Risoluzione dei problemi dei controlli di accesso e di sessione

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Questo articolo fornisce agli amministratori indicazioni su come analizzare e risolvere i problemi comuni di controllo degli accessi e delle sessioni, come riscontrato dagliamministratori e dagli utenti finali.

Prima di continuare, assicurarsi che l'ambiente soddisfi i requisiti minimi minimi per i controlli di accesso e sessione.

  • Licenze: assicurarsi di avere una licenza valida.
  • Single Sign-On (SSO): le app devono essere configurate con una delle soluzioni SSO supportate.
    • Azure Active Directory (Azure AD) usando SAML 2.0 o OpenID Connessione 2.0
    • IdP non Microsoft con SAML 2.0
  • Supporto del browser: i controlli sessione sono disponibili per le sessioni basate sul browser in questi browser supportati: Microsoft Edge (più recente), Google Chrome (più recente), Mozilla Firefox (più recente) o Apple Safari (più recente)
  • Tempo di inattività: Defender per il cloud App consente di definire il comportamento predefinito da applicare se si verifica un'interruzione del servizio, ad esempio un componente non funzionante correttamente. È possibile scegliere di proteggere (bloccare) o ignorare (consentire) agli utenti di eseguire azioni su contenuti potenzialmente sensibili quando i normali controlli dei criteri non possono essere applicati. Questo comportamento predefinito durante il tempo di inattività del sistema può essere configurato nel portale di app Defender per il cloud, come indicato di seguito: Impostazioni>Conditional Access Control>Comportamento> predefinitoConsenti o Blocca l'accesso.

Problemi riscontrati dagli amministratori

Questa sezione è destinata agli amministratori che configurano i controlli di accesso e sessione con app Defender per il cloud e consentono di identificare le situazioni comuni che possono verificarsi nelle aree seguenti:

Sezione Problemi
Condizioni della rete - Errori di rete quando si passa a una pagina del browser
- Accesso lento
- Considerazioni aggiuntive
Identificazione del dispositivo - Dispositivi aggiunti a Azure AD non identificati Intune conformi o ibridi
- I certificati client non vengono richiesti quando previsto
- I certificati client vengono richiesti a ogni account di accesso
- Considerazioni aggiuntive
Onboarding di un'app - L'app non viene visualizzata nella pagina App di controllo app di accesso condizionale
- Stato dell'app: Continuare l'installazione
- Impossibile configurare i controlli per le app native
- Viene visualizzata la pagina app non riconosciuta
- Viene visualizzata l'opzione controllo sessione richiesta
- Considerazioni aggiuntive
Creazione di criteri di accesso e sessione - Nei criteri di accesso condizionale non è possibile visualizzare l'opzione Controllo app di accesso condizionale
- Messaggio di errore durante la creazione di un criterio: non si dispone di app distribuite con il controllo app di accesso condizionale
- Impossibile creare criteri di sessione per un'app
- Impossibile scegliere il metodo di ispezione: Servizio classificazione dati
- Impossibile scegliere Azione: Proteggere
- Considerazioni aggiuntive

Condizioni della rete

Problemi comuni di condizione di rete che potrebbero verificarsi includono:

Errori di rete quando si passa a una pagina del browser

Quando si configura Defender per il cloud Controlli di accesso alle app e sessione per un'app, errori di rete comuni che potrebbero verificarsi includono: "Questo sito non è sicuro" e "Non esiste connessione Internet". Questi messaggi possono indicare un errore di configurazione di rete generale.

Procedure consigliate

  1. Configurare il firewall in modo che funzioni con le app Defender per il cloud usando gli indirizzi IP di Azure e i nomi DNS rilevanti per l'ambiente.

    1. Aggiungere la porta in uscita 443 per gli indirizzi IP e i nomi DNS seguenti per il data center delle app di Defender per il cloud.
    2. Riavviare il dispositivo e la sessione del browser
    3. Verificare che l'account di accesso funzioni come previsto
  2. Abilitare TLS 1.2 nelle opzioni Internet del browser.

    Nota

    • Defender per il cloud App sfrutta i protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia migliore in classe. Le app e i browser client nativi che non supportano TLS 1.2+ non saranno accessibili quando configurati con il controllo sessione. Tuttavia, le app SaaS che usano TLS 1.1 o versioni inferiori verranno visualizzate nel browser come l'uso di TLS 1.2+ quando configurato con app Defender per il cloud.
    • Mentre i controlli sessione sono compilati per funzionare con qualsiasi browser in qualsiasi piattaforma principale in qualsiasi sistema operativo, supportiamo Microsoft Edge (più recente), Google Chrome (più recente), Mozilla Firefox (più recente) o Apple Safari (più recente). L'accesso alle app per dispositivi mobili e desktop può anche essere bloccato o consentito.
    Browser Passaggi
    Microsoft Internet Explorer 1. Aprire Internet Explorer
    2. Selezionare Strumenti>opzioni> Internet schedaAvanzate
    3. In Sicurezza selezionare TLS 1.2
    4. Selezionare Applica, quindi selezionare OK
    5. Riavviare il browser e verificare che sia possibile accedere all'app
    Microsoft Edge/Chromium Edge 1. Aprire la ricerca dalla barra delle applicazioni e cercare "Opzioni Internet"
    2. Selezionare Opzioni Internet
    3. In Sicurezza selezionare TLS 1.2
    4. Selezionare Applica, quindi selezionare OK
    5. Riavviare il browser e verificare che sia possibile accedere all'app
    Google Chrome 1. Aprire Google Chrome
    2. In alto a destra fare clic su Altro (3 punti verticali) >Impostazioni
    3. Nella parte inferiore fare clic su Avanzate
    4. In Sistema fare clic su Apri impostazioni proxy
    5. Nella scheda Avanzate , in Sicurezza selezionare TLS 1.2
    6. Fare clic su OK
    7. Riavviare il browser e verificare che sia possibile accedere all'app
    Mozilla Firefox 1. Aprire Mozilla Firefox
    2. Nella barra degli indirizzi e cercare "about:config"
    3. Nella casella di ricerca cercare "TLS"
    4. Fare doppio clic sulla voce per security.tls.version.min
    5. Impostare il valore intero su 3 per forzare TLS 1.2 come versione minima richiesta
    6. Fare clic su Salva (segno di spunta a destra della casella valore)
    7. Riavviare il browser e verificare che sia possibile accedere all'app
    Safari Se si usa Safari versione 7 o successiva, TLS 1.2 viene abilitato automaticamente

Accesso lento

Il concatenamento del proxy e la gestione nonce sono alcuni dei problemi comuni che potrebbero causare prestazioni di accesso lente.

Procedure consigliate

  1. Configurare l'ambiente per rimuovere il firewall e l'inoltro della catena proxy, connettere due o più server proxy per passare alla pagina prevista e altri fattori esterni che possono causare lentezza nel processo di accesso.

    1. Identificare se si sta verificando il concatenamento proxy nell'ambiente
    2. Rimuovere proxy di inoltro aggiuntivi, se possibile
  2. Disattivare la gestione nonce per le app che non usano nonce.

    Nota

    Alcune app usano un hash nonce durante l'autenticazione per impedire attacchi di riproduzione. Per impostazione predefinita, le app Defender per il cloud presuppongono che un'app usi un nonce. Se l'app con cui si lavora non usa nonce, è possibile disabilitare la gestione nonce per questa app in app Defender per il cloud.

    1. Nella barra dei menu Defender per il cloud App fare clic sull'ingranaggio delle impostazioni e quindi selezionare Controllo app di accesso condizionale.
    2. Nell'elenco delle app, nella riga in cui viene configurata l'app, scegliere i tre punti alla fine della riga e quindi scegliere Modifica app.
    3. Fare clic su Gestione nonce per espandere la sezione e quindi deselezionare Abilita gestione nonce.
    4. Disconnettersi dall'app e chiudere tutte le sessioni del browser.
    5. Riavviare il browser e accedere all'app e verificare che l'account di accesso funzioni come previsto.

Altre considerazioni

Durante la risoluzione dei problemi relativi alle condizioni di rete, esistono alcuni elementi aggiuntivi da considerare sul proxy di app Defender per il cloud.

  • La sessione viene instradata a un altro data center

    Defender per il cloud App sfrutta i data center di Azure in tutto il mondo per ottimizzare le prestazioni tramite la georilevazione. Ciò significa che la sessione di un utente può essere ospitata all'esterno di un'area, a seconda dei modelli di traffico e della loro posizione. Tuttavia, per proteggere la privacy, in questi data center non vengono archiviati i dati di nessuna sessione.

  • Prestazioni proxy

    La derivazione di una baseline di prestazioni dipende da molti fattori esterni al proxy di app Defender per il cloud, ad esempio:

    • Quali altri proxy o gateway si trovano in serie con questo proxy
    • Dove proviene l'utente
    • Dove risiede la risorsa di destinazione
    • Richieste specifiche nella pagina

    In generale, qualsiasi proxy aggiungerà latenza. I vantaggi del proxy di app Defender per il cloud sono:

    • Sfruttando la disponibilità globale dei controller di dominio di Azure per geolocare gli utenti al nodo più vicino e ridurre la distanza di round trip, su una scala che pochi servizi in tutto il mondo hanno.
    • Sfruttando l'integrazione con l'accesso condizionale di Azure AD per indirizzare solo le sessioni che si desidera eseguire il proxy al servizio, anziché tutti gli utenti in tutte le situazioni.

Identificazione del dispositivo

Defender per il cloud Apps offre le opzioni seguenti per identificare lo stato di gestione di un dispositivo.

  1. conformità Microsoft Intune
  2. Aggiunto al dominio Azure AD ibrido
  3. Certificati client

Per altre informazioni sull'identificazione del dispositivo, vedere Identificazione del dispositivo gestito.

Problemi comuni di identificazione dei dispositivi che potrebbero verificarsi includono

Dispositivi aggiunti a Azure AD non identificati Intune conformi o ibridi

L'accesso condizionale di Azure AD consente Intune di passare le informazioni sui dispositivi conformi e ibride di Azure AD direttamente alle app di Defender per il cloud, in cui è possibile usare lo stato del dispositivo come filtro per i criteri di accesso o sessione. Per altre informazioni, vedere Introduzione alla gestione dei dispositivi in Azure Active Directory.

Procedure consigliate

  1. Nella barra dei menu Defender per il cloud App fare clic sull'ingranaggio delle impostazioni e quindi selezionare Impostazioni.

  2. In Controllo app di accesso condizionale selezionare Identificazione del dispositivo. Questa pagina mostra le opzioni di identificazione del dispositivo disponibili in app di Defender per il cloud.

  3. Per Intune identificazione del dispositivo conforme e l'identificazioneaggiunta ad Azure AD ibrida rispettivamente, fare clic su Visualizza configurazione e verificare che i servizi siano configurati.

    Nota

    Questi vengono sincronizzati automaticamente da Azure AD e Intune rispettivamente.

  4. Creare un criterio di accesso o sessione con il filtro Tag dispositivo uguale a Aggiunto ad Azure AD ibrido, Intune conforme o entrambi.

  5. In un browser accedere a un dispositivo aggiunto ad Azure AD ibrido o Intune conforme al filtro dei criteri.

  6. Verificare che le attività di questi dispositivi popolano il log. Nella pagina Log attività Defender per il cloud filtrare il tag dispositivo uguale al aggiunto ad Azure AD ibrido, Intune conforme o entrambi in base ai filtri dei criteri.

  7. Se le attività non vengono popolate nel log attività delle app di Defender per il cloud, passare ad Azure AD ed eseguire le operazioni seguenti:

    1. In Monitoraggio>accessi verificare che siano presenti attività di accesso nei log.
    2. Selezionare la voce di log pertinente per il dispositivo eseguito l'accesso.
    3. Nel riquadro Dettagli, scheda Informazioni dispositivo, verificare che il dispositivo sia in stato Gestito (aggiunto ad Azure AD ibrido) o Conforme (conforme a Intune). Se non è possibile verificare alcuno stato, provare a eseguire un'altra voce di log o assicurarsi che i dati del dispositivo siano configurati correttamente in Azure AD.
    4. Per l'accesso condizionale, alcuni browser possono richiedere una configurazione aggiuntiva, ad esempio l'installazione di un'estensione. Usare le informazioni contenute nella guida al supporto del browser di accesso condizionale per configurare il browser.
    5. Se non vengono ancora visualizzate le informazioni sul dispositivo nella pagina Accessi , aprire un ticket di supporto per Azure AD.

I certificati client non vengono richiesti quando previsto

Per il meccanismo di identificazione dispositivi può essere necessaria l'autenticazione dei dispositivi tramite certificati client. È possibile caricare una radice X.509 o un'autorità di certificazione intermedia (CA) formattata nel formato del certificato PEM. Questi certificati devono contenere la chiave pubblica della CA, che viene quindi usata per firmare i certificati client presentati durante una sessione. Per altre informazioni sui certificati client, vedere Dispositivi autenticati con certificato client.

Procedure consigliate

  1. Nella barra dei menu Defender per il cloud App fare clic sull'ingranaggio delle impostazioni e quindi selezionare Impostazioni.
  2. In Controllo app di accesso condizionale selezionare Identificazione del dispositivo. Questa pagina mostra le opzioni di identificazione del dispositivo disponibili in app di Defender per il cloud.
  3. Verificare che sia stata caricata una radice X.509 o una CA intermedia. È necessario caricare la CA usata per firmare l'autorità di certificazione pertinente.
  4. Creare un criterio di accesso o sessione con il filtro Tag dispositivo uguale al certificato client valido.
  5. Assicurarsi che il certificato client sia:
    • distribuito usando il formato di file PKCS #12, in genere un'estensione file con estensione p12 o pfx
    • installato nell'archivio utenti, non nell'archivio dispositivi, del dispositivo usato per il test
  6. Riavviare la sessione del browser
  7. Quando si accede all'app protetta
    • Verificare di essere reindirizzati all'URL <https://*.managed.access-control.cas.ms/aad_login>
    • Se si usa iOS, assicurarsi di usare il browser Safari
    • Se si usa Firefox, è necessario aggiungere anche il certificato all'archivio certificati di Firefox. Tutti gli altri browser usano lo stesso archivio certificati predefinito. Informazioni su come aggiungere un certificato all'archivio certificati firefox.
  8. Verificare che il certificato client richiesto nel browser.
    • Se non viene visualizzato, provare un browser diverso. La maggior parte dei principali browser supporta l'esecuzione di un controllo del certificato client. Tuttavia, le app per dispositivi mobili e desktop spesso sfruttano browser predefiniti che potrebbero non supportare questo controllo e quindi influire sull'autenticazione per queste app.
  9. Verificare che le attività di questi dispositivi popolano il log. Nella pagina Log attività Defender per il cloud App filtrare il tag dispositivo uguale al certificato client valido.
  10. Se il prompt non viene ancora visualizzato, aprire un ticket di supporto e includere le informazioni seguenti:
    • Dettagli del browser o dell'app nativa in cui si è verificato il problema
    • Versione del sistema operativo (ad esempio iOS/Android/Windows 10)
    • Menzione se il prompt funziona su Edge Chromium

I certificati client vengono richiesti a ogni account di accesso

Se si verifica la comparsa del certificato client dopo l'apertura di una nuova scheda, questo potrebbe essere dovuto alle impostazioni nascoste in Opzioni Internet.

Browser Passaggi
Microsoft Internet Explorer 1. Aprire Internet Explorer
2. Selezionare strumenti>Opzioni> Internet schedaAvanzate
3. In Sicurezza selezionare Non richiedere la selezione del certificato client quando esiste un solo certificato
4. Selezionare Applica, quindi selezionare OK
5. Riavviare il browser e verificare che sia possibile accedere all'app senza le richieste aggiuntive
Microsoft Edge/Chromium Edge 1. Aprire la ricerca dalla barra delle applicazioni e cercare "Opzioni Internet"
2. Selezionare Opzioni Internet
3. Selezionare Sicurezza, selezionare Intranet locale, quindi fare clic su Livello personalizzato
4. In Varie>non richiedere la selezione del certificato client quando esiste un solo certificato, selezionare Disabilita
5. Fare clic su OK per chiudere la finestra di dialogo di livello personalizzato
6. Fare clic su Applica, quindi selezionare OK per chiudere le opzioni Internet
7. Riavviare il browser e verificare che sia possibile accedere all'app senza le richieste aggiuntive

Altre considerazioni

Durante la risoluzione dei problemi di identificazione dei dispositivi, è necessario considerare alcuni aspetti aggiuntivi.

  • Protocollo di revoca dei certificati client

    È possibile richiedere la revoca dei certificati per i certificati client. I certificati revocati dalla CA non sono più attendibili. La selezione di questa opzione richiederà che tutti i certificati passino il protocollo CRL. Se il certificato client non contiene un endpoint CRL, non sarà possibile connettersi dal dispositivo gestito.

Onboarding di un'app

È possibile eseguire l'onboarding dei tipi di app seguenti per i controlli di accesso e sessione:

  • App del catalogo: app fornite con controlli sessione predefiniti, come indicato dall'etichetta del controllo Sessione

  • Qualsiasi app (personalizzata): è possibile eseguire l'onboarding di app line-of-business personalizzate o locali nei controlli sessione da un amministratore

Proxy list showing catalog and any (custom) apps.

Quando si esegue l'onboarding di un'app, è fondamentale assicurarsi di seguire ogni passaggio nelle guide alla distribuzione del proxy:

  1. Distribuire app di catalogo con controlli sessione
  2. Distribuire app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite il proxy di app di Azure AD con i controlli sessione

Gli scenari comuni che possono verificarsi durante l'onboarding di un'app includono:

L'app non viene visualizzata nella pagina App Di controllo app per l'accesso condizionale

Quando si esegue l'onboarding di un'app in Controllo app per l'accesso condizionale, il passaggio finale nelle guide alla distribuzione consiste nel fare in modo che l'utente finale passi all'app. Le raccomandazioni elencate di seguito sono passaggi che possono essere eseguiti se l'app non viene visualizzata dopo aver eseguito le guide.

Procedure consigliate

  1. Assicurarsi che l'app soddisfi i prerequisiti dell'app per l'accesso condizionale
Provider di identità Convalide
Azure AD 1. Assicurarsi di avere una licenza valida per Azure AD Premium P1 oltre a una licenza Defender per il cloud Apps
2. Assicurarsi che l'app usi il protocollo SAML 2.0 o OpenID Connessione
3. Assicurarsi che l'accesso Single Sign-On dell'app in Azure AD
Non Microsoft 1. Assicurarsi di avere una licenza valida Defender per il cloud Apps
2. Creare un'app duplicata
3. Assicurarsi che l'app usi il protocollo SAML
4. Verificare di aver eseguito l'onboarding completo dell'app e che lo stato dell'app sia Connesso
  1. Nei criteri di Azure AD, in Sessione, assicurarsi che la sessione venga indirizzata a Defender per il cloud Apps, che a sua volta consentirà la visualizzazione dell'app nella pagina App controllo app per l'accesso condizionale, come indicato di seguito:
    1. Controllo app per l'accesso condizionale selezionato
    2. Nell'elenco a discesa criteri predefiniti assicurarsi che sia selezionato Solo monitoraggio
  2. Assicurarsi di passare all'app in una nuova sessione del browser usando una nuova modalità in incognito o eseguendo di nuovo l'accesso.

Stato dell'app: Continua configurazione

Lo stato di un'app può variare da Continua configurazione, Connesso e Nessuna attività.

Per le app connesse tramite provider di identità non Microsoft (IdP), se la configurazione non è completata, quando si accede all'app verrà visualizzata una pagina con lo stato Continua installazione. Seguire questa procedura per completare l'installazione.

Procedure consigliate

  1. Fare clic su Continua installazione.
  2. Esaminare la guida alla distribuzione e verificare di aver completato tutti i passaggi. Prestare particolare attenzione ai seguenti:
    1. Assicurarsi di creare una nuova app SAML personalizzata. È necessario modificare gli URL e gli attributi SAML che potrebbero non essere disponibili nelle app della raccolta.
    2. Se il provider di identità non consente il riutilizzo dello stesso identificatore (noto anche come ID entità o gruppo di destinatari), modificare l'identificatore dell'app originale.

Impossibile configurare i controlli per le app native

Le app native possono essere rilevate in modo euristico ed è possibile usare i criteri di accesso per monitorarli o bloccarli. Usare la procedura seguente per configurare i controlli per le app native.

Procedure consigliate

  1. In un criterio di accesso aggiungere un filtro app client e impostarlo su Mobile e desktop.
  2. In Azioni selezionare Blocca.
  3. Facoltativamente, personalizzare il messaggio di blocco che gli utenti ricevono quando non riescono a scaricare i file, ad esempio "È necessario usare un Web browser per accedere a questa app".
  4. Testare e verificare che il controllo funzioni come previsto.

Viene visualizzata la pagina App non riconosciuta

Defender per il cloud Le app possono riconoscere più di 25.000 app tramite il Catalogo app cloud (Discover ->Cloud App Catalog). Se si usa un'app personalizzata configurata tramite l'accesso SSO di Azure AD che non è una delle 25.000 app, verrà visualizzata una pagina App non riconosciuta . Per risolvere il problema, è necessario configurare l'app nel controllo app per l'accesso condizionale.

Procedure consigliate

  1. Nella barra dei menu di Defender per il cloud App fare clic sull'icona delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.
  2. Nel banner fare clic su Visualizza nuove app.
  3. Nell'elenco delle nuove app individuare l'app di cui si sta eseguendo l'onboarding + , fare clic sul segno e quindi fare clic su Aggiungi.
    1. Selezionare se l'app è un'app personalizzata o standard .
    2. Continuare con la procedura guidata, assicurarsi che i domini definiti dall'utente specificati siano corretti per l'app che si sta configurando.
  4. Verificare che l'app venga visualizzata nella pagina App Di controllo app per l'accesso condizionale .

Viene visualizzata l'opzione Richiedi controllo sessione

Dopo aver aggiunto un'app, è possibile che venga visualizzata l'opzione Richiedi controllo sessione . Ciò si verifica perché solo le app del catalogo hanno controlli sessione predefiniti. Per qualsiasi altra app, è necessario eseguire un processo di auto-onboarding.

Procedure consigliate

  1. Nella barra dei menu di Defender per il cloud App fare clic sull'ingranaggio delle impostazioni e selezionare Impostazioni.

  2. In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.

  3. Immettere il nome dell'entità utente o il messaggio di posta elettronica per gli utenti che eseguiranno l'onboarding dell'app e quindi fare clic su Salva.

  4. Passare all'app che si sta distribuendo. La pagina visualizzata dipende dal fatto che l'app sia riconosciuta. Eseguire una delle operazioni seguenti:

    Stato dell'app Descrizione Passaggi
    Non riconosciuto Verrà visualizzata una pagina non riconosciuta che richiede di configurare l'app. 1. Aggiungere l'app al controllo app per l'accesso condizionale.
    2. Aggiungere i domini per l'app e quindi tornare all'app e aggiornare la pagina.
    3. Installare i certificati per l'app.
    Recognized Verrà visualizzata una pagina di onboarding che richiede di continuare il processo di configurazione dell'app. - Installare i certificati per l'app.

    Nota: Assicurarsi che l'app sia configurata con tutti i domini necessari per il corretto funzionamento dell'app. Per configurare domini aggiuntivi, passare ad Aggiungere i domini per l'app e quindi tornare alla pagina dell'app.

Altre considerazioni

Durante la risoluzione dei problemi relativi all'onboarding delle app, è necessario prendere in considerazione alcuni aspetti aggiuntivi.

  • Le app in Controllo app per l'accesso condizionale non sono allineate alle app di Azure AD

    I nomi delle app in Azure AD e Defender per il cloud Apps possono differire in base ai modi in cui i prodotti identificano le app. Defender per il cloud App identifica le app che usano i domini dell'app e le aggiunge al catalogo delle app cloud, in cui sono presenti più di 25.000 app. All'interno di ogni app è possibile visualizzare o aggiungere al subset di domini. Azure AD identifica invece le app che usano le entità servizio. Per altre informazioni, vedere Oggetti app e entità servizio in Azure AD.

    In pratica, significa che la selezione di SharePoint Online in Azure AD equivale alla selezione di app, ad esempio Word Online e Teams, in app Defender per il cloud perché le app usano il sharepoint.com dominio.

Creazione di criteri di accesso e sessione

Defender per il cloud Apps fornisce i criteri configurabili seguenti:

  1. Criteri di accesso: per monitorare o bloccare l'accesso a browser, dispositivi mobili e/o app desktop
  2. Criteri di sessione. Per monitorare, bloccare ed eseguire azioni specifiche per impedire l'infiltrazione dei dati e gli scenari di esfiltrazione nel browser

Per usare questi criteri in app di Defender per il cloud, è prima necessario configurare un criterio nell'accesso condizionale di Azure AD per estendere i controlli sessione, come indicato di seguito: Nei criteri di Azure AD, in Controlli di accesso fare clic su Sessione, selezionare Usa controllo app di accesso condizionale e scegliere un criterio predefinito (Solo monitoraggio o Blocca download) oppure Usare criteri personalizzati per impostare un criterio avanzato in Defender per il cloud App e quindi fare clic su Seleziona.

Gli scenari comuni che possono verificarsi durante la configurazione di questi criteri includono:

Nei criteri di accesso condizionale non è possibile visualizzare l'opzione Controllo app per l'accesso condizionale

Per instradare le sessioni alle app di Defender per il cloud, è necessario configurare i criteri di accesso condizionale di Azure AD per includere i controlli sessione di Controllo app per l'accesso condizionale.

Procedure consigliate

  • Se non viene visualizzata l'opzione Controllo app per l'accesso condizionale nei criteri di accesso condizionale, assicurarsi di avere una licenza valida per Azure AD Premium P1 e una licenza valida per le app di Defender per il cloud.

Messaggio di errore durante la creazione di un criterio: non sono state distribuite app con controllo app per l'accesso condizionale

Quando si creano criteri di accesso o sessione, è possibile che venga visualizzato il seguente messaggio di errore: "Non sono state distribuite app con controllo app per l'accesso condizionale". Questo errore indica che l'app non è stata distribuita.

Procedure consigliate

  1. Nella barra dei menu di Defender per il cloud App fare clic sull'icona delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.

  2. Se viene visualizzato il messaggio Nessuna app connessa, usare la guida seguente per distribuire le app:

  3. Se si verificano problemi durante la distribuzione dell'app, vedere Onboarding di un'app.

Impossibile creare criteri di sessione per un'app

Dopo aver aggiunto un'app personalizzata, nella pagina App Di controllo app per l'accesso condizionale è possibile visualizzare l'opzione Richiedi controllo sessione.

Nota

Le app del catalogo includono controlli sessione predefiniti. Per qualsiasi altra app, è necessario eseguire un processo di auto-onboarding.

Procedure consigliate

  1. Usare la guida all'onboarding automatico seguente per distribuire qualsiasi app nel controllo sessione: Distribuire app line-of-business personalizzate, app SaaS non in primo piano e app locali ospitate tramite il Azure Active Directory (Azure AD) Application Proxy con i controlli sessione.
  2. Creare un criterio di sessione, selezionare il filtro App , assicurarsi che l'app sia ora elencata nell'elenco a discesa.

Impossibile scegliere il metodo di ispezione: Servizio di classificazione dei dati

Nei criteri di sessione, quando si usa il tipo di controllo del download del file di controllo (con ispezione), è possibile usare il metodo di ispezione del servizio di classificazione dei dati per analizzare i file in tempo reale e rilevare contenuti sensibili che corrispondono a uno dei criteri configurati. Se il metodo di ispezione del servizio di classificazione dati non è disponibile, seguire questa procedura per analizzare il problema.

Procedure consigliate

  1. Verificare che il tipo di controllo Sessione sia impostato su Control file download (with inspection).

    Nota

    Il metodo di ispezione del servizio di classificazione dati è disponibile solo per l'opzione Di download di file di controllo (con ispezione).

  2. Determinare se la funzionalità Servizio di classificazione dati è disponibile nell'area.

    1. Se la funzionalità non è disponibile nell'area, usare il metodo di ispezione DLP predefinito .
    2. Se la funzionalità è disponibile nell'area, ma non è ancora possibile visualizzare il metodo di ispezione del servizio di classificazione dei dati , aprire un ticket di supporto.

Impossibile scegliere Azione: Proteggi

Nei criteri di sessione, quando si usa il tipo di controllo di download del file di controllo (con ispezione), oltre alle azioni Monitoraggio e Blocca , è possibile specificare l'azione Proteggi . Questa azione consente di consentire i download di file con l'opzione per crittografare o applicare autorizzazioni al file in base a condizioni, ispezione del contenuto o entrambe. Se l'azione Proteggi non è disponibile, seguire questa procedura per analizzare il problema.

Procedure consigliate

  1. Se l'azione Proteggi non è disponibile o è disattivata, verificare di avere la licenza di Azure Information Protection (AIP) Premium P1. Per altre informazioni, vedere integrazione Microsoft Information Protection.
  2. Se l'azione Proteggi è disponibile, ma non vengono visualizzate le etichette appropriate.
    1. Nella barra dei menu di Defender per il cloud App fare clic sull'ingranaggio delle impostazioni, selezionare Microsoft Information Protection e verificare che l'integrazione sia abilitata.
    2. Per Office etichette, nel portale di AIP verificare che l'opzione Etichettatura unificata sia selezionata.

Altre considerazioni

Durante la risoluzione dei problemi relativi all'onboarding delle app, è necessario prendere in considerazione alcuni aspetti aggiuntivi.

  • Informazioni sulla differenza tra le impostazioni dei criteri di accesso condizionale di Azure AD: "Solo monitoraggio", "Blocca download" e "Usa criteri personalizzati"

    Nei criteri di accesso condizionale di Azure AD è possibile configurare i controlli predefiniti Defender per il cloud Apps seguenti: Monitorare solo e Bloccare i download. Questo vale e applica la funzionalità proxy Defender per il cloud Apps per le app cloud e le condizioni configurate in Azure AD. Per criteri più complessi, selezionare Usa criteri personalizzati, che consente di configurare i criteri di accesso e sessione in Defender per il cloud App.

  • Informazioni sull'opzione di filtro delle app client "Dispositivi mobili e desktop" nei criteri di accesso

    In Defender per il cloud Criteri di accesso alle app, a meno che il filtro app client non sia impostato in modo specifico su Dispositivi mobili e desktop, i criteri di accesso risultanti verranno applicati solo alle sessioni del browser. Per questo motivo, è possibile impedire inavvertitamente il proxy delle sessioni utente, che possono essere un elemento di utilizzo di questo filtro.

barra degli strumenti di visualizzazione Amministrazione

La barra degli strumenti Amministrazione Visualizza fornisce agli amministratori strumenti per diagnosticare e risolvere i problemi relativi al controllo app per l'accesso condizionale.

Per abilitare la barra degli strumenti di visualizzazione Amministrazione per utenti amministratori specifici, è prima necessario aggiungere amministratori all'elenco di onboarding/manutenzione dell'app.

  1. Nella barra dei menu di Defender per il cloud App selezionare l'ingranaggio settings icon 4 delle impostazioni e selezionare Impostazioni.

  2. In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.

  3. Immettere il nome dell'entità utente o l'indirizzo di posta elettronica per gli utenti amministratori che eseguiranno l'onboarding dell'app.

  4. Selezionare la casella Abilita questi utenti per ignorare il controllo app per l'accesso condizionale dall'interno di una sessione con proxy.

  5. Selezionare Salva.

    App onboarding/maintenance settings.

Quando questi utenti avviano una sessione di un'applicazione, sarà disponibile la barra degli strumenti Amministrazione Visualizza.

Ignorare la sessione proxy

Se si ha difficoltà ad accedere o caricare l'applicazione e si vuole verificare se il problema riguarda il proxy di accesso condizionale, è possibile usare il pulsante Ignora sessione nella barra degli strumenti di Amministrazione Visualizza. Verrà visualizzato per gli utenti che hanno abilitato la barra degli strumenti Amministrazione Visualizza.

Dopo aver selezionato Ignora sessione, l'applicazione verrà eseguita senza il proxy di accesso condizionale.

Bypass session.

È possibile verificare che la sessione venga ignorata notando che l'URL non è suffisso.

Nella sessione successiva dell'applicazione verrà usato il proxy di accesso condizionale.

Registrazione della sessione

È possibile aiutare l'analisi della causa radice dei problemi fornendo registrazioni di sessione ai tecnici del supporto Tecnico Microsoft. Per registrare una sessione, è necessario abilitare la barra degli strumenti Amministrazione Visualizza.

Nota

Tutti i dati personali vengono rimossi dalle registrazioni.

Per registrare una sessione, seguire questa procedura:

  1. Nella barra degli strumenti Amministrazione Visualizza selezionare Registra sessione.

    Select Record session.

  2. Dopo aver selezionato Registra sessione, accettare i termini selezionando Continua nella finestra successiva:

    Select continue to accept.

  3. È anche possibile avviare la registrazione durante l'accesso all'applicazione. A tale scopo, selezionare Registra sessione quando viene visualizzata questa finestra:

    Select Record session from window.

  4. Accedere all'applicazione per avviare la simulazione dello scenario.

  5. Al termine della simulazione dello scenario, selezionare Arresta registrazione nella barra degli strumenti Amministrazione Visualizza.

    Select Stop recording.

  6. Al termine della registrazione, è possibile visualizzare le sessioni registrate selezionando Registrazioni di sessione nella barra degli strumenti Amministrazione Visualizza. Verrà visualizzato un elenco di sessioni registrate delle 48 ore precedenti.

    List of session recordings.

  7. Ogni sessione registrata può essere scaricata o eliminata.

    Download or delete recording.

Problemi riscontrati dagli utenti finali

Questa sezione è destinata agli utenti finali che usano app protette da app Defender per il cloud e consente di identificare situazioni comuni che possono verificarsi nelle aree seguenti:

La pagina di monitoraggio degli utenti non viene visualizzata

Quando si instrada un utente tramite le app di Defender per il cloud, è possibile notificare all'utente che verrà monitorata la sessione. Per impostazione predefinita, la pagina di monitoraggio utente è abilitata.

Procedure consigliate

  1. Nella barra dei menu di Defender per il cloud App fare clic sull'ingranaggio delle impostazioni e quindi selezionare Impostazioni.

  2. In Controllo app per l'accesso condizionale selezionare Monitoraggio utenti. Questa pagina mostra le opzioni di monitoraggio degli utenti disponibili in app Defender per il cloud.

    Screenshot showing user monitoring options.

  3. Verificare che sia selezionata l'opzione Notifica agli utenti che l'attività è in corso di monitoraggio .

  4. Scegliere se usare il messaggio predefinito o specificare un messaggio personalizzato.

    Tipo di messaggio Dettagli
    Predefinito Intestazione:
    L'accesso a [Nome app verrà visualizzato qui] viene monitorato
    Corpo:
    Per una maggiore sicurezza, l'organizzazione consente l'accesso a [Nome app verrà visualizzato qui] in modalità di monitoraggio. L'accesso è disponibile solo da un Web browser.
    Personalizzato Intestazione:
    Usare questa casella per specificare un'intestazione personalizzata per informare gli utenti che vengono monitorati.
    Corpo:
    Utilizzare questa casella per aggiungere altre informazioni personalizzate per l'utente, ad esempio chi contattare con domande e supporta gli input seguenti: testo normale, rtf, collegamenti ipertestuali.
  5. Fare clic su Anteprima per verificare la pagina di monitoraggio utente visualizzata prima di accedere a un'app.

  6. Fare clic su Salva.

Non è possibile accedere all'app da un provider di identità non Microsoft

Se un utente finale riceve un errore generale dopo l'accesso a un'app da un provider di identità non Microsoft, convalidare la configurazione non Microsoft IdP.

Procedure consigliate

  1. Nella barra dei menu di Defender per il cloud App fare clic sull'icona delle impostazioni e quindi selezionare Controllo app per l'accesso condizionale.
  2. Nell'elenco delle app, nella riga in cui non è possibile accedere all'app, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica app.
    1. Verificare che il certificato SAML caricato sia corretto
    2. Verificare che nella configurazione dell'app siano stati specificati URL SSO validi
    3. Verificare che gli attributi e i valori nell'app personalizzata si riflettano nelle impostazioni del provider di identità Screenshot showing gather identity providers SAML information page.
  3. Se non riesci ancora ad accedere all'app, apri un ticket di supporto.

Viene visualizzata la pagina Qualcosa di errato

In alcuni casi, durante una sessione con proxy, potrebbe essere visualizzata la pagina Qualcosa di sbagliato . Questa situazione può verificarsi quando:

  1. Un utente accede dopo essere inattiva per un po'
  2. L'aggiornamento del browser e del caricamento della pagina richiede più tempo del previsto
  3. L'app IdP non Microsoft non è configurata correttamente

Procedure consigliate

  1. Se l'utente finale sta tentando di accedere a un'app configurata usando un IdP non Microsoft, vedere Non è possibile accedere all'app da un IdP non Microsoft e lo stato dell'app: Continua l'installazione.
  2. Se l'utente finale ha raggiunto in modo imprevisto questa pagina, eseguire le operazioni seguenti:
    1. Riavviare la sessione del browser
    2. Cancellare cronologia, cookie e cache dal browser

Le azioni degli Appunti o i controlli file non vengono bloccati

La possibilità di bloccare azioni degli Appunti, ad esempio controlli taglia, copia, incolla e file, ad esempio download, caricamento e stampa, è necessaria per impedire scenari di esfiltrazione e infiltrazione dei dati. Questa capacità consente alle aziende di bilanciare la sicurezza e la produttività per gli utenti finali. Se si verificano problemi con queste funzionalità, seguire questa procedura per analizzare il problema.

Nota

Tagliare, copiare e incollare non vengono bloccati per i dati all'interno dello stesso documento Excel. Viene bloccata solo la copia in percorsi esterni.

Procedure consigliate

Se la sessione viene inoltrata tramite proxy, seguire questa procedura per verificare i criteri:

  1. In Defender per il cloud App, in Analisi selezionare il log attività.
  2. Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Bloccato.
  3. Verificare che siano presenti attività di file bloccate.
    1. Se è presente un'attività, espandere il pannello attività facendo clic sull'attività
    2. Nella scheda Generale del pannello attività fare clic sul collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.
    3. Se i criteri non vengono visualizzati, vedere Creazione di criteri di accesso e sessione.
    4. Se viene visualizzato Accesso bloccato/consentito a causa del comportamento predefinito, questo indica che il sistema è inattivo e il comportamento predefinito è stato applicato.
      1. Per modificare il comportamento predefinito, nella barra dei menu di Defender per il cloud App fare clic sull'icona delle impostazioni e selezionare Impostazioni. In Controllo app per l'accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca l'accesso.
      2. Passare a e monitorare le notifiche relative ai https://status.cloudappsecurity.com/ tempi di inattività del sistema.
  4. Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.

I download non vengono protetti

In qualità di utente finale, potrebbe essere necessario scaricare dati sensibili in un dispositivo non gestito. In questi scenari è possibile proteggere i documenti con Microsoft Information Protection. Se l'utente finale non è riuscito a crittografare correttamente il documento, seguire questa procedura per analizzare il problema.

Procedure consigliate

  1. In Defender per il cloud App, in Analisi selezionare il log attività.
  2. Usare il filtro avanzato, selezionare Azione applicata e impostarne il valore su Protetto.
  3. Verificare che siano presenti attività di file bloccate.
    1. Se è presente un'attività, espandere il pannello attività facendo clic sull'attività
    2. Nella scheda Generale del pannello attività fare clic sul collegamento Criteri corrispondenti per verificare che il criterio applicato sia presente.
    3. Se i criteri non vengono visualizzati, vedere Creazione di criteri di accesso e sessione.
    4. Se viene visualizzato accesso bloccato/consentito a causa del comportamento predefinito, questo indica che il sistema era inattivo e il comportamento predefinito è stato applicato.
      1. Per modificare il comportamento predefinito, in Defender per il cloud App, nella barra dei menu fare clic sull'ingranaggio delle impostazioni e quindi selezionare Impostazioni. Quindi in Controllo app di accesso condizionale selezionare Comportamento predefinito e impostare il comportamento predefinito su Consenti o Blocca accesso.
      2. Passare a e monitorare le notifiche relative ai https://status.cloudappsecurity.com/ tempi di inattività del sistema.
    5. Se si protegge il file con un'etichetta AIP o autorizzazioni personalizzate, nella descrizione attività assicurarsi che l'estensione del file sia uno dei tipi di file supportati seguenti:
      • Word: docm, docx, dotm, dotx
      • Excel: xlam, xlsm, xlsx, xltx
      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
      • PDF* se l'etichettatura unificata è abilitata
    • Se il tipo di file non è supportato, nei criteri di sessione è possibile selezionare Blocca il download di qualsiasi file non supportato dalla protezione nativa o in cui la protezione nativa non riesce.
  4. Se non è ancora possibile visualizzare l'attività bloccata, aprire un ticket di supporto.

Tutti i proxy che gli URL di suffisso sono soggetti a perdita di contesto, un problema in cui l'accesso a un collegamento perde il percorso completo del collegamento e in genere si trova nella home page dell'app. Defender per il cloud Apps è posizionato in modo univoco per risolvere questa limitazione e risolvere la perdita di contesto partner con i fornitori Microsoft e non Microsoft.

Se la modifica dei criteri globali non risolve il problema, è possibile risolvere i problemi di perdita del contesto come indicato di seguito:

  1. Passare a un URL in cui si verifica la perdita di contesto.
  2. Prendere nota del dominio URL suffisso, incluso il suffisso aggiunto da Defender per il cloud Apps. Ad esempio: https://www.yammer.com.mcas.ms.
  3. Copiare il percorso dall'URL originale. Ad esempio, se l'URL originale era https://www.yammer.com/organization/threads/threadnumber, copiare /organization/threads/threadnumber.
  4. Aggiungere il percorso copiato al dominio suffisso. Ad esempio: https://www.yammer.com.mcas.ms/organization/threads/threadnumber.
  5. Passare al nuovo URL suffisso.

Per le app che riscontrano una perdita di contesto, inviare un ticket di supporto. Si lavorerà con ogni provider di app direttamente per risolvere questi problemi.

Il blocco dei download causa il blocco delle anteprime PDF

Occasionalmente durante l'anteprima o la stampa di file PDF, le app avviano un download del file. In questo modo, le app Defender per il cloud intervenire per assicurarsi che il download sia bloccato e che i dati non vengano rilevati dall'ambiente. Ad esempio, se è stato creato un criterio di sessione per bloccare i download per Outlook Accesso Web (OWA), è possibile bloccare l'anteprima o la stampa di file PDF, con un messaggio simile al seguente:

Blocked download

Per consentire l'anteprima, un amministratore di Exchange deve eseguire la procedura seguente:

  1. Scaricare il modulo di PowerShell Exchange Online.

  2. Connessione al modulo usando i comandi descritti in Connessione per Exchange Online PowerShell

  3. Dopo aver eseguito la connessione al Exchange Online PowerShell, usare il cmdlet Set-OwaMailboxPolicy per aggiornare i parametri nei criteri:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Nota

    Il criterio OwaMailboxPolicy-Default è il nome predefinito dei criteri OWA in Exchange Online. Alcuni clienti potrebbero aver distribuito un criterio OWA personalizzato o creato con un nome diverso. Se sono presenti più criteri OWA, possono essere applicati a utenti specifici. È quindi necessario aggiornarli anche per avere una copertura completa.

  4. Dopo aver impostato questi parametri, eseguire un test su OWA con un file PDF e un criterio di sessione configurato per bloccare i download. L'opzione Download deve essere rimossa dall'elenco a discesa e è possibile visualizzare in anteprima il file.

    PDF preview not blocked

Viene visualizzato un avviso del sito simile

Gli attori malintenzionati possono creare URL simili agli URL di altri siti per rappresentare e ingannare gli utenti a credere di passare a un altro sito. Alcuni browser tentano di rilevare questo comportamento e avvisano gli utenti prima di accedere all'URL o bloccare l'accesso. In alcuni casi rari, gli utenti sotto il controllo sessione riceveranno un messaggio dal browser che indica l'accesso sospetto al sito. Il motivo per questo è il browser considera il dominio suffisso (ad esempio.: .mcas.ms) come sospetto.

In Microsoft Edge:

Edge similar site warning.

In Chrome:

Chrome similar site warning.

Se si riceve un messaggio simile al seguente, contattare il supporto tecnico di Microsoft, che lo risolverà con il fornitore del browser pertinente.

Altre considerazioni

Durante la risoluzione dei problemi delle app, esistono alcuni elementi aggiuntivi da considerare.

  • Supporto dei controlli di sessione per i browser moderni

    Defender per il cloud Controlli sessione app ora include il supporto per il nuovo browser Microsoft Edge basato su Chromium. Mentre si continuerà a supportare le versioni più recenti di Internet Explorer e la versione legacy di Microsoft Edge, il supporto sarà limitato e si consiglia di usare il nuovo browser Microsoft Edge.

  • Accesso doppio

    Un doppio account di accesso si verifica a causa dell'uso presunto di un nonce, un token crittografico usato dalle app per impedire attacchi di riproduzione. Per impostazione predefinita, le app Defender per il cloud presuppongono che un'app usi un nonce. Se si è certi che l'app non usi un nonce, è possibile disabilitare questa modifica modificando l'app in app Defender per il cloud e il problema verrà risolto. Per i passaggi per disabilitare il nonce, vedere Accesso lento.

    Se l'app usa un nonce e questa funzionalità non può essere disabilitata, il secondo account di accesso può essere trasparente agli utenti oppure potrebbe essere richiesto di accedere di nuovo.