Crie políticas de sessão do Microsoft Defender para Aplicativos de nuvem
As políticas de sessão do Microsoft Defender para aplicativos de nuvem fornecem visibilidade granular de aplicativos na nuvem com monitoramento em tempo real em nível de sessão. Use políticas de sessão para executar várias ações, dependendo da política definida para uma sessão de usuário.
Ao contrário das políticas de acesso, que permitem ou bloqueiam completamente o acesso, as políticas de sessão permitem o acesso durante o monitoramento da sessão. Adicione o Controle de Aplicativos de Acesso Condicional em suas políticas de sessão para limitar atividades específicas da sessão.
Por exemplo, talvez você queira permitir que os usuários acessem um aplicativo de dispositivos não gerenciados ou de locais específicos. No entanto, convém limitar o download de arquivos confidenciais durante essas sessões ou exigir que documentos específicos sejam protegidos contra download, upload ou cópia ao sair do aplicativo.
As políticas criadas para um aplicativo host não estão conectadas a nenhum aplicativo de recurso relacionado. Por exemplo, políticas de acesso criadas para o Teams, Exchange ou Gmail não estão conectadas ao SharePoint, OneDrive ou Google Drive. Caso precise de uma política para o aplicativo de recurso além do aplicativo hospede, crie uma política separada.
Não há limite para o número de políticas que podem ser aplicadas.
Pré-requisitos
Antes de iniciar, verifique se os pré-requisitos a seguir são cumpridos:
Uma licença do Defender para Aplicativos de Nuvem, como uma licença autônoma ou como parte de outra licença.
Uma licença para o Microsoft Entra ID P1, como licença autônoma ou como parte de outra licença.
Se você estiver usando um IdP não Microsoft, a licença exigida pela solução do provedor de identidade (IdP).
Os aplicativos relevantes integrados ao Controle de Aplicativos de Acesso Condicional. Os aplicativos do MIcrosoft Entra ID são integrados automaticamente, enquanto os aplicativos de IdP não Microsoft devem ser integrados manualmente.
Se você estiver trabalhando com um IdP não Microsoft, verifique se também configurou seu IdP para funcionar com o Microsoft Defender para Aplicativos de Nuvem. Para saber mais, veja:
Para que sua política de sessão funcione, você também deverá ter uma política de Acesso Condicional do Microsoft Entra ID, que criará as permissões para controlar o tráfego.
Exemplo: Criar políticas de Acesso Condicional do Microsoft Entra ID para uso com o Defender para Aplicativos de Nuvem
Este procedimento fornece um exemplo de alto nível de como criar uma política de Acesso Condicional para uso com o Defender para Aplicativo de Nuvem.
Em Acesso Condicional do Microsoft Entra ID, selecione Criar nova política.
Insira um nome significativo para sua política e selecione o link em Sessão para adicionar controles à política.
Na área Sessão, selecione Usar Controle de Aplicativos de Acesso Condicional.
Na área Usuários, selecione para incluir todos os usuários ou somente usuários e grupos específicos.
Nas áreas Condições e Aplicativos cliente, selecione as condições e os aplicativos cliente que você deseja incluir em sua política.
Salve a política alternando Somente relatório para Ativado e selecionando Criar.
O Microsoft Entra ID oferece suporte a políticas baseadas e não baseadas em navegador. Recomendamos que você crie ambos os tipos para aumentar a cobertura de segurança.
Repita este procedimento para criar uma política de Acesso Condicional não baseada em navegador. Na área Aplicativos cliente, alterne a opção Configurar para Sim. Em seguida, em Clientes de autenticação modernos, desmarque a opção Navegador . Deixe todas as outras opções padrão selecionadas.
Observação: o aplicativo empresarial "Microsoft Defender para Aplicativos de Nuvem – Controles de Sessão" é usado internamente pelo serviço Controle de Aplicativos de Acesso Condicional. Certifique-se de que a política de CA não restrinja o acesso a esse aplicativo nos recursos do Target.
Para obter mais informações, consulte Políticas de Acesso Condicional e Criação de uma política de Acesso Condicional.
Criar uma política de sessão do Defender para Aplicativos de Nuvem
Este procedimento descreve como criar uma nova política de sessão no Defender para Aplicativos de Nuvem.
No Microsoft Defender XDR, selecione a guia Acesso Condicional Aplicativos de nuvem > Políticas > Gerenciamento de políticas > Acesso Condicional.
Selecione Criar política>Política de sessão. Por exemplo:
Na página Criar política de sessão, comece selecionando um modelo na lista suspensa Modelo de política ou inserindo todos os detalhes manualmente.
Insira as seguintes informações básicas para sua política. Se você estiver usando um modelo, grande parte do conteúdo já está preenchido para você.
Nome Descrição Nome da política Um nome significativo para sua política, como Bloquear download de documentos confidenciais no Box para usuários de marketing Severidade da política Selecione a gravidade que você deseja aplicar à sua política. Categoria Selecione a categoria que deseja aplicar. Descrição Insira uma descrição opcional e significativa para sua política para ajudar sua equipe a entender sua finalidade. Tipo de controle de sessão Selecione uma das seguintes opções:
- Somente monitorar. Monitora apenas a atividade do usuário e cria uma política de Somente monitorar os aplicativos selecionados.
- Bloquear atividades. Bloqueia atividades específicas definidas pelo filtro Tipo de atividade. Todas as atividades de aplicativos selecionados serão monitoradas e relatadas no Log de atividades.
- Download do arquivo de controle (com inspeção). Monitora downloads de arquivos e pode ser combinado com outras ações, como bloquear ou proteger downloads.
- Upload do arquivo de controle (com inspeção). Monitora uploads de arquivos e pode ser combinado com outras ações, como bloquear ou proteger uploads.
Para obter mais informações, consulte Atividades com suporte para políticas de sessão.Na área Atividades que correspondem a todos os seguintes selecione os filtros de atividade adicionais a serem aplicados à política. Os filtros incluem as seguintes opções:
Nome Descrição Tipo de atividade Selecione o tipo de atividade que deseja aplicar, como:
- Imprimir
- Ações da área de transferência como cortar, copiar, colar
- Enviar, compartilhar, cancelar o compartilhamento ou editar itens em aplicativos compatíveis.
Por exemplo, use uma atividade de envio de itens em suas condições para capturar um usuário tentando enviar informações em um bate-papo do Teams ou canal do Slack e bloqueie a mensagem se ela contiver informações confidenciais, como uma senha ou outras credenciais.Aplicativo Filtra um aplicativo específico a ser incluído na política. Selecione os aplicativos selecionando primeiro se eles usam a Integração automatizada do Azure AD, para aplicativos do Microsoft Entra ID, ou Integração manual, para aplicativos do IdP não Microsoft. Em seguida, selecione o aplicativo que deseja incluir no filtro na lista.
Se o seu aplicativo IdP não Microsoft estiver ausente da lista, verifique se você o integrou completamente. Para obter mais informações, consulte:
- Implantar aplicativos de catálogo com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional.
- Implantar aplicativos personalizados com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional
Se você optar por não usar o filtro Aplicativo, a política se aplicará a todos os aplicativos marcados como Habilitados na página Configurações > Aplicativos de Nuvem > Aplicativos conectados > Aplicativos de Controle de Aplicativos de Acesso Condicional.
Observação: você pode ver alguma sobreposição entre aplicativos que estão integrados e aplicativos que precisam de integração manual. Em caso de conflito no filtro entre os aplicativos, os aplicativos integrados manualmente têm precedência.Dispositivo Filtre marcas de dispositivo, como um método de gerenciamento de dispositivo específico, ou tipos de dispositivo, como PC, celular ou tablet. Endereço IP Filtre por endereço IP ou use as marcas de endereço IP atribuídas anteriormente. Localidade Filtre por localização geográfica. A ausência de um local claramente definido pode identificar atividades de risco. ISP registrado Filtro para atividades provenientes de um ISP específico. Usuário Filtro para um usuário ou grupo de usuários específico. Cadeia de caracteres de agente do usuário Filtro para uma cadeia de caracteres específica do agente do usuário. Marca de agente do usuário Filtre por marcas de agente do usuário, como navegadores ou sistemas operacionais desatualizados. Por exemplo:
Selecione Editar e visualizar resultados para obter uma visualização dos tipos de atividades que seriam retornadas com sua seleção atual.
Configure opções extras disponíveis para qualquer tipo de controle de sessão específico.
Por exemplo, se você selecionou Bloquear atividades, selecione Usar inspeção de conteúdo para inspecionar o conteúdo da atividade e defina suas configurações conforme necessário. Nesse caso, convém inspecionar o texto que inclui expressões específicas, como um número de seguro social.
Se você selecionou Controlar download de arquivo (com inspeção) ou Controlar upload de arquivo (com inspeção), configure os Arquivos correspondentes a todas as configurações a seguir .
Configure um dos seguintes filtros de arquivo:
Nome Descrição Rótulo de confidencialidade Filtre pelos rótulos de confidencialidade Microsoft Purview Information Protection, se você também usa o Microsoft Purview e seus dados estão protegidos por seus rótulos de confidencialidade. Nome do arquivo Filtro para arquivos específicos. Extensão Filtrar para tipos de arquivo específicos, por exemplo, bloquear o download de todos os arquivos .xls. Tamanho do arquivo (MB) Filtre para tamanhos de arquivo específicos, como arquivos grandes ou pequenos. Na área Aplicar a (Pré-visualização):
- Selecione se deseja aplicar a política a todos os arquivos ou somente a arquivos em pastas especificadas
- Selecione um método de inspeção a ser usado, como serviços de classificação de dados ou malware. Para obter mais informações, confira Integração dos Serviços de Classificação de Dados da Microsoft.
- Configure opções mais detalhadas para sua política, como cenários baseados em elementos como impressões digitais ou classificadores treináveis.
Na área Ações, selecione uma das seguintes opções:
Nome Descrição Auditoria Monitorar todas as atividades. Selecione para permitir o download explicitamente de acordo com os filtros de política definidos. Bloquear Bloqueia downloads de arquivos e monitora todas as atividades. Selecione para bloquear explicitamente os downloads de acordo com os filtros de política definidos.
As políticas de bloqueio também permitem que você selecione notificar os usuários por email e personalizar a mensagem de bloqueio.Proteger Aplica um rótulo de confidencialidade ao download e monitora todas as atividades. Disponível somente se você tiver selecionado a opção de download do arquivo de controle (com inspeção):
Se você usar o Microsoft Purview Information Protection, também poderá optar por aplicar um rótulo de confidencialidade a arquivos correspondentes, aplicar permissões personalizadas ao usuário que faz download de arquivos ou bloquear o download de arquivos específicos.
Se você tiver uma política de Acesso Condicional do Microsoft Entra ID, você também pode optar por exigir autenticação de etapa (Preview).Opcionalmente, selecione a opção Sempre aplicar a ação selecionada mesmo que os dados não possam ser verificados , conforme necessário para sua política.
Na área Alertas, configure qualquer uma das seguintes ações, conforme necessário:
- Criar um alerta para cada evento correspondente à gravidade da política
- Enviar um alerta como email
- Limite de alerta diário por política
- Enviar alertas para o Power Automate
Quando terminar, selecione Criar.
Testar sua política
Depois de criar sua política de sessão, teste-a autenticando novamente em cada aplicativo configurado na política e testando o cenário configurado na política.
É recomendável que você:
- Saia de todas as sessões existentes antes de autenticar novamente em seus aplicativos.
- Entre em aplicativos móveis e da área de trabalho de dispositivos não gerenciados e gerenciados para garantir que as atividades sejam totalmente capturadas no log de atividades.
Entre com um usuário que corresponda à sua política.
Para testar sua política em seu aplicativo:
Verifique se o ícone de cadeado aparece no navegador ou se você está trabalhando em um navegador que não seja o Microsoft Edge, verifique se a URL do aplicativo contém o sufixo
.mcas
. Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (versão preliminar).Visitar todas as páginas do aplicativo que fazem parte do processo de trabalho de um usuário e verificar se elas são renderizadas corretamente.
Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.
Se você estiver trabalhando com aplicativos IdP não Microsoft personalizados, verifique cada um dos domínios que você adicionou manualmente ao seu aplicativo.
Se você encontrar erros ou problemas, use a barra de ferramentas do administrador para reunir recursos como arquivos .har
e sessões gravadas para arquivar um tíquete de suporte.
Para verificar se há atualizações no Microsoft Defender XDR:
No portal do Microsoft Defender, em Aplicativos para nuvem, vá para Políticas e Gerenciamento de políticas.
Selecione a política que você criou para exibir o relatório de política. Uma correspondência de política de sessão deve ser exibida em breve.
O relatório de política mostra quais entradas foram redirecionadas para o Microsoft Defender para Aplicativos de Nuvem para controle de sessão, bem como quaisquer outras ações, como quais arquivos foram baixados ou bloqueados nas sessões monitoradas.
Desativar as configurações de notificação do usuário
Por padrão, os usuários são notificados quando suas sessões estão sendo monitoradas. Se preferir que os usuários não sejam notificados ou personalizar a mensagem de notificação, defina as configurações de notificação.
No Microsoft Defender XDR, selecione Configurações > Aplicativos de nuvem > Controle de aplicativo de acesso condicional > Monitoramento de usuário.
Faça uma das seguintes seleções:
- Desmarque a opção Notificar os usuários de que suas atividades estão sendo monitoradas completamente
- Mantenha a seleção e selecione para usar a mensagem padrão ou para personalizar sua mensagem.
Selecione o link Pré-visualização para exibir um exemplo da mensagem configurada em uma nova guia do navegador.
Exportar logs do Cloud Discovery
O Controle de Aplicativo de Acesso Condicional registra os logs de tráfego de todas as sessões de usuário que são roteadas por ele. Os logs de tráfego incluem o agente do usuário, o tempo, o IP, as URLs visitadas e o número de bytes carregados e baixados. Esses logs são analisados e um relatório contínuo, Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem, é adicionado à lista de relatórios do Cloud Discovery no painel do Cloud Discovery.
Para exportar logs do Cloud Discovery do painel do Cloud Discovery:
No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem. Em Aplicativos conectados, selecione Controle de Aplicativo de Acesso Condicional.
Acima da tabela, selecione o botão exportar. Por exemplo:
Selecione o intervalo do relatório e selecione Exportar. Esse processo pode demorar algum tempo.
Para fazer o download do log exportado depois que o relatório estiver pronto, no portal do Microsoft Defender, vá para Relatórios ->Aplicativos na nuvem e, em seguida, Relatórios exportados.
Na tabela, selecione o relatório relevante na lista de logs de tráfego do Controle de Aplicativos de Acesso Condicional e selecione Download. Por exemplo:
Atividades com suporte para políticas de sessão
As seções a seguir fornecem mais detalhes sobre cada atividade suportada pelas políticas de sessão do Defender para Aplicativos de Nuvem.
Somente monitorar
O tipo de controle de sessão Apenas monitorar monitora apenas a atividade de Logon.
Para monitorar outras atividades, selecione um dos outros tipos de controle de sessão e use a ação Auditoria.
Para monitorar atividades diferentes de downloads e uploads, você deve ter pelo menos um bloqueio por política de atividade em sua política de monitor.
Bloquear todos os downloads
Quando Controlar download de arquivo (com inspeção) é definido como o tipo de controle de sessão e Bloquear é definido como a ação , oControle de Aplicativo de Acesso Condicional impede que os usuários baixem um arquivo de acordo com os filtros de arquivo de políticas.
Quando um usuário inicia um download, uma mensagem de download restrito é exibida para o usuário e o arquivo baixado é substituído por um arquivo de texto. Configure a mensagem do arquivo de texto para o usuário conforme necessário para sua organização.
Exigir autenticação passo a passo
A ação Exigir autenticação passo a passo está disponível quando o tipo de controle de sessão estiver definido para Bloquear atividades Controlar download de aplicativo (com inspeção), ou Controlar upload de arquivo (com inspeção).
Quando essa ação for selecionada, o Defender para aplicativos de nuvem redireciona a sessão para o Acesso Condicional do Microsoft Entra para reavaliação da política, sempre que a atividade selecionada ocorrer.
Use esta opção para verificar declarações como autenticação multifator e conformidade do dispositivo durante uma sessão, com base no contexto de autenticação configurado no Microsoft Entra ID.
Bloquear atividades específicas
Quando Bloquear atividades é definido como tipo de controle de sessão, você pode selecionar atividades específicas para bloquear em aplicativos específicos.
Todas as atividades dos aplicativos configurados são monitoradas e relatadas no registro de atividades > dos aplicativos na nuvem.
Para bloquear atividades específicas, selecione ainda a ação Bloquear e selecione as atividades que deseja bloquear.
Para gerar alertas para atividades específicas, selecione a ação Auditoria e defina suas configurações de alerta.
Por exemplo, você talvez queira bloquear as seguintes atividades:
Mensagem enviada ao Teams. Impedir que os usuários enviem mensagens do Microsoft Teams ou bloquear mensagens do Teams que contenham conteúdo específico.
Imprimir. Bloquear todas as ações de impressão.
Copiar. Bloquaer todas as ações de cópia para a área de transferência ou apenas bloquear cópia para conteúdo específico
Proteger arquivos no download
Selecione o tipo de controle de sessão Bloquear atividades para bloquear atividades específicas, que você define usando o filtro Tipo de atividade .
Todas as atividades dos aplicativos configurados são monitoradas e relatadas no registro de atividades > dos aplicativos na nuvem.
Selecione a ação Bloquear para bloquear atividades específicas ou selecione a ação Auditar e defina configurações de alerta para gerar alertas para atividades específicas.
Selecione a ação Proteger para proteger arquivos com rótulo de confidencialidade e outras proteções de acordo com os filtros de arquivo da policy.
Os rótulos de confidencialidade são configurados no Microsoft Purview e devem ser configurados para aplicar criptografia para que apareçam como uma opção na política de sessão do Defender para Aplicativos de Nuvem.
Quando você configura sua política de sessão com um rótulo específico e o usuário baixa um arquivo que atende aos critérios da política, o rótulo e quaisquer proteções e permissões correspondentes são aplicadas no arquivo.
O arquivo original permanece como está no aplicativo de nuvem, enquanto o arquivo baixado agora está protegido. Os usuários que tentam acessar o arquivo baixado devem atender os requisitos de permissão determinados pela proteção aplicada.
Atualmente, o Defender para Aplicativos de Nuvem oferece suporte à aplicação de rótulos de confidencialidade da proteção de informações do Microsoft Purview para os seguintes tipos de arquivos:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
Observação
Os arquivos PDF devem ser rotulados com etiquetas unificadas.
A opção Proteger não oferece suporte à substituição de arquivos por um rótulo existente nas políticas de sessão.
Proteger uploads de arquivos confidenciais
Selecione o tipo de controle de sessão Controlar upload de arquivo (com inspeção) para impedir que um usuário carregue um arquivo de acordo com os filtros de arquivo da policy.
Se o arquivo que está sendo carregado contiver dados confidenciais e não tiver o rótulo correto, o upload do arquivo será bloqueado.
Por exemplo, crie uma política que verifica o conteúdo de um arquivo para determinar se ele contém uma correspondência de conteúdo confidencial, como um número do seguro social. Se ele contiver conteúdo confidencial e não estiver rotulado com um rótulo confidencial da Proteção de Informações do Microsoft Purview, rótulo Confidencial, o upload do arquivo está bloqueado.
Dica
Configure uma mensagem personalizada para o usuário quando um arquivo for bloqueado, instruindo-o sobre como rotular o arquivo para carregá-lo, ajudando a garantir que os arquivos armazenados em seus aplicativos de nuvem estejam em conformidade com suas políticas.
Para obter mais informações, consulte Educar os usuários para proteger arquivos confidenciais.
Bloqueio de malware no upload ou download
Selecione o Controle de upload de arquivo (com inspeção) ou o Controle de download de arquivo (com inspeção) como o tipo de controle de sessão e Detecção de malware como método de inspeção para impedir que um usuário carregue ou baixe um arquivo com malware. Os arquivos são verificados para malware com uso do mecanismo de Informações sobre ameaças da Microsoft.
Exiba todos os arquivos sinalizados como malware potencial no registro de atividades dos > aplicativos na nuvem filtrando os itens Malware potencial detectado. Para obter mais informações, consulte Filtros e consultas de atividade.
Instruir os usuários a proteger arquivos confidenciais
Recomendamos que você eduque os usuários quando eles violarem suas políticas para que eles aprendam a cumprir os requisitos da sua organização.
Como cada empresa tem necessidades e políticas próprias, o Defender para aplicativos de nuvem possibilita personalizar os filtros de uma política e a mensagem exibida ao usuário quando uma violação é detectada.
Forneça orientações específicas aos usuários, como instruções sobre como rotular adequadamente um arquivo ou como registrar um dispositivo não gerenciado, para garantir que os arquivos sejam carregados com êxito.
Por exemplo, se um usuário fizer upload de um arquivo sem rótulo de confidencialidade, configure uma mensagem a ser mostrada explicando que o arquivo contém conteúdo confidencial e requer um rótulo apropriado. Da mesma forma, se um usuário tentar carregar um documento de um dispositivo não gerenciado, configure uma mensagem com instruções sobre como registrar esse dispositivo ou uma com mais explicações sobre por que o dispositivo deve ser registrado.
Controles de acesso em políticas de sessão
Muitas organizações que optam por usar controles de sessão para aplicativos de nuvem, para controlar atividades durante a sessão também aplicam controles de acesso para bloquear o mesmo conjunto de aplicativos cliente integrados móveis e para desktop, fornecendo assim segurança abrangente para os aplicativos.
Bloqueie o acesso a aplicativos cliente integrados móveis e para desktop com políticas de acesso, definindo o filtro Aplicativo cliente como Móvel e desktop. Alguns aplicativos cliente integrados podem ser reconhecidos individualmente, enquanto outros que integram de um conjunto de aplicativos só podem ser identificados como seu aplicativo de nível superior. Por exemplo, aplicativos como o SharePoint Online só podem ser reconhecidos criando uma política de acesso aplicada ao Microsoft 365 Apps.
Observação
A menos que o filtro Aplicativo cliente seja definido especificamente como Móvel e desktop, a política de acesso resultante será aplicada apenas às sessões do navegador. Isso se destina a evitar o proxy inadvertido de sessões de usuário.
Embora a maioria dos principais navegadores ofereça suporte à execução de uma verificação do certificado do cliente, alguns aplicativos móveis e para desktop usam navegadores internos que podem não oferecer suporte a essa verificação. Por isso, o uso desse filtro pode afetar a autenticação desses aplicativos.
Conflitos entre políticas
Quando há um conflito entre duas políticas de sessão, a política mais restritiva vence.
Por exemplo:
- Se uma sessão de usuário corresponder a uma política em que os downloads são bloqueados
- E uma política em que os arquivos são rotulados no momento do download ou onde os downloads são auditados,
- A opção de download de arquivos é bloqueada, para cumprir a política mais restritiva.
Conteúdo relacionado
Para saber mais, veja:
- Solução de problemas de controles de acesso e sessão
- Tutorial: Bloquear o download de informações confidenciais com o Controle de Aplicativos de Acesso Condicional
- Bloquear downloads em dispositivos não gerenciados usando controles de sessão
- Webinar Controle de Aplicativos de Acesso Condicional
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.