Controlando aplicativos conectados
O controle permite que você controle o que os usuários fazem, em tempo real, entre aplicativos. Para aplicativos conectados, você pode aplicar ações de controle a arquivos ou atividades. Ações de governança são ações integradas que você pode executar em arquivos ou atividades diretamente do Microsoft Defender para Aplicativos de Nuvem. As ações de governança controlam o que os usuários fazem nos aplicativos conectados. Para obter informações sobre onde usar as ações de governança, confira Controlando aplicativos conectados.
Observação
Quando o Microsoft Defender para Aplicativos de Nuvem tenta executar uma ação de governança em um arquivo e falha porque o arquivo está bloqueado, ele automaticamente repete a ação de governança.
Ações de governança de arquivo
As ações de controle a seguir podem ser tomadas para aplicativos conectados em um arquivo, usuário ou política específica.
Notificações:
Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.
Notificação por email do usuário – as mensagens de email podem ser personalizadas e serão enviadas a todos os proprietários de arquivos em violação.
Notificar usuários específicos – lista específica de endereços de email que receberão essas notificações.
Notificar último editor do arquivo – enviar notificações para a última pessoa que modificou o arquivo.
Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.
Rotulação
- Aplicar rótulo – capacidade de adicionar um rótulo de confidencialidade da Proteção de Informações do Microsoft Purview.
- Remover rótulo – capacidade de remover um rótulo de confidencialidade da Proteção de Informações do Microsoft Purview.
Alterar compartilhamento
Remover o compartilhamento público – permite o acesso apenas aos colaboradores indicados, por exemplo: Remover acesso público para o Google Workspace e Remover link compartilhado direto para o Box e o Dropbox.
Remover usuários externos – permitir o acesso somente aos usuários da empresa.
Tornar particular – somente o proprietário pode acessar o arquivo, todos os compartilhamentos são removidos.
Remover um colaborador – remova um colaborador específico do arquivo.
Reduzir o acesso público – defina os arquivos disponíveis publicamente a serem disponibilizados somente com um link compartilhado. (Google)
Expiração de link compartilhado – Capacidade de definir uma data de expiração para um link compartilhado, após a qual ele não estará mais ativo. (Box)
Alterar nível de acesso para compartilhamento de link – Capacidade de alterar o nível de acesso do link compartilhado entre "somente a empresa", "somente colaboradores" e "público". (Box)
Quarentena
Colocar em quarentena do usuário – permitir o autoatendimento movendo o arquivo para uma pasta de quarentena controlada pelo usuário
Colocar em quarentena do administrador – o arquivo é movido para a quarentena na unidade do administrador, que precisa aprová-lo.
Herdar permissões do pai – essa ação de governança permite remover o conjunto de permissões específicas para um arquivo ou uma pasta no Office 365. Em seguida, reverta para as permissões definidas para a pasta pai.
Lixeira – mova o arquivo para a pasta da lixeira. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)
Ações de governança para malware (preview)
As ações de controle a seguir podem ser tomadas para aplicativos conectados em um arquivo, usuário ou política específica. Por motivos de segurança, essa lista limita-se a ações relacionadas a malware que não impliquem risco para o usuário ou o locatário.
Notificações:
- Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.
Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.
Alterar compartilhamento
- Remover usuários externos – permitir o acesso somente aos usuários da empresa. (Box, Google Drive, OneDrive, SharePoint)
- Remover link compartilhado direto – remover permissões de links compartilhados anteriormente (Box, Dropbox)
Quarentena
- Colocar em quarentena do usuário – permitir o autoatendimento movendo o arquivo para uma pasta de quarentena controlada pelo usuário (Box, OneDrive, SharePoint)
- Colocar em quarentena do administrador – o arquivo é movido para a quarentena na unidade do administrador, que precisa aprová-lo. (Box)
Lixeira – mova o arquivo para a pasta da lixeira. (Box, Dropbox, Google Drive, OneDrive, SharePoint)
Observação
No SharePoint e no OneDrive, o Defender para Aplicativos de Nuvem oferece suporte à quarentena do usuário apenas para arquivos em bibliotecas de documentos compartilhados (SharePoint Online) e arquivos na biblioteca de documentos (OneDrive for Business).
Os clientes do Microsoft Defender para Microsoft 365 podem controlar os arquivos de malware detectados no SharePoint e no OneDrive por meio da página Quarentena do Microsoft Defender XDR. Por exemplo, as atividades com suporte incluem a recuperação de arquivos, a exclusão de arquivos e o download de arquivos em arquivos ZIP protegidos por senha. Essas atividades limitam-se a arquivos que ainda não foram colocados em quarentena pelo Microsoft Defender para Aplicativos de Nuvem. No SharePoint, o Defender para Aplicativos de Nuvem oferece suporte a tarefas de quarentena apenas para arquivos com Documentos Compartilhados no caminho em inglês.
As ações serão exibidas apenas para os aplicativos conectados.
Ações de governança de atividade
Notificações
Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.
Notificação por email do usuário – as mensagens de email podem ser personalizadas e serão enviadas a todos os proprietários de arquivos em violação.
Notificar usuários adicionais – lista específica de endereços de email que receberão essas notificações.
Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.
Suspender usuário – suspende o usuário do aplicativo.
Observação
Se o Azure Active Directory estiver definido para sincronizar automaticamente com os usuários no seu ambiente local do Active Directory, as configurações no ambiente local substituirão as configurações do Azure AD e esta ação de governança será revertida.
Exigir que o usuário entre novamente – desconecta o usuário e exige que ele entre novamente.
Confirmar usuário comprometido – define o nível de risco do usuário como alto. Isso faz com que as ações de política relevantes definidas no Microsoft Entra ID sejam impostas. Para obter mais informações sobre como o Microsoft Entra ID funciona com os níveis de risco, confira Como o Microsoft Entra ID usa meus feedbacks de risco.
Revogar um aplicativo OAuth e notificar o usuário
Para o Google Workspace e a Salesforce, é possível revogar a permissão de um aplicativo OAuth ou notificar o usuário de que é necessário alterar a permissão. Ao revogar a permissão, são removidas todas as permissões concedidas ao aplicativo em "Aplicativos Empresariais" no Microsoft Entra ID.
Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione as reticências no final da linha do aplicativo e clique em Notificar usuário. Por padrão, o usuário será notificado da seguinte forma: Você autorizou o aplicativo a acessar sua conta do Google Workspace. Este aplicativo entra em conflito com a política de segurança da sua organização. Reconsidere conceder ou revogar as permissões que você deu a este aplicativo em sua conta do Google Workspace. Para revogar o acesso ao aplicativo, acesse: https://security.google.com/settings/security/permissions?hl=en& pli=1 Selecione o aplicativo e selecione 'Revogar acesso' na barra de menus à direita. Você pode personalizar a mensagem enviada.
Você também pode revogar permissões para usar o aplicativo para o usuário. Clique no ícone no final da linha do aplicativo na tabela e selecione Revogar aplicativo. Por exemplo:
Conflitos de governança
Após a criação de várias políticas, pode surgir uma situação na qual as ações de governança em várias políticas se sobreponham. Nesse caso, o Defender para Aplicativos de Nuvem processará as ações de governança da maneira a seguir.
Conflitos entre políticas
- Se duas políticas contiverem ações contidas uma na outra (por exemplo, Remover compartilhamentos externos está incluído em Tornar particular), o Defender para Aplicativos de Nuvem resolverá o conflito e a ação mais forte será imposta.
- Se as ações não forem relacionadas (por exemplo, Notificar proprietário e Tornar particular). Ambas as ações serão executadas.
- Se houver conflito entre as ações (por exemplo Alterar o proprietário para o usuário A e Alterar o proprietário para o usuário B), diferentes resultados poderão ocorrer em cada correspondência. É importante alterar as políticas para evitar conflitos, pois eles podem resultar em alterações indesejadas na unidade que serão difíceis de serem detectadas.
Conflitos na sincronização de usuário
- Se o Azure Active Directory estiver definido para sincronizar automaticamente com os usuários em seu ambiente local do Active Directory, as configurações no ambiente local substituirão as configurações do Azure AD e esta ação de governança será revertida.
Log de governança
O log de governança fornece um registro de status de cada tarefa que você definir no Defender para Aplicativos de Nuvem para execução, incluindo tarefas manuais e automáticas. Essas tarefas incluem aquelas definidas nas políticas, as ações de governança definidas em arquivos e usuários e outras ações definidas para execução no Defender para Aplicativos de Nuvem. O Log de governança também fornece informações sobre o êxito ou falha dessas ações. Você pode optar por repetir ou reverter algumas das ações de governança do log de governança.
Para exibir o log de governança, no portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Log de governança.
A tabela a seguir é a lista completa de ações que o portal do Defender para Aplicativos de Nuvem permite executar. Essas ações são habilitadas em vários locais por todo o console, conforme descrito na coluna Localização. Cada ação de governança realizada é relacionada no Log de Governança. Para obter informações sobre como as ações de governança são tratadas quando há conflitos de política, consulte Conflitos de política.
| Localidade | Tipo de objeto de destino | Ação de governança | Descrição | Conectores relacionados |
|---|---|---|---|---|
| Contas | Arquivo | Remover colaborações do usuário | Remove todas as colaborações de um usuário específico para todos os arquivos - bom para as pessoas que estão saindo da empresa. | Google Workspace |
| Contas | Conta | Cancelar suspensão de usuário | Cancela a suspensão do usuário | Google Workspace, Box, Office, Salesforce |
| Contas | Conta | Configurações de conta | Leva você para a página de configurações de conta no aplicativo específico (por exemplo, dentro do Salesforce). | Todas as configurações dos aplicativos One Drive e SharePoint são feitas no Office. |
| Contas | Arquivo | Transferir a propriedade de todos os arquivos | Em uma conta, você transfere os arquivos de um usuário para que a propriedade deles seja concedida a uma nova pessoa que você selecionar. O proprietário anterior se torna um editor e não pode mais alterar as configurações de compartilhamento. O novo proprietário receberá uma notificação por email sobre a alteração de propriedade. | Google Workspace |
| Contas, Política de atividade | Conta | Suspender um usuário | Define o usuário para que ele não tenha nenhum acesso e nenhuma capacidade de entrar. Se ele estiver conectado quando você definir essa ação, ele será bloqueado imediatamente. | Google Workspace, Box, Office, Salesforce |
| Política de atividade, Contas | Conta | Exigir que o usuário entre novamente | Revoga todos os tokens de atualização e todas as emissões de cookie de sessão para aplicativos pelo usuário. Essa ação impedirá o acesso aos dados da organização e forçará o usuário a entrar novamente em todos os aplicativos. | Google Workspace, Office |
| Política de atividade, Contas | Conta | Confirmar usuário comprometido | Defina o nível de risco do usuário como alto. Isso faz com que as ações de política relevantes definidas no Microsoft Entra ID sejam impostas. | Office |
| Política de atividade, Contas | Conta | Revogar privilégios de administrador | Revoga os privilégios da conta do administrador. Por exemplo, definir uma política de atividade que revogue os privilégios de administrador depois de 10 tentativas de logon com falha. | Google Workspace |
| Painel do aplicativo > Permissões de aplicativo | Permissões | Cancelar veto de aplicativo | No Google e no Salesforce: remove o veto do aplicativo e permite que os usuários concedam permissões ao aplicativo de terceiros com suas contas do Google ou do Salesforce. No Office 365: restaura as permissões do aplicativo de terceiros para o Office. | Google Workspace, Salesforce, Office |
| Painel do aplicativo > Permissões de aplicativo | Permissões | Desabilitar permissões de aplicativo | Revoga as permissões de um aplicativo de terceiros para o Google, o Salesforce ou o Office. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. | Google Workspace, Salesforce, Office |
| Painel do aplicativo > Permissões de aplicativo | Permissões | Habilitar permissões de aplicativo | Concede as permissões de um aplicativo de terceiros para o Google, o Salesforce ou o Office. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. | Google Workspace, Salesforce, Office |
| Painel do aplicativo > Permissões de aplicativo | Permissões | Vetar aplicativo | No Google e Salesforce: revoga as permissões de um aplicativo de terceiros para o Google ou Salesforce e impede que ele receba permissões no futuro. No Office 365: não concede a permissão de aplicativos de terceiros para acessar o Office, mas não os revoga. | Google Workspace, Salesforce, Office |
| Painel do aplicativo > Permissões de aplicativo | Permissões | Revogar o aplicativo | Revogue as permissões de um aplicativo de terceiros para o Google ou Salesforce. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. | Google Workspace, Salesforce |
| Painel do aplicativo > Permissões de aplicativo | Conta | Revogar o usuário do aplicativo | Você pode revogar usuários específicos ao clicar no número em Usuários. A tela exibirá os usuários específicos e você poderá usar o X para excluir permissões para qualquer usuário. | Google Workspace, Salesforce |
| Descobrir > Aplicativos descobertos/Endereços IP/Usuários | Cloud Discovery | Exportar dados de descoberta | Cria um CSV dos dados de descoberta. | Descoberta |
| Política de arquivos | Arquivo | Lixeira | Coloca o arquivo na lixeira do usuário. | Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (excluir permanentemente) |
| Política de Arquivos | Arquivo | Notificar o último editor de arquivo | Envia um email para notificar a última pessoa que editou o arquivo que ele viola uma política. | Google Workspace, Box |
| Política de Arquivos | Arquivo | Notificar o proprietário do arquivo | Envia um email para o proprietário do arquivo quando um arquivo viola uma política. No Dropbox, se nenhum proprietário estiver associado um arquivo, a notificação será enviada para o usuário específico que você definir. | Todos os aplicativos |
| Política de arquivos, Atividade de política | Arquivo, Atividade | Notificar usuários específicos | Envia um email para notificar usuários específicos sobre um arquivo que viola uma política. | Todos os aplicativos |
| Política de arquivos e Política de atividade | Arquivo, Atividade | Notificar o usuário | Envia um email aos usuários para notificá-los de que algo que eles fizeram ou um arquivo que têm viola uma política. Você pode adicionar uma notificação personalizada para que ele saiba qual foi a violação. | Tudo |
| Política de arquivos e Arquivos | Arquivo | Remover a capacidade do editor de compartilhar | No Google Drive, as permissões de editor padrão de um arquivo permitem o compartilhamento também. Esta ação de governança restringe essa opção e também o compartilhamento de arquivos com o proprietário. | Google Workspace |
| Política de arquivos e Arquivos | Arquivo | Colocar em quarentena do administrador | Remove qualquer permissão do arquivo e o move para uma pasta de quarentena em um local para o administrador. | Office 365 SharePoint, OneDrive for Business, Box |
| Política de arquivos e Arquivos | Arquivo | Aplicar rótulos de confidencialidade | Aplica um rótulo de classificação da Proteção de Informações do Azure a arquivos automaticamente de acordo com as condições definidas na política. | Google Apps, Box, One Drive, SharePoint |
| Política de arquivos e Arquivos | Arquivo | Remover rótulos de confidencialidade | Remove um rótulo de classificação da Proteção de Informações do Azure de arquivos automaticamente de acordo com as condições definidas na política. É possível remover rótulos apenas se não incluírem proteção e tiverem sido aplicados no Defender para Aplicativos de Nuvem. Rótulos aplicados diretamente na Proteção de Informações não podem ser removidos. | Google Apps, Box, One Drive, SharePoint |
| Política de arquivos, Política de atividade, Alertas | Aplicativo | Exigir que os usuários entrem novamente | Agora você pode exigir que os usuários entrem novamente em todos os aplicativos do Office 365 e do Azure AD como uma correção rápida e eficaz para alertas de atividade do usuário suspeita e contas comprometidas. Você pode encontrar a nova governança nas configurações de política e nas páginas de alertas, ao lado da opção Suspender usuário. | Microsoft Entra ID Gratuito / Microsoft 365 Apps |
| Arquivos | Arquivo | Restaurar da quarentena do usuário | Restaura um usuário de ser colocado em quarentena. | Box |
| Arquivos | Arquivo | Conceder permissões de leitura para mim | Concede permissões de leitura do arquivo para você mesmo, de forma que você possa acessar o arquivo e entender se ele tem uma violação ou não. | Google Workspace |
| Arquivos | Arquivo | Permitir que os editores compartilhem | No Google Drive, a permissão de editor padrão de um arquivo permite o compartilhamento também. Esta ação de governança é o oposto da ação Remover a capacidade do editor de compartilhar, e permite que o editor compartilhe o arquivo. | Google Workspace |
| Arquivos | Arquivo | Proteger | Proteja um arquivo com a Proteção de Informações do Azure aplicando um modelo da organização. | Microsoft 365 (SharePoint e OneDrive) |
| Arquivos | Arquivo | Revogar formulário de permissões de leitura para mim | Revoga permissões de leitura do arquivo para você mesmo, útil após conceder permissão a si próprio para entender se um arquivo tem uma violação ou não. | Google Workspace |
| Arquivos, Política de arquivos | Arquivo | Transferir a propriedade do arquivo | Altera o proprietário - na política em que você escolher um proprietário específico. | Google Workspace |
| Arquivos, Política de arquivos | Arquivo | Reduzir o acesso público | Essa ação permite que você defina os arquivos disponíveis publicamente a serem disponibilizados somente com um link compartilhado. | Google Workspace |
| Arquivos, Política de arquivos | Arquivo | Remover um parceiro | Remove um parceiro específico de um arquivo. | Google Workspace, Box, One Drive, SharePoint |
| Arquivos, Política de arquivos | Arquivo | Tornar privado | Somente administradores do site podem acessar o arquivo; todos os compartilhamentos são removidos. | Google Workspace, One Drive, SharePoint |
| Arquivos, Política de arquivos | Arquivo | Remover usuários externos | Remove todos os parceiros externos - fora dos domínios configurados como internos nas Configurações. | Google Workspace, Box, One Drive, SharePoint |
| Arquivos, Política de arquivos | Arquivo | Conceder permissão de leitura ao domínio | Concede permissões de leitura do arquivo no domínio especificado para todo o seu domínio ou para um domínio específico. Essa ação é útil se você deseja remover o acesso público depois de conceder acesso ao domínio de pessoas que precisam trabalhar nele. | Google Workspace |
| Arquivos, Política de arquivos | Arquivo | Colocar em quarentena do usuário | Remove todas as permissões do arquivo e o move para uma pasta de quarentena na unidade de raiz do usuário. Essa ação permite que o usuário examine o arquivo e o mova. Se ele for movido manualmente de volta, o compartilhamento de arquivos não será restaurado. | Box, One Drive, SharePoint |
| Arquivos | Arquivo | Expiração de link compartilhado | Define uma data de expiração para um link compartilhado, após a qual ele não estará mais ativo. | Box |
| Arquivos | Arquivo | Alterar nível de acesso para compartilhamento de link | Altera o nível de acesso do link compartilhado entre "somente a empresa", "somente colaboradores" e "público". | Box |
| Arquivos, Política de arquivos | Arquivo | Remover acesso público | Se um arquivo era seu e você o colocou no acesso público, ele se tornará acessível somente para quem tiver sido configurado com acesso ao arquivo (dependendo do tipo de acesso que o arquivo tinha). | Google Workspace |
| Arquivos, Política de arquivos | Arquivo | Remover link compartilhado direto | Remove um link que foi criado para o arquivo que é público, mas só é compartilhado com pessoas específicas. | Box, Dropbox |
| Configurações> Configurações do Cloud Discovery | Cloud Discovery | Recalcular pontuações do Cloud Discovery | Recalcula as pontuações no catálogo de aplicativos de Nuvem após alterar uma métrica de pontuação. | Descoberta |
| Configurações> Configurações do Cloud Discovery > Gerenciar exibições de dados | Cloud Discovery | Criar exibição personalizada de dados de filtro do Cloud Discovery | Cria uma nova exibição de dados para uma exibição mais detalhada dos resultados da descoberta. Por exemplo, intervalos de IP específicos. | Descoberta |
| Configurações> Configurações do Cloud Discovery > Excluir dados | Cloud Discovery | Excluir os dados do Cloud Discovery | Exclui todos os dados coletados de fontes de descoberta. | Descoberta |
| Configurações> Configurações do Cloud Discovery > Carregar logs manualmente/Carregar logs automaticamente | Cloud Discovery | Analisar dados do Cloud Discovery | Notificação de que todos os dados de log foram analisados. | Descoberta |
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.