Resolução de problemas com controlos de sessão e acesso
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Este artigo fornece aos administradores orientações sobre como investigar e resolver problemas comuns de acesso e controlo de sessão, como experimentados por administradores e utilizadores finais.
Antes de continuar, certifique-se de que o seu ambiente cumpre os seguintes requisitos gerais mínimos para controlos de acesso e sessão.
- Licenciamento: Certifique-se de que tem uma licençaválida.
- Sign-On única (SSO): As aplicações devem ser configuradas com uma das soluções SSO suportadas.
- Azure Ative Directory (Azure AD) utilizando SAML 2.0 ou OpenID Ligação 2.0
- IdP de terceiros usando SAML 2.0
- Suporte ao navegador: Os controlos de sessão estão disponíveis para sessões baseadas no navegador nestes navegadores suportados: Microsoft Edge (mais recente), Google Chrome (mais recente), Mozilla Firefox (mais recente) ou Apple Safari (mais recente)
- Tempo de inatividade: Cloud App Security permite definir o comportamento padrão a aplicar se houver uma rutura de serviço, tal como um componente que não funcione corretamente. Pode optar por endurecer (bloquear) ou contornar (permitir) que os utilizadores tomem medidas sobre conteúdo potencialmente sensível quando os controlos de política normais não puderem ser aplicados. Este comportamento predefinido durante o tempo de inatividade do sistema pode ser configurado no portal Cloud App Security, da seguinte forma: Definições Comportamento > padrão de controlo de aplicações de acesso condicional > > Permite ou bloqueia o acesso.
Problemas experimentados pelos administradores
Esta secção destina-se a que os administradores configurem controlos de acesso e sessão com Cloud App Security e ajude a identificar situações comuns que possam surgir nas seguintes áreas:
Condições de rede
Problemas comuns de condição de rede que pode encontrar incluem:
Erros de rede ao navegar para uma página de navegador
Quando está a configurar pela primeira vez Cloud App Security controlos de acesso e sessão para uma aplicação, os erros comuns de rede que podem surgir incluem: "Este site não é seguro" e "Não há nenhuma ligação à Internet". Estas mensagens podem indicar um erro geral de configuração da rede.
Passos recomendados
Configure a sua firewall para trabalhar com Cloud App Security utilizando os endereços IP Azure e os nomes DNS relevantes para o seu ambiente.
- Adicione a porta de saída 443 para os seguintes endereços IP e nomes DNS para o seu Cloud App Security data center.
- Reinicie o seu dispositivo e a sua sessão de navegador
- Verifique se o login está funcionando como esperado
Ativar O TLS 1.2 nas opções de internet do seu navegador.
Nota
- Cloud App Security aproveita os protocolos de Segurança da Camada de Transporte (TLS) 1.2+ para fornecer encriptação de melhor classe. Aplicações e navegadores de clientes nativos que não suportem TLS 1.2+ não estarão acessíveis quando configurados com controlo de sessão. No entanto, as aplicações SaaS que utilizam o TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configuradas com Cloud App Security.
- Enquanto os controlos de sessão são construídos para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operativo, nós suportamos Microsoft Edge (mais recentes), Google Chrome (mais recente), Mozilla Firefox (mais recente) ou Apple Safari (mais recente). O acesso a aplicações móveis e desktop também pode ser bloqueado ou permitido.
Browser Passos Microsoft Internet Explorer 1. Abrir Internet Explorer
2. Selecione ferramentas > Opções internet > Guiar aba
3. Em segurança, selecione TLS 1.2
4. Selecione Aplicar e, em seguida, selecione OK
5. Reinicie o seu navegador e verifique se pode aceder à aplicaçãoMicrosoft Edge / Chromium de borda 1. Abrir a pesquisa a partir da barra de tarefas e procurar por "Opções de Internet"
2. Selecione opções de Internet
3. Em segurança, selecione TLS 1.2
4. Selecione Aplicar e, em seguida, selecione OK
5. Reinicie o seu navegador e verifique se pode aceder à aplicaçãoGoogle Chrome 1. Abra o Google Chrome
2. No topo-direito, clique em Mais (3 pontos verticais) > Definições
3. Na parte inferior, clique em Avançado
4. No Sistema, clique em Configurações de procuração abertas
5. No separador Avançado, em Segurança, selecione TLS 1.2
6. Clique EM OK
7. Reinicie o seu navegador e verifique se consegue aceder à aplicaçãoMozilla Firefox 1. Open Mozilla Firefox
2. Na barra de endereços e procure "cerca de:config"
3. Na caixa de pesquisa, procure por "TLS"
4. Clique duas vezes na entrada para security.tls.version.min
5. Desajei o valor inteiro a 3 para forçar o TLS 1.2 como a versão mínima exigida
6. Clique em Guardar (verifique a marca à direita da caixa de valor)
7. Reinicie o seu navegador e verifique se consegue aceder à aplicaçãoSafari Se estiver a utilizar a versão 7 ou superior do Safari, o TLS 1.2 está automaticamente ativado
Login lento
Acorrentação por procuração e o tratamento de nonce são algumas das questões comuns que podem resultar num desempenho lento de login.
Passos recomendados
Configure o seu ambiente para remover a firewall e a corrente de procuração avançada, conectando dois ou mais servidores proxy para navegar para a página pretendida, e outros fatores externos que podem causar lentidão no processo de login.
- Identifique se acorrentar por procuração está a ocorrer no seu ambiente
- Remova proxies adicionais para a frente sempre que possível
Desligue o tratamento não-nce para as suas aplicações que não usam nonce.
Nota
Algumas aplicações utilizam um hash nonce durante a autenticação para evitar ataques de imitação. Por padrão, Cloud App Security assume que uma aplicação usa um nonce. Se a aplicação com a quais está a trabalhar não utilizar nenhumnce, pode desativar o tratamento de nonce para esta aplicação em Cloud App Security.
- Na Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.
- Na lista de aplicações, na linha em que aparece a app que está a configurar, escolha os três pontos no final da linha e, em seguida, escolha a app Editar.
- Clique em nonce-handling para expandir a secção e, em seguida, limpar Ativar o manuseamento do nonce.
- Faça login na aplicação e feche todas as sessões de navegador.
- Reinicie o seu navegador e faça login na aplicação e verifique se o login está a funcionar como esperado.
Considerações adicionais
Embora as condições de resolução de problemas da rede, há algumas coisas adicionais a considerar sobre o Cloud App Security procuração.
Sessão está a ser encaminhada para outro centro de dados
Cloud App Security aproveita os Centros de Dados Azure em todo o mundo para otimizar o desempenho através da geolocalização. Isto significa que a sessão de um utilizador pode ser hospedada fora de uma região, dependendo dos padrões de tráfego e da sua localização. No entanto, para proteger a sua privacidade, nenhum dado de sessão é armazenado nestes centros de dados.
Desempenho proxy
A deriva de uma linha de base de desempenho depende de muitos fatores fora do representante de Cloud App Security, tais como:
- Que outros proxies ou gateways sentam-se em série com este proxy
- De onde vem o utilizador
- Onde reside o recurso-alvo
- Pedidos específicos na página
Em geral, qualquer procuração acrescentará latência. As vantagens do Cloud App Security procuração são:
- Aproveitando a disponibilidade global de controladores de domínio Azure para geolocalizar os utilizadores para o nó mais próximo e reduzir a sua distância de ida e volta, numa escala que poucos serviços em todo o mundo têm.
- Aproveitando a integração com o Azure AD Conditional Access apenas para encaminhar as sessões que pretende recorrer ao nosso serviço, em vez de todos os utilizadores em todas as situações.
Identificação do dispositivo
Cloud App Security fornece as seguintes opções para identificar o estado de gestão de um dispositivo.
- Microsoft Intune conformidade
- Domínio AD Híbrido Azure juntou-se
- Certificados de cliente
Para obter mais informações sobre a identificação do dispositivo, consulte identificação do dispositivo gerido.
Questões comuns de identificação do dispositivo que você pode encontrar incluem
- Dispositivos de ad AD AD intune mal identificados ou híbridos ad
- Os certificados de cliente não são solicitadores quando esperado
- Os certificados dos clientes são pedidos em cada login
- Considerações adicionais
Dispositivos de ad AD AD intune mal identificados ou híbridos ad
O Acesso Condicional AD Azure permite que as informações do dispositivo Intune e Hybrid Azure AD sejam transmitidas diretamente para Cloud App Security, onde o estado do dispositivo pode ser usado como filtro para políticas de acesso ou sessão. Para obter mais informações, consulte Introdução à gestão do dispositivo em Azure Ative Directory.
Passos recomendados
Em Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione Definições.
Em Controlo de Aplicações de Acesso Condicional, selecione identificação do dispositivo. Esta página mostra as opções de identificação do dispositivo disponíveis em Cloud App Security.
Para a identificação do dispositivo em conformidade com a Intune e a identificação híbrida Azure AD, respectivamente, clique na configuração do Ver e verifique se os serviços estão configurados.
Nota
Estes são automaticamente sincronizados a partir de Azure AD e Intune, respectivamente.
Crie uma política de acesso ou sessão com o filtro Device Tag igual ao AD Híbrido Azure, intune, ou ambos.
Num browser, inicie sessão num dispositivo que é o Hybrid Azure AD ou o Intune conforme com base no seu filtro de política.
Verifique se as atividades destes dispositivos estão a povoar o registo. Em Cloud App Security, na página de registo de Atividade, o filtro na Etiqueta do Dispositivo é igual ao AZure Híbrido ad, conforme Intune, ou ambos com base nos filtros de política.
Se as atividades não estiverem a povoar no registo de atividades Cloud App Security, vá ao Azure AD e faça o seguinte:
- Em 'Iniciar > sessão de monitorização', verifique se existem atividades de inscrição nos registos.
- Selecione a entrada de registo relevante para o dispositivo em que iniciou sessão.
- No painel Detalhes, no separador Informações do dispositivo, verifique se o dispositivo é Gerido (associado ao AAD Híbrido) ou Compatível (compatível com o Intune). Se não conseguir verificar nenhum dos estados, experimente outra entrada de registo ou confirme que os dados do dispositivo estão configurados corretamente no AAD.
- Para o Acesso Condicional, alguns navegadores podem necessitar de configurações adicionais, como instalar uma extensão. Utilize as informações no guia de suporte do navegador Acesso Condicional para configurar o seu navegador.
- Se ainda não vir as informações do dispositivo na página 'Iniciar s-ins', abra um bilhete de apoio para Azure AD.
Os certificados de cliente não são solicitadores quando esperado
O mecanismo de identificação do dispositivo pode solicitar a autenticação de dispositivos relevantes utilizando certificados de cliente. Pode carregar uma autoridade de certificados de raiz ou de certificado intermédio X.509 (CA) formatada no formato de certificado PEM. Estes certificados devem conter a chave pública da AC, que é depois utilizada para assinar os certificados de cliente apresentados durante uma sessão. Para obter mais informações sobre os certificados do cliente, consulte os dispositivos autenticados com certificado de cliente.
Passos recomendados
- Em Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione Definições.
- Em Controlo de Aplicações de Acesso Condicional, selecione identificação do dispositivo. Esta página mostra as opções de identificação do dispositivo disponíveis em Cloud App Security.
- Verifique se carregou uma raiz X.509 ou uma AC intermédia. Tem de fazer o upload da AA que é usada para assinar a sua autoridade de certificados relevante.
- Crie uma política de acesso ou sessão com o filtro Tag do Dispositivo igual ao certificado de cliente válido.
- Certifique-se de que o seu certificado de cliente é:
- implantado utilizando o formato de ficheiro PKCS #12, tipicamente uma extensão de ficheiro .p12 ou .pfx
- instalado na loja do utilizador, não na loja do dispositivo, do dispositivo que está a utilizar para testes
- Reinicie a sessão do navegador
- Ao iniciar sessão na app protegida
- Verifique se é redirecionado para o URL
<https://*.managed.access-control.cas.ms/aad_login> - Se estiver a utilizar o iOS, certifique-se de que está a utilizar o navegador Safari
- Se estiver a utilizar o Firefox, também deve adicionar o certificado à própria loja de certificados do Firefox. Todos os outros navegadores usam a mesma loja de certificados padrão. Saiba como adicionar um certificado à loja de certificados Firefox.
- Verifique se é redirecionado para o URL
- Validar o certificado de cliente solicitado no seu browser.
- Se não aparecer, experimente um navegador diferente. A maioria dos principais navegadores suportam a realização de uma verificação de certificado de cliente. No entanto, as aplicações móveis e desktop muitas vezes aproveitam navegadores incorporados que podem não suportar esta verificação e, portanto, afetar a autenticação para estas aplicações.
- Verifique se as atividades destes dispositivos estão a povoar o registo. Na Cloud App Security, na página de registo de atividade, o filtro na Etiqueta do Dispositivo é igual ao certificado de cliente válido.
- Se ainda não vir a solicitação, abra um bilhete de apoio e inclua as seguintes informações:
- Os detalhes do navegador ou app nativa onde você experimentou o problema
- A versão do sistema operativo (ex. iOS/Android/Windows 10)
- Mencione se a solicitação está a funcionar no Edge Chromium
Os certificados dos clientes são pedidos em cada login
Se estiver a experimentar o certificado de cliente a aparecer depois de abrir um novo separador, este poderá dever-se a definições escondidas nas Opções de Internet.
| Browser | Passos |
|---|---|
| Microsoft Internet Explorer | 1. Abrir Internet Explorer 2. Selecione ferramentas > Opções internet > Guiar aba 3. Em Segurança, selecione Não solicitar a seleção do Certificado de Cliente quando existir apenas um certificado 4. Selecione Aplicar e, em seguida, selecione OK 5. Reinicie o seu navegador e verifique se pode aceder à aplicação sem as solicitações adicionais |
| Microsoft Edge / Chromium de borda | 1. Abrir a pesquisa a partir da barra de tarefas e procurar por "Opções de Internet" 2. Selecione opções de Internet 3. Selecione Segurança, selecione intranet local e, em seguida, clique no nível personalizado 4. Em miscelânea > Não solicitar a seleção do Certificado de Cliente quando existir apenas um certificado, selecione Desativar 5. Clique EM OK para fechar a caixa de diálogo de nível personalizado 6. Clique em Aplicar e, em seguida, selecione OK para fechar opções de Internet 7. Reinicie o seu navegador e verifique se pode aceder à aplicação sem as solicitações adicionais |
Considerações adicionais
Embora a identificação do dispositivo de resolução de problemas, há algumas coisas adicionais a considerar.
Protocolo de revogação do certificado de cliente
Pode requerer a revogação do certificado para os Certificados de Cliente. Os certificados que foram revogados pela AC já não são de confiança. A seleção desta opção exigirá que todos os certificados passem o protocolo CRL. Se o seu certificado de cliente não contiver um ponto final CRL, não poderá ligar-se a partir do dispositivo gerido.
A bordo de uma aplicação
Pode embarcar os seguintes tipos de aplicativos para controlos de acesso e sessão:
Aplicativos em destaque: Apps que vêm com controlos de sessão fora da caixa, conforme indicado pela etiqueta de controlo session
Quaisquer aplicações (personalizadas): Linha de negócios personalizadas (LOB) ou aplicações no local podem ser acedidas a controlos de sessão por um administrador

Ao embarcar numa aplicação, é crucial certificar-se de que segue cada passo nos guias de implementação de procuração:
- Implementar aplicativos em destaque com controlos de sessão
- Implementar aplicações lob personalizadas, aplicações SaaS não apresentadas e aplicações no local hospedadas através do proxy de aplicações AD AZure com controlos de sessão
Os cenários comuns que poderá encontrar durante o embarque de uma aplicação incluem:
- App não aparece na página de aplicações do Controlo de Aplicações de Acesso Condicional
- Estado da aplicação: Continuar a configuração
- Não é possível configurar controlos para aplicações nativas
- App não é reconhecida página aparece
- A opção de controlo da sessão de pedido aparece
- Considerações adicionais
App não aparece na página de aplicações do Controlo de Aplicações de Acesso Condicional
Ao embarcar numa aplicação para o Controlo de Aplicações de Acesso Condicional, o passo final nos guias de implementação é fazer com que o utilizador final navegue para a aplicação. As recomendações listadas abaixo são passos que podem ser feitos se a app não aparecer depois de ter passado pelos guias.
Passos recomendados
- Certifique-se de que a sua aplicação cumpre os pré-requisitos da aplicação Acesso Condicional
| Fornecedor de identidade | Validações |
|---|---|
| Azure AD | 1. Certifique-se de que tem uma licença válida para Azure AD Premium P1 para além de uma licença de Cloud App Security 2. Certifique-se de que a aplicação utiliza o PROTOCOLO SAML 2.0 ou o Ligação OpenID 3. Certifique-se de que a aplicação SSO em Azure AD |
| Terceiros | 1. Certifique-se de que tem uma licença de Cloud App Security válida 2. Criar uma aplicação duplicada 3. Certifique-se de que a aplicação utiliza o protocolo SAML 4. Valide que tenha integralmente a bordo da app e que o estado da aplicação está Conectado |
- Na sua política Azure AD, no âmbito da Sessão, certifique-se de que a sessão é forçada a encaminhar para Cloud App Security, o que por sua vez permitirá que a aplicação apareça na página de aplicações de Controlo de Aplicações de Acesso Condicional, da seguinte forma:
- O Controlo de Aplicações de Acesso Condicional é selecionado
- Nas políticas incorporadas, certifique-se de que o Monitor só está selecionado
- Certifique-se de navegar para a aplicação numa nova sessão de navegador usando um novo modo incógnito ou fazendo novamente a sessão.
Estado da aplicação: Continuar a configuração
O estado de uma aplicação pode variar de Continue Setup, Connected e No Activities.
Para aplicações ligadas através de fornecedores de identidade de terceiros (IdP), se a configuração não estiver completa, ao aceder à aplicação verá uma página com o estado de Continuação da Configuração. Utilize os seguintes passos para completar a configuração.
Passos recomendados
- Clique em Continuar Configuração.
- Verifique o guia de implantação e verifique se completou todos os passos. Preste especial atenção ao seguinte:
- Certifique-se de criar uma nova aplicação SAML personalizada. Precisa disto para alterar os atributos URLs e SAML que podem não estar disponíveis em aplicações de galeria.
- Se o seu fornecedor de identidade não permitir a reutilização do mesmo identificador (também conhecido como ID ou Audiência de Entidade), altere o identificador da aplicação original.
Não é possível configurar controlos para aplicações nativas
As aplicações nativas podem ser detetadas heuristicamente e pode usar políticas de acesso para monitorizá-las ou bloqueá-las. Utilize os seguintes passos para configurar controlos para aplicações nativas.
Passos recomendados
- Numa política de acesso, adicione um filtro de aplicação do Cliente e coloque-o igual ao Mobile e ao ambiente de trabalho.
- Em Ações, selecione Bloco.
- Opcionalmente, personalize a mensagem de bloqueio que os seus utilizadores recebem quando não conseguem descarregar ficheiros, por exemplo: "É preciso utilizar um navegador web para aceder a esta aplicação".
- Teste e valide que o controlo está a funcionar como esperado.
App não é reconhecida página aparece
Cloud App Security pode reconhecer mais de 16.000 aplicações através do catálogo de aplicações cloud (catálogo de aplicações Discover -> Cloud). Se estiver a utilizar uma aplicação personalizada configurada através do Azure AD SSO que não é uma das 16.000 aplicações, irá encontrar uma App que não é reconhecida. Para resolver o problema, tem de configurar a aplicação no Controlo de Aplicações de Acesso Condicional.
Passos recomendados
- Na Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.
- No banner, clique em Ver novas aplicações.
- Na lista de novas aplicações, localize a app que está a bordo, clique no + sinal e, em seguida, clique em Adicionar.
- Selecione se a aplicação é uma aplicação personalizada ou padrão.
- Continue através do assistente, certifique-se de que os domínios definidos pelo Utilizador especificados estão corretos para a aplicação que está a configurar.
- Verifique se a aplicação aparece na página de aplicações do Controlo de Aplicações de Acesso Condicional.
A opção de controlo da sessão de pedido aparece
Depois de adicionar uma aplicação, poderá ver a opção de controlo da sessão Request. Isto ocorre porque apenas as aplicações em destaque têm controlos de sessão fora da caixa. Para qualquer outra aplicação, você deve passar por um processo de auto-onboarding.
Passos recomendados
Na Cloud App Security, na barra de menus, clique nas definições e selecione Definições.
Em Controlo de Aplicações de Acesso Condicional, selecione App onboarding/maintenance.
Introduza o nome principal do utilizador ou e-mail para os utilizadores que estarão a bordo da aplicação e, em seguida, clique em Guardar.
Vá para a aplicação que está a implementar. A página que vê depende se a aplicação é reconhecida. Faça um dos seguintes:
Estado da aplicação Descrição Passos Não reconhecido Verá uma página não reconhecida que o leva a configurar a sua aplicação. 1. Adicione a aplicação ao Controlo de Aplicações de Acesso Condicional.
2. Adicione os domínios para a aplicação, e, em seguida, volte à aplicação e refresque a página.
3. Instale os certificados para a aplicação.Reconhecido Verá uma página de bordo a pedir-lhe que continue o processo de configuração da aplicação. - Instale os certificados para a aplicação.
Nota: Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente. Para configurar domínios adicionais, proceda a Adicionar os domínios para a aplicaçãoe, em seguida, volte à página da aplicação.
Considerações adicionais
Embora a resolução de problemas nas aplicações de embarque, há algumas coisas adicionais a considerar.
Apps em Controlo de Aplicações de Acesso Condicional não se alinham com aplicações AD AZure
Os nomes das aplicações em AD E Cloud App Security podem diferir com base na forma como os produtos identificam as aplicações. Cloud App Security identifica aplicações usando os domínios da aplicação e adiciona-as ao catálogo de aplicações Cloud, onde temos mais de 16.000 aplicações. Dentro de cada aplicação, pode ver ou adicionar ao subconjunto de domínios. Em contraste, a Azure AD identifica aplicações usando os principais serviços. Para mais informações, consulte a app e os principais objetos em Azure AD.
Na prática, significa que selecionar o SharePoint Online em Azure AD é equivalente a selecionar aplicações, como o Word Online e Teams, em Cloud App Security porque as aplicações usam o
sharepoint.comdomínio.
Criação de políticas de acesso e sessão
Cloud App Security fornece as seguintes políticas configuráveis:
- Políticas de acesso: Monitorizar ou bloquear o acesso a aplicações de navegador, móveis e/ou desktop
- Políticas de sessão. Para monitorizar, bloquear e executar ações específicas para evitar a infiltração de dados e os cenários de exfiltração no navegador
Para utilizar estas políticas em Cloud App Security, tem primeiro de configurar uma política no Azure AD Conditional Access para alargar os controlos de sessão, da seguinte forma: Na política AD Azure, nos controlos de acesso, clique em Sessão, selecione Use Conditional Access App Control e escolha uma política incorporada (apenas controlo ou downloads de blocos) ou Use a política personalizada para definir uma política avançada em Cloud App Security e, em seguida, clique em Select.
Os cenários comuns que poderá encontrar ao configurar estas políticas incluem:
- Nas políticas de Acesso Condicional, não é possível ver a opção de Controlo de Aplicações de Acesso Condicional
- Mensagem de erro ao criar uma política: Não tem nenhuma aplicação implementada com o Controlo de Aplicações de Acesso Condicional
- Não é possível criar políticas de sessão para uma aplicação
- Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados
- Não é possível escolher ação: Proteger
- Considerações adicionais
Nas políticas de Acesso Condicional, não é possível ver a opção de Controlo de Aplicações de Acesso Condicional
Para encaminhar as sessões para Cloud App Security, as políticas de acesso condicional Azure AD devem ser configuradas para incluir controlos de sessão de controlo de aplicações de acesso condicional.
Passos recomendados
- Se não vir a opção de Controlo de Aplicações de Acesso Condicional na sua política de Acesso Condicional, certifique-se de que tem uma licença válida para Azure AD Premium P1 bem como uma licença de Cloud App Security válida.
Mensagem de erro ao criar uma política: Não tem nenhuma aplicação implementada com o Controlo de Aplicações de Acesso Condicional
Ao criar uma política de acesso ou sessão, poderá ver a seguinte mensagem de erro: "Não tem nenhuma aplicação implementada com o Controlo de Aplicações de Acesso Condicional". Este erro indica que a aplicação não foi implementada.
Passos recomendados
Na Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.
Se vir a mensagem Sem aplicações ligadas, utilize o seguinte guia para implementar aplicações:
- Implementar aplicações em destaque que tenham controlo de sessão ativado
- Implementar aplicações personalizadas de linha de negócios, aplicações SaaS não apresentadas e aplicações no local hospedadas através do Azure Ative Directory (Azure AD) Application Proxy com controlos de sessão
Se encontrar algum problema durante a implementação da aplicação, consulte a Onboarding uma aplicação.
Não é possível criar políticas de sessão para uma aplicação
Depois de adicionar uma aplicação personalizada, na página de aplicações do Controlo de Aplicações de Acesso Condicional, poderá ver a opção: Solicitar controlo de sessão.
Nota
As aplicações em destaque têm controlos de sessão fora da caixa. Para qualquer outra aplicação, você deve passar por um processo de auto-onboarding.
Passos recomendados
- Utilize o seguinte guia de auto-onboarding para implementar qualquer app para controlo de sessão: Implementar aplicações personalizadas de linha de negócios, aplicações SaaS não apresentadas e aplicações no local hospedadas através do Azure Ative Directory (Azure AD) Application Proxy com controlos de sessão.
- Crie uma política de sessão, selecione o filtro App, certifique-se de que a sua aplicação está agora listada na lista de dropdown.
Não é possível escolher o Método de Inspeção: Serviço de Classificação de Dados
Nas políticas de sessão, ao utilizar o tipo de controlo de sessão de descarregamento de ficheiros de controlo (com inspeção), pode utilizar o método de inspeção do Serviço de Classificação de Dados para digitalizar os seus ficheiros em tempo real e detetar conteúdo sensível que corresponda a qualquer um dos critérios configurados. Se o método de inspeção do Serviço de Classificação de Dados não estiver disponível, utilize as seguintes medidas para investigar a questão.
Passos recomendados
Verifique se o tipo de controlo de sessão está definido para descarregar ficheiros de controlo (com inspeção).
Nota
O método de inspeção do Serviço de Classificação de Dados só está disponível para a opção de descarregamento de ficheiros de controlo (com inspeção).
Determine se a funcionalidade serviço de classificação de dados está disponível na sua região.
- Se a funcionalidade não estiver disponível na sua região, utilize o método de inspeção DLP incorporado.
- Se a funcionalidade estiver disponível na sua região, mas ainda não conseguir ver o método de inspeção do Serviço de Classificação de Dados, abra um bilhete de apoio.
Não é possível escolher ação: Proteger
Nas políticas de sessão, ao utilizar o tipo de controlo de sessão de descarregamento de ficheiros de controlo (com inspeção), para além das ações do Monitor e do Bloco, pode especificar a ação Protect. Esta ação permite-lhe permitir transferências de ficheiros com a opção de encriptar ou aplicar permissões no ficheiro com base em condições, inspeção de conteúdos ou ambos. Se a ação Protect não estiver disponível, utilize as seguintes medidas para investigar a questão.
Passos recomendados
- Se a ação Protect não estiver disponível ou estiver acinzentada, verifique se tem a licença Azure Information Protection (AIP) Premium P1. Para mais informações, consulte a integração da Azure Information Protection.
- Se a ação Protect estiver disponível, mas não estiver a ver as etiquetas adequadas.
- Na Cloud App Security, na barra de menus, clique nas definições, selecione Azure Information Protection e verifique se a integração AIP está ativada.
- Para Office etiquetas, no portal AIP, certifique-se de que a rotulagem unificada é selecionada.
Considerações adicionais
Embora a resolução de problemas nas aplicações de embarque, há algumas coisas adicionais a considerar.
Compreender a diferença entre as definições da política de acesso condicional Azure AD: "Monitor apenas", "Downloads de Blocos" e "Use a política personalizada"
Nas políticas de acesso condicional AD Ad, pode configurar os seguintes controlos de Cloud App Security incorporados: Apenas para monitores e downloads do Bloco . Isto aplica e aplica a funcionalidade de procuração Cloud App Security para aplicações na nuvem e condições configuradas em Azure AD. Para políticas mais complexas, selecione Use a política personalizada, que lhe permite configurar as políticas de acesso e sessão em Cloud App Security.
Compreender a opção de filtro de aplicativos de cliente "Mobile e desktop" nas políticas de acesso
Nas Cloud App Security políticas de acesso, a menos que o filtro de aplicação do Cliente esteja especificamente definido para Mobile e desktop, a política de acesso resultante só se aplicará às sessões de navegador. A razão para isso é evitar que sessões de utilizador de procuração inadvertidamente, o que pode ser um subproduto da utilização deste filtro.
Problemas experimentados pelos utilizadores finais
Esta secção destina-se a utilizadores finais que utilizem aplicações protegidas por Cloud App Security e ajuda a identificar situações comuns que possam surgir nas seguintes áreas:
- A página de monitorização do utilizador não está a aparecer
- Não é possível aceder a uma aplicação de um fornecedor de identidade de terceiros
- Aparece a página something Went Wrong
- As ações de prancheta ou os controlos de ficheiros não estão a ser bloqueados
- Os downloads não estão a ser protegidos
- Navegar para um URL particular de uma app sufixada e aterrar em uma página genérica
- Bloqueio de transferências faz com que pré-visualizações em PDF sejam bloqueadas
- Considerações adicionais
A página de monitorização do utilizador não está a aparecer
Ao encaminhar um utilizador através do Cloud App Security, pode notificar o utilizador de que a sua sessão será monitorizada. Por predefinição, a página de monitorização do utilizador está ativada.
Passos recomendados
Em Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione Definições.
Em Controlo de Aplicações de Acesso Condicional, selecione monitorização do utilizador. Esta página mostra as opções de monitorização do utilizador disponíveis em Cloud App Security.

Verifique se os utilizadores notificam que a sua atividade está a ser monitorizada.
Escolha se deseja usar a mensagem padrão ou fornecer uma mensagem personalizada.
Tipo de mensagem Detalhes Predefinição Cabeçalho:
O acesso a [Nome da App Aparecerá Aqui] é monitorizado
Corpo:
Para uma segurança melhorada, a sua organização permite o acesso ao modo de monitorização [Nome da App Aparecerá Aqui]. O acesso só está disponível a partir de um navegador web.Personalizado Cabeçalho:
Utilize esta caixa para fornecer uma posição personalizada para informar os utilizadores de que estão a ser monitorizados.
Corpo:
Utilize esta caixa para adicionar informações personalizadas adicionais para o utilizador, tais como quem contactar com as perguntas, e suporta as seguintes entradas: texto simples, texto rico, hiperligações.Clique em Pré-visualização para verificar a página de monitorização do utilizador que aparece antes de aceder a uma aplicação.
Clique em Guardar.
Não é possível aceder a uma aplicação de um fornecedor de identidade de terceiros
Se um utilizador final estiver a receber uma falha geral depois de iniciar sessão numa aplicação a partir de um Fornecedor de Identidade de terceiros, valide a configuração IdP de terceiros.
Passos recomendados
- Na Cloud App Security, na barra de menus, clique nas definições e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.
- Na lista de aplicações, na linha em que a app a que não consegue aceder aparece, escolha os três pontos no final da linha e, em seguida, escolha a app Editar.
- Validar que o certificado SAML que foi carregado está correto
- Verifique se os URLs SSO válidos foram fornecidos na configuração da aplicação
- Validar que os atributos e valores na aplicação personalizada se refletem nas definições do fornecedor de identidade

- Se ainda não conseguir aceder à aplicação, abra um bilhete de apoio.
Aparece a página something Went Wrong
Por vezes, durante uma sessão proxied, a página Something Went Wrong pode aparecer. Isto pode acontecer quando:
- Um utilizador entra depois de ficar inativo por um tempo
- Refrescar o navegador e a carga da página demora mais tempo do que o esperado
- A aplicação IdP de terceiros não está configurada corretamente
Passos recomendados
- Se o utilizador final estiver a tentar aceder a uma aplicação configurada através de um IdP de terceiros, consulte Não conseguir aceder a uma aplicação a partir de um idP de terceiros e do estado da App: Continue Configuração.
- Se o utilizador final chegou inesperadamente a esta página, faça o seguinte:
- Reinicie a sessão do navegador
- Histórico claro, cookies e cache do navegador
As ações de prancheta ou os controlos de ficheiros não estão a ser bloqueados
A capacidade de bloquear ações de clipboard como controlos de corte, cópia, pasta e ficheiros, tais como descarregamento, upload e impressão, é necessária para evitar cenários de exfiltração de dados e infiltração. Esta capacidade permite às empresas equilibrar a segurança e a produtividade dos utilizadores finais. Se estiver a ter problemas com estas funcionalidades, utilize os seguintes passos para investigar o problema.
Passos recomendados
Se a sessão estiver a ser proxie, utilize as seguintes etapas para verificar a política:
- Em Cloud App Security, no âmbito do Inquérito, Selecione registo de Atividades.
- Utilize o filtro avançado, selecione Ação aplicada e descreva o seu valor igual ao bloqueado.
- Verifique se existem atividades de ficheiros bloqueadas.
- Se houver uma atividade, expanda a gaveta da atividade clicando na atividade
- No separador Geral da gaveta da atividade, clique no link de políticas compatíveis, para verificar se a política que impôs está presente.
- Se não vir a sua política, consulte criar políticas de acesso e sessão.
- Se vir o Acesso bloqueado/permitido devido ao Comportamento Predefinido, isto indica que o sistema estava em baixo e o comportamento predefinido foi aplicado.
- Para alterar o comportamento predefinido, em Cloud App Security, na barra de menu, clique nas definições e selecione Definições. Em seguida, em Controlo de Aplicações de Acesso Condicional , selecione O Comportamento Predefinido e desconte o comportamento predefinido para permitir ou bloquear o acesso.
- Vá
https://status.cloudappsecurity.com/e monitorize notificações sobre o tempo de inatividade do sistema.
- Se ainda não conseguir ver a atividade bloqueada, abra um bilhete de apoio.
Os downloads não estão a ser protegidos
Como utilizador final, pode ser necessário descarregar dados sensíveis num dispositivo não gerido. Nestes cenários, pode proteger documentos com a Azure Information Protection. Se o utilizador final não foi capaz de encriptar o documento com sucesso, utilize os seguintes passos para investigar o problema.
Passos recomendados
- Em Cloud App Security, no âmbito do Inquérito, Selecione registo de Atividades.
- Utilize o filtro avançado, selecione Ação aplicada e descreva o seu valor igual ao Protected.
- Verifique se existem atividades de ficheiros bloqueadas.
- Se houver uma atividade, expanda a gaveta da atividade clicando na atividade
- No separador Geral da gaveta da atividade, clique no link de políticas compatíveis, para verificar se a política que impôs está presente.
- Se não vir a sua política, consulte criar políticas de acesso e sessão.
- Se vir o Acesso bloqueado/permitido devido ao Comportamento Predefinido, isto indica que o sistema estava em baixo e o comportamento predefinido foi aplicado.
- Para alterar o comportamento predefinido, em Cloud App Security, na barra de menu, clique nas definições e, em seguida, selecione Definições. Em seguida, em Controlo de Aplicações de Acesso Condicional , selecione O Comportamento Predefinido e desconte o comportamento predefinido para permitir ou bloquear o acesso.
- Vá
https://status.cloudappsecurity.com/e monitorize notificações sobre o tempo de inatividade do sistema.
- Se estiver a proteger o ficheiro com uma etiqueta AIP ou permissões personalizadas, na descrição da Atividade, certifique-se de que a extensão do ficheiro é um dos seguintes tipos de ficheiros suportados:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
- PDF* se a rotulagem unificada estiver ativada
- Se o tipo de ficheiro não for suportado, na política de sessão, pode selecionar o download do Bloco de qualquer ficheiro que não seja suportado por proteção nativa ou onde a proteção nativa não tenha sucesso.
- Se ainda não conseguir ver a atividade bloqueada, abra um bilhete de apoio.
Navegar para um URL particular de uma app sufixada e aterrar em uma página genérica
Todos os proxies que sufixam URLs são suscetíveis à perda de contexto, um problema em que navegar para um link perde o caminho completo do link e tipicamente aterra na página inicial da app. Cloud App Security está posicionado de forma única para resolver esta limitação e resolver a perda de contexto através da parceria com a Microsoft e fornecedores não Microsoft.
Se o ajustamento da política global não resolver o problema, então pode resolver problemas de perda de contexto da seguinte forma:
- Navegue para um URL onde ocorre perda de contexto.
- Tome nota do domínio URL sufixado, incluindo o sufixo adicionado por Cloud App Security. Por exemplo:
https://www.yammer.com.mcas.ms. - Copie o caminho da URL original. Por exemplo, se o URL original em particular fosse
https://www.yammer.com/organization/threads/threadnumber, cópia/organization/threads/threadnumber. - Aped o caminho copiado para o domínio sufixado. Por exemplo:
https://www.yammer.com.mcas.ms/organization/threads/threadnumber. - Navegue para o novo URL sufixado.
Para aplicações que experimentam perda de contexto, por favor envie um bilhete de apoio. Trabalharemos diretamente com cada fornecedor de aplicações para resolver estes problemas.
Bloqueio de transferências faz com que pré-visualizações em PDF sejam bloqueadas
Ocasionalmente, ao pré-visualizar ou imprimir ficheiros PDF, as aplicações iniciam um download do ficheiro. Isto faz com que Cloud App Security intervenha para garantir que o download está bloqueado e que os dados não são vazados do seu ambiente. Por exemplo, se criou uma política de sessão para bloquear transferências para Outlook Web Access (OWA), então a pré-visualização ou impressão de ficheiros PDF pode ser bloqueada, com uma mensagem como esta:

Para permitir a pré-visualização, um administrador Exchange deve executar os seguintes passos:
Descarregue o Módulo PowerShell Exchange Online.
Ligação ao módulo utilizando os comandos descritos em Ligação para Exchange Online PowerShell
Depois de ligar ao Exchange Online PowerShell, utilize o cmdlet Set-OwaMailboxPolicy para atualizar os parâmetros da política:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseNota
A política OwaMailboxPolicy-Default é o nome de política padrão da OWA em Exchange Online. Alguns clientes podem ter implementado uma política de OWA personalizada com um nome diferente. Se tiver várias políticas de OWA, podem ser aplicadas a utilizadores específicos. Portanto, também terá de atualizá-los para ter uma cobertura completa.
Depois de definidos estes parâmetros, faça um teste no OWA com um ficheiro PDF e uma política de sessão configurada para bloquear transferências. A opção Download deve ser removida do dropdown e pode pré-visualizar o ficheiro.

Considerações adicionais
Embora as aplicações de resolução de problemas, há algumas coisas adicionais a considerar.
Sessão controla suporte para navegadores modernos
Cloud App Security controlos de sessão agora inclui suporte para o novo navegador Microsoft Edge baseado em Chromium. Apesar de continuarmos a apoiar as versões mais recentes do Internet Explorer e a versão antiga do Microsoft Edge, o suporte será limitado e recomendamos a utilização do novo navegador Microsoft Edge.
Login duplo
Um duplo login ocorre devido ao presumível uso de um nó, um símbolo criptográfico usado por apps para evitar ataques de repetição. Por padrão, Cloud App Security assume que uma aplicação usa um nonce. Se estiver confiante de que a aplicação não utiliza um nonce, pode desativar esta aplicação editando a aplicação em Cloud App Security e o problema será resolvido. Para obter passos para desativar o nonce, consulte o início lento.
Se a aplicação utilizar um nonce e esta funcionalidade não puder ser desativada, o segundo login pode ser transparente para os utilizadores, ou poderá ser solicitado a fazer login novamente.