
2. Seleccione la pestaña HerramientasOpciones de InternetAvanzadas.
3. En Seguridad,seleccione No solicitar la selección de certificado de cliente cuando solo exista un certificado.
4. Seleccione Aplicary, a continuación, seleccione Aceptar.
5. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.
Microsoft Edge/ Edge Chromium 1. Abra la búsqueda desde la barra de tareas y busque "Opciones de Internet".
2. Seleccione Opciones de Internet.
3. SeleccioneSeguridad, seleccione Intranet local y,a continuación, haga clic en Nivel personalizado.
4. En VariosNo solicitar la selección de certificado de cliente cuando solo existe un certificado,seleccione Deshabilitar.
5. Haga clic en Aceptar para cerrar el cuadro de diálogo de nivel personalizado.
6. Haga clic en Aplicary, a continuación, seleccione Aceptar para cerrar las opciones de Internet.
7. Reinicie el explorador y compruebe que puede acceder a la aplicación sin los avisos adicionales.

Consideraciones adicionales

Al solucionar problemas de identificación de dispositivos, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Protocolo de revocación de certificados de cliente

    Puede requerir la revocación de certificados para los certificados de cliente. Los certificados revocados por la entidad de certificación ya no son de confianza. La selección de esta opción requerirá que todos los certificados pasen el protocolo CRL. Si el certificado de cliente no contiene un punto de conexión CRL, no podrá conectarse desde el dispositivo administrado.

Incorporación de una aplicación

Puede incorporar los siguientes tipos de aplicaciones para los controles de acceso y sesión:

  • Aplicaciones destacadas: aplicaciones que incluyen controles de sesión de forma estándar, tal como se indica en la etiqueta control Session

  • Cualquier aplicación (personalizada): un administrador puede incorporar aplicaciones de línea de negocio (LOB) personalizadas o locales a los controles de sesión.

Lista de proxy que muestra las aplicaciones destacados y las aplicaciones (personalizadas).

Al incorporar una aplicación, es fundamental asegurarse de seguir cada paso de las guías de implementación de proxy:

  1. Implementación de aplicaciones destacados con controles de sesión
  2. Implementación de aplicaciones lob personalizadas, aplicaciones SaaS no destacados y aplicaciones locales hospedadas a través del proxy de aplicación Azure AD con controles de sesión

Entre los escenarios comunes que puede encontrar al incorporar una aplicación se incluyen:

La aplicación no aparece en la página Control de aplicaciones de acceso condicional aplicaciones

Al incorporar una aplicación a Control de aplicaciones de acceso condicional, el último paso de las guías de implementación es hacer que el usuario final vaya a la aplicación. Las recomendaciones que se enumeran a continuación son pasos que se pueden realizar si la aplicación no aparece después de haber pasado por las guías.

Pasos recomendados

  1. Asegúrese de que la aplicación cumple los requisitos previos de la aplicación de acceso condicional.
Proveedor de identidades Validaciones
Azure AD 1. Asegúrese de que tiene una licencia válida para Azure AD Premium P1 además de una licencia de Defender para Cloud Apps
2. Asegúrese de que la aplicación usa saml 2.0 o el protocolo de Conectar OpenID
3. Asegúrese de que el inicio de sesión único de la aplicación Azure AD
Aplicaciones de terceros 1. Asegúrese de que tiene una licencia válida de Defender para Cloud Apps.
2. Creación de una aplicación duplicada
3. Asegúrese de que la aplicación usa el protocolo SAML.
4. Compruebe que ha incorporado completamente la aplicación y que el estado de la aplicación es Conectado.
  1. En la directiva de Azure AD, en sesión ,asegúrese de que la sesión se ve forzada a enrutar a Defender para Cloud Apps, lo que a su vez permitirá que la aplicación aparezca en la página de aplicaciones de Control de aplicaciones de acceso condicional, como se muestra a continuación:
    1. Control de aplicaciones de acceso condicional está seleccionado
    2. En la lista desplegable directivas integradas, asegúrese de que la opción Supervisar solo está seleccionada.
  2. Asegúrese de navegar a la aplicación en una nueva sesión del explorador mediante un nuevo modo de incógnito o iniciando sesión de nuevo.

Estado de la aplicación: Continuar con la instalación

El estado de una aplicación puede variar de Continuar la instalación,Conectadoy Sin actividades.

En el caso de las aplicaciones conectadas a través de proveedores de identidades (IdP) de terceros, si la instalación no está completa, al acceder a la aplicación verá una página con el estado Continuar la instalación. Siga estos pasos para completar la configuración.

Pasos recomendados

  1. Haga clic en Continue Setup (Continuar la instalación).
  2. Consulte la guía de implementación y compruebe que ha completado todos los pasos. Preste especial atención a lo siguiente:
    1. Asegúrese de crear una nueva aplicación SAML personalizada. Lo necesitará para cambiar las direcciones URL y los atributos saml que podrían no estar disponibles en las aplicaciones de la galería.
    2. Si el proveedor de identidades no permite la reutilización del mismo identificador (también conocido como Id. de entidad o Audiencia), cambie el identificador de la aplicación original.

No se pueden configurar controles para aplicaciones nativas

Las aplicaciones nativas se pueden detectar de forma heurística y puede usar directivas de acceso para supervisarlas o bloquearlas. Siga estos pasos para configurar controles para aplicaciones nativas.

Pasos recomendados

  1. En una directiva de acceso, agregue un filtro de aplicación cliente y esta establezca el valor en Móvil y escritorio.
  2. En Acciones, seleccione Bloquear.
  3. Opcionalmente, puede personalizar el mensaje de bloqueo que los usuarios obtienen cuando no pueden descargar archivos, por ejemplo, "Debe usar un explorador web para acceder a esta aplicación".
  4. Pruebe y valide que el control funciona según lo previsto.

Aparece la página Aplicación no reconocida

Defender para Cloud Apps puede reconocer más de 25 000 aplicaciones a través del catálogo de aplicaciones en la nube(Discover - Catálogo de aplicaciones en la nube). Si usa una aplicación personalizada que se configura a través de sso de Azure AD que NO es una de las 25 000 aplicaciones, se encontrará con una página Aplicación no reconocida. Para resolver el problema, debe configurar la aplicación en el Control de aplicaciones de acceso condicional.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y,a continuación, seleccione Control de aplicaciones de acceso condicional .
  2. En el banner, haga clic en Ver nuevas aplicaciones.
  3. En la lista de nuevas aplicaciones, busque la aplicación que va a incorporar, haga clic en el signo + y, a continuación, haga clic +.
    1. Seleccione si la aplicación es una aplicación personalizadao estándar.
    2. Continúe con el asistente y asegúrese de que los dominios definidos por el usuario especificados son correctos para la aplicación que está configurando.
  4. Compruebe que la aplicación aparece en la página Control de aplicaciones de acceso condicional aplicaciones.

Aparece la opción Solicitar control de sesión

Después de agregar una aplicación, es posible que vea la opción Solicitar control de sesión. Esto se debe a que solo las aplicaciones destacados tienen controles de sesión estándar. Para cualquier otra aplicación, debe pasar por un proceso de incorporación propia.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Incorporación y mantenimiento de aplicaciones.

  3. Escriba el nombre principal de usuario o el correo electrónico de los usuarios que van a incorporar la aplicación y, a continuación, haga clic en Guardar.

  4. Vaya a la aplicación que va a implementar. La página que vea dependerá de si se reconoce la aplicación. Realice una de las siguientes acciones:

    Estado de la aplicación Descripción Pasos
    No reconocido Verá una página de aplicación no reconocida en la que se le pedirá que configure la aplicación. 1. Agregue la aplicación para Control de aplicaciones de acceso condicional.
    2. Agregue los dominios de la aplicación yvuelva a la aplicación y actualice la página.
    3. Instale los certificados de la aplicación.
    Recognized Verá una página de incorporación en la que se le pedirá que continúe con el proceso de configuración de la aplicación. - - .

    Nota: Asegúrese de que la aplicación está configurada con todos los dominios necesarios para que la aplicación funcione correctamente. Para configurar dominios adicionales, vaya a Agregar los dominios de laaplicación y, a continuación, vuelva a la página de la aplicación.

Consideraciones adicionales

Al solucionar problemas de incorporación de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Las aplicaciones de Control de aplicaciones de acceso condicional no se alinean con Azure AD aplicaciones

    Los nombres de aplicación de Azure AD y Defender para Cloud Apps pueden diferir en función de las formas en que los productos identifican las aplicaciones. Defender para Aplicaciones en la nube identifica las aplicaciones que usan los dominios de la aplicación y las agrega al catálogo de aplicaciones en la nube,donde tenemos más de 25 000 aplicaciones. Dentro de cada aplicación, puede ver o agregar al subconjunto de dominios. Por el contrario, Azure AD las aplicaciones mediante entidades de servicio. Para obtener más información, vea Objetos de aplicación y entidad de servicio en Azure AD.

    En la práctica, significa que seleccionar SharePoint Online en Azure AD equivale a seleccionar aplicaciones, como Word Online y Teams, en Defender for Cloud Apps porque las aplicaciones usan el dominio.

Creación de directivas de acceso y sesión

Defender para Cloud Apps proporciona las siguientes directivas configurables:

  1. Directivas de acceso:para supervisar o bloquear el acceso a aplicaciones de explorador, móviles o de escritorio
  2. Directivas de sesión. Para supervisar, bloquear y realizar acciones específicas para evitar escenarios de infiltración y filtración de datos en el explorador

Para usar estas directivas en Defender para Cloud Apps, primero debe configurar una directiva en el acceso condicional de Azure AD para ampliar los controles de sesión, como se muestra a continuación: en la directiva de Azure AD, en Controles de acceso ,haga clic en Sesión , seleccione Usar Control de aplicaciones de acceso condicional y elija una directiva integrada(Supervisar solo o Bloquear descargas)o Usar directiva personalizada. para establecer una directiva avanzada en Defender para Cloud Apps y, a continuación, haga clic en Seleccionar.

Entre los escenarios comunes que puede encontrar al configurar estas directivas se incluyen:

En las directivas de acceso condicional, no puede ver la Control de aplicaciones de acceso condicional condicional.

Para enrutar sesiones a Defender para Cloud Apps, Azure AD directivas de acceso condicional deben configurarse para incluir Control de aplicaciones de acceso condicional de sesión.

Pasos recomendados

  • Si no ve la opción Control de aplicaciones de acceso condicional en la directiva de acceso condicional, asegúrese de que tiene una licencia válida para Azure AD Premium P1 así como una licencia válida de Defender para Cloud Apps.

Mensaje de error al crear una directiva: No tiene ninguna aplicación implementada con Control de aplicaciones de acceso condicional

Al crear una directiva de acceso o sesión, es posible que vea el siguiente mensaje de error: "No tiene ninguna aplicación implementada con Control de aplicaciones de acceso condicional". Este error indica que la aplicación no se ha implementado.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.

  2. Si ve el mensaje No hay aplicaciones conectadas,use la siguiente guía para implementar aplicaciones:

  3. Si tiene algún problema al implementar la aplicación, consulte Incorporación de una aplicación.

No se pueden crear directivas de sesión para una aplicación

Después de agregar una aplicación personalizada, en la página Control de aplicaciones de acceso condicional aplicaciones, puede ver la opción: Solicitar control de sesión.

Nota

Aplicaciones destacadas controles de sesión estándar. Para cualquier otra aplicación, debe pasar por un proceso de incorporación propia.

Pasos recomendados

  1. Use la siguiente guía de incorporación para implementar cualquier aplicación en el control de sesión: Implementación de aplicaciones de línea de negocio personalizadas, aplicaciones SaaS no características y aplicaciones locales hospedadas a través de la Azure Active Directory (Azure AD) Application Proxy con controles de sesión.
  2. Cree una directiva de sesión, seleccione el filtro Aplicación y asegúrese de que la aplicación aparece ahora en la lista desplegable.

No se puede elegir Método de inspección:Servicio de clasificación de datos

En las directivas de sesión, al usar el tipo de control de sesión Descarga de archivos de control (con inspección), puede usar el método de inspección servicio de clasificación de datos para examinar los archivos en tiempo real y detectar contenido confidencial que coincida con cualquiera de los criterios que ha configurado. Si el método de inspección del servicio de clasificación de datos no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Compruebe que el tipo de control Sesión está establecido en Control file download (with inspection) (Controlar descarga de archivos [con inspección]).

    Nota

    El método de inspección servicio de clasificación de datos solo está disponible para la opción Descargar archivo de control (con inspección).

  2. Determine si la característica Servicio de clasificación de datos está disponible en su región.

    1. Si la característica no está disponible en su región, use el método de inspección DLP integrado.
    2. Si la característica está disponible en su región pero todavía no puede ver el método de inspección del servicio de clasificación de datos, abra una vale de soporte técnico.

No se puede elegir Acción: Proteger

En las directivas de sesión, al usar el tipo de control de sesión Descargar archivo de control (con inspección), además de las acciones Supervisar y Bloquear, puede especificar la acción Proteger. Esta acción le permite permitir descargas de archivos con la opción de cifrar o aplicar permisos al archivo en función de las condiciones, la inspección de contenido o ambos. Si la acción Proteger no está disponible, siga estos pasos para investigar el problema.

Pasos recomendados

  1. Si la acción Proteger no está disponible o está en gris, compruebe que tiene el Azure Information Protection (AIP) Premium licencia P1. Para más información, consulte Integración de Azure Information Protection.
  2. Si la acción Proteger está disponible, pero no ve las etiquetas adecuadas.
    1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración, seleccioneAzure Information Protection y compruebe que la integración de AIP está habilitada.
    2. Para Office etiquetas, en el portal de AIP, asegúrese de que etiquetado unificado está seleccionado.

Consideraciones adicionales

Al solucionar problemas de incorporación de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Descripción de la diferencia entre la configuración Azure AD directiva de acceso condicional: "Solo supervisar", "Bloquear descargas" y "Usar directiva personalizada"

    En Azure AD de acceso condicional, puede configurar los siguientes controles integrados de Defender para Cloud Apps: Supervisar solo y Bloquear descargas. Esto aplica y aplica la característica de proxy Defender for Cloud Apps para aplicaciones en la nube y las condiciones configuradas en Azure AD. Para directivas más complejas, seleccione Usar directiva personalizada,que le permite configurar directivas de acceso y sesión en Defender para Cloud Apps.

  • Descripción de la opción de filtro de aplicación cliente "Móvil y escritorio" en las directivas de acceso

    En las directivas de acceso de Defender para Cloud Apps, a menos que el filtro aplicación cliente esté establecido específicamente en Móvil y escritorio,la directiva de acceso resultante solo se aplicará a las sesiones del explorador. El motivo de esto es evitar las sesiones de usuario de proxy involuntaria, lo que puede ser un producto derivado del uso de este filtro.

Problemas experimentados por los usuarios finales

Esta sección es para los usuarios finales que usan aplicaciones protegidas por Defender para Cloud Apps y ayuda a identificar situaciones comunes que pueden surgir en las áreas siguientes:

La página de supervisión de usuarios no aparece

Al enrutar un usuario a través de Defender for Cloud Apps, puede notificar al usuario que se supervisará su sesión. De forma predeterminada, la página de supervisión de usuarios está habilitada.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración.

  2. En Control de aplicaciones de acceso condicional, seleccione Supervisión de usuarios. En esta página se muestran las opciones de supervisión de usuarios disponibles en Defender para Cloud Apps.

    Captura de pantalla que muestra las opciones de supervisión de usuarios.

  3. Compruebe que la opción Notificar a los usuarios que su actividad se está supervisando está seleccionada.

  4. Elija si desea usar el mensaje predeterminado o proporcionar un mensaje personalizado.

    Tipo de mensaje Detalles
    Valor predeterminado Encabezado:
    Se supervisa el acceso a [El nombre de la aplicación aparecerá aquí]
    Cuerpo:
    Para mejorar la seguridad, la organización permite el acceso a [El nombre de la aplicación aparecerá aquí] en modo de supervisión. El acceso solo está disponible desde un explorador web.
    Personalizado Encabezado:
    Use este cuadro para proporcionar un encabezado personalizado para informar a los usuarios de que se están supervisando.
    Cuerpo:
    Use este cuadro para agregar información personalizada adicional para el usuario, como con quién ponerse en contacto con preguntas, y admite las siguientes entradas: texto sin formato, texto enriquecido e hipervínculos.
  5. Haga clic en Vista previa para comprobar la página de supervisión de usuarios que aparece antes de acceder a una aplicación.

  6. Haga clic en Save(Guardar).

No se puede acceder a la aplicación desde un proveedor de identidades de terceros

Si un usuario final recibe un error general después de iniciar sesión en una aplicación desde un proveedor de identidades de terceros, valide la configuración de IdP de terceros.

Pasos recomendados

  1. En Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Control de aplicaciones de acceso condicional.
  2. En la lista de aplicaciones, en la fila a la que no se puede acceder a la aplicación, elija los tres puntos al final de la fila y, a continuación, elija Editar aplicación.
    1. Compruebe que el certificado SAML que se carizó es correcto.
    2. Compruebe que se han proporcionado direcciones URL de SSO válidas en la configuración de la aplicación.
    3. Compruebe que los atributos y valores de la aplicación personalizada se reflejan en la configuración del proveedor de identidades Captura de pantalla que muestra la página recopilar información de SAML de proveedores de identidades.
  3. Si todavía no puede acceder a la aplicación, abra una vale de soporte técnico.

Aparece la página Something Went Wrong (Algo salió mal)

A veces, durante una sesión con proxy, puede aparecer la página Algo salió mal. Esto puede suceder cuando:

  1. Un usuario inicia sesión después de estar inactivo durante un tiempo
  2. La actualización del explorador y la carga de la página tarda más de lo esperado
  3. La aplicación de IdP de terceros no está configurada correctamente

Pasos recomendados

  1. Si el usuario final está intentando acceder a una aplicación configurada mediante un IdP de terceros, consulte No se puede acceder a la aplicación desde un IdP de terceros y Estado de la aplicación: Continuar con la instalación.
  2. Si el usuario final llegó inesperadamente a esta página, haga lo siguiente:
    1. Reinicio de la sesión del explorador
    2. Borrar el historial, las cookies y la caché desde el explorador

Las acciones del Portapapeles o los controles de archivo no se bloquean

La capacidad de bloquear acciones del Portapapeles, como cortar, copiar, pegar y controles de archivos, como descargar, cargar e imprimir, es necesaria para evitar escenarios de filtración e infiltración de datos. Esta capacidad permite a las empresas equilibrar la seguridad y la productividad de los usuarios finales. Si tiene problemas con estas características, siga estos pasos para investigar el problema.

Pasos recomendados

Si la sesión se está mediante proxy, siga estos pasos para comprobar la directiva:

  1. En Defender para Cloud Apps, en Investigar, seleccione Registro de actividad.
  2. Use el filtro avanzado, seleccione Acción aplicada y establezca su valor en Bloqueado.
  3. Compruebe que hay actividades de archivo bloqueadas.
    1. Si hay una actividad, expanda el cajón de actividades haciendo clic en la actividad.
    2. En la pestaña General del cajón de actividades, haga clic en el vínculo directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
    3. Si no ve la directiva, consulte Creación de directivas de acceso y sesión.
    4. Si ve Acceso bloqueado o permitido debidoal comportamiento predeterminado , esto indica que el sistema estaba fuera de servicio y que se aplicó el comportamiento predeterminado.
      1. Para cambiar el comportamiento predeterminado, en Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y seleccione Configuración. Después, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminadoy establezca el comportamiento predeterminado en Permitir o Bloquear acceso.
      2. Vaya a y https://status.cloudappsecurity.com/ supervise las notificaciones sobre el tiempo de inactividad del sistema.
  4. Si todavía no puede ver la actividad bloqueada, abra una vale de soporte técnico.

Las descargas no se protegen

Como usuario final, puede ser necesario descargar datos confidenciales en un dispositivo no administrado. En estos escenarios, puede proteger documentos con Azure Information Protection. Si el usuario final no pudo cifrar correctamente el documento, siga estos pasos para investigar el problema.

Pasos recomendados

  1. En Defender para Cloud Apps, en Investigar, seleccione Registro de actividad.
  2. Use el filtro avanzado, seleccione Acción aplicada y establezca su valor en Protegido.
  3. Compruebe que hay actividades de archivo bloqueadas.
    1. Si hay una actividad, expanda el cajón de actividades haciendo clic en la actividad.
    2. En la pestaña General del cajón de actividades, haga clic en el vínculo directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
    3. Si no ve la directiva, consulte Creación de directivas de acceso y sesión.
    4. Si ve Acceso bloqueado o permitido debidoal comportamiento predeterminado , esto indica que el sistema estaba fuera de servicio y que se aplicó el comportamiento predeterminado.
      1. Para cambiar el comportamiento predeterminado, en Defender para Cloud Apps, en la barra de menús, haga clic en el engranaje de configuración y, a continuación, seleccione Configuración. Después, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminadoy establezca el comportamiento predeterminado en Permitir o Bloquear acceso.
      2. Vaya a y https://status.cloudappsecurity.com/ supervise las notificaciones sobre el tiempo de inactividad del sistema.
    5. Si va a proteger el archivo con una etiqueta AIP o permisos personalizados, en la descripción de la actividad ,asegúrese de que la extensión de archivo es uno de los siguientes tipos de archivo admitidos:
      • Word: docm, docx, dotm, dotx
      • Excel: xlam, xlsm, xlsx, xltx
      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
      • PDF* si el etiquetado unificado está habilitado
    • Si no se admite el tipo de archivo, en la directiva de sesión, puede seleccionar Bloquear descarga de cualquier archivo que no sea compatible con la protección nativa o donde la protección nativa no sea correcta.
  4. Si todavía no puede ver la actividad bloqueada, abra una vale de soporte técnico.

Todos los servidores proxy que contienen direcciones URL de sufijo son susceptibles a la pérdida de contexto, un problema por el que navegar a un vínculo pierde la ruta de acceso completa del vínculo y normalmente llega a la página principal de la aplicación. Defender para Cloud Apps se coloca de forma única para abordar esta limitación y resolver la pérdida de contexto mediante la asociación con proveedores de Microsoft y que no son de Microsoft.

Si el ajuste de la directiva global no corrige el problema, puede solucionar los problemas de pérdida de contexto de la siguiente manera:

  1. Vaya a una dirección URL donde se produzca la pérdida de contexto.
  2. Anote el dominio de dirección URL con sufijo, incluido el sufijo agregado por Defender para Cloud Apps. Por ejemplo: https://www.yammer.com.mcas.ms.
  3. Copie la ruta de acceso de la dirección URL original. Por ejemplo, si la dirección URL concreta original era https://www.yammer.com/organization/threads/threadnumber , copie /organization/threads/threadnumber .
  4. Anexe la ruta de acceso copiada al dominio con sufijo. Por ejemplo: https://www.yammer.com.mcas.ms/organization/threads/threadnumber.
  5. Vaya a la nueva dirección URL con sufijo.

En el caso de las aplicaciones que experimentan pérdida de contexto, envíe una vale de soporte técnico. Trabajaremos con cada proveedor de aplicaciones directamente para resolver esos problemas.

El bloqueo de descargas hace que se bloqueen las versiones preliminares de PDF

En ocasiones, al obtener una vista previa o imprimir archivos PDF, las aplicaciones inician una descarga del archivo. Esto hace que Defender para Cloud Apps intervenga para asegurarse de que la descarga está bloqueada y que los datos no se filtren desde su entorno. Por ejemplo, si ha creado una directiva de sesión para bloquear las descargas de Outlook Web Access (OWA), es posible que se bloquee la vista previa o la impresión de archivos PDF, con un mensaje como el siguiente:

Descarga bloqueada

Para permitir la versión preliminar, Exchange administrador debe realizar los pasos siguientes:

  1. Descargue el Exchange Online módulo de PowerShell.

  2. Conectar al módulo mediante los comandos descritos en Conectar para Exchange Online PowerShell

  3. Después de conectarse al Exchange Online PowerShell, use el cmdlet Set-OwaMailboxPolicy para actualizar los parámetros de la directiva:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Nota

    La directiva OwaMailboxPolicy-Default es el nombre predeterminado de la directiva de OWA en Exchange Online. Algunos clientes pueden haber implementado o creado una directiva de OWA personalizada con un nombre diferente. Si tiene varias directivas de OWA, se pueden aplicar a usuarios específicos. Por lo tanto, también deberá actualizarlos para tener una cobertura completa.

  4. Una vez establecidos estos parámetros, ejecute una prueba en OWA con un archivo PDF y una directiva de sesión configurada para bloquear las descargas. La opción Descargar debe quitarse de la lista desplegable y puede obtener una vista previa del archivo.

    Versión preliminar de PDF no bloqueada

Consideraciones adicionales

Al solucionar problemas de aplicaciones, hay algunos aspectos adicionales que se deben tener en cuenta.

  • Compatibilidad de los controles de sesión con los exploradores modernos

    Los controles de sesión de Defender para Cloud Apps ahora incluyen compatibilidad con el nuevo explorador Microsoft Edge basado en Chromium. Si bien continuaremos admitiendo las versiones más recientes de Internet Explorer y la versión heredada de Microsoft Edge, la compatibilidad será limitada y se recomienda usar el nuevo explorador Microsoft Edge.

  • Inicio de sesión doble

    Se produce un inicio de sesión doble debido al supuesto uso de un nonce, un token criptográfico que usan las aplicaciones para evitar ataques de reproducción. De forma predeterminada, Defender para Cloud Apps supone que una aplicación usa un valor nonce. Si está seguro de que la aplicación no usa un nonce, puede deshabilitarlo editando la aplicación en Defender para Aplicaciones en la nube y el problema se resolverá. Para ver los pasos para deshabilitar nonce, consulte Inicio de sesión lento.

    Si la aplicación usa un nonce y esta característica no se puede deshabilitar, el segundo inicio de sesión puede ser transparente para los usuarios o puede que se les pida que vuelvan a iniciar sesión.