Políticas de sessão

As políticas de sessão do Microsoft Defender para aplicativos de nuvem fornecem visibilidade granular de aplicativos na nuvem com monitoramento em tempo real em nível de sessão. Use políticas de sessão para executar ações diferentes, dependendo da política configurada para uma sessão de usuário.

Em vez de permitir ou bloquear o acesso por completo, com as políticas de controle de sessão, é possível permitir o acesso durante o monitoramento da sessão. É possível também pode limitar as atividades de sessão específicas usando o suporte de proxy reverso do Controle de aplicativos de acesso condicional.

Por exemplo, talvez você decida que quer permitir que os usuários acessem um aplicativo a partir de dispositivos não gerenciados ou de sessões provenientes de localizações específicas. No entanto, você quer limitar o download de arquivos confidenciais ou exigir que documentos específicos sejam protegidos no download.

As políticas de sessão habilitam você a configurar controles de sessão do usuário, configurar o acesso e muito mais:

• Monitorar todas as atividades
• Bloquear todos os downloads
• Bloquear atividades específicas
• Exigir autenticação step-up no (contexto de autenticação)
• Proteger arquivos no download
• Proteger uploads de arquivos confidenciais
• Bloquear malware no upload
• Eduque os usuários a proteger arquivos confidenciais

Observação

• Não há limite para o número de políticas que podem ser aplicadas.
• Não há conexão entre uma política criada para um aplicativo hospede e quaisquer aplicativos de recursos relacionados. Por exemplo, as políticas de sessão criadas para o Teams, Exchange ou Gmail não estão conectadas ao Sharepoint, OneDrive ou Google Drive. Caso precise de uma política para o aplicativo de recurso além do aplicativo hospede, crie uma política separada.

Pré-requisitos para usar políticas de sessão

Antes de iniciar, verifique se os pré-requisitos a seguir são cumpridos:

• Uma licença do Defender para aplicativos na nuvem (independente ou parte de outra licença)

• Uma licença para o Microsoft Entra ID P1 (como uma licença independente ou como uma licença E5) ou a licença exigida pela sua solução de provedor de identidade (IdP)

• Os aplicativos relevantes devem ser implantados com o Controle de Aplicativo de Acesso Condicional

• Verifique se a solução de IdP está configurada para funcionar com o Defender para Aplicativos de Nuvem da seguinte maneira:

  • Para o acesso condicional do Microsoft Entra, consulte Configurar a integração com o Microsoft Entra ID
  • Para outras soluções de IdP, consulte Configurar integração com outras soluções de IdP

Crie uma política de sessão do Defender para aplicativos na nuvem

Use as etapas a seguir para criar uma nova política de sessão:

1. No portal do Microsoft Defender, em Aplicativos na nuvem, vá para Políticas ->Gerenciamento de políticas. Então, selecione a guia Acesso condicional.

2. Selecione Criar política e selecione Política de sessão. Por exemplo:

   

3. Na janela Política de sessão, atribua um nome para a política, como Bloquear o download de documentos confidenciais na caixa para usuários de marketing.

4. No campo Tipo de controle de sessão, selecione:

   • Selecione Apenas monitorar se você quiser apenas monitorar atividades por usuários. Essa seleção cria uma política Apenas monitorar para os aplicativos que você selecionou como todos os conectados.

   • Selecione Controlar download de arquivos (com inspeção) se quiser monitorar as atividades do usuário. Você pode executar mais ações, como bloquear ou proteger downloads para os usuários.

   • Selecione Bloquear atividades para bloquear atividades específicas que você pode selecionar usando o filtro Tipo de atividade. Todas as atividades de aplicativos selecionados são monitoradas (e relatadas no Log de atividades). As atividades específicas que você selecionar são bloqueadas se você selecionar a ação Bloquear. As atividades específicas selecionadas geram alertas se você selecionar a ação Testar e ativar os alertas.

5. Em Origem da atividade na seção Atividades que correspondem a todos os seguintes, selecione mais filtros de atividade para aplicar à política. Esses filtros podem incluir as seguintes opções:

   • Marcas de dispositivo: use este filtro para identificar dispositivos não gerenciados.

   • Local: use este filtro para identificar locais desconhecidos (e, portanto, arriscados).

   • Endereço IP: use nesse filtro para filtrar por endereços IP ou usar marcas de endereço IP atribuídas anteriormente.

   • Marca de agente do usuário: use esse filtro para habilitar que a heurística identifique os aplicativos móveis e de área de trabalho. Esse filtro pode ser definido como igual ou diferente do Cliente nativo. Esse filtro deve ser testado nos aplicativos móveis e da área de trabalho para cada aplicativo na nuvem.

   • Tipo de atividade: use este filtro para selecionar atividades específicas que serão controladas, como:

     • Imprimir

     • Ações da área de transferência: copiar, recortar e colar

     • Enviar itens em aplicativos como Teams, Slack e Salesforce

     • Compartilhar e descompartilhar itens em vários aplicativos

     • Editar itens em vários aplicativos

     Por exemplo, use uma atividade de envio de itens em suas condições para capturar um usuário tentando enviar informações em um bate-papo do Teams ou canal do Slack e bloqueie a mensagem se ela contiver informações confidenciais, como uma senha ou outras credenciais.

   Observação

   As políticas de sessão não dão suporte a aplicativos móveis e de área de trabalho. Os aplicativos móveis e aplicativos da área de trabalho também podem ser bloqueados ou permitidos por meio da criação de uma política de acesso.

6. Se você tiver selecionado a opção de download do arquivo de controle (com inspeção):

   • Em Origem da atividade na seção Arquivos que correspondem a todos os seguintes, selecione mais filtros de arquivos para aplicar à política. Esses filtros podem incluir as seguintes opções:

     • Rótulo de confidencialidade: use esse filtro se a organização usar a proteção de informações do Microsoft Purview e seus dados forem protegidos por seus rótulo de confidencialidade. Você pode filtrar arquivos com base no rótulo de confidencialidade aplicado a eles. Para obter mais informações sobre a integração com a proteção de informações do Microsoft Purview, confira Integração da proteção de informações do Microsoft Purview.

     • Nome de arquivo – Use esse filtro para aplicar a política a arquivos específicos.

     • Tipo de arquivo – Use esse filtro para aplicar a política a tipos de arquivo específicos, por exemplo, bloquear o download de todos os arquivos. xls.

   • Na seção Inspeção de conteúdo, defina se deseja habilitar o exame de documentos e o conteúdo do arquivo pelo mecanismo DLP.

   • Em Ações, selecione um dos seguintes itens:

     • Auditoria (Monitoramento de todas as atividades): defina essa ação para permitir o download explicitamente conforme os filtros de política que você definir.
     • Bloquear (bloquear o download de arquivos e monitorar todas as atividades): defina essa ação para bloquear explicitamente o download de acordo com os filtros de política que você definir. Para obter mais informações, consulte Como funciona o bloqueio de download.
     • Proteger (aplicar o rótulo de confidencialidade para download e monitorar todas as atividades): essa opção só está disponível se você selecionar Controlar download de arquivos (com inspeção) em Política de sessão. Se sua organização usa a proteção de informações do Microsoft Purview, você pode definir uma Ação para aplicar um rótulo de confidencialidade configurado na proteção de informações do Microsoft Purview para o arquivo. Para obter mais informações, consulte Como funciona o a proteção de download.

7. Para o alerta ser enviado como um e-mail, selecione Criar um alerta para cada evento correspondente com a gravidade da política e defina um limite de alerta.

8. Notificar os usuários: quando você cria uma política de sessão, cada sessão de usuário que corresponde à política é redirecionada para o controle de sessão em vez do aplicativo diretamente.

   O usuário verá um aviso de monitoramento para que ele saiba que as sessões que estão sendo monitoradas. Se você não desejar notificar o usuário de que ele está sendo monitorado, poderá desabilitar a mensagem de notificação.

   1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

   2. Em seguida, no Controle de Aplicativo de Acesso Condicional, marque a caixa de seleção Monitoramento de usuário e desmarque Notificar os usuários.

9. Monitore os logs: para manter o usuário na sessão, o Controle de Aplicativos de Acesso Condicional substitui todas as URLs relevantes, os scripts Java e os cookies na sessão do aplicativo por URLs do Microsoft Defender para aplicativos de nuvem. Por exemplo, se o aplicativo retornar uma página com links cujos domínios terminam com myapp.com, o Controle de aplicativos de acesso condicional substituirá os links por domínios que terminam com algo como myapp.com.mcas.ms. Dessa forma, o Defender para aplicativos de nuvem monitora toda a sessão.

Exportar logs do Cloud Discovery

O Controle de Aplicativo de Acesso Condicional registra os logs de tráfego de todas as sessões de usuário que são roteadas por ele. Os logs de tráfego incluem o agente do usuário, o tempo, o IP, as URLs visitadas e o número de bytes carregados e baixados. Esses logs são analisados e um relatório contínuo, Controle de Aplicativos de Acesso Condicional do Defender para aplicativos de nuvem, é adicionado à lista de relatórios do Cloud Discovery no painel do Cloud Discovery.

Para exportar logs do Cloud Discovery do painel do Cloud Discovery:

1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem. Em Aplicativos conectados, selecione Controle de Aplicativo de Acesso Condicional.

2. Acima da tabela, selecione o botão exportar. Por exemplo:

   

3. Selecione o intervalo do relatório e selecione Exportar. Esse processo pode demorar algum tempo.

4. Para fazer o download do log exportado depois que o relatório estiver pronto, no portal do Microsoft Defender, vá para Relatórios ->Aplicativos na nuvem e, em seguida, Relatórios exportados.

5. Na tabela, selecione o relatório relevante na lista de logs de tráfego do Controle de Aplicativos de Acesso Condicional e selecione Download. Por exemplo:

   

Monitorar tudo

Apenas monitorar monitora ativamente apenas a atividade de Login e nenhum alerta é enviado. 

Para monitorar outras atividades, selecione a ação Auditoria, caso em que os alertas são enviados de acordo com sua política. As atividades na ação Auditoria são monitoradas e registradas em log, independentemente de a política corresponder ou não. 

Observação

Para monitorar outras atividades além de downloads e uploads, deve haver pelo menos um bloqueio por política de atividade em sua política de monitoramento.

Bloquear todos os downloads

Quando o Bloquear for definido como a Ação que você deseja executar na política de sessão do Defender para aplicativos de nuvem, o Controle de aplicativos de acesso condicional impede que um usuário faça o download de um arquivo conforme os filtros de arquivo da política. O Defender para aplicativos de nuvem reconhece um evento de download para cada aplicativo quando um usuário inicia um download. O Controle de Aplicativos de Acesso Condicional intervirá em tempo real para impedir a execução. Quando é recebido o sinal de que um usuário iniciou um download, o Controle de Aplicativos de Acesso Condicional retorna uma mensagem dizendo Download restrito para o usuário e substitui o arquivo baixado por um arquivo de texto. A mensagem do arquivo de texto para o usuário pode ser configurada e personalizada na política da sessão.

Exigir autenticação step-up no (contexto de autenticação)

Quando o tipo de controle de sessão estiver definido como Bloquear atividades, Controlar download de arquivo (com inspeção), Controlar upload de arquivo (com inspeção), você poderá selecionar uma Ação de Requerer autenticação de step-up. Quando essa ação for selecionada, o Defender para aplicativos de nuvem redireciona a sessão para o Acesso Condicional do Microsoft Entra para reavaliação da política, sempre que a atividade selecionada ocorrer. Com base no contexto de autenticação configurado no Microsoft Entra ID, declarações como autenticação multifator e conformidade do dispositivo podem ser verificadas durante uma sessão.

Bloquear atividades específicas

Quando Bloquear atividades é definido como Tipo de atividade, você pode selecionar atividades específicas para bloquear em aplicativos específicos. Todas as atividades de aplicativos selecionados serão monitoradas e relatadas no Log de atividades. As atividades específicas que você selecionar são bloqueadas se você selecionar a ação Bloquear. As atividades específicas selecionadas geram alertas se você selecionar a ação Auditoria e ativar os alertas.

Exemplos de atividades bloqueadas incluem:

• Enviar mensagem do Teams: use para bloquear mensagens enviadas do Microsoft Teams ou bloquear mensagens do Teams que contenham conteúdo específico
• Imprimir: use para bloquear ações de Imprimir
• Copiar: use para bloquear ações de cópia para a área de transferência ou apenas bloquear cópia para conteúdo específico

Escolha Bloquear atividades específicas e aplique-as a grupos específicos para criar um modo somente leitura abrangente para sua organização.

Proteger arquivos no download

Selecione Bloquear atividades para bloquear atividades específicas que você pode localizar usando o filtro Tipo de atividade. Todas as atividades de aplicativos selecionados são monitoradas (e relatadas no Log de atividades). As atividades específicas que você selecionar são bloqueadas se você selecionar a ação Bloquear. As atividades específicas selecionadas geram alertas se você selecionar a ação Auditoria e ativar os alertas.

Quando Proteger é definido como a Ação a ser executada na política de sessão do Defender para aplicativos de nuvem, o Controle de Aplicativos de Acesso Condicional impõe o rótulo e a proteção subsequentes de um arquivo conforme os filtros de arquivo da política. Os rótulos são configurados no portal de conformidade do Microsoft Purview e o rótulo deve ser configurado para aplicar criptografia para aparecer como uma opção na política do Defender para aplicativos de nuvem.

Quando você seleciona um rótulo específico e um usuário faz o download de um arquivo que atende aos critérios de políticas, o rótulo e quaisquer proteções e permissões correspondentes são aplicados ao arquivo.

O arquivo original permanece como está no aplicativo de nuvem, enquanto o arquivo baixado agora está protegido. Os usuários que tentam acessar o arquivo devem atender os requisitos de permissão determinados pela proteção aplicada.

Atualmente, o Defender para Aplicativos de Nuvem oferece suporte à aplicação de rótulos de confidencialidade da proteção de informações do Microsoft Purview para os seguintes tipos de arquivos:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

Observação

• Use rótulos unificados para PDF.
• Não é possível substituir arquivos que já tenham um rótulo existente usando a opção Proteger nas políticas de sessão.

Proteger uploads de arquivos confidenciais

Quando Controlar upload de arquivos (com inspeção) é definido como o tipo Controle de Sessão na política de sessão do Defender para Aplicativos de Nuvem, o Controle de aplicativos de acesso condicional impede que um usuário carregue um arquivo conforme os filtros de arquivo da política. Quando um evento de upload é reconhecido, o Controle de aplicativos de acesso condicional intervém em tempo real para determinar se o arquivo é confidencial e precisa de proteção. Se o arquivo contiver dados confidenciais e não tiver um rótulo adequado, o upload do arquivo será bloqueado.

Por exemplo, é possível criar uma política que verifica o conteúdo de um arquivo para determinar se ele contém uma correspondência de conteúdo confidencial, como um número do seguro social. Se ele contiver conteúdo confidencial e não estiver rotulado com um rótulo confidencial da Proteção de Informações do Microsoft Purview, o upload do arquivo será bloqueado. Se isso acontecer, você poderá exibir uma mensagem personalizada para o usuário com instruções sobre como rotular o arquivo para carregá-lo. Assim você garante que os arquivos armazenados em seus aplicativos de nuvem estejam em conformidade com suas políticas.

Bloquear malware no upload

Quando Controlar upload de arquivos (com inspeção) é definido como o tipo de Controle de Sessão e a Detecção de Malware é definida como o Método de Inspeção na política de sessão do Defender para Aplicativos de Nuvem, o Controle de Aplicativos de Acesso Condicional impede que um usuário carregue um arquivo em tempo real se for detectado malware. Os arquivos são verificados com uso do mecanismo de Informações sobre ameaças da Microsoft.

Os arquivos sinalizados podem ser exibidos como malware em potencial usando o filtro Malware em potencial detectado no log de atividades.

Também é possível configurar políticas de sessão para bloquear malware no download.

Instruir os usuários a proteger arquivos confidenciais

É importante educar os usuários quando eles violarem uma política para aprenderem a cumprir as suas políticas organizacionais.

Como cada empresa tem necessidades e políticas próprias, o Defender para aplicativos de nuvem possibilita personalizar os filtros de uma política e a mensagem exibida ao usuário quando uma violação é detectada.

Dê orientações específicas aos usuários, por exemplo, fornecendo instruções sobre como rotular adequadamente um arquivo ou instruções sobre inscrever um dispositivo não gerenciado para garantir que os arquivos sejam feitos os uploads com sucesso.

Por exemplo, se um usuário fizer o upload um arquivo sem um rótulo de confidencialidade, uma mensagem poderá ser exibida explicando que o arquivo contém conteúdo confidencial que requer um rótulo apropriado. Da mesma forma, se um usuário tentar fazer o upload um documento de um dispositivo não gerenciado, uma mensagem poderá ser exibida com instruções sobre como registrar esse dispositivo ou uma que forneça mais explicações sobre por que o dispositivo deve ser registrado.

Conflitos entre políticas

Quando há um conflito entre duas políticas, a política mais restritiva deve prevalecer. Por exemplo:

• Se uma sessão de usuário tiver como escopo uma política de Bloquear download e uma Política de Rótulo após o download, a ação de download de arquivo será bloqueada.

• Se uma sessão de usuário tiver o escopo de uma política de Bloquear download e de uma política de Auditoria de download, a ação de download do arquivo será bloqueada.

Próximas etapas

Para obter mais informações, consulte:

• Webinar sobre controle de aplicativos de acesso condicional (vídeo).
• Solução de problemas de controles de acesso e sessão
• Bloqueio de downloads em dispositivos não gerenciados usando o Controle de aplicativos de acesso condicional do Microsoft Entra

« ANTERIOR: integrar e implantar o Controle de Aplicativos de Acesso Condicional para qualquer aplicativo »

Avançar: instruções sobre criação de uma política de acesso »

Se você encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.