Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados com provederos de identidade que não sejam Microsoft

Controles de acesso e sessão no Microsoft Defender para Aplicativos de Nuvem funcionam com qualquer aplicativo Web. Este artigo descreve como integrar e implantar aplicativos de linha de negócios personalizados, aplicativos SaaS sem recursos e host de aplicativos locais por meio do proxy de aplicativo do Microsoft Entra com controles de sessão. Ele fornece as etapas para rotear sessões de aplicativos de outras soluções de IdP para o Defender para Aplicativos de Nuvem. Para o Microsoft Entra ID, consulte Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos personalizados usando o Microsoft Entra ID.

Para obter uma lista de aplicativos destacados pelo Defender para Aplicativos de Nuvem para funcionar imediatamente, consulte Proteger aplicativos com o Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem.

Pré-requisitos

Adicionar administradores à lista de integração/manutenção do aplicativo

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

2. Em Controle de Aplicativos de Acesso Condicional, selecione Integração/manutenção de aplicativos.

3. Insira o nome da entidade de segurança ou o email dos usuários que integrarão o aplicativo e selecione Salvar.

   

Verificar se há licenças necessárias

• Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

  • A licença exigida pela solução de provedor de identidade (IdP)
  • Microsoft Defender para Aplicativos de Nuvem

• Os aplicativos devem ser configurados com logon único

• Os aplicativos devem usar estes protocolos de autenticação:

  IdP	Protocolos
  Outra	SAML 2.0

Para implantar qualquer aplicativo

Siga essas etapas para configurar o aplicativo a ser controlado pelo Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem.

1. Configurar o IdP para trabalhar com o Microsoft Defender para Aplicativos de Nuvem

2. Configurar o aplicativo que está sendo implantando

3. Verifique se o aplicativo está funcionando corretamente

4. Habilitar o aplicativo para uso em sua organização

Observação

Para implantar o Controle de Aplicativos de Acesso Condicional para aplicativos do Microsoft Entra, você precisa de uma licença do Microsoft Entra ID P1 ou superior válida, bem como de uma licença do Defender para Aplicativos de Nuvem.

Etapa 1: configure o IdP para trabalhar com o Defender para Aplicativos de Nuvem.

Observação

Para obter exemplos de como configurar soluções de IdP, consulte:

• Configurar o IdP do PingOne
• Configurar o IdP do AD FS
• Configurar o IdP do Okta

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

3. Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.

4. Na página INFORMAÇÕES DO APLICATIVO, preencha o formulário usando as informações da página de configuração de logon único do aplicativo e selecione Avançar.

   • Se o IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
   • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
     • URL do serviço do consumidor de declaração
     • Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

   

5. Na página PROVEDOR DE IDENTIDADE, use as etapas fornecidas para configurar um novo aplicativo no portal do IdP e selecione Avançar.

   1. Acesse o portal do IdP e crie um novo aplicativo SAML personalizado.
   2. Copie a configuração de logon único do aplicativo <app_name> existente para o novo aplicativo personalizado.
   3. Atribua usuários ao novo aplicativo personalizado.
   4. Copie as informações de configuração de logon único dos aplicativos. Você precisará dele na próxima etapa.

   

   Observação

   Dependendo da sua situação, as etapas podem variar um pouco. Esse método é recomendado pelos seguintes motivos:

   • Alguns provedores de identidade não permitem que você altere os atributos de SAML ou as propriedades de URL de um aplicativo de galeria
   • A configuração de um aplicativo personalizado permite que testá-lo com controles de acesso e sessão sem alterar o comportamento existente para a organização.

6. Na próxima página, preencha o formulário usando as informações da página de configuração de logon único do aplicativo e selecione Avançar.

   • Se o IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
   • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
     • URL do serviço do consumidor de declaração
     • Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

   

7. Na próxima página, copie as informações a seguir e selecione Avançar. Essas informações serão necessárias na próxima etapa.

   • SAML no Azure AD
   • Atributos e valores

   

8. No portal do IdP, faça o seguinte:

   Observação

   As configurações são comumente encontradas na página de configurações personalizadas do aplicativo do portal do IdP.

   1. Recomendado: criar um backup das configurações atuais.

   2. Substitua o valor do campo de URL de logon único pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.

      Observação

      Alguns provedores podem se referir à URL de logon único como a URL de resposta.

   3. Adicione os atributos e valores que você anotou anteriormente às propriedades do aplicativo.

      Observação

      • Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.
      • Ao criar um novo aplicativo SAML, o provedor de identidade do Okta limita os atributos a 1024 caracteres. Crie o aplicativo sem os atributos relevantes primeiro para atenuar essa limitação. Depois de criar o aplicativo, edite-o e adicione os atributos relevantes.

   4. Verifique se o identificador de nome está no formato de endereço de email.

   5. Salve suas configurações.

9. Na página APP CHANGES, faça conforme mostrado a seguir e, depois, clique em Avançar: Essas informações serão necessárias na próxima etapa.

   • Copiar a URL de logon único
   • Baixe o certificado SAML do Defender para Aplicativos de Nuvem

   

10. Em seguida, na página de configurações de logon único do aplicativo, faça o seguinte:

    1. Recomendado: criar um backup das configurações atuais.
    2. No campo URL de logon único, insira o URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente.
    3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.

    Observação

    • Depois de salvar as configurações, todas as solicitações de logon associadas a esse aplicativo serão encaminhadas por meio do Controle de Aplicativos de Acesso Condicional.
    • O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

Etapa 2: adicionar o aplicativo manualmente e instalar certificados, se necessário

Os aplicativos no catálogo de aplicativos são preenchidos automaticamente na tabela em Aplicativos conectados. Navegue nela para verificar se o aplicativo que você deseja implantar é reconhecido.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional para acessar uma tabela de aplicativos que podem ser configurados com políticas de acesso e sessão.

   

3. Selecione o menu suspenso Aplicativo: selecionar aplicativos... para filtrar e procurar o aplicativo que você deseja implantar.

   

4. Se o aplicativo não for exibido, será necessário adicioná-lo manualmente.

Como adicionar manualmente um aplicativo não identificado

1. Na barra de notificação, selecione Exibir novos aplicativos.

   

2. Na lista de novos aplicativos, para cada aplicativo que você está integrando, selecione o sinal + e selecione Adicionar.

   Observação

   Se um aplicativo não for exibido no catálogo de aplicativos do Defender para Aplicativos de Nuvem, ele será exibido na caixa de diálogo nos aplicativos não identificados juntamente com a URL de logon. Ao clicar no sinal + desses aplicativos, você pode integrar o aplicativo como um aplicativo personalizado.

   

Para adicionar domínios a um aplicativo

Associar os domínios corretos a um aplicativo permite que o Defender para Aplicativos de Nuvem imponha políticas e atividades de auditoria.

Por exemplo, se foi configurada uma política que bloqueia o download de arquivos para um domínio associado, os downloads de arquivos pelo aplicativo desse domínio serão bloqueados. No entanto, os downloads de arquivos pelo aplicativo de domínios não associados ao aplicativo não serão bloqueados e a ação não será auditada no log de atividades.

Observação

O Defender para Aplicativos de Nuvem ainda adiciona um sufixo a domínios não associados ao aplicativo para garantir uma experiência de usuário perfeita.

1. No aplicativo, na barra de ferramentas de administração do Defender para Aplicativos de Nuvem, selecione Domínios descobertos.

   Observação

   A barra de ferramentas de administração só é visível para usuários com permissões para aplicativos de integração ou de manutenção.

2. No painel Domínios descobertos, anote os nomes de domínio ou exporte a lista como um arquivo .csv.

   Observação

   O painel exibe uma lista de domínios descobertos que não estão associados no aplicativo. Os nomes de domínio são totalmente qualificados.

3. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.
4. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
5. Na lista de aplicativos, na linha em que aparece o aplicativo que você está implantando, selecione os três pontos no final da linha e escolha Editar aplicativo.

   Dica

   Para exibir a lista de domínios configurados no aplicativo, selecione Exibir domínios do aplicativo.

6. Em Domínios definidos pelo usuário, insira todos os domínios que você deseja associar a esse aplicativo e selecione Salvar.

   Observação

   É possível usar o caractere curinga * como um espaço reservado para qualquer caractere. Ao adicionar domínios, decida se deseja adicionar domínios específicos (sub1.contoso.com,sub2.contoso.com) ou vários domínios (*.contoso.com).

Instalar certificados raiz

1. Repita as etapas a seguir para instalar os certificados raiz autoassinados da AC atual e da próxima AC.

   1. Selecione o certificado.
   2. Selecione Abrir e, quando solicitado, selecione Abrir novamente.
   3. Selecione Instalar certificado.
   4. Escolha Usuário atual ou Computador local.
   5. Selecione Colocar todos os certificados no seguinte repositório e depois selecione Procurar.
   6. Selecione Autoridades de Certificação Raiz Confiáveis como a pasta de destino e selecione OK.
   7. Selecione Concluir.

   Observação

   Para que os certificados sejam reconhecidos, depois de instalar o certificado, você deve reiniciar o navegador e ir para a mesma página.

2. Selecione Continuar.

3. Verificar se o aplicativo está disponível na tabela.

   

Etapa 3: verificar se o aplicativo está funcionando corretamente

Para verificar se o aplicativo está protegido, primeiro execute um logout forçado dos navegadores associados ao aplicativo ou abra um novo navegador com o modo anônimo.

Abra o aplicativo e faça estas verificações:

• Verifique se o ícone de cadeado aparece no navegador ou se você está trabalhando em um navegador que não seja o Microsoft Edge, verifique se a URL do aplicativo contém o sufixo .mcas. Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (versão preliminar).
• Visitar todas as páginas do aplicativo que fazem parte do processo de trabalho de um usuário e verificar se elas são renderizadas corretamente.
• Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.
• Revise a lista de domínios associados ao aplicativo. Para mais informações, consulte Adicionar os domínios para o aplicativo.

Se você encontrar erros ou problemas, use a barra de ferramentas do administrador para reunir recursos como arquivos .har e sessões gravadas para arquivar um tíquete de suporte.

Etapa 4: habilitar o aplicativo para uso em sua organização

Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção da sua organização, siga as etapas a seguir.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

3. Na lista de aplicativos, na linha em que aparece o aplicativo que você está implantando, selecione os três pontos no final da linha e escolha Editar aplicativo.

4. Selecione Usar o aplicativo com controles de sessão e selecione Salvar.

   

Próximas etapas

« ANTERIOR: implantar Controle de Aplicativos de Acesso Condicional para aplicativos de catálogo

PRÓXIMO: Como criar uma política de sessão

Confira também

Introdução ao Controle de Aplicativos de Acesso Condicional

Solução de problemas de controles de acesso e sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.