Compartilhar via


Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de nuvem

No local de trabalho atual, não é suficiente saber o que aconteceu em seu ambiente de nuvem após o ocorrido. Você também precisa impedir violações e vazamentos em tempo real e evitar que os funcionários coloquem intencionalmente ou acidentalmente seus dados e sua organização em risco.

Você deseja oferecer suporte aos usuários em sua organização enquanto eles usam os melhores aplicativos de nuvem disponíveis e trazem seus próprios dispositivos para o trabalho. No entanto, você também precisa de ferramentas para proteger sua organização contra vazamentos e roubo de dados em tempo real. O Microsoft Defender para Aplicativos de nuvem integra-se a qualquer provedor de identidade (IdP) para fornecer essa proteção com políticas de acesso e sessão.

Por exemplo:

  • Use políticas de acesso para:

    • Bloquear o acesso ao Salesforce para usuários provenientes de dispositivos não gerenciados
    • Bloquear o acesso ao Dropbox para clientes nativos
  • Use políticas de sessão para:

    • Bloquear downloads de arquivos confidenciais do OneDrive para dispositivos não gerenciados
    • Bloquear uploads de arquivos de malware para o SharePoint Online

Os usuários do Microsoft Edge se beneficiam da proteção direta no navegador, indicada pelo ícone de cadeado mostrado na barra de endereço do navegador.

Os usuários de outros navegadores são redirecionados por meio de um proxy reverso para o Defender para Aplicativos de nuvem e exibem um sufixo *.mcas.ms na URL do link. Por exemplo, se a URL do aplicativo for myapp.com, a URL do aplicativo será atualizada para myapp.com.mcas.ms.

Este artigo descreve o Controle de Aplicativos de Acesso Condicional do Defender para Aplicativos de nuvem com políticas de Acesso condicional do Microsoft Entra.

Atividades de Controle de Aplicativos de Acesso Condicional

O Controle de Aplicativos de Acesso Condicional usa políticas de acesso e políticas de sessão para monitorar e controlar o acesso ao aplicativo do usuário e as sessões em tempo real, em toda a sua organização.

Cada política tem condições para definir a quem (qual usuário ou grupo de usuários), o que (quais aplicativos de nuvem) e onde (quais locais e redes) a política é aplicada. Depois de determinar as condições, encaminhe seus usuários primeiro para o Defender para Aplicativos de nuvem, onde você pode aplicar os controles de acesso e sessão para proteger seus dados.

As políticas de acesso e sessão incluem os seguintes tipos de atividades:

Atividade Descrição
Impedir a exfiltração dos dados Bloqueie o download, corte, cópia e impressão de documentos confidenciais em, por exemplo, dispositivos não gerenciados.
Exigir contexto de autenticação Reavalie as políticas de Acesso Condicional do Microsoft Entra quando ocorrer uma ação confidencial na sessão, como exigir autenticação multifator.
Proteger o download Em vez de bloquear o download de documentos confidenciais, exija que os documentos sejam rotulados e criptografados quando você faz a integração com a Proteção de Informações do Microsoft Purview. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
Impedir o carregamento de arquivos sem rótulo Garanta que arquivos sem rótulo com conteúdo confidencial sejam impedidos de serem carregados até que o usuário classifique o conteúdo. Antes de um arquivo confidencial ser carregado, distribuído e usado por outras pessoas, é importante verificar se o arquivo confidencial tem o rótulo definido pela política da sua organização.
Bloqueie possíveis malwares Proteja seu ambiente contra malware bloqueando o upload de arquivos potencialmente mal-intencionados. Qualquer arquivo carregado ou baixado pode ser verificado usando as Informações sobre ameaças da Microsoft e bloqueado instantaneamente.
Monitorar as sessões de usuário quanto à conformidade Investigue e analisar o comportamento do usuário para compreender onde e sob quais condições as políticas de sessão deverão ser aplicadas no futuro. Os usuários de risco são monitorados quando entram nos aplicativos e suas ações são registradas na sessão.
Bloquear acesso Bloqueie granularmente o acesso de maneira granular para aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você poderá bloqueá-los se eles estiverem usando os certificados do cliente como uma forma de gerenciamento de dispositivo.
Bloquear as atividades personalizadas Alguns aplicativos têm cenários exclusivos que trazem risco, por exemplo, enviar mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses cenários, examine o conteúdo confidencial das mensagens e bloqueá-los em tempo real.

Para saber mais, veja:

Usabilidade

O Controle de Aplicativos de Acesso Condicional não exige que você instale nada no dispositivo, tornando-o ideal ao monitorar ou controlar sessões de dispositivos não gerenciados ou usuários parceiros.

O Defender para Aplicativos de nuvem usa as melhores heurísticas patenteadas da categoria para identificar e controlar as atividades realizadas pelo usuário no aplicativo de destino. Nossas heurísticas são projetadas para otimizar e equilibrar segurança com usabilidade.

Em alguns cenários raros, quando o bloqueio de atividades do lado do servidor inutiliza o aplicativo, protegemos essas atividades apenas do lado do cliente, o que as torna potencialmente suscetíveis à exploração por insiders mal-intencionados.

Desempenho do sistema e armazenamento de dados

O Defender para Aplicativos de Nuvem usa os Data Centers do Azure em todo o mundo para fornecer desempenho otimizado por meio da geolocalização. Isso significa que a sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e da sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

Os servidores proxy do Defender para Aplicativos de nuvem não armazenam dados em repouso. Ao armazenar conteúdo em cache, seguimos os requisitos estabelecidos na RFC 7234 (armazenamento em cache de HTTP) e armazenamos em cache apenas o conteúdo público.

Clientes e aplicativos compatíveis

Aplique sessão e acesso a controles a qualquer logon único interativo que use o protocolo de autenticação SAML 2.0. Os controles de acesso também são compatíveis com aplicativos cliente móveis e de desktop integrados.

Além disso, se você estiver usando aplicativos do Microsoft Entra ID, aplique controles de sessão e acesso a:

Os aplicativos Microsoft Entra ID também são integrados automaticamente para controle de aplicativo de acesso condicional, enquanto os aplicativos que usam outros IdPs devem ser integrados manualmente.

O Defender para Aplicativos de nuvem identifica aplicativos usando dados do catálogo de aplicativos de nuvem. Se você personalizou aplicativos com plug-ins, todos os domínios personalizados associados devem ser adicionados ao aplicativo relevante no catálogo. Para saber mais, confira Trabalhando com pontuação de risco.

Observação

Aplicativos instalados com fluxos de entrada não interativos, como o Authenticator e outros aplicativos internos, não podem ser usados com controles de acesso. Nossa recomendação, nesse caso, é criar uma política de acesso no portal Entra ID, além de políticas de acesso ao Microsoft Defender para Aplicativos de Nuvem

Escopo de suporte de controle de sessão

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, oferecemos suporte aos seguintes navegadores:

Os usuários do Microsoft Edge se beneficiam da proteção no navegador, sem redirecionar para um proxy reverso. Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (versão preliminar).

Suporte de aplicativos para TLS 1.2+

O Defender para Aplicativos de nuvem usa protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria, e aplicativos cliente e navegadores internos que não oferecem suporte a TLS 1.2+ não são acessíveis quando configurados com controle de sessão.

No entanto, ao serem configurados com o Defender para Aplicativos de Nuvem, os aplicativos SaaS que usam TLS 1.1 ou inferiores serão exibidos no navegador como se estivessem usando o TLS 1.2+.

Para saber mais, veja: