Compartilhar via

Crie políticas de acesso ao Microsoft Defender para Aplicativos de nuvem

  • Artigo

As políticas de acesso do Microsoft Defender para Aplicativos de Nuvem usam o controle de aplicativos do Acesso Condicional para fornecer monitoramento e controle em tempo real sobre o acesso a aplicativos de nuvem. As políticas de acesso controlam o acesso com base no usuário, local, dispositivo e aplicativo e são compatíveis com qualquer dispositivo.

As políticas criadas para um aplicativo host não estão conectadas a nenhum aplicativo de recurso relacionado. Por exemplo, políticas de acesso criadas para o Teams, Exchange ou Gmail não estão conectadas ao SharePoint, OneDrive ou Google Drive. Caso precise de uma política para o aplicativo de recurso além do aplicativo hospede, crie uma política separada.

Dica

Se você preferir permitir o acesso durante o monitoramento de sessões ou limitar atividades específicas da sessão, crie políticas de sessão. Para saber mais, confira Políticas de sessão.

Pré-requisitos

Antes de iniciar, verifique se os pré-requisitos a seguir são cumpridos:

Para que sua política de acesso funcione, você também deverá ter uma política de Acesso Condicional do Microsoft Entra ID, que criará as permissões para controlar o tráfego.

Exemplo: Criar políticas de Acesso Condicional do Microsoft Entra ID para uso com o Defender para Aplicativos de Nuvem

Este procedimento fornece um exemplo de alto nível de como criar uma política de Acesso Condicional para uso com o Defender para Aplicativo de Nuvem.

  1. Em Acesso Condicional do Microsoft Entra ID, selecione Criar nova política.

  2. Insira um nome significativo para sua política e selecione o link em Sessão para adicionar controles à política.

  3. Na área Sessão, selecione Usar Controle de Aplicativos de Acesso Condicional.

  4. Na área Usuários, selecione para incluir todos os usuários ou somente usuários e grupos específicos.

  5. Nas áreas Condições e Aplicativos cliente, selecione as condições e os aplicativos cliente que você deseja incluir em sua política.

  6. Salve a política alternando Somente relatório para Ativado e selecionando Criar.

O Microsoft Entra ID oferece suporte a políticas baseadas e não baseadas em navegador. Recomendamos que você crie ambos os tipos para aumentar a cobertura de segurança.

Repita este procedimento para criar uma política de Acesso Condicional não baseada em navegador. Na área Aplicativos cliente, alterne a opção Configurar para Sim. Em seguida, em Clientes de autenticação modernos, desmarque a opção Navegador . Deixe todas as outras opções padrão selecionadas.

Para obter mais informações, consulte Políticas de Acesso Condicional e Criação de uma política de Acesso Condicional.

Criar uma política de acesso do Defender para Aplicativos de Nuvem

Este procedimento descreve como criar uma nova política de acesso no Defender para Aplicativos de Nuvem.

  1. No Microsoft Defender XDR, selecione a guia Acesso Condicional Aplicativos de nuvem > Políticas > Gerenciamento de políticas > Acesso Condicional.

  2. Selecione Criar política>Política de acesso. Por exemplo:

    Crie uma política de Acesso Condicional.

  3. Na página Criar política de acesso, insira as seguintes informações básicas:

    Nome Descrição
    Nome da política Um nome significativo para sua política, como Bloquear acesso de dispositivos não gerenciados
    Severidade da política Selecione a gravidade que você deseja aplicar à sua política.
    Categoria Manter o valor padrão de Controle de acesso
    Descrição Insira uma descrição opcional e significativa para sua política para ajudar sua equipe a entender sua finalidade.

  4. Na área Atividades que correspondem a todos os seguintes, selecione os filtros de atividade adicionais a serem aplicados à política. Os filtros incluem as seguintes opções:

    Nome Descrição
    Aplicativo Filtra um aplicativo específico a ser incluído na política. Selecione os aplicativos selecionando primeiro se eles usam a Integração automatizada do Azure AD, para aplicativos do Microsoft Entra ID, ou Integração manual, para aplicativos do IdP não Microsoft. Em seguida, selecione o aplicativo que deseja incluir no filtro na lista.

    Se o seu aplicativo IdP não Microsoft estiver ausente da lista, verifique se você o integrou completamente. Para obter mais informações, consulte:
    - Implantar aplicativos de catálogo com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional
    - Implantar aplicativos personalizados com IdP que não são da Microsoft para o Controle de Aplicativos de Acesso Condicional

    Se você optar por não usar o filtro Aplicativo, a política se aplicará a todos os aplicativos marcados como Habilitados na página Configurações > Aplicativos de Nuvem > Aplicativos conectados > Aplicativos de Controle de Aplicativos de Acesso Condicional.

    Observação: você pode ver alguma sobreposição entre aplicativos que estão integrados e aplicativos que precisam de integração manual. Em caso de conflito no filtro entre os aplicativos, os aplicativos integrados manualmente têm precedência.
    Aplicativo cliente Filtro para navegador ou aplicativos móveis/da área de trabalho.
    Dispositivo Filtre marcas de dispositivo, como um método de gerenciamento de dispositivo específico, ou tipos de dispositivo, como PC, celular ou tablet.
    Endereço IP Filtre por endereço IP ou use as marcas de endereço IP atribuídas anteriormente.
    Localidade Filtre por localização geográfica. A ausência de um local claramente definido pode identificar atividades de risco.
    ISP registrado Filtro para atividades provenientes de um ISP específico.
    Usuário Filtro para um usuário ou grupo de usuários específico.
    Cadeia de caracteres de agente do usuário Filtro para uma cadeia de caracteres específica do agente do usuário.
    Marca de agente do usuário Filtre por marcas de agente do usuário, como navegadores ou sistemas operacionais desatualizados.

    Por exemplo:

    Captura de tela de um filtro de exemplo ao criar uma política de acesso.

    Selecione Editar e visualizar resultados para obter uma visualização dos tipos de atividades que seriam retornadas com sua seleção atual.

  5. Na área Ações, selecione uma das seguintes opções:

    • Auditoria: defina essa ação para permitir o acesso explicitamente de acordo com os filtros de política definidos.

    • Bloquear: defina essa ação para bloquear o acesso explicitamente de acordo com os filtros de política definidos.

  6. Na área Alertas, configure qualquer uma das seguintes ações, conforme necessário:

    • Criar um alerta para cada evento correspondente à gravidade da política
    • Enviar um alerta como email
    • Limite de alerta diário por política
    • Enviar alertas para o Power Automate

  7. Quando terminar, selecione Criar.

Testar sua política

Depois de criar sua política de acesso, teste-a autenticando novamente em cada aplicativo configurado na política. Verifique se a experiência do aplicativo é a esperada e verifique os logs de atividades.

É recomendável que você:

  • Crie uma política para um usuário que você criou especificamente para teste.
  • Saia de todas as sessões existentes antes de autenticar novamente em seus aplicativos.
  • Entre em aplicativos móveis e da área de trabalho de dispositivos não gerenciados e gerenciados para garantir que as atividades sejam totalmente capturadas no log de atividades.

Entre com um usuário que corresponda à sua política.

Para testar sua política em seu aplicativo:

  • Visitar todas as páginas do aplicativo que fazem parte do processo de trabalho de um usuário e verificar se elas são renderizadas corretamente.
  • Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.
  • Se você estiver trabalhando com aplicativos IdP não Microsoft personalizados, verifique cada um dos domínios que você adicionou manualmente ao seu aplicativo.

Para verificar os logs de atividades:

  1. No Microsoft Defender XDR, selecione Aplicativos de nuvem > Log de atividades e verifique as atividades de entrada capturadas para cada etapa. Talvez você queira filtrar selecionando Filtros avançados e filtrar para Origem igual a Controle de acesso.

    As atividades de logon único são eventos de Controle de Aplicativos de Acesso Condicional.

  2. Selecione uma atividade a ser expandida para obter mais detalhes. Verifique para ver se a marca Agente do usuário reflete corretamente se o dispositivo é um cliente interno, o que significa um aplicativo móvel ou da área de trabalho, ou um dispositivo gerenciado que esteja em conformidade e ingressado no domínio.

Se você encontrar erros ou problemas, use a barra de ferramentas Exibição do Administrador para reunir recursos como arquivos .Har e sessões gravadas e então registre um tíquete de suporte.

Criar políticas de acesso para dispositivos gerenciados por identidade

Use certificados de cliente para controlar o acesso de dispositivos que não foram ingressados no Microsoft Entra híbrido e que não são gerenciados pelo Microsoft Intune. Distribua novos certificados para dispositivos gerenciados ou use certificados existentes, como certificados MDM de terceiros. Por exemplo, você pode querer implantar um certificado de cliente para dispositivos gerenciados e depois bloquear o acesso de dispositivos sem um certificado.

Para obter mais informações, consulte Dispositivos gerenciados por identificação com Controle de Aplicativos de Acesso Condicional.

Conteúdo relacionado

Para saber mais, veja:

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.