Governar aplicativos descobertos usando o Microsoft Defender para Ponto de Extremidade

A integração do Microsoft Defender para Aplicativos de Nuvem com o Microsoft Defender para Ponto de Extremidade fornece uma solução perfeita de visibilidade e controle de Shadow IT. Nossa integração permite que os administradores do Defender para Aplicativos de Nuvem bloqueiem o acesso de usuários finais a aplicativos de nuvem, integrando nativamente os controles de governança de aplicativos do Defender para Aplicativos de Nuvem com a proteção de rede do Microsoft Defender para Ponto de Extremidade. Como alternativa, os administradores podem adotar uma abordagem mais suave de avisar os usuários quando acessarem aplicativos de nuvem arriscados.

O Defender para Aplicativos de Nuvem usa a tag interna de aplicativo Não sancionado para marcar aplicativos de nuvem como proibidos para uso, disponível nas páginas do Cloud Discovery e do catálogo de aplicativos de nuvem. Habilitando a integração com o Defender para Ponto de Extremidade, você pode bloquear continuamente o acesso a aplicativos não sancionados com um clique simples no portal do Defender para Aplicativos de Nuvem.

Os aplicativos marcados como não sancionados no Defender para Aplicativos de Nuvem são sincronizados automaticamente com o Defender para Ponto de Extremidade. Mais especificamente, os domínios usados por esses aplicativos não sancionados são propagados para dispositivos de ponto de extremidade a serem bloqueados pelo Microsoft Defender Antivírus dentro do SLA de Proteção de Rede.

Observação

A latência de tempo para bloquear um aplicativo por meio do Defender para Ponto de Extremidade é de até três horas, desde o momento em que o aplicativo é marcado como não sancionado no Defender para Aplicativos de Nuvem até o momento em que o aplicativo é bloqueado no dispositivo. Isso se deve a até uma hora de sincronização de aplicativos sancionados e não sancionados do Defender para Aplicativos de Nuvem para o Defender para Ponto de Extremidade, e até duas horas para transmitir a política aos dispositivos, a fim de bloquear o aplicativo assim que o indicador for criado no Defender para Ponto de Extremidade.

Pré-requisitos

• Uma das seguintes licenças:

  • Defender for Cloud Apps (E5, AAD-P1m CAS-D) e Microsoft Defender for Endpoint Plan 2, com endpoints integrados ao Defender for Endpoint
  • Microsoft 365 E5

• Antivírus Microsoft Defender. Para saber mais, veja:

  • Proteção em tempo real habilitada
  • Proteção fornecida pela nuvem habilitada
  • Proteção de rede habilitada e configurada para o modo de bloqueio

• Um dos seguintes sistemas operacionais suportados:

  • Windows: Windows versões 10 18.09 (RS5) OS Build 1776.3, 11 e superior
  • Android: versão mínima 8.0. Para obter mais informações, confira: Microsoft Defender para Ponto de Extremidade no Android
  • iOS: versão mínima 14.0. Para obter mais informações, confira: Microsoft Defender para Ponto de Extremidade no iOS
  • MacOS: versão mínima 11. Para obter mais informações, confira: Proteção de rede para macOS
  • Requisitos do sistema Linux: para obter mais informações, confira Proteção de rede para Linux

• Microsoft Defender para ponto de extremidade integrado. Para obter mais informações, consulte Onboard Defender for Cloud Apps with Defender for Endpoint.

Habilitar o bloqueio de aplicativos na nuvem com o Defender for Endpoint

Use as etapas a seguir para habilitar o controle de acesso para aplicativos na nuvem.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade e Impor acesso a aplicativos.

   

   Observação

   Pode levar até 30 minutos para que essa configuração entre em vigor.

2. No Microsoft Defender XDR, vá para Configurações>Pontos de extremidade>Recursos avançados e, em seguida, selecione Indicadores de rede personalizados. Para obter informações sobre indicadores de rede, confira Criar indicadores para IPs e URLs/domínios.

   Isso permite aproveitar as capacidades de proteção de rede do Microsoft Defender Antivírus para bloquear o acesso a um conjunto predefinido de URLs usando o Defender para Aplicativos de Nuvem, atribuindo manualmente tags de aplicativo a aplicativos específicos ou usando automaticamente uma política de descoberta de aplicativos.

   

Bloquear aplicativos para grupos de dispositivos específicos

Para bloquear o uso de grupos de dispositivos específicos, execute as etapas a seguir.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em seguida, em Cloud Discovery, selecione Tags de aplicativos e acesse a guia Perfis com escopo.

2. Selecione Adicionar perfil. O perfil define as entidades com escopo para bloquear ou desbloquear aplicativos.

3. Forneça uma descrição e um nome do perfil detalhados.

4. Escolha se o perfil deve ser um Incluir ou Excluir.

   • Incluir: apenas o conjunto de entidades incluído será afetado pela imposição de acesso. Por exemplo, o perfil myContoso tem Incluir para os grupos de dispositivos A e B. Bloquear o aplicativo Y com o perfil myContoso bloqueará o acesso ao aplicativo somente para os grupos A e B.

   • Excluir: o conjunto de entidades excluído não será afetado pela imposição de acesso. Por exemplo, o perfil myContoso tem Excluir para os grupos de dispositivos A e B. Bloquear o aplicativo Y com o perfil myContoso bloqueará o acesso ao aplicativo para toda a organização, exceto para os grupos A e B.

5. Selecione os grupos de dispositivos relevantes para o perfil. Os grupos de dispositivos listados são extraídos do Microsoft Defender para Ponto de Extremidade. Para obter mais informações, confira Criar um grupo de dispositivos.

6. Selecione Salvar.

   

Para bloquear um aplicativo, siga as etapas a seguir.

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse o Cloud Discovery e a guia Aplicativos descobertos.

2. Selecione o aplicativo que deve ser bloqueado.

3. Marque o aplicativo como Não sancionado.

   

4. Para bloquear todos os dispositivos da sua organização, selecione Salvar. Para bloquear grupos de dispositivos específicos nas suas organizações, selecione Selecionar um perfil para incluir ou excluir grupos de serem bloqueados. Em seguida, escolha o perfil para o qual o aplicativo será bloqueado e selecione Salvar.

   

Observação

• A capacidade de imposição é baseada nos indicadores de URL personalizados do Defender para Ponto de Extremidade.
• Qualquer escopo organizacional definido manualmente em indicadores criados pelo Defender para Aplicativos de Nuvem antes do lançamento desse recurso será substituído pelo Defender para Aplicativos de Nuvem. O escopo necessário deve ser definido na experiência do Defender para Aplicativos de Nuvem usando a experiência de perfis com escopo.
• Para remover um perfil de escopo selecionado de um aplicativo não sancionado, remova a marca não sancionado e marque o aplicativo novamente com o perfil contendo o escopo necessário.
• Pode levar até duas horas para que os domínios de aplicativos se propaguem e sejam atualizados nos dispositivos de ponto de extremidade depois de marcados com a tag ou o escopo relevantes.
• Quando um aplicativo é marcado como Monitorado, a opção para aplicar um perfil com escopo é exibida somente se a fonte de dados interna Win10 Endpoint Users tiver recebido dados consistentemente durante os últimos 30 dias.

Educar os usuários ao acessar aplicativos arriscados

Os administradores têm a opção de avisar os usuários ao acessarem aplicativos arriscados. Em vez de bloquear os usuários, eles recebem uma mensagem de solicitação com um link de redirecionamento personalizado para uma página da empresa listando os aplicativos aprovados para uso. A solicitação fornece opções para os usuários ignorarem o aviso e continuarem no aplicativo. Os administradores também podem monitorar o número de usuários que ignora a mensagem de aviso.

O Defender para Aplicativos de Nuvem usa a tag interna de aplicativos Monitorado para marcar aplicativos de nuvem como arriscados para uso. A tag está disponível nas páginas do Cloud Discovery e do catálogo de aplicativos de nuvem. Habilitando a integração com o Defender para Ponto de Extremidade, você pode avisar continuamente os usuários sobre o acesso a aplicativos monitorados com um clique simples no portal do Defender para Aplicativos de Nuvem.

Os aplicativos marcados como Monitorados são sincronizados automaticamente com os indicadores de URL personalizados do Defender para Ponto de Extremidade, geralmente em poucos minutos. Mais especificamente, os domínios usados pelos aplicativos monitorados são propagados para dispositivos de ponto de extremidade para fornecer uma mensagem de aviso pelo Microsoft Defender Antivírus dentro do SLA de Proteção de Rede.

Configurar a URL de redirecionamento personalizada da mensagem de aviso

Use as etapas a seguir para configurar uma URL personalizada apontando para uma página da Web da empresa, onde você possa instruir os funcionários sobre o motivo de terem sido avisados e fornecer uma lista de aplicativos aprovados como alternativa, que aderem à aceitação de risco da sua organização ou já são gerenciados por ela.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade.

2. Na caixa URL de notificação, insira a sua URL.

   

Configurar a duração do desvio do usuário

Como os usuários podem ignorar a mensagem de aviso, você pode usar as etapas a seguir para configurar a duração da aplicação do desvio. Uma vez decorrida a duração, os usuários receberão a mensagem de aviso de solicitação na próxima vez que acessarem o aplicativo monitorado.

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos de Nuvem. Em Cloud Discovery, selecione Microsoft Defender para Ponto de Extremidade.

2. Na caixa Duração do bypass, insira a duração (horas) do bypass do usuário.

   

Monitorar controles de aplicativos aplicados

Depois que os controles são aplicados, você pode monitorar os padrões de uso do aplicativo pelos controles aplicados (acesso, bloqueio, bypass) usando as etapas a seguir.

1. No portal do Microsoft Defender, em Aplicativos de Nuvem, acesse Cloud Discovery e vá para a guia Aplicativos descobertos. Use os filtros para encontrar o aplicativo monitorado relevante.
2. Selecione o nome do aplicativo para exibir os controles de aplicativos aplicados na página de visão geral dele.

Próximas etapas

Investigar aplicativos descobertos pelo Microsoft Defender para Ponto de Extremidade

Controlar aplicativos de nuvem com políticas

Vídeos relacionados

Descobrir e bloquear o shadow IT usando o Defender para Ponto de Extremidade

Descoberta de shadow IT além da rede corporativa

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.