Condividi tramite

Risoluzione dei problemi relativi all'accesso e ai controlli sessione per gli utenti amministratori

  • Articolo

Questo articolo fornisce agli amministratori Microsoft Defender for Cloud Apps indicazioni su come analizzare e risolvere i problemi comuni di accesso e controllo della sessione riscontrati dagli amministratori.

Nota

Qualsiasi risoluzione dei problemi relativa alla funzionalità proxy è rilevante solo per le sessioni che non sono configurate per la protezione nel browser con Microsoft Edge.

Controllare i requisiti minimi

Prima di iniziare la risoluzione dei problemi, assicurarsi che l'ambiente soddisfi i requisiti generali minimi seguenti per i controlli di accesso e sessione.

Requisito Descrizione
Licenze Assicurarsi di avere una licenza valida per Microsoft Defender for Cloud Apps.
Single Sign-On (SSO) Le app devono essere configurate con una delle soluzioni SSO supportate:

- Microsoft Entra ID con SAML 2.0 o OpenID Connect 2.0
- IdP non Microsoft con SAML 2.0
Supporto dei browser I controlli sessione sono disponibili per le sessioni basate su browser nelle versioni più recenti dei browser seguenti:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

Anche la protezione nel browser per Microsoft Edge ha requisiti specifici, incluso l'utente che ha eseguito l'accesso con il proprio profilo di lavoro. Per altre informazioni, vedere Requisiti di protezione nel browser.
Inattività Defender for Cloud Apps consente di definire il comportamento predefinito da applicare se si verifica un'interruzione del servizio, ad esempio un componente che non funziona correttamente.

Ad esempio, quando non è possibile applicare i normali controlli dei criteri, è possibile scegliere di applicare la protezione avanzata (blocco) o ignorare (consentire) agli utenti di eseguire azioni su contenuto potenzialmente sensibile.

Per configurare il comportamento predefinito durante il tempo di inattività del sistema, in Microsoft Defender XDR passare a Impostazioni>Accesso condizionale Comportamentopredefinito controllo>> appConsenti o Blocca l'accesso.

Requisiti di protezione nel browser

Se si usa la protezione nel browser con Microsoft Edge e si è ancora serviti da un proxy inverso, assicurarsi di soddisfare i requisiti aggiuntivi seguenti:

  • La funzionalità è attivata nelle impostazioni di Defender XDR. Per altre informazioni, vedere Configurare le impostazioni di protezione nel browser.

  • Tutti i criteri di cui l'utente è coperto sono supportati per Microsoft Edge for Business. Se un utente viene servito da un altro criterio non supportato da Microsoft Edge for Business, viene sempre servito dal proxy inverso. Per altre informazioni, vedere Requisiti di protezione nel browser.

  • Si usa una piattaforma supportata, tra cui un sistema operativo supportato, una piattaforma di identità e una versione edge. Per altre informazioni, vedere Requisiti di protezione nel browser.

Riferimento ai problemi di risoluzione dei problemi per gli amministratori

Usare la tabella seguente per individuare il problema che si sta tentando di risolvere:

Tipo di problema Problemi
Problemi relativi alle condizioni di rete Errori di rete durante la navigazione in una pagina del browser

Accessi lenti

Altre considerazioni per le condizioni di rete
Problemi di identificazione del dispositivo Dispositivi aggiunti Intune ibridi conformi o Microsoft Entra misidentified

I certificati client non vengono richieste quando previsto

I certificati client non vengono richieste quando previsto
I certificati client vengono visualizzati a ogni accesso

Altre considerazioni sull'identificazione del dispositivo
Problemi durante l'onboarding di un'app L'app non viene visualizzata nella pagina app di controllo app per l'accesso condizionale

Stato dell'app: Continua InstallazioneNon è possibile configurare i controlli per le app native

Viene visualizzata l'opzione Richiedi controllo sessione
Problemi durante la creazione di criteri di accesso e sessione Nei criteri di accesso condizionale non è possibile visualizzare l'opzione di controllo dell'app per l'accesso condizionale

Messaggio di errore durante la creazione di un criterio: non sono state distribuite app con il controllo dell'app per l'accesso condizionale

Non è possibile creare criteri di sessione per un'app

Non è possibile scegliere Il metodo di ispezione: Servizio di classificazione dei dati

Non è possibile scegliere Azione: Proteggi

Altre considerazioni per l'onboarding delle app
Diagnosticare e risolvere i problemi con la barra degli strumenti Visualizzazione Amministrazione Ignorare la sessione proxy

Registrare una sessione

Aggiungere domini per l'app

Problemi relativi alle condizioni di rete

I problemi comuni relativi alle condizioni di rete che potrebbero verificarsi includono:

Errori di rete durante la navigazione in una pagina del browser

Quando si configura per la prima volta Defender for Cloud Apps controlli di accesso e sessione per un'app, potrebbero verificarsi errori di rete comuni: questo sito non è sicuro e non è disponibile alcuna connessione Internet. Questi messaggi possono indicare un errore di configurazione di rete generale.

Passaggi consigliati

  1. Configurare il firewall in modo che funzioni con Defender for Cloud Apps usando gli indirizzi IP di Azure e i nomi DNS rilevanti per l'ambiente.

    1. Aggiungere la porta in uscita 443 per gli indirizzi IP e i nomi DNS seguenti per il data center Defender for Cloud Apps.
    2. Riavviare il dispositivo e la sessione del browser
    3. Verificare che l'accesso funzioni come previsto

  2. Abilitare TLS 1.2 nelle opzioni Internet del browser. Ad esempio:

    Browser Procedura
    Microsoft Internet Explorer 1. Aprire Internet Explorer
    2. Selezionare la schedaAvanzateOpzioni> Internet strumenti>
    3. In Sicurezza selezionare TLS 1.2
    4. Selezionare Applica e quindi ok
    5. Riavviare il browser e verificare che sia possibile accedere all'app
    Microsoft Edge/Edge Chromium 1. Aprire la ricerca dalla barra delle applicazioni e cercare "Opzioni Internet"
    2. Selezionare Opzioni Internet
    3. In Sicurezza selezionare TLS 1.2
    4. Selezionare Applica e quindi ok
    5. Riavviare il browser e verificare che sia possibile accedere all'app
    Google Chrome 1. Aprire Google Chrome
    2. In alto a destra selezionare Altre impostazioni (3 punti verticali)>
    3. Nella parte inferiore selezionare Avanzate
    4. In Sistema selezionare Apri impostazioni proxy
    5. Nella scheda Avanzate , in Sicurezza, selezionare TLS 1.2
    6. Selezionare OK
    7. Riavviare il browser e verificare che sia possibile accedere all'app
    Mozilla Firefox 1. Aprire Mozilla Firefox
    2. Nella barra degli indirizzi e cercare "about:config"
    3. Nella casella di ricerca cercare "TLS"
    4. Fare doppio clic sulla voce security.tls.version.min
    5. Impostare il valore intero su 3 per forzare TLS 1.2 come versione minima richiesta
    6. Selezionare Salva (segno di spunta a destra della casella dei valori)
    7. Riavviare il browser e verificare che sia possibile accedere all'app
    Safari Se si usa Safari versione 7 o successiva, TLS 1.2 viene abilitato automaticamente

Defender for Cloud Apps usa i protocolli TLS (Transport Layer Security) 1.2+ per fornire la crittografia migliore della classe:

  • Le app client native e i browser che non supportano TLS 1.2+ non sono accessibili se configurati con il controllo sessione.
  • Le app SaaS che usano TLS 1.1 o versione successiva vengono visualizzate nel browser come usando TLS 1.2+ se configurate con Defender for Cloud Apps.

Consiglio

Anche se i controlli sessione sono creati per funzionare con qualsiasi browser su qualsiasi piattaforma principale in qualsiasi sistema operativo, sono supportate le versioni più recenti di Microsoft Edge, Google Chrome, Mozilla Firefox o Apple Safari. È possibile bloccare o consentire l'accesso specifico alle app per dispositivi mobili o desktop.

Accessi lenti

Il concatenamento del proxy e la gestione nonce sono alcuni dei problemi comuni che potrebbero causare prestazioni di accesso lente.

Passaggi consigliati

Configurare l'ambiente per rimuovere eventuali fattori che potrebbero causare lentezza durante l'accesso. Ad esempio, potrebbero essere configurati firewall o concatenamento proxy di inoltro, che connette due o più server proxy per passare alla pagina desiderata. È anche possibile che si verifichino altri fattori esterni che influiscono sulla lentezza.

  1. Identificare se il concatenamento del proxy si verifica nell'ambiente.
  2. Rimuovere eventuali proxy di inoltro, se possibile.

Alcune app usano un hash nonce durante l'autenticazione per impedire attacchi di riproduzione. Per impostazione predefinita, Defender for Cloud Apps presuppone che un'app usi un nonce. Se l'app in uso non usa nonce, disabilitare la gestione nonce per questa app in Defender for Cloud Apps:

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud.
  2. In App connesse selezionare App di controllo app per l'accesso condizionale.
  3. Nell'elenco delle app, nella riga in cui viene visualizzata l'app che si sta configurando, selezionare i tre puntini alla fine della riga e quindi selezionare Modifica per l'app.
  4. Selezionare Gestione nonce per espandere la sezione e quindi deselezionare Abilita gestione nonce.
  5. Disconnettersi dall'app e chiudere tutte le sessioni del browser.
  6. Riavviare il browser e accedere di nuovo all'app. Verificare che l'accesso funzioni come previsto.

Altre considerazioni per le condizioni di rete

Durante la risoluzione dei problemi relativi alle condizioni di rete, prendere in considerazione anche le note seguenti sul proxy Defender for Cloud Apps:

  • Verificare se la sessione viene instradata a un altro data center: Defender for Cloud Apps usa i data center di Azure in tutto il mondo per ottimizzare le prestazioni tramite la georilevazione.

    Ciò significa che la sessione di un utente potrebbe essere ospitata all'esterno di un'area, a seconda dei modelli di traffico e della relativa posizione. Tuttavia, per proteggere la privacy, in questi data center non vengono archiviati dati di sessione.

  • Prestazioni del proxy: la derivazione di una baseline delle prestazioni dipende da molti fattori esterni al proxy Defender for Cloud Apps, ad esempio:

    • Quali altri proxy o gateway si trovano in serie con questo proxy
    • Da dove proviene l'utente
    • Posizione della risorsa di destinazione
    • Richieste specifiche nella pagina

    In generale, qualsiasi proxy aggiunge latenza. I vantaggi del proxy Defender for Cloud Apps sono:

    • Uso della disponibilità globale dei controller di dominio di Azure per geolocare gli utenti al nodo più vicino e ridurre la distanza di andata e ritorno. I controller di dominio di Azure possono geolocare su una scala di pochi servizi in tutto il mondo.

    • L'uso dell'integrazione con Microsoft Entra l'accesso condizionale per instradare solo le sessioni che si desidera inviare al servizio, anziché tutti gli utenti in tutte le situazioni.

Problemi di identificazione del dispositivo

Defender for Cloud Apps offre le opzioni seguenti per identificare lo stato di gestione di un dispositivo.

  • conformità Microsoft Intune
  • Aggiunta al dominio Microsoft Entra ibrido
  • Certificati client

Per altre informazioni, vedere Dispositivi gestiti dall'identità con controllo app per l'accesso condizionale.

I problemi comuni di identificazione dei dispositivi che potrebbero verificarsi includono:

Dispositivi aggiunti Intune ibridi conformi o Microsoft Entra misidentified

Microsoft Entra l'accesso condizionale consente di passare direttamente a Defender for Cloud Apps le informazioni sul dispositivo aggiunto ibrido conformi Intune e Microsoft Entra. In Defender for Cloud Apps usare lo stato del dispositivo come filtro per i criteri di accesso o sessione.

Per altre informazioni, vedere Introduzione alla gestione dei dispositivi in Microsoft Entra ID.

Passaggi consigliati

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud.

  2. In Controllo app per l'accesso condizionale selezionare Identificazione del dispositivo. Questa pagina mostra le opzioni di identificazione del dispositivo disponibili in Defender for Cloud Apps.

  3. Per Intune rispettivamente l'identificazione del dispositivo conforme e Microsoft Entra'identificazione aggiunta ibrida, selezionare Visualizza configurazione e verificare che i servizi siano configurati. I servizi vengono sincronizzati automaticamente rispettivamente da Microsoft Entra ID e Intune.

  4. Creare un criterio di accesso o di sessione con il filtro Tag dispositivo uguale ad Azure AD ibrido aggiunto, Intune conforme o entrambi.

  5. In un browser accedere a un dispositivo Microsoft Entra aggiunto ibrido o Intune conforme in base al filtro dei criteri.

  6. Verificare che le attività di questi dispositivi popolano il log. Nella pagina Log attività di Defender for Cloud Apps filtrare in base al tag del dispositivo uguale a Aggiunto ad Azure AD ibrido, Intune conforme o entrambi in base ai filtri dei criteri.

  7. Se le attività non vengono popolate nel log attività Defender for Cloud Apps, passare a Microsoft Entra ID e seguire questa procedura:

    1. In Monitoraggio>degli accessi verificare che siano presenti attività di accesso nei log.

    2. Selezionare la voce di log pertinente per il dispositivo a cui è stato effettuato l'accesso.

    3. Nella scheda Informazioni dispositivo del riquadro Dettagli verificare che il dispositivo sia gestito (aggiunto ad Azure AD ibrido) o conforme (Intune conforme).

      Se non è possibile verificare uno stato, provare un'altra voce di log o verificare che i dati del dispositivo siano configurati correttamente in Microsoft Entra ID.

    4. Per l'accesso condizionale, alcuni browser potrebbero richiedere una configurazione aggiuntiva, ad esempio l'installazione di un'estensione. Per altre informazioni, vedere Supporto del browser per l'accesso condizionale.

    5. Se le informazioni sul dispositivo non vengono ancora visualizzate nella pagina Accessi, aprire un ticket di supporto per Microsoft Entra ID.

I certificati client non vengono richieste quando previsto

Il meccanismo di identificazione del dispositivo può richiedere l'autenticazione ai dispositivi pertinenti usando i certificati client. È possibile caricare un certificato dell'autorità di certificazione (CA) radice o intermedia X.509, formattato nel formato del certificato PEM.

I certificati devono contenere la chiave pubblica dell'autorità di certificazione, che viene quindi usata per firmare i certificati client presentati durante una sessione. Per altre informazioni, vedere Controllare la gestione dei dispositivi senza Microsoft Entra.

Passaggi consigliati

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud.

  2. In Controllo app per l'accesso condizionale selezionare Identificazione del dispositivo. Questa pagina mostra le opzioni di identificazione del dispositivo disponibili con Defender for Cloud Apps.

  3. Verificare di aver caricato un certificato CA radice O intermedio X.509. È necessario caricare il certificato ca usato per firmare per l'autorità di certificazione.

  4. Creare un criterio di accesso o sessione con il filtro Tag dispositivo uguale a Certificato client valido.

  5. Assicurarsi che il certificato client sia:

    • Distribuito usando il formato di file PKCS #12, in genere un'estensione p12 o pfx
    • Installato nell'archivio utenti, non nell'archivio dispositivi, del dispositivo in uso per il test

  6. Riavviare la sessione del browser.

  7. Quando si accede all'app protetta:

    • Verificare di essere reindirizzati alla sintassi URL seguente: <https://*.managed.access-control.cas.ms/aad_login>
    • Se si usa iOS, assicurarsi di usare il browser Safari.
    • Se si usa Firefox, è anche necessario aggiungere il certificato all'archivio certificati di Firefox. Tutti gli altri browser usano lo stesso archivio certificati predefinito.

  8. Verificare che il certificato client venga richiesto nel browser.

    Se non viene visualizzato, provare un browser diverso. La maggior parte dei browser principali supporta l'esecuzione di un controllo del certificato client. Tuttavia, le app per dispositivi mobili e desktop spesso usano browser predefiniti che potrebbero non supportare questo controllo e quindi influire sull'autenticazione per queste app.

  9. Verificare che le attività di questi dispositivi popolano il log. Nella pagina Log attività di Defender for Cloud Apps aggiungere un filtro in Tag dispositivo uguale a Certificato client valido.

  10. Se non viene ancora visualizzata la richiesta, aprire un ticket di supporto e includere le informazioni seguenti:

    • Dettagli del browser o dell'app nativa in cui si è verificato il problema
    • Versione del sistema operativo, ad esempio iOS/Android/Windows 10
    • Indicare se la richiesta funziona in Microsoft Edge Chromium

I certificati client vengono visualizzati a ogni accesso

Se il certificato client viene visualizzato dopo l'apertura di una nuova scheda, è possibile che ciò sia dovuto alle impostazioni nascoste in Opzioni Internet. Verificare le impostazioni nel browser. Ad esempio:

In Microsoft Internet Explorer:

  1. Aprire Internet Explorer e selezionare la scheda Strumenti>Opzioni> InternetAvanzate.
  2. In Sicurezza selezionare Non richiedere la selezione del certificato client quando esiste> un solo certificato Selezionare Applica>OK.
  3. Riavviare il browser e verificare che sia possibile accedere all'app senza i prompt aggiuntivi.

In Microsoft Edge/Edge Chromium:

  1. Aprire la ricerca dalla barra delle applicazioni e cercare Opzioni Internet.
  2. Selezionare Opzioni> InternetSicurezza>Intranet> localeLivello personalizzato.
  3. In Varie>Non richiedere la selezione del certificato client quando esiste un solo certificato selezionare Disabilita.
  4. Selezionare OK>Applica>OK.
  5. Riavviare il browser e verificare che sia possibile accedere all'app senza i prompt aggiuntivi.

Altre considerazioni sull'identificazione del dispositivo

Durante la risoluzione dei problemi relativi all'identificazione del dispositivo, è possibile richiedere la revoca del certificato per i certificati client.

I certificati revocati dalla CA non sono più attendibili. Per selezionare questa opzione è necessario che tutti i certificati passino il protocollo CRL. Se il certificato client non contiene un endpoint CRL, non è possibile connettersi dal dispositivo gestito.

Problemi durante l'onboarding di un'app

Microsoft Entra ID le app vengono caricate automaticamente in Defender for Cloud Apps per l'accesso condizionale e i controlli sessione. È necessario eseguire manualmente l'onboarding di app non Microsoft IdP, incluse le app sia del catalogo che delle app personalizzate.

Per altre informazioni, vedere:

Gli scenari comuni che potrebbero verificarsi durante l'onboarding di un'app includono:

L'app non viene visualizzata nella pagina app di controllo app per l'accesso condizionale

Quando si esegue l'onboarding di un'app IdP non Microsoft nel controllo dell'app di accesso condizionale, il passaggio finale della distribuzione consiste nel fare in modo che l'utente finale passi all'app. Eseguire i passaggi descritti in questa sezione se l'app non viene visualizzata nella pagina Impostazioni > app > cloud App connesse App connesse > Controllo app previsto.

Passaggi consigliati

  1. Verificare che l'app soddisfi i prerequisiti di controllo dell'app per l'accesso condizionale seguenti:

    • Assicurarsi di avere una licenza di Defender for Cloud Apps valida.
    • Creare un'app duplicata.
    • Assicurarsi che l'app usi il protocollo SAML.
    • Verificare di aver completato l'onboarding dell'app e che lo stato dell'app sia Connesso.

  2. Assicurarsi di passare all'app in una nuova sessione del browser usando una nuova modalità in incognito o eseguendo di nuovo l'accesso.

Nota

Le app Entra ID vengono visualizzate nella pagina Controllo app per l'accesso condizionale solo dopo che sono state configurate in almeno un criterio o se si dispone di un criterio senza alcuna specifica dell'app e un utente ha eseguito l'accesso all'app.

Stato dell'app: Continuare l'installazione

Lo stato di un'app può variare e può includere Continua installazione, Connesso o Nessuna attività.

Per le app connesse tramite provider di identità non Microsoft (IdP), se la configurazione non è completa, quando si accede all'app viene visualizzata una pagina con lo stato Continua installazione. Per completare l'installazione, seguire questa procedura.

Passaggi consigliati

  1. Selezionare Continua installazione.

  2. Esaminare gli articoli seguenti e verificare di aver completato tutti i passaggi necessari:

    Prestare particolare attenzione ai passaggi seguenti:

    1. Assicurarsi di creare una nuova app SAML personalizzata. Questa app deve modificare gli URL e gli attributi SAML che potrebbero non essere disponibili nelle app della raccolta.
    2. Se il provider di identità non consente il riutilizzo dello stesso identificatore, noto anche come ID entità o gruppo di destinatari, modificare l'identificatore dell'app originale.

Non è possibile configurare i controlli per le app predefinite

Le app predefinite possono essere rilevate in modo euristico ed è possibile usare i criteri di accesso per monitorarle o bloccarle. Usare la procedura seguente per configurare i controlli per le app native.

Passaggi consigliati

  1. In un criterio di accesso aggiungere un filtro dell'app client e impostarlo su Mobile e desktop.

  2. In Azioni selezionare Blocca.

  3. Facoltativamente, personalizzare il messaggio di blocco che gli utenti ricevono quando non sono in grado di scaricare i file. Ad esempio, personalizzare questo messaggio in È necessario usare un Web browser per accedere a questa app.

  4. Testare e verificare che il controllo funzioni come previsto.

Viene visualizzata la pagina App non riconosciuta

Defender for Cloud Apps è in grado di riconoscere oltre 31.000 app tramite il catalogo di app cloud.

Se si usa un'app personalizzata configurata tramite Microsoft Entra'accesso SSO e non è una delle app supportate, viene visualizzata una pagina App non riconosciuta. Per risolvere il problema, è necessario configurare l'app con il controllo dell'app di accesso condizionale.

Passaggi consigliati

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud. In App connesse selezionare App di controllo app per l'accesso condizionale.

  2. Nel banner selezionare Visualizza nuove app.

  3. Nell'elenco delle nuove app individuare l'app di cui si sta eseguendo l'onboarding, selezionare il + segno e quindi selezionare Aggiungi.

    1. Selezionare se l'app è un'app personalizzata o standard .
    2. Continuare con la procedura guidata, assicurarsi che i domini definiti dall'utente specificati siano corretti per l'app che si sta configurando.

  4. Verificare che l'app sia visualizzata nella pagina App di controllo app per l'accesso condizionale .

Viene visualizzata l'opzione Richiedi controllo sessione

Dopo l'onboarding di un'app IdP non Microsoft, è possibile che venga visualizzata l'opzione Richiedi controllo sessione . Ciò si verifica perché solo le app del catalogo hanno controlli di sessione predefiniti. Per qualsiasi altra app, è necessario eseguire un processo di onboarding automatico.

Seguire le istruzioni riportate in Distribuire il controllo app per l'accesso condizionale per le app personalizzate con indirizzi IP non Microsoft.

Passaggi consigliati

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud.

  2. In Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.

  3. Immettere il nome o il messaggio di posta elettronica dell'entità per l'utente che eseguirà l'onboarding dell'app e quindi selezionare Salva.

  4. Passare all'app che si sta distribuendo. La pagina visualizzata dipende dal riconoscimento dell'app. Eseguire una delle operazioni seguenti, a seconda della pagina visualizzata:

    • Non riconosciuto. Viene visualizzata una pagina App non riconosciuta che richiede di configurare l'app. Seguire questa procedura:

      1. Eseguire l'onboarding dell'app per il controllo dell'app di accesso condizionale.
      2. Aggiungere i domini per l'app.
      3. Installare i certificati dell'app.

    • Riconosciuto. Se l'app viene riconosciuta, viene visualizzata una pagina di onboarding che richiede di continuare il processo di configurazione dell'app.

      Verificare che l'app sia configurata con tutti i domini necessari per il corretto funzionamento dell'app e quindi tornare alla pagina dell'app.

Altre considerazioni per l'onboarding delle app

Durante la risoluzione dei problemi per l'onboarding delle app, è necessario considerare alcuni aspetti aggiuntivi.

  • Comprendere la differenza tra le impostazioni dei criteri di accesso condizionale Microsoft Entra: "Solo monitoraggio", "Blocca download" e "Usa criteri personalizzati"

    In Microsoft Entra criteri di accesso condizionale è possibile configurare i controlli di Defender for Cloud Apps predefiniti seguenti: Solo monitoraggio e Blocca download. Queste impostazioni applicano e applicano la funzionalità proxy Defender for Cloud Apps per le app cloud e le condizioni configurate in Microsoft Entra ID.

    Per criteri più complessi, selezionare Usa criteri personalizzati, che consente di configurare i criteri di accesso e sessione in Defender for Cloud Apps.

  • Informazioni sull'opzione di filtro dell'app client "Mobile e desktop" nei criteri di accesso

    In Defender for Cloud Apps criteri di accesso, a meno che il filtro dell'app client non sia impostato su Mobile e desktop, i criteri di accesso risultanti si applicano alle sessioni del browser.

    Il motivo è quello di impedire inavvertitamente il proxy delle sessioni utente, che potrebbe essere un sottoprodotto dell'uso di questo filtro.

Problemi durante la creazione di criteri di accesso e sessione

Defender for Cloud Apps fornisce i criteri configurabili seguenti:

  • Criteri di accesso: usato per monitorare o bloccare l'accesso alle app browser, per dispositivi mobili e/o desktop.
  • Criteri della sessione. Usato per monitorare, bloccare ed eseguire azioni specifiche per impedire scenari di infiltrazione ed esfiltrazione dei dati nel browser.

Per usare questi criteri in Defender for Cloud Apps, è necessario innanzitutto configurare un criterio in Microsoft Entra l'accesso condizionale per estendere i controlli sessione:

  1. Nel criterio Microsoft Entra, in Controlli di accesso selezionare Uso sessione>Controllo app per l'accesso condizionale.

  2. Selezionare un criterio predefinito (solo monitoraggio o Blocca download) o Usare criteri personalizzati per impostare un criterio avanzato in Defender for Cloud Apps.

  3. Selezionare Seleziona per continuare.

Gli scenari comuni che potrebbero verificarsi durante la configurazione di questi criteri includono:

Nei criteri di accesso condizionale non è possibile visualizzare l'opzione di controllo dell'app per l'accesso condizionale

Per instradare le sessioni a Defender for Cloud Apps, è necessario configurare Microsoft Entra criteri di accesso condizionale per includere i controlli sessione di controllo delle app per l'accesso condizionale.

Passaggi consigliati

Se l'opzione Controllo app per l'accesso condizionale non viene visualizzata nei criteri di accesso condizionale, assicurarsi di avere una licenza valida per Microsoft Entra ID P1 e una licenza di Defender for Cloud Apps valida.

Messaggio di errore durante la creazione di un criterio: non sono state distribuite app con il controllo dell'app per l'accesso condizionale

Quando si creano criteri di accesso o sessione, è possibile che venga visualizzato il messaggio di errore seguente: Non sono state distribuite app con il controllo app per l'accesso condizionale. Questo errore indica che l'app è un'app IdP non Microsoft che non è stata onboarding per il controllo dell'app di accesso condizionale.

Passaggi consigliati

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud. In App connesse selezionare App di controllo app per l'accesso condizionale.

  2. Se viene visualizzato il messaggio Nessuna app connessa, usare le guide seguenti per distribuire le app:

Se si verificano problemi durante la distribuzione dell'app, vedere Problemi durante l'onboarding di un'app.

Non è possibile creare criteri di sessione per un'app

Dopo aver eseguito l'onboarding di un'app IdP non Microsoft per il controllo dell'app per l'accesso condizionale, nella pagina App controllo app per l'accesso condizionale è possibile che venga visualizzata l'opzione: Richiedi controllo sessione.

Nota

Le app del catalogo hanno controlli di sessione predefiniti. Per qualsiasi altra app IdP non Microsoft, è necessario eseguire un processo di onboarding automatico. Passaggi consigliati

  1. Distribuire l'app nel controllo sessione. Per altre informazioni, vedere Eseguire l'onboarding di app personalizzate non Microsoft IdP per il controllo delle app per l'accesso condizionale.

  2. Creare un criterio di sessione e selezionare il filtro app .

  3. Assicurarsi che l'app sia ora elencata nell'elenco a discesa.

Non è possibile scegliere Il metodo di ispezione: Servizio di classificazione dei dati

Nei criteri di sessione, quando si usa il tipo di controllo di sessione Download file di controllo (con ispezione), è possibile usare il metodo di ispezione del servizio di classificazione dati per analizzare i file in tempo reale e rilevare il contenuto sensibile corrispondente a uno dei criteri configurati.

Se il metodo di ispezione del servizio di classificazione dati non è disponibile, seguire questa procedura per analizzare il problema.

Passaggi consigliati

  1. Verificare che il tipo di controllo Sessione sia impostato su Download file di controllo (con ispezione).

    Nota

    Il metodo di ispezione del servizio di classificazione dati è disponibile solo per l'opzione Download file di controllo (con ispezione).

  2. Determinare se la funzionalità Servizio di classificazione dati è disponibile nell'area:

    • Se la funzionalità non è disponibile nell'area, usare il metodo di ispezione DLP predefinito .
    • Se la funzionalità è disponibile nell'area, ma non è ancora possibile visualizzare il metodo di ispezione del servizio di classificazione dei dati , aprire un ticket di supporto.

Non è possibile scegliere Azione: Proteggi

Nei criteri di sessione, quando si usa il tipo di controllo sessione Download file di controllo (con ispezione), oltre alle azioni Monitoraggio e Blocca , è possibile specificare l'azione Proteggi . Questa azione consente di consentire il download di file con l'opzione per crittografare o applicare le autorizzazioni al file in base a condizioni, ispezione del contenuto o entrambi.

Se l'azione Proteggi non è disponibile, seguire questa procedura per analizzare il problema.

Passaggi consigliati

  1. Se l'azione Proteggi non è disponibile o è disattivata, verificare di avere una licenza di Microsoft Purview. Per altre informazioni, vedere integrazione Microsoft Purview Information Protection.

  2. Se l'azione Proteggi è disponibile, ma non vengono visualizzati le etichette appropriate.

    1. Nella barra dei menu Defender for Cloud Apps selezionare l'icona > delle impostazioni Microsoft Information Protection e verificare che l'integrazione sia abilitata.

    2. Per le etichette di Office, nel portale di Microsoft Purview verificare che sia selezionata l'opzione Etichettatura unificata .

Diagnosticare e risolvere i problemi con la barra degli strumenti Visualizzazione Amministrazione

La barra degli strumenti Amministrazione Visualizza si trova nella parte inferiore dello schermo e fornisce agli utenti amministratori gli strumenti per diagnosticare e risolvere i problemi relativi al controllo dell'app per l'accesso condizionale.

Per visualizzare la barra degli strumenti Visualizza Amministrazione, è necessario assicurarsi di aggiungere account utente amministratore specifici all'elenco Onboarding/manutenzione delle app nelle impostazioni di Microsoft Defender XDR.

Per aggiungere un utente all'elenco di onboarding/manutenzione delle app:

  1. In Microsoft Defender XDR selezionare Impostazioni>App cloud.

  2. Scorrere verso il basso e in Controllo app per l'accesso condizionale selezionare Onboarding/manutenzione delle app.

  3. Immettere il nome dell'entità o l'indirizzo di posta elettronica per l'utente amministratore da aggiungere.

  4. Selezionare l'opzione Abilita questi utenti per ignorare Il controllo app per l'accesso condizionale dall'interno di una sessione proxy e quindi selezionare Salva.

    Ad esempio:

    Screenshot delle impostazioni di onboarding/manutenzione delle app.

La volta successiva che uno degli utenti elencati avvia una nuova sessione in un'app supportata in cui è un amministratore, la barra degli strumenti Amministrazione Visualizza viene visualizzata nella parte inferiore del browser.

Ad esempio, l'immagine seguente mostra la barra degli strumenti Amministrazione Visualizza visualizzata nella parte inferiore di una finestra del browser quando si usa OneNote nel browser:

Screenshot della barra degli strumenti Amministrazione Visualizza.

Le sezioni seguenti descrivono come usare la barra degli strumenti Amministrazione Visualizza per testare e risolvere i problemi.

Modalità di test

Un utente amministratore potrebbe voler testare le correzioni di bug del proxy imminenti prima che la versione più recente venga distribuita completamente a tutti i tenant. Fornire commenti e suggerimenti sulla correzione di bug al team di supporto Microsoft per velocizzare i cicli di rilascio.

Quando si usa la modalità di test, solo gli utenti amministratori vengono esposti alle modifiche fornite nelle correzioni di bug. Non vi è alcun effetto su altri utenti.

  • Per attivare la modalità di test, nella barra degli strumenti Amministrazione Visualizza selezionare Modalità test.
  • Al termine del test, selezionare End Test Mode (Modalità di test finale) per tornare alle normali funzionalità.

Ignorare la sessione proxy

Se si usa un browser non Edge e si verificano difficoltà nell'accesso o nel caricamento dell'applicazione, è possibile verificare se il problema riguarda il proxy di accesso condizionale eseguendo l'applicazione senza il proxy.

Per ignorare il proxy, nella barra degli strumenti Amministrazione Visualizza selezionare Ignora esperienza. Verificare che la sessione venga ignorata notando che l'URL non è suffisso.

Il proxy di accesso condizionale viene usato di nuovo nella sessione successiva.

Per altre informazioni, vedere Microsoft Defender for Cloud Apps controllo delle app per l'accesso condizionale e protezione nel browser con Microsoft Edge for Business (anteprima).For more information, see Microsoft Defender for Cloud Apps Conditional Access app control and In-browser protection with Microsoft Edge for Business (Preview).

Secondo accesso (noto anche come 'secondo accesso')

Alcune applicazioni hanno più di un collegamento diretto per l'accesso. A meno che non si definiscano i collegamenti di accesso nelle impostazioni dell'app, gli utenti potrebbero essere reindirizzati a una pagina non riconosciuta quando accedono, bloccando l'accesso.

L'integrazione tra indirizzi IP, ad esempio Microsoft Entra ID, si basa sull'intercettazione dell'accesso di un'app e sul reindirizzamento. Ciò significa che gli accessi al browser non possono essere controllati direttamente senza attivare un secondo accesso. Per attivare un secondo accesso, è necessario usare un secondo URL di accesso specifico a tale scopo.

Se l'app usa un nonce, il secondo accesso potrebbe essere trasparente per gli utenti oppure viene richiesto di eseguire di nuovo l'accesso.

Se non è trasparente per l'utente finale, aggiungere il secondo URL di accesso alle impostazioni dell'app:

Passare a Impostazioni > App cloud App >> connesse Accesso condizionale App di controllo app

Selezionare l'app pertinente e quindi i tre puntini.

Selezionare Modifica app\Configurazione di accesso avanzata.

Aggiungere il secondo URL di accesso come indicato nella pagina di errore.

Se si è certi che l'app non usi un nonce, è possibile disabilitare questa impostazione modificando le impostazioni delle app come descritto in Accessi lenti.

Registrare una sessione

È possibile che si voglia aiutare l'analisi della causa radice di un problema inviando una registrazione di sessione ai tecnici del supporto tecnico Microsoft. Usare la barra degli strumenti Amministrazione Visualizza per registrare la sessione.

Nota

Tutti i dati personali vengono rimossi dalle registrazioni.

Per registrare una sessione:

  1. Nella barra degli strumenti Amministrazione Visualizza selezionare Sessione di record. Quando richiesto, selezionare Continua per accettare le condizioni. Ad esempio:

    Screenshot della finestra di dialogo informativa sulla privacy per la registrazione della sessione.

  2. Se necessario, accedere all'app per iniziare a simulare la sessione.

  3. Al termine della registrazione dello scenario, assicurarsi di selezionare Interrompi registrazione nella barra degli strumenti Amministrazione Visualizza.

Per visualizzare le sessioni registrate:

Al termine della registrazione, visualizzare le sessioni registrate selezionando Registrazioni sessione dalla barra degli strumenti Amministrazione Visualizza. Viene visualizzato un elenco di sessioni registrate delle 48 ore precedenti. Ad esempio:

Screenshot delle registrazioni di sessione.

Per gestire le registrazioni, selezionare un file e quindi selezionare Elimina o Scarica in base alle esigenze. Ad esempio:

Screenshot del download o dell'eliminazione di una registrazione.

Aggiungere domini per l'app

L'associazione dei domini corretti a un'app consente a Defender for Cloud Apps di applicare criteri e attività di controllo.

Ad esempio, se è stato configurato un criterio che blocca il download di file per un dominio associato, i download di file dall'app da tale dominio verranno bloccati. Tuttavia, i download di file da parte dell'app da domini non associati all'app non verranno bloccati e l'azione non verrà verificata nel log attività.

Se un amministratore passa in un'app proxy a un dominio non riconosciuto, tale Defender for Cloud Apps non considera una parte della stessa app o di qualsiasi altra app, viene visualizzato il messaggio Dominio non riconosciuto che richiede all'amministratore di aggiungere il dominio in modo che sia protetto la volta successiva. In questi casi, se l'amministratore non vuole aggiungere il dominio, non è necessaria alcuna azione.

Nota

Defender for Cloud Apps aggiunge comunque un suffisso ai domini non associati all'app per garantire un'esperienza utente senza problemi.

Per aggiungere domini per l'app:

  1. Aprire l'app in un browser, con la barra degli strumenti Defender for Cloud Apps Amministrazione Visualizza visibile sullo schermo.

  2. Nella barra degli strumenti Amministrazione Visualizza selezionare Domini individuati.

  3. Nel riquadro Domini individuati prendere nota dei nomi di dominio elencati oppure esportare l'elenco come file .csv.

    Il riquadro Domini individuati mostra un elenco di tutti i domini non associati all'app. I nomi di dominio sono completi.

  4. In Microsoft Defender XDR selezionare Impostazioni>App cloud App>connesse App>connesse App con accesso condizionale App di controllo app.

  5. Individuare l'app nella tabella. Selezionare il menu delle opzioni a destra e quindi selezionare Modifica app.

  6. Nel campo Domini definiti dall'utente immettere i domini da associare a questa app.

    • Per visualizzare l'elenco di domini già configurati nell'app, selezionare il collegamento Visualizza domini app .

    • Quando si aggiungono domini, valutare se si desidera aggiungere domini specifici o usare un asterisco (***** come carattere jolly per usare più domini contemporaneamente.

      Ad esempio, sub1.contoso.com,sub2.contoso.com sono esempi di domini specifici. Per aggiungere entrambi questi domini contemporaneamente, nonché altri domini di pari livello, usare *.contoso.com.

Per altre informazioni, vedere Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale.

Contenuto correlato