Partilhar via


Resolução de problemas de acesso e controlos de sessão para utilizadores finais

Este artigo fornece aos administradores Microsoft Defender for Cloud Apps orientações sobre como investigar e resolver problemas comuns de acesso e controlo de sessão, conforme experimentado pelos utilizadores finais.

Verificar os requisitos mínimos

Antes de começar a resolução de problemas, certifique-se de que o seu ambiente cumpre os seguintes requisitos gerais mínimos para controlos de acesso e sessão.

Requisito Descrição
Licenciamento Certifique-se de que tem uma licença válida para Microsoft Defender for Cloud Apps.
Sign-On único (SSO) As aplicações têm de ser configuradas com uma das soluções de início de sessão único (SSO) suportadas:

- Microsoft Entra ID com SAML 2.0 ou OpenID Connect 2.0
- IdP não Microsoft com SAML 2.0
Suporte do browser Os controlos de sessão estão disponíveis para sessões baseadas no browser nas versões mais recentes dos seguintes browsers:

- Microsoft Edge
- Google Chrome
- Mozilla Firefox
- Apple Safari

A proteção no browser para o Microsoft Edge também tem requisitos específicos, incluindo o utilizador que iniciou sessão com o respetivo perfil de trabalho. Para obter mais informações, veja Requisitos de proteção no browser.
Tempo de inatividade Defender for Cloud Apps permite-lhe definir o comportamento predefinido a aplicar se existir uma interrupção do serviço, como um componente que não está a funcionar corretamente.

Por exemplo, pode optar por proteger (bloquear) ou ignorar (permitir) que os utilizadores efetuem ações em conteúdos potencialmente confidenciais quando os controlos de política normais não podem ser impostos.

Para configurar o comportamento predefinido durante o período de inatividade do sistema, no Microsoft Defender XDR, aceda a Definições Comportamentopredefinido>do Controlo> de Aplicações> de Acesso CondicionalPermitir ou Bloquear acesso.

A página de monitorização do utilizador não está a aparecer

Ao encaminhar um utilizador através do Defender for Cloud Apps, pode notificar o utilizador de que a sessão é monitorizada. Por predefinição, a página de monitorização do utilizador está ativada.

Esta secção descreve os passos de resolução de problemas que recomendamos que efetue se a página de monitorização do utilizador estiver ativada, mas não for apresentada como esperado.

Passos recomendados

  1. No Portal Microsoft Defender, selecione Definições Aplicações> naCloud.

  2. Em Controlo de aplicações de acesso condicional, selecione Monitorização de utilizadores. Esta página mostra as opções de monitorização de utilizadores disponíveis no Defender for Cloud Apps. Por exemplo:

    Captura de ecrã a mostrar as opções de monitorização do utilizador.

  3. Verifique se a opção Notificar os utilizadores de que a atividade está a ser monitorizada está selecionada.

  4. Selecione se pretende utilizar a mensagem predefinida ou fornecer uma mensagem personalizada:

    Tipo de mensagem Detalhes
    Predefinição Cabeçalho:
    O acesso a [Nome da Aplicação Aparecerá Aqui] é monitorizado
    Corpo:
    Para uma segurança melhorada, a sua organização permite o acesso a [O Nome da Aplicação aparecerá aqui] no modo de monitorização. O Access só está disponível a partir de um browser.
    Personalizado Cabeçalho:
    Utilize esta caixa para fornecer um cabeçalho personalizado para informar os utilizadores de que estão a ser monitorizados.
    Corpo:
    Utilize esta caixa para adicionar outras informações personalizadas ao utilizador, como quem contactar com perguntas e suporta as seguintes entradas: texto simples, texto formatado, hiperligações.
  5. Selecione Pré-visualizar para verificar a página de monitorização do utilizador que aparece antes de aceder a uma aplicação.

  6. Seleccione Guardar.

Não é possível aceder à aplicação a partir de um Fornecedor de Identidade não Microsoft

Se um utilizador final receber uma falha geral depois de iniciar sessão numa aplicação a partir de um Fornecedor de Identidade que não seja da Microsoft, valide a configuração de IdP que não seja da Microsoft.

Passos recomendados

  1. No Portal Microsoft Defender, selecione Definições Aplicações> naCloud.

  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  3. Na lista de aplicações, na linha à qual a aplicação à qual não pode aceder é apresentada, selecione as reticências no final da linha e, em seguida, selecione Editar aplicação.

  4. Confirme que o certificado SAML que foi carregado está correto.

    1. Verifique se são fornecidos URLs de SSO válidos na configuração da aplicação.

    2. Confirme que os atributos e valores na aplicação personalizada são refletidos nas definições do fornecedor de identidade.

    Por exemplo:

    Captura de ecrã a mostrar a página de informações SAML.

  5. Se, mesmo assim, não conseguir aceder à aplicação, abra um pedido de suporte.

É apresentada a página Algo Correu Mal

Por vezes, durante uma sessão com eixo, a página Algo Correu Mal pode aparecer. Isto pode acontecer quando:

  • Um utilizador inicia sessão depois de estar inativo durante algum tempo
  • Atualizar o browser e o carregamento da página demora mais tempo do que o esperado
  • A aplicação IdP não microsoft não está configurada corretamente

Passos recomendados

  1. Se o utilizador final estiver a tentar aceder a uma aplicação configurada com um IdP que não seja da Microsoft, consulte Não é possível aceder à aplicação a partir de um IdP não Microsoft e Estado da aplicação: Continuar a Configuração.

  2. Se o utilizador final tiver chegado inesperadamente a esta página, faça o seguinte:

    1. Reinicie a sessão do browser.
    2. Limpe o histórico, os cookies e a cache do browser.

As ações da área de transferência ou os controlos de ficheiros não estão a ser bloqueados

A capacidade de bloquear ações da área de transferência, como controlos cortar, copiar, colar e ficheiros, como transferir, carregar e imprimir, é necessária para impedir a transferência de dados e cenários de infiltração.

Esta capacidade permite que as empresas equilibrem a segurança e a produtividade dos utilizadores finais. Se estiver a ter problemas com estas funcionalidades, utilize os seguintes passos para investigar o problema.

Passos recomendados

Se a sessão estiver a ser proxiada, utilize os seguintes passos para verificar a política:

  1. No portal do Microsoft Defender, em Aplicações na Cloud, selecione Registo de atividades.

  2. Utilize o filtro avançado, selecione Ação aplicada e defina o valor igual a Bloqueado.

  3. Verifique se existem atividades de ficheiros bloqueadas:

    1. Se existir uma atividade, expanda a gaveta de atividade ao clicar na atividade.

    2. No separador Geral da gaveta de atividades, selecione a ligação políticas correspondentes para verificar se a política imposta está presente.

    3. Se não vir a política, veja Problemas ao criar políticas de acesso e sessão.

    4. Se vir Acesso bloqueado/permitido devido ao Comportamento Predefinido, tal indica que o sistema estava inativo e que o comportamento predefinido foi aplicado.

      1. Para alterar o comportamento predefinido, no Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em seguida, em Controlo de Aplicações de Acesso Condicional, selecione Comportamento Predefinido e defina o comportamento predefinido como Permitir ou Bloquear acesso.

      2. Aceda ao portal de administração do Microsoft 365 e monitorize as notificações sobre o tempo de inatividade do sistema.

  4. Se ainda não conseguir ver a atividade bloqueada, abra um pedido de suporte.

As transferências não estão a ser protegidas

Enquanto utilizador final, pode ser necessário transferir dados confidenciais num dispositivo não gerido. Nestes cenários, pode proteger documentos com Proteção de Informações do Microsoft Purview.

Se o utilizador final não conseguir encriptar o documento com êxito, utilize os seguintes passos para investigar o problema.

Passos recomendados

  1. No portal do Microsoft Defender, em Aplicações na Cloud, selecione Registo de atividades.

  2. Utilize o filtro avançado, selecione Ação aplicada e defina o valor igual a Protegido.

  3. Verifique se existem atividades de ficheiros bloqueadas:

    1. Se existir uma atividade, expanda a gaveta de atividade ao clicar na atividade

    2. No separador Geral da gaveta de atividades, selecione a ligação políticas correspondentes para verificar se a política imposta está presente.

    3. Se não vir a política, veja Problemas ao criar políticas de acesso e sessão.

    4. Se vir Acesso bloqueado/permitido devido ao Comportamento Predefinido, tal indica que o sistema estava inativo e que o comportamento predefinido foi aplicado.

      1. Para alterar o comportamento predefinido, no Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em seguida, em Controlo de Aplicações de Acesso Condicional, selecione Comportamento Predefinido e defina o comportamento predefinido como Permitir ou Bloquear acesso.

      2. Aceda ao Dashboard do Estado de Funcionamento do Serviço do Microsoft 365 e monitorize as notificações sobre o tempo de inatividade do sistema.

    5. Se estiver a proteger o ficheiro com uma etiqueta de confidencialidade ou permissões personalizadas, na Descrição da atividade, certifique-se de que a extensão de ficheiro é um dos seguintes tipos de ficheiro suportados:

      • Word: docm, docx, dotm, dotx

      • Excel: xlam, xlsm, xlsx, xltx

      • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx

      • PDF se a Etiquetagem Unificada estiver ativada

    Se o tipo de ficheiro não for suportado, na política de sessão, pode selecionar Bloquear a transferência de qualquer ficheiro que não seja suportado pela proteção nativa ou em que a proteção nativa não tenha êxito.

  4. Se ainda não conseguir ver a atividade bloqueada, abra um pedido de suporte.

Em alguns cenários, navegar para uma ligação pode resultar na aterragem do utilizador na home page da aplicação em vez do caminho completo da ligação.

Sugestão

Defender for Cloud Apps mantém uma lista de aplicações que são conhecidas por sofrerem de perda de contexto. Para obter mais informações, veja Limitações de perda de contexto.

Passos recomendados

Se estiver a utilizar um browser que não seja o Microsoft Edge e um utilizador aceder à home page da aplicação em vez do caminho completo da ligação, resolva o problema ao acrescentar .mcas.ms ao URL original.

Por exemplo, se o URL original for:

https://www.github.com/organization/threads/threadnumber, altere-o para https://www.github.com.mcas.ms/organization/threads/threadnumber

Os utilizadores do Microsoft Edge beneficiam da proteção no browser, não são redirecionados para um proxy inverso e não devem precisar do .mcas.ms sufixo adicionado. Para aplicações com perda de contexto, abra um pedido de suporte.

Bloquear transferências faz com que as pré-visualizações de PDF sejam bloqueadas

Ocasionalmente, quando pré-visualiza ou imprime ficheiros PDF, as aplicações iniciam uma transferência do ficheiro. Isto faz com que Defender for Cloud Apps intervenha para garantir que a transferência está bloqueada e que os dados não são divulgados a partir do seu ambiente.

Por exemplo, se tiver criado uma política de sessão para bloquear transferências para o Outlook Web Access (OWA), a pré-visualização ou impressão de ficheiros PDF poderá ser bloqueada, com uma mensagem como esta:

Captura de ecrã a mostrar uma mensagem Transferência bloqueada.

Para permitir a pré-visualização, um administrador do Exchange deve executar os seguintes passos:

  1. Transfira o Módulo Exchange Online PowerShell.

  2. Ligue-se ao módulo. Para obter mais informações, consulte Ligar ao PowerShell do Exchange Online.

  3. Depois de se ligar ao Exchange Online PowerShell, utilize o cmdlet Set-OwaMailboxPolicy para atualizar os parâmetros na política:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -DirectFileAccessOnPrivateComputersEnabled $false -DirectFileAccessOnPublicComputersEnabled $false
    

    Nota

    A política OwaMailboxPolicy-Default é o nome da política OWA predefinido no Exchange Online. Alguns clientes podem ter implementado ou criado uma política OWA personalizada com um nome diferente. Se tiver várias políticas OWA, estas poderão ser aplicadas a utilizadores específicos. Por conseguinte, também terá de atualizá-los para ter cobertura completa.

  4. Depois de definir estes parâmetros, execute um teste no OWA com um ficheiro PDF e uma política de sessão configurada para bloquear transferências. A opção Transferir deve ser removida da lista pendente e pode pré-visualizar o ficheiro. Por exemplo:

    Captura de ecrã de uma pré-visualização de PDF não bloqueada.

É apresentado um aviso de site semelhante

Os atores maliciosos podem criar URLs semelhantes aos URLs de outros sites para representar e enganar os utilizadores a acreditarem que estão a navegar para outro site. Alguns browsers tentam detetar este comportamento e avisam os utilizadores antes de acederem ao URL ou bloquearem o acesso.

Em alguns casos raros, os utilizadores sob controlo de sessão recebem uma mensagem do browser a indicar o acesso suspeito ao site. O motivo para tal é que o browser trata o domínio sufixo (por exemplo: .mcas.ms) como suspeito.

Esta mensagem só é apresentada para os utilizadores do Chrome, uma vez que os utilizadores do Microsoft Edge beneficiam da proteção no browser, sem a arquitetura de proxy inverso. Por exemplo:

Captura de ecrã a mostrar um aviso de site semelhante no Chrome.

Se receber uma mensagem como esta, contacte o suporte da Microsoft para o resolver com o fornecedor do browser relevante.

Mais considerações sobre a resolução de problemas de aplicações

Ao resolver problemas com aplicações, existem mais alguns aspetos a considerar:

  • O suporte de controlos de sessão para browsers modernos Defender for Cloud Apps controlos de sessão inclui agora suporte para o novo browser Microsoft Edge com base no Chromium. Embora continuemos a suportar as versões mais recentes do Internet Explorer e a versão legada do Microsoft Edge, o suporte é limitado e recomendamos que utilize o novo browser Microsoft Edge.

  • Os controlos de sessão protegem a limitação Co-Auth etiquetagem na ação "proteger" não é suportada por controlos de sessão Defender for Cloud Apps. Para obter mais informações, veja Ativar a cocriação para ficheiros encriptados com etiquetas de confidencialidade.