Controlo de aplicações de Acesso Condicional no Microsoft Defender para Aplicativos de Nuvem
No local de trabalho de hoje, não basta saber o que aconteceu no seu ambiente de cloud após o facto. Tem de parar as falhas e fugas em tempo real. Também tem de impedir que os funcionários coloquem intencional ou acidentalmente os seus dados e organização em risco.
Quer suportar os utilizadores na sua organização enquanto utilizam as melhores aplicações na cloud disponíveis e trazem os seus próprios dispositivos para o trabalho. No entanto, também precisa de ferramentas para proteger a sua organização contra fugas de dados e roubo em tempo real. Microsoft Defender para Aplicativos de Nuvem integra-se com qualquer fornecedor de identidade (IdP) para fornecer esta proteção com políticas de acesso e sessão.
Por exemplo:
Utilize políticas de acesso para:
- Bloquear o acesso ao Salesforce para utilizadores de dispositivos não geridos.
- Bloquear o acesso ao Dropbox para clientes nativos.
Utilize políticas de sessão para:
- Bloquear transferências de ficheiros confidenciais do OneDrive para dispositivos não geridos.
- Bloquear carregamentos de ficheiros de software maligno para o SharePoint Online.
Os utilizadores do Microsoft Edge beneficiam da proteção direta no browser. Um ícone de bloqueio 
na barra de endereço do browser indica esta proteção.
Os utilizadores de outros browsers são redirecionados através do proxy inverso para Defender para Aplicativos de Nuvem. Esses browsers apresentam um *.mcas.ms sufixo no URL da ligação. Por exemplo, se o URL da aplicação for myapp.com, o URL da aplicação é atualizado para myapp.com.mcas.ms.
Este artigo descreve o controlo de aplicações de Acesso Condicional no Defender para Aplicativos de Nuvem através Microsoft Entra políticas de Acesso Condicional.
Atividades no controlo de aplicações de Acesso Condicional
O controlo de aplicações de Acesso Condicional utiliza políticas de acesso e políticas de sessão para monitorizar e controlar o acesso e as sessões da aplicação do utilizador em tempo real, em toda a sua organização.
Cada política tem condições para definir a quem (que utilizador ou grupo de utilizadores), o quê (que aplicações na cloud) e onde (a que localizações e redes) a política é aplicada. Depois de determinar as condições, encaminhe os seus utilizadores primeiro para Defender para Aplicativos de Nuvem. Aí, pode aplicar os controlos de acesso e sessão para ajudar a proteger os seus dados.
As políticas de acesso e sessão incluem os seguintes tipos de atividades:
| Atividade | Descrição |
|---|---|
| Impedir a transferência de dados não autorizada | Bloquear a transferência, cortar, copiar e imprimir documentos confidenciais em (por exemplo) dispositivos não geridos. |
| Exigir contexto de autenticação | Reavalie Microsoft Entra políticas de Acesso Condicional quando ocorre uma ação confidencial na sessão, como a necessidade de autenticação multifator. |
| Proteger no download | Em vez de bloquear a transferência de documentos confidenciais, exija que os documentos sejam etiquetados e encriptados quando se integra com Proteção de Informações do Microsoft Purview. Esta ação ajuda a proteger o documento e a restringir o acesso dos utilizadores numa sessão potencialmente arriscada. |
| Impedir o carregamento de ficheiros sem etiqueta | Certifique-se de que o carregamento de ficheiros não etiquetados com conteúdo confidencial é bloqueado até que o utilizador classifique o conteúdo. Antes de um utilizador carregar, distribuir ou utilizar um ficheiro confidencial, o ficheiro tem de ter a etiqueta definida pela política da sua organização. |
| Bloquear software maligno potencial | Ajude a proteger o seu ambiente contra software maligno ao bloquear o carregamento de ficheiros potencialmente maliciosos. Qualquer ficheiro que um utilizador tente carregar ou transferir pode ser analisado em relação ao Microsoft Threat Intelligence e bloqueado instantaneamente. |
| Monitorizar as sessões de conformidade do utilizador | Investigue e analise o comportamento do utilizador para compreender onde e em que condições, as políticas de sessão devem ser aplicadas no futuro. Os utilizadores de risco são monitorizados quando iniciam sessão em aplicações e as respetivas ações são registadas a partir da sessão. |
| Bloquear acesso | Bloqueie granularmente o acesso a aplicações e utilizadores específicos, consoante vários fatores de risco. Por exemplo, pode bloqueá-los se estiverem a utilizar certificados de cliente como uma forma de gestão de dispositivos. |
| Bloquear atividades personalizadas | Algumas aplicações têm cenários exclusivos que apresentam riscos. Um exemplo é o envio de mensagens que têm conteúdos confidenciais em aplicações como o Microsoft Teams ou o Slack. Nestes tipos de cenários, analise as mensagens relativamente a conteúdos confidenciais e bloqueie-as em tempo real. |
Para saber mais, confira:
- Criar políticas de acesso Microsoft Defender para Aplicativos de Nuvem
- Criar políticas de sessão Microsoft Defender para Aplicativos de Nuvem
Usabilidade
O controlo de aplicações de Acesso Condicional não requer que instale nada no dispositivo, pelo que é ideal quando monitoriza ou controla sessões de dispositivos não geridos ou utilizadores parceiros.
Defender para Aplicativos de Nuvem utiliza heurística patenteada para identificar e controlar as atividades dos utilizadores na aplicação de destino. A heurística foi concebida para otimizar e equilibrar a segurança com a usabilidade.
Em alguns cenários raros, o bloqueio de atividades no lado do servidor torna a aplicação inutilizável, pelo que as organizações protegem estas atividades apenas no lado do cliente. Esta abordagem torna-os potencialmente suscetíveis à exploração por parte de utilizadores maliciosos.
Desempenho do sistema e armazenamento de dados
Defender para Aplicativos de Nuvem utiliza datacenters do Azure em todo o mundo para proporcionar um desempenho otimizado através da geolocalização. A sessão de um utilizador pode estar alojada fora de uma determinada região, consoante os padrões de tráfego e a respetiva localização. No entanto, para ajudar a proteger a privacidade dos utilizadores, estes datacenters não armazenam dados de sessão.
Defender para Aplicativos de Nuvem servidores proxy não armazenam dados inativos. Quando colocamos o conteúdo em cache, seguimos os requisitos estabelecidos em RFC 7234 (colocação em cache HTTP) e colocamos apenas conteúdo público em cache.
Aplicações e clientes suportados
Aplique controlos de sessão e acesso a qualquer início de sessão único interativo que utilize o protocolo de autenticação SAML 2.0. Os controlos de acesso também são suportados para aplicações cliente móveis e de ambiente de trabalho incorporadas.
Além disso, se estiver a utilizar Microsoft Entra ID aplicações, aplique controlos de sessão e acesso a:
- Qualquer início de sessão único interativo que utilize o protocolo de autenticação OpenID Connect.
- Aplicações alojadas no local e configuradas com o proxy de aplicações Microsoft Entra.
Microsoft Entra ID aplicações também são automaticamente integradas no controlo de aplicações de Acesso Condicional, enquanto as aplicações que utilizam outros IdPs têm de ser integradas manualmente.
Defender para Aplicativos de Nuvem identifica aplicações através da utilização de dados do catálogo de aplicações na cloud. Se personalizou aplicações com plug-ins, tem de adicionar domínios personalizados associados à aplicação relevante no catálogo. Para obter mais informações, veja Localizar a sua aplicação na cloud e calcular as classificações de risco.
Observação
Não pode utilizar aplicações instaladas que tenham fluxos de início de sessão não ativados , como a aplicação Authenticator e outras aplicações incorporadas, com controlos de acesso. Nesse caso, a nossa recomendação é criar uma política de acesso no centro de administração do Microsoft Entra para além de Microsoft Defender para Aplicativos de Nuvem políticas de acesso.
Âmbito do suporte para o controlo de sessão
Embora os controlos de sessão sejam criados para funcionar com qualquer browser em qualquer plataforma principal em qualquer sistema operativo, suportamos as versões mais recentes dos seguintes browsers:
Os utilizadores do Microsoft Edge beneficiam da proteção no browser, sem redirecionar para um proxy inverso. Para obter mais informações, consulte Proteção no browser com Microsoft Edge para Empresas (pré-visualização).
Suporte de aplicações para O TLS 1.2+
Defender para Aplicativos de Nuvem utiliza protocolos TLS (Transport Layer Security) 1.2+ para fornecer encriptação. As aplicações cliente incorporadas e os browsers que não suportam o TLS 1.2+ não estão acessíveis quando os configura com o controlo de sessão.
No entanto, as aplicações de software como serviço (SaaS) que utilizam o TLS 1.1 ou anterior aparecem no browser como utilizando o TLS 1.2+ quando as configura com Defender para Aplicativos de Nuvem.