Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos de catálogo com um IdP que não seja Microsoft
Os controles de acesso e sessão no Microsoft Defender para Aplicativos de Nuvem funcionam com aplicativos do catálogo de aplicativos de nuvem e com aplicativos personalizados. Para obter uma lista de aplicativos previamente integrados pelo Defender para Aplicativos de Nuvem para prontos para funcionar, consulte o tópico Proteger aplicativos com o Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de Nuvem.
Pré-requisitos
Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:
- A licença exigida pela solução de provedor de identidade (IdP)
- Microsoft Defender para Aplicativos de Nuvem
Os aplicativos devem ser configurados com logon único
Os aplicativos devem usar um dos seguintes protocolos de autenticação:
IdP Protocolos Microsoft Entra ID SAML 2.0 ou OpenID Connect Outro SAML 2.0
Configurar o IdP para trabalhar com o Microsoft Defender para Aplicativos de Nuvem
Use as etapas a seguir para rotear sessões de aplicativos de outras soluções IdP para o Defender para Aplicativos de Nuvem. Para o Microsoft Entra ID, consulte Configurar a integração com o Microsoft Entra ID.
Observação
Para obter exemplos de como configurar soluções de IdP, consulte:
No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.
Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
Selecione + Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.
Na página INFORMAÇÕES DO APLICATIVO, preencha o formulário usando as informações da página de configuração de logon único do aplicativo e selecione Avançar.
Se o IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
Ou selecione Preencher dados manualmente e forneça as seguintes informações:
- URL do serviço do consumidor de declaração
- Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.
Por exemplo:
Na página PROVEDOR DE IDENTIDADE, use as etapas fornecidas para configurar um novo aplicativo no portal do IdP e selecione Avançar.
Acesse o portal do IdP e crie um novo aplicativo SAML personalizado.
Copie a configuração de logon único do aplicativo
<app_name>existente para o novo aplicativo personalizado.Atribua usuários ao novo aplicativo personalizado.
Copie as informações de configuração de logon único dos aplicativos. Você precisará dele na próxima etapa. Por exemplo:
Observação
Dependendo da sua situação, as etapas podem variar um pouco. Esse método é recomendado pelos seguintes motivos:
Alguns provedores de identidade não permitem que você altere os atributos de SAML ou as propriedades de URL de um aplicativo de galeria.
A configuração de um aplicativo personalizado permite que testá-lo com controles de acesso e sessão sem alterar o comportamento existente para a organização.
Na próxima página, preencha o formulário usando as informações da página de configuração de logon único do aplicativo e selecione Avançar.
Se o IdP fornecer um arquivo de metadados de logon único para o aplicativo selecionado, selecione Carregar arquivo de metadados do aplicativo e carregue o arquivo de metadados.
Ou selecione Preencher dados manualmente e forneça as seguintes informações:
- URL do serviço do consumidor de declaração
- Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.
Por exemplo:
Na próxima página, copie as informações a seguir e selecione Avançar. Essas informações serão necessárias na próxima etapa.
- SAML no Azure AD
- Atributos e valores
Por exemplo:
No portal do IdP, defina as configurações a seguir, comumente encontradas na página de configurações personalizadas do aplicativo do portal do IdP.
No campo URL de logon único, insira a URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente.
Adicione os atributos e valores que você anotou anteriormente às propriedades do aplicativo. Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.
Ao criar um novo aplicativo SAML, o provedor de identidade do Okta limita os atributos a 1024 caracteres. Crie o aplicativo sem os atributos relevantes primeiro para atenuar essa limitação. Depois de criar o aplicativo, edite-o e adicione os atributos relevantes.
Verifique se o identificador de nome está no formato de endereço de email.
Salve suas configurações.
Na página APP CHANGES, faça conforme mostrado a seguir e, depois, clique em Avançar: Essas informações serão necessárias na próxima etapa.
- Copiar a URL de logon único
- Baixe o certificado SAML do Defender para Aplicativos de Nuvem
Por exemplo:
Em seguida, na página de configurações de logon único do aplicativo, faça o seguinte:
(Recomendação) Criar um backup das configurações atuais.
Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.
Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.
Selecione Salvar.
Depois de salvar as configurações, todas as solicitações de entrada associadas a esse aplicativo serão roteadas por meio do Controle de Aplicativos de Acesso Condicional.
O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.
Iniciar sessão em cada aplicativo usando um usuário-se com escopo para a política
Observação
Antes de prosseguir, certifique-se de sair primeiro das sessões existentes.
Depois de criar a política, entre em cada aplicativo configurado nessa política. Entre usando um usuário configurado na política.
O Defender para Aplicativos de Nuvem sincronizará os detalhes da política com seus servidores para cada novo aplicativo em que você entrar. Isso poderá levar até um minuto.
Verificar se os aplicativos estão configurados para usar controles de acesso e de sessão
As instruções anteriores ajudaram você a criar uma política interna do Defender para Aplicativos de Nuvem para aplicativos de catálogo diretamente no Microsoft Entra ID. Nessa etapa, verifique se os aplicativos estão configurados para usar controles de acesso e sessão.
No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.
Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.
Na tabela Aplicativos, observe a coluna Controles disponíveis e verifique se o Controle de acesso ou o Acesso condicional do Azure AD e o Controle de sessão aparecem para seus aplicativos.
Se o aplicativo não estiver habilitado para o controle de sessão, adicione-o selecionando Integrado com controle de sessão e marcando Usar este aplicativo com controles de sessão. Por exemplo:
Habilitar o aplicativo para uso em sua organização
Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção da sua organização, siga as etapas a seguir.
No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.
Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional. Na lista de aplicativos, na linha em que aparece o aplicativo que você está implantando, selecione os três pontos no final da linha e escolha Editar aplicativo.
Selecione Habilitar o aplicativo para funcionar com controles de sessão e Salvar. Por exemplo:
Testar a implantação
Primeiro saia das sessões existentes. Em seguida, tente entrar em cada aplicativo que foi implantado com êxito. Entre usando um usuário que corresponda à política configurada no Microsoft Entra ID ou para um aplicativo SAML configurado com seu provedor de identidade.
No portal do Microsoft Defender, em Aplicativos na nuvem, selecione Log de atividades e garanta que as atividades de logon sejam capturadas para cada aplicativo.
É possível filtrar clicando em Avançado e, em seguida, usando a filtragem Origem é igual a Controle de acesso. Por exemplo:
Recomenda-se que você entre em aplicativos móveis e da área de trabalho em dispositivos gerenciados e não gerenciados. Isso serve para garantir que as atividades sejam capturadas corretamente no log de atividades.
Para verificar se a atividade é capturada corretamente, selecione um log de logon único na atividade para abrir a gaveta de atividades. Verifique se a Marca de agente do usuário reflete corretamente se o dispositivo é um cliente nativo (o que significa um aplicativo móvel ou da área de trabalho) ou um dispositivo gerenciado (em conformidade, ingressado no domínio ou certificado do cliente válido).
Observação
Depois de implantado, você não pode remover um aplicativo da página de Controle de Aplicativos de Acesso Condicional. Desde que você não defina uma política de acesso ou sessão no aplicativo, o Controle de Aplicativos de Acesso Condicional não alterará os comportamentos para o aplicativo.
Próximas etapas
Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de