Governar aplicativos descobertos usando o Microsoft Defender para Ponto de Extremidade

A integração do Microsoft Defender para Aplicativos de Nuvem com o Microsoft Defender para Ponto de Extremidade fornece uma solução perfeita de visibilidade e controle de Shadow IT. Nossa integração permite que os administradores do Defender para Aplicativos de Nuvem bloqueiem o acesso de usuários finais a aplicativos de nuvem, integrando nativamente os controles de governança de aplicativos do Defender para Aplicativos de Nuvem com a proteção de rede do Microsoft Defender para Ponto de Extremidade. Como alternativa, os administradores podem adotar uma abordagem mais suave de avisar os usuários quando acessarem aplicativos de nuvem arriscados.

O Defender para Aplicativos de Nuvem usa a tag interna Não sancionado para marcar aplicativos de nuvem como proibidos para uso, disponível nas páginas do Cloud Discovery e Catálogo de aplicativos de nuvem. Habilitando a integração com o Defender para Ponto de Extremidade, você pode bloquear continuamente o acesso a aplicativos não sancionados com um clique simples no portal do Defender para Aplicativos de Nuvem.

Os aplicativos marcados como não sancionados no Defender para Aplicativos de Nuvem são sincronizados automaticamente com o Defender para Ponto de Extremidade. Mais especificamente, os domínios usados por esses aplicativos não sancionados são propagados para dispositivos de ponto de extremidade a serem bloqueados pelo Microsoft Defender Antivírus dentro do SLA de Proteção de Rede.

Observação

A latência de tempo para bloquear um aplicativo por meio do Defender para Ponto de Extremidade é de até três horas, desde o momento em que o aplicativo é marcado como não sancionado no Defender para Aplicativos de Nuvem até o momento em que o aplicativo é bloqueado no dispositivo. Isso se deve a até uma hora de sincronização de aplicativos sancionados e não sancionados do Defender para Aplicativos de Nuvem para o Defender para Ponto de Extremidade, e até duas horas para transmitir a política aos dispositivos, a fim de bloquear o aplicativo assim que o indicador for criado no Defender para Ponto de Extremidade.

Pré-requisitos

• Uma das seguintes licenças:

  • Defender para Aplicativos de Nuvem (E5, AAD-P1m CAS-D) e Microsoft Defender para Ponto de Extremidade Plano 2, com pontos de extremidade integrados ao Defender para Ponto de Extremidade
  • Microsoft 365 E5

• Microsoft Defender Antivírus. Para saber mais, veja:

  • Proteção em tempo real habilitada
  • Proteção fornecida pela nuvem habilitada
  • Proteção de rede habilitada e configurada para o modo de bloqueio

• Um dos seguintes sistemas operacionais com suporte:

  • Windows: Windows versões 10 18.09 (RS5) OS Build 1776.3, 11 e superior
  • Android: versão mínima 8.0. Para obter mais informações, confira: Microsoft Defender para Ponto de Extremidade no Android
  • iOS: versão mínima 14.0. Para obter mais informações, confira: Microsoft Defender para Ponto de Extremidade no iOS
  • macOS: versão mínima 11. Para obter mais informações, confira: Proteção de rede para macOS
  • Requisitos do sistema Linux: para obter mais informações, confira Proteção de rede para Linux

• Microsoft Defender para Ponto de Extremidade integrado. Para saber mais, consulte Integrar com aplicativos do Microsoft Defender para Nuvem no Defender para Ponto de Extremidade.

• Acesso de administrador para fazer alterações no Defender para Aplicativos de Nuvem. Saiba mais em Gerenciar acesso de administrador.

Habilitar o bloqueio de aplicativos na nuvem com o Defender para Ponto de Extremidade.

Use as etapas a seguir para habilitar o controle de acesso para aplicativos na nuvem.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade e Impor acesso a aplicativos.

   

   Observação

   Pode levar até 30 minutos para que essa configuração entre em vigor.

2. No Microsoft Defender XDR, vá para Configurações>Pontos de extremidade>Recursos avançados e, em seguida, selecione Indicadores de rede personalizados. Para obter informações sobre indicadores de rede, confira Criar indicadores para IPs e URLs/domínios.

   Isso permite aproveitar as capacidades de proteção de rede do Microsoft Defender Antivírus para bloquear o acesso a um conjunto predefinido de URLs usando o Defender para Aplicativos de Nuvem, atribuindo manualmente tags de aplicativo a aplicativos específicos ou usando automaticamente uma política de descoberta de aplicativos.

   

Educar os usuários ao acessar aplicativos bloqueados e personalizar a página de bloqueio

Os administradores agora podem configurar e inserir uma URL de suporte/ajuda para páginas de bloqueio. Com essa configuração, os administradores podem instruir os usuários quando eles acessarem aplicativos bloqueados. Os usuários recebem um link de redirecionamento personalizado para uma página da empresa que lista os aplicativos bloqueados para uso e as etapas necessárias a serem seguidas para garantir uma exceção nas páginas de bloqueio. Os usuários finais serão redirecionados para essa URL configurada pelo administrador quando clicarem em “ Visitar a página de suporte” na página de bloqueio.

O Defender para Aplicativos na Nuvem usa a tag de aplicativo Não sancionado integrada para marcar os aplicativos na nuvem como bloqueados para uso. A tag está disponível nas páginas do Cloud Discovery e do Catálogo de aplicativos de nuvem. Ao habilitar a integração com o Defender para Ponto de Extremidade, você pode orientar os usuários sobre os aplicativos bloqueados para uso e as etapas para proteger uma exceção com um único clique no portal do Defender para Aplicativos na Nuvem.

Os aplicativos marcados como Não sancionado são sincronizados automaticamente com os indicadores de URL personalizados do Defender para Ponto de Extremidade, geralmente em poucos minutos. Mais especificamente, os domínios usados por aplicativos bloqueados são propagados para dispositivos de ponto de extremidade para fornecer uma mensagem pelo Microsoft Defender Antivírus dentro do SLA de Proteção de Rede.

Configurar a URL de redirecionamento personalizada da página de bloqueio

Use as etapas a seguir para configurar uma URL de ajuda/suporte personalizada que aponte para uma página da Web da empresa ou para um link do SharePoint em que você possa informar aos funcionários por que eles foram impedidos de acessar o aplicativo e fornecer uma lista de etapas para garantir uma exceção ou compartilhar a política de acesso corporativo para aderir à aceitação de riscos da sua organização.

1. No portal do Microsoft Defender, selecione Configurações>Aplicativos de Nuvem>Cloud Discovery>Microsoft Defender para Ponto de Extremidade.
2. Na lista suspensa Alertas, selecione Informativo.
3. Em Avisos do usuário>URL de notificação para aplicativos bloqueados, insira sua URL. Por exemplo:

Bloquear aplicativos para específicos grupos de dispositivos

Para bloquear o uso de grupos de dispositivos específicos, execute as etapas a seguir.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em seguida, em Cloud Discovery, selecione Tags de aplicativos e acesse a guia Perfis com escopo.

2. Selecione Adicionar perfil. O perfil define as entidades com escopo para bloquear ou desbloquear aplicativos.

3. Forneça uma descrição e um nome do perfil detalhados.

4. Escolha se o perfil deve ser um Incluir ou Excluir.

   • Incluir: apenas o conjunto de entidades incluído será afetado pela imposição de acesso. Por exemplo, o perfil myContoso tem Incluir para os grupos de dispositivos A e B. Bloquear o aplicativo Y com o perfil myContoso bloqueará o acesso ao aplicativo somente para os grupos A e B.

   • Excluir: o conjunto de entidades excluído não será afetado pela imposição de acesso. Por exemplo, o perfil myContoso tem Excluir para os grupos de dispositivos A e B. Bloquear o aplicativo Y com o perfil myContoso bloqueará o acesso ao aplicativo para toda a organização, exceto para os grupos A e B.

5. Selecione os grupos de dispositivos relevantes para o perfil. Os grupos de dispositivos listados são extraídos do Microsoft Defender para Ponto de Extremidade. Para obter mais informações, confira Criar um grupo de dispositivos.

6. Selecione Salvar.

   

Para bloquear um aplicativo, siga as etapas a seguir.

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse o Cloud Discovery e a guia Aplicativos descobertos.

2. Selecione o aplicativo que deve ser bloqueado.

3. Marque o aplicativo como Não sancionado.

   

4. Para bloquear todos os dispositivos da sua organização, na caixa de diálogo Marcar como não aprovado?, selecione Salvar. Para bloquear grupos de dispositivos específicos nas suas organizações, selecione Selecionar um perfil para incluir ou excluir grupos de serem bloqueados. Em seguida, escolha o perfil para o qual o aplicativo será bloqueado e selecione Salvar.

   

   A caixa de diálogo Marcar como não sancionado? aparece somente quando seu locatário tem bloqueio de aplicativo na nuvem com o Defender para Ponto de Extremidade habilitado e se você tiver acesso de administrador para fazer alterações.

Observação

• A capacidade de imposição é baseada nos indicadores de URL personalizados do Defender para Ponto de Extremidade.
• Qualquer escopo organizacional definido manualmente em indicadores criados pelo Defender para Aplicativos de Nuvem antes do lançamento desse recurso será substituído pelo Defender para Aplicativos de Nuvem. O escopo necessário deve ser definido na experiência do Defender para Aplicativos de Nuvem usando a experiência de perfis com escopo.
• Para remover um perfil de escopo selecionado de um aplicativo não sancionado, remova a marca não sancionado e marque o aplicativo novamente com o perfil contendo o escopo necessário.
• Pode levar até duas horas para que os domínios de aplicativos se propaguem e sejam atualizados nos dispositivos de ponto de extremidade depois de marcados com a tag ou o escopo relevantes.
• Quando um aplicativo for marcado como Monitorado, a opção para aplicar um perfil com escopo aparece somente se a fonte de dados interna Usuários de Ponto de Extremidade Win10 tiver recebido dados de forma consistente durante os últimos 30 dias.

Educar os usuários ao acessar aplicativos arriscados

Os administradores têm a opção de avisar os usuários ao acessarem aplicativos arriscados. Em vez de bloquear os usuários, eles recebem uma mensagem de solicitação com um link de redirecionamento personalizado para uma página da empresa listando os aplicativos aprovados para uso. A solicitação fornece opções para os usuários ignorarem o aviso e continuarem no aplicativo. Os administradores também podem monitorar o número de usuários que ignora a mensagem de aviso.

O Defender para Aplicativos de Nuvem usa a tag interna de aplicativos Monitorado para marcar aplicativos de nuvem como arriscados para uso. A tag está disponível nas páginas do Cloud Discovery e do Catálogo de aplicativos de nuvem. Habilitando a integração com o Defender para Ponto de Extremidade, você pode avisar continuamente os usuários sobre o acesso a aplicativos monitorados com um clique simples no portal do Defender para Aplicativos de Nuvem.

Os aplicativos marcados como Monitorados são sincronizados automaticamente com os indicadores de URL personalizados do Defender para Ponto de Extremidade, geralmente em poucos minutos. Mais especificamente, os domínios usados pelos aplicativos monitorados são propagados para dispositivos de ponto de extremidade para fornecer uma mensagem de aviso pelo Microsoft Defender Antivírus dentro do SLA de Proteção de Rede.

Configurar a URL de redirecionamento personalizada da mensagem de aviso

Use as etapas a seguir para configurar uma URL personalizada apontando para uma página da Web da empresa, onde você possa instruir os funcionários sobre o motivo de terem sido avisados e fornecer uma lista de aplicativos aprovados como alternativa, que aderem à aceitação de risco da sua organização ou já são gerenciados por ela.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade.

2. Na caixa URL de notificação, insira a URL.

   

Configurar a duração do desvio do usuário

Como os usuários podem ignorar a mensagem de aviso, você pode usar as etapas a seguir para configurar a duração da aplicação do desvio. Uma vez decorrida a duração, os usuários receberão a mensagem de aviso de solicitação na próxima vez que acessarem o aplicativo monitorado.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade.

2. Na caixa Duração do bypass, insira a duração (horas) do bypass do usuário.

   

Monitorar controles de aplicativos aplicados

Depois que os controles são aplicados, você pode monitorar os padrões de uso do aplicativo pelos controles aplicados (acesso, bloqueio, bypass) usando as etapas a seguir.

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Cloud Discovery e vá para a guia Aplicativos descobertos. Use os filtros para encontrar o aplicativo monitorado relevante.
2. Selecione o nome do aplicativo para exibir os controles de aplicativos aplicados na página de visão geral dele.

Próximas etapas

Investigar aplicativos descobertos pelo Microsoft Defender para Ponto de Extremidade

Controlar aplicativos de nuvem com políticas

Vídeos relacionados

Descobrir e bloquear o shadow IT usando o Defender para Ponto de Extremidade

Descoberta de shadow IT além da rede corporativa

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.