Solução de problemas para controles de acesso e sessão para usuário administrador

Este artigo oferece Instruções aos administradores do Microsoft Defender para Aplicativos de Nuvem sobre como investigar e solucionar problemas comuns de acesso e controle de sessão.

Observação

Qualquer solução de problemas relacionada à funcionalidade de proxy só é relevante para sessões que não sejam configuradas para proteção no navegador com o Microsoft Edge.

Verificar os requisitos mínimos

Antes de iniciar a solução de problemas, verifique se seu ambiente atende aos seguintes requisitos gerais mínimos para controles de acesso e sessão.

Requisito	Descrição
Licenciamento	Verifique se você tem uma licença válida para o Microsoft Defender para Aplicativos de Nuvem.
SSO (Logon único)	Os aplicativos devem ser configurados com uma das soluções de SSO compatíveis: - Microsoft Entra ID usando SAML 2.0 ou OpenID Connect 2.0 - IdP não Microsoft usando SAML 2.0
Suporte ao navegador	Os controles de sessão estão disponíveis para sessões baseadas em navegador nas versões mais recentes dos seguintes navegadores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari A proteção no navegador do Microsoft Edge também tem requisitos específicos, incluindo o usuário conectado com seu perfil de trabalho. Para obter mais informações, consulte Requisitos de proteção no navegador.
Tempo de inatividade	O Defender para Aplicativos de Nuvem permite que você defina o comportamento padrão a ser aplicado se houver uma interrupção do serviço, como um componente que não está funcionando corretamente. Por exemplo, quando os controles de política normais não podem ser impostos, é possível optar por proteger (bloquear) ou ignorar (permitir) que os usuários executem ações em conteúdo potencialmente confidencial. Para configurar o comportamento padrão durante o tempo de inatividade do sistema, no Microsoft Defender XDR, vá para Configurações>Controle de Aplicativo de Acesso Condicional>Comportamento padrão>Permitir ou Bloquear acesso.

Requisitos de proteção no navegador

Se você estiver usando a proteção no navegador com o Microsoft Edge e ainda estiver sendo atendido por um proxy reverso, verifique se atende aos seguintes requisitos adicionais:

• O recurso está ativado nas configurações do Defender XDR. Para obter mais informações, consulte Definir as configurações de proteção no navegador.

• Todas as políticas pelas quais o usuário é coberto são compatíveis com o Microsoft Edge for Business. Se um usuário for atendido por outra política que não seja compatíveis com o Microsoft Edge for Business, ele sempre será atendido pelo proxy reverso. Para obter mais informações, consulte Requisitos de proteção no navegador.

• Você está usando uma plataforma compatível, incluindo um sistema operacional, uma plataforma de identidade e uma versão do Edge compatíveis. Para obter mais informações, consulte Requisitos de proteção no navegador.

Referência de solução de problemas para administradores

Use a seguinte tabela para localizar o problema que você está tentando solucionar:

Tipo de problema	Problemas
Problemas de condição de rede	Erros de rede ao navegar para uma página do navegador Inícios de sessão lentos Mais considerações sobre as condições de rede
Problemas de identificação de dispositivo	Dispositivos em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra identificados incorretamente. Os certificados de cliente não estão sendo solicitados quando esperado Os certificados de cliente não estão sendo solicitados quando esperado Os certificados de cliente são solicitados a cada início de sessão Mais considerações sobre identificação do dispositivo
Problemas ao integrar um aplicativo	O aplicativo não é exibido na página de aplicativos Controle de Aplicativos de Acesso Condicional Status do aplicativo: continuar a instalaçãoNão é possível configurar controles para aplicativos nativos O aplicativo não foi reconhecido na página exibida A opção Solicitar controle de sessão é exibida Mais considerações sobre aplicativos de integração
Problemas ao criar políticas de acesso e sessão	Em Políticas de Acesso Condicional, não é possível ver a opção Controle de Aplicativos de Acesso Condicional Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o Controle de Aplicativos de Acesso Condicional Não é possível criar políticas de sessão para um aplicativo Não é possível escolher Método de inspeção: Serviço de classificação de dados Não é possível escolher Ação: Proteger Mais considerações sobre aplicativos de integração
Diagnosticar e solucionar problemas com a barra de ferramentas Modo de Exibição do Administrador	Ignorar sessão de proxy Gravar uma sessão

Problemas de condição de rede

Problemas comuns de condição de rede que é possível encontrar incluem:

• Erros de rede ao navegar para uma página do navegador
• Entrada lenta
• Considerações extras

Erros de rede ao navegar para uma página do navegador

Quando você configura pela primeira vez o acesso ao Defender para Aplicativos de Nuvem e os controles de sessão para um aplicativo, erros de rede comuns que podem surgir incluem: Este site não é seguro e Não há conexão de internet. Essas mensagens podem indicar um erro geral de configuração da rede.

Etapas recomendadas

1. Configure seu firewall para funcionar com o Defender para Aplicativos de Nuvem usando os endereços IP do Azure e nomes DNS relevantes para seu ambiente.

   1. Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para seu data center do Defender para Aplicativos de Nuvem.
   2. Reinicie o dispositivo e a sessão do navegador
   3. Verifique se o logon está funcionando conforme o esperado

2. Habilite o TLS 1.2 nas opções de internet do seu navegador. Por exemplo:

   Navegador	Etapas
   Microsoft Internet Explorer	1. Abra o Internet Explorer 2. Selecione a guia Ferramentas>Opções da Internet>Avançado 3. Em Segurança, selecione TLS 1.2 4. Selecione Aplicar e, em seguida, selecione OK 5. Reinicie seu navegador e verifique se é possível acessar o aplicativo
   Microsoft Edge / Edge Chromium	1. Abra a pesquisa na barra de tarefas e procure por "Opções da Internet" 2. Selecione Opções da Internet 3. Em Segurança, selecione TLS 1.2 4. Selecione Aplicar e, em seguida, selecione OK 5. Reinicie seu navegador e verifique se você pode acessar o aplicativo
   Google Chrome	1. Abra o Google Chrome 2. No canto superior direito, selecione Mais (3 pontos verticais) >Configurações 3. Na parte inferior, selecione Avançado 4. Em Sistema, selecione Abrir configurações de proxy 5. Na guia Avançado, em Segurança, selecione TLS 1.2 6. Selecione OK 7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
   Mozilla Firefox	1. Abra o Mozilla Firefox 2. Na barra de endereços, procure por "about:config" 3. Na caixa Pesquisar, pesquise por "TLS" 4. Clique duas vezes na entrada para security.tls.version.min 5. Defina o valor inteiro como 3 para forçar o TLS 1.2 como a versão mínima necessária 6. Selecione Salvar (marca de seleção à direita da caixa de valor) 7. Reinicie o navegador e verifique se você consegue acessar o aplicativo
   Safari	Se estiver a utilizar o Safari versão 7 ou superior, o TLS 1.2 será ativado automaticamente

O Defender para Aplicativos de Nuvem usa protocolo TLS (protocolos 1.2+ para fornecer a melhor criptografia da categoria).

• Aplicativos cliente nativos e navegadores que não oferecem suporte ao TLS 1.2+ não são acessíveis quando configurados com controle de sessão.
• Os aplicativos SaaS que usam TLS 1.1 ou inferiores serão exibidos no navegador como se estivessem usando o TLS 1.2+ quando configurados com o Defender para Aplicativos de Nuvem.

Dica

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, oferecemos suporte às últimas versões mais recentes do Microsoft Edge, Google Chrome, Mozilla Firefox ou Apple Safari. Talvez você queira bloquear ou permitir o acesso especificamente a aplicativos móveis ou de desktop.

Inícios de sessão lentos

Encadeamento de proxy e manipulação de nonce são alguns dos problemas comuns que podem resultar em desempenho de início de sessão lento.

Etapas recomendadas

Configure seu ambiente para remover fatores que possam estar causando lentidão durante o início de sessão. Por exemplo, é possível ter firewalls ou encadeamento de proxy de encaminhamento configurados, o que conecta dois ou mais servidores proxy para navegar até a página pretendida. Também é possível ter outros fatores externos afetando a lentidão.

1. Identifique se o encadeamento de proxy está ocorrendo em seu ambiente.
2. Remova todos os proxies de encaminhamento sempre que possível.

Alguns aplicativos usam um hash nonce durante a autenticação para evitar ataques de reprodução. Por padrão, o Defender para Aplicativos de Nuvem pressupõe que um aplicativo usa um nonce. Se o aplicativo com o qual você está trabalhando não usar nonce, desative o nonce-handling para este aplicativo no Defender para Aplicativos de Nuvem:

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.
2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
3. Na lista de aplicativos, na linha na qual o aplicativo que você está configurando aparece, selecione os três pontos no final da linha e selecione Editar para o seu aplicativo.
4. Selecione Nonce-handling para expandir a seção e, em seguida, desmarque Habilitar tratamento de Nonce.
5. Saia do aplicativo e feche todas as sessões do navegador.
6. Reinicie o navegador e entre no aplicativo novamente. Verifique se iniciar sessão está funcionando conforme o esperado.

Mais considerações sobre as condições de rede

Ao solucionar problemas de condições de rede, considere também as seguintes observações sobre o proxy do Defender para Aplicativos de Nuvem:

• Verifique se sua sessão está sendo roteada para outro data center: o Defender para Aplicativos de Nuvem usa os Data Centers do Azure em todo o mundo para otimizar o desempenho por meio da geolocalização.

  Isso significa que a sessão de um usuário pode ser hospedada fora de uma região, dependendo dos padrões de tráfego e de sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

• Desempenho do proxy: derivar uma linha de base de desempenho depende de muitos fatores fora do proxy do Defender para Aplicativos de Nuvem, como:

  • Que outros proxies ou gateways ficam em série com este proxy
  • De onde vem o usuário
  • Onde reside o recurso de destino
  • Solicitações específicas na página

  Em geral, qualquer proxy adiciona latência. As vantagens do proxy do Defender para Aplicativos de Nuvem são:

  • Usando a disponibilidade global dos controladores de domínio do Azure para geolocalizar usuários para o nó mais próximo e reduzir a distância de ida e volta. Os controladores de domínio do Azure podem geolocalizar em uma escala que poucos serviços em todo o mundo possuem.

  • Usando a integração com o Microsoft Entra Conditional Access para encaminhar apenas as sessões que você deseja fazer proxy para o nosso serviço, em vez de todos os usuários em todas as situações.

Problemas de identificação de dispositivo

O Defender para Aplicativos de Nuvem oferece as opções a seguir para identificar o estado de gerenciamento de um dispositivo.

• Conformidade do Microsoft Intune
• Ingressado no Domínio do Microsoft Entra híbrido
• Certificados do cliente

Para obter mais informações, consulte Dispositivos gerenciados por identidade com Controle de Aplicativos de Acesso Condicional.

Problemas comuns de identificação de dispositivo que é possível encontrar incluem:

• Dispositivos em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra identificados incorretamente.
• Os certificados de cliente não estão sendo solicitados quando esperado
• Os certificados de cliente são solicitados a cada entrada
• Considerações extras

Dispositivos em conformidade com o Intune ou dispositivos ingressados de forma híbrida no Microsoft Entra identificados incorretamente‭.

O Acesso Condicional do Microsoft Entra permite que as informações de um dispositivo em conformidade com o Intune e ingressado de forma híbrida no Microsoft Entra sejam passadas diretamente para o Defender para Aplicativos de Nuvem. No Defender para Aplicativos de Nuvem, use o estado do dispositivo como um filtro para políticas de acesso ou sessão.

Para obter mais detalhes, consulte Introdução ao gerenciamento de dispositivos no Microsoft Entra ID.

Etapas recomendadas

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

2. Em Controle de Aplicativos de Acesso Condicional, selecione Identificação do Dispositivo. Esta página mostra as opções de identificação de dispositivo disponíveis no Defender para Aplicativos de Nuvem.

3. Para identificação de dispositivo compatível com Intune e Identificação de ingresso híbrido do Microsoft Entra, respectivamente, selecione Exibir configuração e verifique se os serviços estão configurados. Os serviços são sincronizados automaticamente a partir do Microsoft Entra ID e do Intune, respectivamente.

4. Crie uma política de acesso ou sessão com o filtro Rótulo de Dispositivo igual ao ingressado no Azure AD híbrido, compatível com o Intune ou ambos.

5. Em um navegador, entre em um dispositivo que seja compatível com o Microsoft Entra híbrido ou com o Intune com base no seu filtro de política.

6. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender para Aplicativos em Nuvem, na página Log de atividades, filtre o Rótulo de dispositivo igual ao ingressado no Azure AD híbrido, em conformidade com o Intune ou ambos com base em seus filtros de política.

7. Se as atividades não estiverem sendo preenchidas no log de atividades do Defender para Aplicativos de Nuvem, vá para Microsoft Entra ID e execute as seguintes etapas:

   1. Em Monitoramento>Entradas, verifique se há atividades de entrada nos logs.

   2. Selecione a entrada de log relevante para o dispositivo no qual você se conectou.

   3. No painel Detalhes, na guia Informações do dispositivo, verifique se o dispositivo é Gerenciado (adicionado ao Azure Active Directory híbrido) ou Em conformidade (em conformidade com o Intune).

      Se você não puder verificar o estado, tente outra entrada de log ou verifique se os dados do dispositivo estão configurados corretamente no Microsoft Entra ID.

   4. Para o Acesso Condicional, alguns navegadores podem exigir configuração extra, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de acesso condicional.

   5. Se você ainda não vir as informações do dispositivo na página de Entrada, abra um tíquete de suporte para o Microsoft Entra ID.

Os certificados de cliente não estão sendo solicitados quando esperado

O mecanismo de identificação de dispositivos pode solicitar autenticação de dispositivos relevantes usando certificados do cliente. É possível carregar um certificado de autoridade de certificação (CA) raiz ou intermediário X.509, formatado no formato de certificado PEM.

Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados do cliente apresentados durante uma sessão. Para obter mais informações, consulte Verificar o gerenciamento de dispositivos sem o Microsoft Entra.

Etapas recomendadas

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

2. Em Controle de Aplicativos de Acesso Condicional, selecione Identificação do Dispositivo. Esta página mostra as opções de identificação de dispositivo disponíveis com o Defender para Aplicativos de Nuvem.

3. Verifique se você carregou um certificado de autoridade de certificação raiz X.509 ou AC intermediária. Você deve carregar o certificado de autoridade de certificação usado para assinar para sua autoridade de certificação.

4. Crie uma política de acesso ou sessão com o filtro Rótulo do dispositivo igual ao certificado de cliente válido.

5. Certifique-se de que o certificado do cliente seja:

   • Implantado usando o formato de arquivo PKCS #12, normalmente uma extensão de arquivo .p12 ou .pfx
   • Instalado no repositório do usuário, não no repositório do dispositivo, do dispositivo que você está usando para teste

6. Reinicie a sessão do navegador.

7. Ao fazer login no aplicativo protegido:

   • Verifique se você foi redirecionado para a seguinte sintaxe de URL: <https://*.managed.access-control.cas.ms/aad_login>
   • Se estiver usando o iOS, certifique-se de que está usando o navegador Safari.
   • Se você estiver usando o Firefox, também deverá adicionar o certificado ao próprio repositório de certificados do Firefox. Todos os outros navegadores usam o mesmo repositório de certificados padrão.

8. Valide se o certificado do cliente é solicitado no navegador.

   Se não aparecer, tente um navegador diferente. A maioria dos principais navegadores oferece suporte à execução de uma verificação de certificado do cliente. No entanto, os aplicativos da área de trabalho e móveis geralmente usam navegadores internos que podem não dar suporte a essa verificação e, portanto, afetam a autenticação desses aplicativos.

9. Verifique se as atividades desses dispositivos estão preenchendo o log. No Defender para Aplicativos de Nuvem, na página log de atividades, adicione um filtro na Tag do dispositivo igual ao certificado do cliente válido.

10. Se você ainda não vir o prompt, abra um tíquete de suporte e inclua as seguintes informações:

    • Os detalhes do navegador ou aplicativo nativo onde você teve o problema
    • A versão do sistema operacional, como iOS/Android/Windows 10
    • Mencione se o prompt está funcionando no Microsoft Edge Chromium

Os certificados de cliente são solicitados a cada entrada

Se você estiver enfrentando o certificado do cliente aparecendo depois de abrir uma nova guia, isso pode ser devido às configurações ocultas nas Opções da Internet. Verifique suas configurações no navegador. Por exemplo:

No Microsoft Internet Explorer

1. Abra o Internet Explorer, selecione Ferramentas>Opções da Internet>Avançadas.
2. Em Segurança, selecione Não solicitar seleção de Certificado do Cliente quando existir apenas um certificado> Selecione Aplicar>OK.
3. Reinicie seu navegador e verifique se é possível acessar o aplicativo sem solicitações extras.

Microsoft Edge / Edge Chromium:

1. Abra a pesquisa na barra de tarefas e procure Opções da Internet.
2. Selecione Opções da Internet>Segurança>Intranet local>Nível personalizado.
3. Em Diversos>Não solicitar a seleção de Certificado do Cliente quando houver apenas um certificado, selecione Desabilitar.
4. Selecione OK>Aplicar>OK.
5. Reinicie seu navegador e verifique se é possível acessar o aplicativo sem solicitações extras.

Mais considerações sobre identificação do dispositivo

Ao solucionar problemas de identificação de dispositivo, é possível exigir a revogação de certificados para certificados de cliente.

Os certificados revogados pela autoridade de certificação não são mais confiáveis. A seleção dessa opção requer que todos os certificados passem pelo protocolo CRL. Se o certificado do cliente não contiver um ponto de extremidade de CRL, não será possível se conectar a partir do dispositivo gerenciado.

Problemas ao integrar um aplicativo

É possível integrar os seguintes tipos de aplicativos para controles de acesso e sessão:

• Aplicativos de catálogo: aplicativos que vêm com controles de sessão prontos para uso, conforme indicado pelo rótulo de controle de sessão.

• Aplicativos personalizados: aplicativos personalizados de linha de negócios (LOB) ou locais podem ser integrados a controles de sessão por um administrador.

Por exemplo:

Ao integrar um aplicativo, certifique-se de ter seguido os guias de implantação de proxy cuidadosamente. Para saber mais, veja:

1. Implantar aplicativos de catálogo com controles de sessão
2. Implantar aplicativos LOB personalizados, aplicativos SaaS sem recursos e host de aplicativos locais por meio do proxy de aplicativo do Microsoft Entra com controles de sessão

Os cenários comuns que é possível encontrar ao integrar um aplicativo incluem:

• O aplicativo não é exibido na página Aplicativos de Controle de Aplicativos de Acesso Condicional
• Status do aplicativo: continuar a instalação
• Não consigo configurar controles para o aplicativo nativo
• O aplicativo não foi reconhecido na página exibida
• A opção Solicitar controle de sessão é exibida
• Considerações extras

O aplicativo não é exibido na página de aplicativos Controle de Aplicativos de Acesso Condicional.

Ao integrar um aplicativo ao Controle de Aplicativo de Acesso Condicional, a etapa final de implantação é fazer com que o usuário final navegue até o aplicativo. Execute as etapas nesta seção se o aplicativo não estiver aparecendo conforme o esperado.

Etapas recomendadas

1. Verifique se seu aplicativo atende aos seguintes pré-requisitos do aplicativo de Acesso Condicional, dependendo do seu provedor de identidade:

   • Microsoft Entra ID:

     1. Verifique se você tem uma licença válida para o Microsoft Entra ID P1 além de uma licença para o Defender para Aplicativos de Nuvem.
     2. Verifique se o aplicativo usa o SAML 2.0 ou o protocolo OpenID Connect.
     3. Certifique-se de que o aplicativo SSO no Microsoft Entra ID.

   • Não Microsoft:

     1. Verifique se você tem uma licença válida para o Defender para Aplicativos de Nuvem.
     2. Crie um aplicativo duplicado.
     3. Verifique se o aplicativo usa o protocolo SAML.
     4. Valide se você integrou totalmente o aplicativo e se o status do aplicativo é Conectado.

2. Em sua política do Microsoft Entra, em Sessão, verifique se a sessão é forçada a encaminhar para o Defender para Aplicativos de Nuvem. Isso, por sua vez, permite que o aplicativo apareça na página de aplicativos de Controle de Aplicativos de Acesso Condicional, da seguinte maneira:

   • Controle de Aplicativos de Acesso Condicional está slecionado.
   • Na lista suspensa de políticas internas, Monitorar somente está selecionado

3. Certifique-se de navegar para o aplicativo em uma nova sessão do navegador usando um novo modo de navegação anônima ou entrando novamente.

Status do aplicativo: Continuar a instalação

O status de um aplicativo pode variar e pode incluir Continuar Configuração, Conectado ou Sem Atividades.

Para aplicativos conectados por meio de provedores de identidade (IdP) que não sejam da Microsoft, se a configuração não estiver concluída, ao acessar o aplicativo, você verá uma página com o status de Continuar Instalação. Use as etapas a seguir para concluir a configuração.

Etapas recomendadas

1. Selecione Continuar instalação.

2. Percorra o guia de implantação e verifique se você concluiu todas as etapas. Você deve prestar uma atenção especial nas anotações a seguir:

   1. Certifique-se de criar um novo aplicativo SAML personalizado. Você precisa desse aplicativo para alterar as URLs e os atributos SAML que podem não estar disponíveis nos aplicativos de galeria.
   2. Se o seu provedor de identidade não permitir a reutilização do mesmo identificador, também conhecido como ID da Entidade ou público-alvo, altere o identificador do aplicativo original.

Não consigo configurar controles para o aplicativo nativo

Os aplicativos nativos podem ser detectados heuristicamente e é possível usar políticas de acesso para monitorá-los ou bloqueá-los. Use as etapas a seguir para configurar controles para aplicativos nativos.

Etapas recomendadas

1. Em uma política de acesso, adicione um filtro de Aplicativo cliente e defina-o como Móvel e desktop.

2. Em Ações, selecione Bloquear.

3. Opcionalmente, personalize a mensagem de bloqueio que os usuários recebem quando não conseguem baixar arquivos. Por exemplo, personalize esta mensagem para Você deve usar um navegador da Web para acessar este aplicativo.

4. Teste e valide se o controle está funcionando conforme o esperado.

O aplicativo não foi reconhecido na página exibida

O Defender para Aplicativos de Nuvem pode reconhecer mais de 31.000 aplicativos por meio do catálogo de aplicativos na nuvem.

Se você estiver usando um aplicativo personalizado configurado por meio do Microsoft Entra SSO e não for um dos aplicativos compatíveis, você se deparará com uma página Aplicativo não reconhecido. Para resolver o problema, você deve configurar o aplicativo no Controle de Aplicativos de Acesso Condicional.

Etapas recomendadas

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

2. Na barra de notificação, selecione Exibir novos aplicativos.

3. Na lista de novos aplicativos, localize o aplicativo que você está integrando, selecione o sinal + e selecione Adicionar.

   1. Selecione se o aplicativo é personalizado ou padrão.
   2. Continue no assistente, verifique se os Domínios definidos pelo usuário especificados estão corretos para o aplicativo que você está configurando.

4. Verifique se o aplicativo está exibido na página de aplicativos Controle de Aplicativos de Acesso Condicional.

A opção Solicitar controle de sessão é exibida

Depois de adicionar um aplicativo, será possível ver a opção Solicitar controle de sessão. Isso ocorre porque somente aplicativos de catálogo têm controles de sessão prontos para uso. Para qualquer outro aplicativo, você deve passar por um processo de autointegração.

Etapas recomendadas

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

2. Em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

3. Insira o nome da entidade de segurança ou o email dos usuários que integrarão o aplicativo e selecione Salvar.

4. Acesse o aplicativo que você está implantando. A página exibida depende se o aplicativo é reconhecido. Execute uma das seguintes opções, dependendo da página exibida:

   • Não reconhecido. Você verá uma página Aplicativo não reconhecido que solicita que você configure o aplicativo. Execute as seguintes etapas:

     1. Adicione o aplicativo ao Controle de Aplicativos de Acesso Condicional.
     2. Adicione os domínios do aplicativo e, em seguida, retorne ao aplicativo e atualize a página.
     3. Instale os certificados do aplicativo.

   • Reconhecido. Se seu aplicativo for reconhecido, você verá uma página de integração solicitando que você continue o processo de configuração da aplicativos. Para obter mais informações, consulte Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados usando o Microsoft Entra ID.

     Verifique se o aplicativo está configurado com todos os domínios necessários para que o aplicativo funcione corretamente. Para configurar domínios extras, vá para Adicionar os domínios para o aplicativo e retorne à página do aplicativo.

Mais considerações sobre aplicativos de integração

Ao solucionar problemas de aplicativos de integração, lembre-se de que os aplicativos no Controle de Aplicativos de Acesso Condicional não se alinham aos aplicativos do Microsoft Entra.

Os nomes dos aplicativos no Microsoft Entra ID e no Defender para Aplicativos de Nuvem podem diferir com base nas maneiras como os produtos identificam os aplicativos.

• O Defender para Aplicativos de Nuvem identifica aplicativos que usam os domínios do aplicativo e os adiciona ao catálogo de aplicativos de nuvem, onde temos mais de 31.000 aplicativos. Em cada aplicativo, é possível exibir ou adicionar ao subconjunto de domínios.

• Por outro lado, o Microsoft Entra ID identifica aplicativos usando entidades de serviço. Para obter mais informações, confira objetos de aplicativo e entidade de serviço no Microsoft Entra ID.

Na prática, essa diferença significa que selecionar o SharePoint Online no Microsoft Entra ID é equivalente a selecionar aplicativos, como Word Online e Teams, no Defender para Aplicativos de Nuvem, porque todos os aplicativos usam o domínio sharepoint.com.

Problemas ao criar políticas de acesso e sessão

As políticas do Defender para Aplicativos de Nuvem contêm as seguintes políticas configuráveis:

• Políticas de acesso: usadas para monitorar ou bloquear o acesso a aplicativos de navegador, móveis e/ou desktop.
• Políticas de sessão Usado para monitorar, bloquear e executar ações específicas para evitar cenários de infiltração e exfiltração de dados no navegador.

Para usar essas políticas no Defender para Aplicativos de Nuvem, você deve primeiro configurar uma política no Acesso Condicional do Microsoft Entra para estender os controles de sessão:

1. Na política do Microsoft Entra em Controles de Acesso, selecione Sessão>Use Controle de Aplicativos de Acesso Condicional.

2. Selecione uma política interna (Somente monitorar ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Defender para Aplicativos de Nuvem.

3. Escolha Selecionar para continuar.

Os cenários comuns que é possível encontrar ao configurar essas políticas incluem:

• Em Políticas de Acesso Condicional, não é possível ver a opção Controle de Aplicativos de Acesso Condicional
• Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o Controle de Aplicativos de Acesso Condicional
• Não é possível criar políticas de sessão para um aplicativo
• Não é possível escolher Método de inspeção: Serviço de classificação de dados
• Não é possível escolher Ação: Proteger
• Considerações extras

Em Políticas de Acesso Condicional, você não pode ver a opção Controle de Aplicativo de Acesso Condicional

Para encaminhar sessões para o Defender para Aplicativos de Nuvem, as política de acesso condicional do Microsoft Entra devem ser configuradas para incluir controles de sessão do Controle de Aplicativos de Acesso Condicional.

Etapas recomendadas

Se não vir a opção Controle de Aplicativos de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para o Microsoft Entra ID P1 e uma licença válida para o Defender para Aplicativos de Nuvem.

Mensagem de erro ao criar uma política: Você não tem nenhum aplicativo implantado com o Controle de Aplicativos de Acesso Condicional.

Ao criar uma política de acesso ou sessão, é possível ver a seguinte mensagem de erro: Você não tem nenhum aplicativo implantado com o Controle de Aplicativos de Acesso Condicional. Esse erro indica que o aplicativo não foi implantado.

Etapas recomendadas

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

2. Se você vir a mensagem Nenhum aplicativo conectado, use os seguintes guias para implantar aplicativos:

   • Implantar aplicativos de catálogo com controle de sessão habilitado
   • Implantar aplicativos de linha de negócios personalizados, aplicativos SaaS sem recursos e host de aplicativos locais por meio do proxy de aplicativo do Microsoft Entra com controles de sessão.

Se você tiver problemas durante a implantação do aplicativo, consulte Problemas ao integrar um aplicativo.

Não é possível criar políticas de sessão para um aplicativo

Depois de adicionar um aplicativo personalizado, na página Aplicativos de Controle de Aplicativos de Acesso Condicional, será possível ver a opção: Solicitar controle de sessão.

Observação

Os aplicativos de catálogo têm controles de sessão prontos para uso. Para outros aplicativos, você deve passar por um processo de autointegração. Para obter mais informações, consulte Aplicativos pré-integrados.

Etapas recomendadas

1. Implante o aplicativo no controle de sessão. Implantar aplicativos LOB personalizados, consulte Implantar aplicativos SaaS sem recursos e host de aplicativos locais por meio do proxy de aplicativo do Microsoft Entra com controles de sessão.

2. Crie uma política de sessão e selecione o filtro Aplicativo.

3. Verifique se o aplicativo agora está listado na lista suspensa.

Não é possível escolher Método de inspeção: Serviço de classificação de dados

Em políticas de sessão, ao usar o tipo de controle de sessão de Baixar arquivo de controle (com inspeção), é possível usar o método de inspeção Serviço de Classificação de Dados para verificar seus arquivos em tempo real e detectar conteúdo confidencial que corresponda a qualquer um dos critérios configurados.

Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, use as etapas a seguir para investigar o problema.

Etapas recomendadas

1. Verifique se o Tipo de controle de sessão está definido como Controlar download de arquivo (com inspeção).

   Observação

   O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção Download do arquivo de controle (com inspeção).

2. Determine se o recurso Serviço de Classificação de Dados está disponível em sua região:

   • Se o recurso não estiver disponível em sua região, use o método de inspeção DLP integrado.
   • Se o recurso estiver disponível em sua região, mas você ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados, abra um tíquete de suporte.

Não é possível escolher Ação: Proteger

Nas políticas de sessão, ao usar o tipo de controle de sessão Baixar arquivo de controle (com inspeção) além das ações Monitorar e Bloquear, é possível especificar a ação Proteger. Essa ação permite que você permita downloads de arquivos com a opção de criptografar ou aplicar permissões ao arquivo com base em condições, inspeção de conteúdo ou ambas.

Se a ação Proteger não estiver disponível, use as etapas a seguir para investigar o problema.

Etapas recomendadas

1. Se a ação Proteger não estiver disponível ou estiver acinzentada, verifique se você tem a licença P1 Premium da Proteção de Informações do Azure (AIP). Para obter mais informações, consulte Integração da Proteção de Informações do Microsoft Purview.

2. Se a ação Proteger estiver disponível, mas não estiver vendo os rótulos apropriados.

   1. No DDefender para Aplicativos de Nuvem, na barra de menus, selecione o ícone > de configurações Proteção de Informações da Microsoft e verifique se a integração está habilitada.

   2. Para rótulos do Office, no portal AIP, verifique se a opção Rótulo Unificado está selecionada.

Mais considerações sobre aplicativos de integração

Ao solucionar problemas para aplicativos de integração, há algumas coisas extras a serem consideradas.

• Entenda a diferença entre as configurações da política de acesso condicional do Microsoft Entra: "Somente monitor", "Bloquear downloads" e "Usar política personalizada"

  Nas políticas de acesso condicional do Microsoft Entra, você pode configurar os seguintes controles internos do Defender para Aplicativos de Nuvem: Monitorar somente e Bloquear downloads. Essas configurações se aplicam e impõem o recurso de proxy do Defender para Aplicativos de Nuvem para aplicativos na nuvem e condições configuradas no Microsoft Entra ID.

  Para políticas mais complexas, selecione Usar política personalizada, que permite configurar políticas de acesso e sessão no Defender para Aplicativos de Nuvem.

• Compreender a opção de filtro de aplicativo cliente "Mobile and desktop" nas políticas de acesso

  Nas políticas de acesso do Defender para Aplicativos de Nuvem, a menos que o filtro aplicativo do cliente esteja definido como Móvel e Área de Trabalho, a política de acesso resultante se aplica às sessões do browser.

  A razão para isso é evitar o proxy inadvertido de sessões de usuário, o que pode ser um subproduto do uso desse filtro.

Diagnosticar e solucionar problemas com a barra de ferramentas Modo de Exibição do Administrador

A barra de ferramentas Modo de Exibição do Administrador fica na parte inferior da tela e fornece ferramentas para que os usuários administradores diagnostiquem e solucionem problemas com o Controle de Aplicativos de Acesso Condicional.

Para exibir a barra de ferramentas Modo de Exibição de Administrador, você deve adicionar contas de usuário administrador específicas à lista de integração/manutenção de aplicativos nas configurações do Microsoft Defender XDR.

Para adicionar um usuário à lista de integração/manutenção do aplicativo:

1. No Microsoft Defender XDR, selecione Configurações>Aplicativos para nuvem.

2. Role para baixo e, em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

3. Insira o nome principal ou o endereço de email do usuário administrador que você deseja adicionar.

4. Selecione a opção Permitir que esses usuários ignorem o Controle de Aplicativos de Acesso Condicional de dentro de uma sessão por proxy e selecione Salvar.

   Por exemplo:

   

Na próxima vez que um dos usuários listados iniciar uma nova sessão em um aplicativo compatível no qual ele é um administrador, a barra de ferramentas Modo de Exibição do Administrador será exibida na parte inferior do navegador.

Por exemplo, a imagem a seguir mostra a barra de ferramentas Modo de Exibição de Administrador exibida na parte inferior de uma janela do navegador, ao usar o OneNote no navegador:

As seções a seguir descrevem como usar a barra de ferramentas Modo de Exibição do Administrador para testar e solucionar problemas.

Modo de teste

Como usuário administrador, convém testar as próximas correções de bugs de proxy antes que a versão mais recente seja totalmente implementada para todos os locatários. Forneça seus comentários sobre a correção de bug para a equipe de suporte da Microsoft para ajudar a acelerar os ciclos de lançamento.

Quando em modo de teste, apenas os usuários administradores são expostos a alterações fornecidas nas correções de bugs. Não há efeito sobre outros usuários.

• Para ativar o modo de teste, na barra de ferramentas Modo de Exibição do Administrador, selecione Modo de Teste.
• Quando terminar o teste, selecione Finalizar modo de teste para retornar à funcionalidade normal.

Ignorar sessão de proxy

Se você tiver dificuldade para acessar ou carregar seu aplicativo, convém verificar se o problema é com o proxy de acesso condicional executando o aplicativo sem o proxy.

Para ignorar o proxy, na barra de ferramentas Modo de Exibição do Administrador, selecione Ignorar experiência. Confirme se a sessão foi ignorada observando que a URL não é sufixada.

O proxy de acesso condicional é usado novamente na próxima sessão.

Para obter mais informações, consulte Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de nuvem e Proteção no navegador com o Microsoft Edge for Business (versão preliminar).

Gravar uma sessão

Talvez você queira ajudar a análise da causa raiz de um problema enviando uma gravação de sessão para engenheiros de suporte da Microsoft. Use a barra de ferramentas Modo de Exibição do administrador para gravar sua sessão.

Observação

Todos os dados pessoais são removidos das gravações.

Para gravar uma sessão:

1. Use a barra de ferramentas Modo de Exibição, selecione Gravar sessão. Quando solicitado, selecione Continuar para aceitar os termos. Por exemplo:

   

2. Entre no aplicativo, se necessário, para começar a simular a sessão.

3. Quando terminar de gravar o cenário, certifique-se de selecionar Parar gravação na barra de ferramentas Modo de Exibição do Administrador.

Para ver as sessões gravadas:

Depois do fim da gravação, exiba as sessões gravadas selecionando Gravações de sessão na barra de ferramentas do Modo de Exibição de Administração. Uma lista de sessões gravadas das 48 horas anteriores é exibida. Por exemplo:

Para gerenciar suas gravações, selecione um arquivo e, em seguida, selecione Excluir ou Download, conforme necessário. Por exemplo:

Próximas etapas

Para obter mais informações, consulte Solução de problemas de acesso e controles de sessão para usuários finais.