Controle de Aplicativos de Acesso Condicional no Microsoft Defender para Aplicativos de Nuvem
No local de trabalho atual, não é suficiente saber o que aconteceu em seu ambiente de nuvem após o ocorrido. Você precisa deter as violações e os vazamentos em tempo real. Você também precisa impedir que os funcionários coloquem seus dados e sua organização em risco, com intenção ou por acidente.
Você deseja oferecer suporte aos usuários em sua organização enquanto eles usam os melhores aplicativos de nuvem disponíveis e trazem seus próprios dispositivos para o trabalho. No entanto, você também precisa de ferramentas para proteger sua organização contra vazamentos e roubo de dados em tempo real. O Microsoft Defender para Aplicativos de nuvem integra-se a qualquer provedor de identidade (IdP) para fornecer essa proteção com políticas de acesso e sessão.
Por exemplo:
Use políticas de acesso para:
- Bloquear o acesso ao Salesforce para usuários de dispositivos não gerenciados.
- Bloquear o acesso ao Dropbox para clientes nativos
Use políticas de sessão para:
- Bloquear downloads de arquivos confidenciais do OneDrive para dispositivos não gerenciados.
- Bloquear uploads de arquivos de malware para o SharePoint Online.
Os usuários do Microsoft Edge se beneficiam da proteção direta no navegador. Um ícone de cadeado 
na barra de endereços do navegador indica essa proteção.
Os usuários de outros navegadores são redirecionados por meio do proxy reverso para o Defender para Aplicativos de Nuvem. Esses navegadores exibem um sufixo de *.mcas.ms no URL do link. Por exemplo, se for myapp.com, o URL do aplicativo será atualizado para myapp.com.mcas.ms.
Este artigo descreve o Controle de Aplicativos de Acesso Condicional no Defender para Aplicativos de Nuvem com políticas de Acesso Condicional do Microsoft Entra.
Atividades de Controle de Aplicativos de Acesso Condicional
O Controle de Aplicativos de Acesso Condicional usa as políticas de acesso e as políticas de sessão para monitorar e controlar o acesso ao aplicativo do usuário e as sessões em tempo real, em toda a sua organização.
Cada política tem condições para definir a quem (qual usuário ou grupo de usuários), o que (quais aplicativos de nuvem) e onde (quais locais e redes) a política é aplicada. Depois de determinar as condições, encaminhe seus usuários primeiro para o Defender para Aplicativos de Nuvem. Lá, você pode aplicar os controles de acesso e sessão para ajudar a proteger seus dados.
As políticas de acesso e sessão incluem os seguintes tipos de atividades:
| Atividade | Descrição |
|---|---|
| Impedir a exfiltração dos dados | Bloqueie o download, corte, cópia e impressão de documentos confidenciais em, por exemplo, dispositivos não gerenciados. |
| Exigir contexto de autenticação | Reavalie as políticas de Acesso Condicional do Microsoft Entra quando ocorrer uma ação confidencial na sessão, como exigir autenticação multifator. |
| Proteger o download | Em vez de bloquear o download de documentos confidenciais, exija que os documentos sejam rotulados e criptografados quando você faz a integração com a Proteção de Informações do Microsoft Purview. Essa ação ajuda a proteger o documento e restringe o acesso do usuário em uma sessão potencialmente arriscada. |
| Impedir o carregamento de arquivos sem rótulo | Garanta que o upload de arquivos sem rótulo com conteúdo confidencial sejam bloqueados até que o usuário classifique o conteúdo. Antes de um usuário carregar, distribuir ou usar um arquivo confidencial, o arquivo deve ter o rótulo definido pela política da sua organização. |
| Bloqueie possíveis malwares | Ajude a proteger seu ambiente contra malware bloqueando o upload de arquivos potencialmente mal-intencionados. Qualquer arquivo que um usuário tentar carregar ou baixar pode ser verificado usando o Microsoft Threat Intelligence e bloqueado instantaneamente. |
| Monitorar as sessões de usuário quanto à conformidade | Investigue e analisar o comportamento do usuário para compreender onde e sob quais condições as políticas de sessão deverão ser aplicadas no futuro. Os usuários suspeitos são monitorados quando entram nos aplicativos e suas ações são registradas na sessão. |
| Bloquear acesso | Bloqueie granularmente o acesso de maneira granular para aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você poderá bloqueá-los se eles estiverem usando os certificados do cliente como uma forma de gerenciamento de dispositivo. |
| Bloquear as atividades personalizadas | Alguns aplicativos têm cenários exclusivos que trazem riscos. Um exemplo é o envio de mensagens com conteúdo confidencial em aplicativos como Microsoft Teams ou Slack. Nesses cenários, examine o conteúdo confidencial das mensagens e bloqueá-los em tempo real. |
Para saber mais, veja:
- Crie políticas de acesso ao Microsoft Defender para Aplicativos de nuvem
- Crie políticas de sessão do Microsoft Defender para Aplicativos de nuvem
Usabilidade
O Controle de Aplicativos de Acesso Condicional não exige que você instale nada no dispositivo, tornando-o ideal para monitorar ou controlar sessões de dispositivos não gerenciados ou usuários parceiros.
O Defender para Aplicativos de Nuvem usa heurísticas patenteadas para identificar e controlar as atividades realizadas pelo usuário no aplicativo de destino. As heurísticas são projetadas para otimizar e equilibrar segurança com usabilidade.
Em alguns cenários raros, o bloqueio de atividades no lado do servidor torna o aplicativo inutilizável, portanto, as organizações protegem essas atividades apenas no lado do cliente. Essa abordagem os torna potencialmente suscetíveis à exploração por insiders mal-intencionados.
Desempenho do sistema e armazenamento de dados
O Defender para Aplicativos de Nuvem usa os datacenters do Azure em todo o mundo para fornecer desempenho otimizado por meio da geolocalização. A sessão de um usuário pode ser hospedada fora de uma determinada região, dependendo dos padrões de tráfego e de sua localização. No entanto, para ajudar a proteger a privacidade do usuário, esses datacenters não armazenam dados de sessão.
Os servidores proxy do Defender para Aplicativos de Nuvem de nuvem não armazenam dados em repouso. Ao armazenar conteúdo em cache, seguimos os requisitos estabelecidos na RFC 7234 (armazenamento em cache de HTTP) e armazenamos em cache o conteúdo público.
Clientes e aplicativos compatíveis
Aplique sessão e acesso a controles a qualquer logon único interativo que use o protocolo de autenticação SAML 2.0. Os controles de acesso também são compatíveis com aplicativos cliente móveis e de desktop integrados.
Além disso, se você estiver usando aplicativos do Microsoft Entra ID, aplique controles de sessão e acesso a:
- Qualquer logon único interativo que use o protocolo de autenticação OpenID Connect.
- Aplicativos hospedados no local e configurados com o proxy de aplicativos do Microsoft Entra.
Os aplicativos Microsoft Entra ID também são integrados automaticamente para o Controle de Aplicativo de Acesso Condicional, enquanto os aplicativos que usam outros IdPs devem ser integrados manualmente.
O Defender para Aplicativos de Nuvem identifica aplicativos usando dados do catálogo de aplicativos de nuvem. Se personalizou aplicativos com plug-ins, você deve adicionar todos os domínios personalizados associados ao aplicativo relevante no catálogo. Para obter mais informações, consulte Encontrar o aplicativo na nuvem e calcular as pontuações de risco.
Observação
Você não pode usar Aplicativos instalados com fluxos de entrada não interativos, como o Authenticator e outros aplicativos internos, com controles de acesso. Nossa recomendação, nesse caso, é criar uma política de acesso no admin center do Microsoft Entra, além de políticas de acesso ao Microsoft Defender para Aplicativos de Nuvem.
Escopo de suporte de controle de sessão
Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, oferecemos suporte às versões mais atuais dos seguintes navegadores:
Os usuários do Microsoft Edge se beneficiam da proteção no navegador, sem redirecionar para um proxy reverso. Para mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (versão preliminar).
Suporte de aplicativos para TLS 1.2+
O Defender para Aplicativos de Nuvem usa protocolos TLS (Transport Layer Security) 1.2+ para fornecer criptografia. Aplicativos de clientes nativos e navegadores que não oferecem suporte ao TLS 1.2+ não são acessíveis quando configurados com controle de sessão.
No entanto, os aplicativos SaaS (software como serviço) que usam TLS 1.1 ou anterior aparecem no navegador usando TLS 1.2+ quando você os configura com o Defender para Aplicativos de Nuvem.