Solución de problemas de acceso y controles de sesión para usuarios finales
En este artículo se proporcionan Microsoft Defender for Cloud Apps a los administradores instrucciones sobre cómo investigar y resolver problemas comunes de acceso y control de sesión que experimentan los usuarios finales.
Comprobación de los requisitos mínimos
Antes de empezar a solucionar problemas, asegúrese de que el entorno cumple los siguientes requisitos generales mínimos para los controles de acceso y sesión.
| Requisito | Descripción |
|---|---|
| Licencias | Asegúrese de que tiene una licencia válida para Microsoft Defender for Cloud Apps. |
| Inicio de sesión único (SSO) | Las aplicaciones deben configurarse con una de las soluciones de inicio de sesión único (SSO) compatibles: - Microsoft Entra ID mediante SAML 2.0 o OpenID Connect 2.0 - IdP que no es de Microsoft con SAML 2.0 |
| Compatibilidad con exploradores | Los controles de sesión están disponibles para sesiones basadas en explorador en las versiones más recientes de los siguientes exploradores: - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari La protección en el explorador para Microsoft Edge también tiene requisitos específicos, incluido el usuario que inició sesión con su perfil de trabajo. Para obtener más información, consulte Requisitos de protección en el explorador. |
| Tiempo de inactividad | Defender for Cloud Apps permite definir el comportamiento predeterminado que se aplicará si hay una interrupción del servicio, como un componente que no funciona correctamente. Por ejemplo, puede optar por impedir (bloquear) o omitir (permitir) que los usuarios realicen acciones sobre contenido potencialmente confidencial cuando no se puedan aplicar los controles de directiva normales. Para configurar el comportamiento predeterminado durante el tiempo de inactividad del sistema, en Microsoft Defender XDR, vaya a Configuración Comportamiento>predeterminado> del control > deaplicaciones de acceso condicionalPermitir o Bloquear acceso. |
No aparece la página supervisión de usuarios
Al enrutar un usuario a través de la Defender for Cloud Apps, puede notificar al usuario que se supervisa su sesión. De forma predeterminada, la página supervisión de usuarios está habilitada.
En esta sección se describen los pasos de solución de problemas que se recomiendan seguir si la página de supervisión de usuarios está habilitada, pero no aparece como se esperaba.
Pasos recomendados
En Microsoft Defender Portal, seleccione Configuración>de Aplicaciones en la nube.
En Control de aplicaciones de acceso condicional, seleccione Supervisión de usuarios. En esta página se muestran las opciones de supervisión de usuarios disponibles en Defender for Cloud Apps. Por ejemplo:
Compruebe que la opción Notificar a los usuarios que se está supervisando su actividad está seleccionada.
Seleccione si desea usar el mensaje predeterminado o proporcionar un mensaje personalizado:
Tipo de mensaje Detalles Default Encabezado:
Se supervisa el acceso a [El nombre de la aplicación aparecerá aquí]
Body:
Para mejorar la seguridad, la organización permite el acceso a [El nombre de la aplicación aparecerá aquí] en modo de supervisión. El acceso solo está disponible desde un explorador web.Personalizados Encabezado:
Use este cuadro para proporcionar un encabezado personalizado para informar a los usuarios de que están siendo supervisados.
Body:
Use este cuadro para agregar otra información personalizada para el usuario, como quién debe ponerse en contacto con preguntas, y admite las siguientes entradas: texto sin formato, texto enriquecido, hipervínculos.Seleccione Vista previa para comprobar la página de supervisión de usuarios que aparece antes de acceder a una aplicación.
Haga clic en Guardar.
No se puede acceder a la aplicación desde un proveedor de identidades que no es de Microsoft
Si un usuario final recibe un error general después de iniciar sesión en una aplicación desde un proveedor de identidades que no es de Microsoft, valide la configuración que no sea de Microsoft IdP.
Pasos recomendados
En Microsoft Defender Portal, seleccione Configuración>de Aplicaciones en la nube.
En Aplicaciones conectadas, seleccione Aplicaciones de control de aplicaciones de acceso condicional.
En la lista de aplicaciones, en la fila en la que aparece la aplicación a la que no se puede acceder, seleccione los tres puntos al final de la fila y, a continuación, seleccione Editar aplicación.
Valide que el certificado SAML que se cargó es correcto.
Compruebe que se proporcionan direcciones URL de SSO válidas en la configuración de la aplicación.
Compruebe que los atributos y valores de la aplicación personalizada se reflejan en la configuración del proveedor de identidades.
Por ejemplo:
Si todavía no puede acceder a la aplicación, abra una incidencia de soporte técnico.
Aparece la página Algo salió mal
A veces, durante una sesión con servidores proxy, podría aparecer la página Algo que salió mal . Esto puede ocurrir cuando:
- Un usuario inicia sesión después de estar inactivo durante un tiempo
- Actualizar el explorador y la carga de la página tarda más de lo esperado
- La aplicación de IdP que no es de Microsoft no está configurada correctamente
Pasos recomendados
Si el usuario final está intentando acceder a una aplicación configurada mediante un IdP que no es de Microsoft, consulte No se puede acceder a la aplicación desde un IdP y un estado de aplicación que no son de Microsoft: Continuar la instalación.
Si el usuario final alcanzó inesperadamente esta página, haga lo siguiente:
- Reinicie la sesión del explorador.
- Borre el historial, las cookies y la memoria caché desde el explorador.
Las acciones del Portapapeles o los controles de archivo no se bloquean
La capacidad de bloquear las acciones del Portapapeles, como cortar, copiar, pegar y archivos, como descargar, cargar e imprimir, es necesaria para evitar escenarios de filtración e infiltración de datos.
Esta capacidad permite a las empresas equilibrar la seguridad y la productividad de los usuarios finales. Si tiene problemas con estas características, siga estos pasos para investigar el problema.
Pasos recomendados
Si se va a usar el proxy de la sesión, siga estos pasos para comprobar la directiva:
En Microsoft Defender Portal, en Aplicaciones en la nube, seleccione Registro de actividad.
Use el filtro avanzado, seleccione Acción aplicada y establezca su valor en Bloqueado.
Compruebe que hay actividades de archivos bloqueados:
Si hay una actividad, expanda el cajón de actividad haciendo clic en la actividad.
En la pestaña General del cajón de actividad, seleccione el vínculo Directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
Si no ve la directiva, consulte Problemas al crear directivas de acceso y sesión.
Si ve Acceso bloqueado o permitido debido al comportamiento predeterminado, esto indica que el sistema estaba inactivo y que se aplicó el comportamiento predeterminado.
Para cambiar el comportamiento predeterminado, en Microsoft Defender Portal, seleccione Configuración. A continuación, elija Aplicaciones en la nube. A continuación, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminado y establezca el comportamiento predeterminado en Permitir o Bloquear acceso.
Vaya al portal de administración de Microsoft 365 y supervise las notificaciones sobre el tiempo de inactividad del sistema.
Si aún no puede ver la actividad bloqueada, abra una incidencia de soporte técnico.
Las descargas no se protegen
Como usuario final, es posible que sea necesario descargar datos confidenciales en un dispositivo no administrado. En estos escenarios, puede proteger documentos con Microsoft Purview Information Protection.
Si el usuario final no puede cifrar correctamente el documento, siga estos pasos para investigar el problema.
Pasos recomendados
En Microsoft Defender Portal, en Aplicaciones en la nube, seleccione Registro de actividad.
Use el filtro avanzado, seleccione Acción aplicada y establezca su valor en Protegido.
Compruebe que hay actividades de archivos bloqueados:
Si hay una actividad, expanda el cajón de actividades haciendo clic en la actividad.
En la pestaña General del cajón de actividad, seleccione el vínculo Directivas coincidentes para comprobar que la directiva que ha aplicado está presente.
Si no ve la directiva, consulte Problemas al crear directivas de acceso y sesión.
Si ve Acceso bloqueado o permitido debido al comportamiento predeterminado, esto indica que el sistema estaba inactivo y que se aplicó el comportamiento predeterminado.
Para cambiar el comportamiento predeterminado, en Microsoft Defender Portal, seleccione Configuración. A continuación, elija Aplicaciones en la nube. A continuación, en Control de aplicaciones de acceso condicional, seleccione Comportamiento predeterminado y establezca el comportamiento predeterminado en Permitir o Bloquear acceso.
Vaya al Panel de estado del servicio de Microsoft 365 y supervise las notificaciones sobre el tiempo de inactividad del sistema.
Si va a proteger el archivo con una etiqueta de confidencialidad o permisos personalizados, en la descripción de la actividad, asegúrese de que la extensión de archivo es uno de los siguientes tipos de archivo admitidos:
Word: docm, docx, dotm, dotx
Excel: xlam, xlsm, xlsx, xltx
PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
PDF si el etiquetado unificado está habilitado
Si no se admite el tipo de archivo, en la directiva de sesión, puede seleccionar Bloquear la descarga de cualquier archivo que no sea compatible con la protección nativa o en el que la protección nativa no se realice correctamente.
Si aún no puede ver la actividad bloqueada, abra una incidencia de soporte técnico.
Navegar a una dirección URL determinada de una aplicación con sufijo y aterrizar en una página genérica
En algunos escenarios, la navegación a un vínculo puede dar lugar a que el usuario desembarque en la página principal de la aplicación en lugar de en la ruta de acceso completa del vínculo.
Sugerencia
Defender for Cloud Apps mantiene una lista de aplicaciones que se sabe que sufren de pérdida de contexto. Para obtener más información, consulte Limitaciones de pérdida de contexto.
Pasos recomendados
Si usa un explorador distinto de Microsoft Edge y un usuario llega a la página principal de la aplicación en lugar de a la ruta de acceso completa del vínculo, resuelva el problema anexando .mcas.ms a la dirección URL original.
Por ejemplo, si la dirección URL original es:
https://www.github.com/organization/threads/threadnumber, cámbielo a https://www.github.com.mcas.ms/organization/threads/threadnumber
Los usuarios de Microsoft Edge se benefician de la protección en el explorador, no se redirigen a un proxy inverso y no deben necesitar el .mcas.ms sufijo agregado. Para las aplicaciones que experimentan pérdida de contexto, abra una incidencia de soporte técnico.
El bloqueo de descargas hace que se bloqueen las vistas previas de PDF
En ocasiones, al obtener una vista previa o imprimir archivos PDF, las aplicaciones inician una descarga del archivo. Esto hace que Defender for Cloud Apps intervenga para asegurarse de que la descarga está bloqueada y de que los datos no se filtran desde el entorno.
Por ejemplo, si creó una directiva de sesión para bloquear las descargas de Outlook Web Access (OWA), es posible que se bloquee la vista previa o la impresión de archivos PDF con un mensaje como este:
Para permitir la versión preliminar, un administrador de Exchange debe realizar los pasos siguientes:
Descargue el módulo de PowerShell Exchange Online.
Conéctese al módulo. Para obtener más información, vea Conexión a Exchange Online PowerShell.
Después de conectarse a la Exchange Online PowerShell, use el cmdlet Set-OwaMailboxPolicy para actualizar los parámetros de la directiva:
Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $falseNota:
La directiva OwaMailboxPolicy-Default es el nombre predeterminado de la directiva de OWA en Exchange Online. Es posible que algunos clientes hayan implementado o creado una directiva de OWA personalizada con un nombre diferente. Si tiene varias directivas de OWA, se pueden aplicar a usuarios específicos. Por lo tanto, también tendrá que actualizarlos para tener una cobertura completa.
Una vez establecidos estos parámetros, ejecute una prueba en OWA con un archivo PDF y una directiva de sesión configurada para bloquear las descargas. La opción Descargar debe quitarse de la lista desplegable y puede obtener una vista previa del archivo. Por ejemplo:
Aparece una advertencia de sitio similar
Los actores malintencionados pueden crear direcciones URL similares a las direcciones URL de otros sitios con el fin de suplantar y engañar a los usuarios para que crean que están navegando a otro sitio. Algunos exploradores intentan detectar este comportamiento y advierten a los usuarios antes de acceder a la dirección URL o bloquear el acceso.
En algunos casos poco frecuentes, los usuarios bajo control de sesión reciben un mensaje del explorador que indica el acceso sospechoso al sitio. El motivo es que el explorador trata el dominio con sufijo (por ejemplo: .mcas.ms) como sospechoso.
Este mensaje solo aparece para los usuarios de Chrome, ya que los usuarios de Microsoft Edge se benefician de la protección en el explorador, sin la arquitectura de proxy inverso. Por ejemplo:
Si recibe un mensaje como este, póngase en contacto con el soporte técnico de Microsoft para solucionarlo con el proveedor de explorador correspondiente.
Más consideraciones para solucionar problemas de aplicaciones
Al solucionar problemas de aplicaciones, hay algunas cosas más que tener en cuenta:
La compatibilidad con controles de sesión para exploradores modernos Defender for Cloud Apps controles de sesión ahora incluye compatibilidad con el nuevo explorador Microsoft Edge basado en Chromium. Aunque seguimos admitiendo las versiones más recientes de Internet Explorer y la versión heredada de Microsoft Edge, la compatibilidad es limitada y se recomienda usar el nuevo explorador Microsoft Edge.
Los controles de sesión protegen la limitación Co-Auth el etiquetado en la acción "proteger" no es compatible con Defender for Cloud Apps controles de sesión. Para obtener más información, consulte Habilitación de la coautoría para archivos cifrados con etiquetas de confidencialidad.