Implementar o Controlo de Aplicações de Acesso Condicional para aplicações personalizadas através do Microsoft Entra ID

  • Artigo

Os controles de sessão no Microsoft Defender for Cloud Apps podem ser configurados para funcionar com qualquer aplicativo Web. Este artigo descreve como integrar e implantar aplicativos de linha de negócios personalizados, aplicativos SaaS sem recursos e aplicativos locais hospedados por meio do proxy de aplicativo Microsoft Entra com controles de sessão. Ele fornece etapas para criar uma política de Acesso Condicional do Microsoft Entra que roteia sessões de aplicativos para o Defender for Cloud Apps. Para outras soluções de IdP, consulte Implantar controle de aplicativo de acesso condicional para aplicativos personalizados com IdP que não seja da Microsoft.

Para obter uma lista de aplicativos apresentados pelo Defender for Cloud Apps para funcionar prontamente, consulte Proteger aplicativos com o Controle de Aplicativo de Acesso Condicional do Defender for Cloud Apps.

Pré-requisitos

Antes de iniciar o processo de integração, você deve fazer o seguinte:

Adicionar administradores à lista de integração/manutenção de aplicações

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione Integração/manutenção de aplicações.

  3. Introduza o nome principal do utilizador ou o e-mail dos utilizadores que irão integrar a aplicação e, em seguida, selecione Guardar.

    Screenshot of settings for App onboarding and maintenance.

Verifique se há licenças necessárias

  • Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativo de Acesso Condicional:

  • Os aplicativos devem ser configurados com logon único

  • Os aplicativos devem usar um dos seguintes protocolos de autenticação:

    Metadados Protocolos
    Microsoft Entra ID SAML 2.0 ou OpenID Connect

Para implantar qualquer aplicativo

Para integrar um aplicativo a ser controlado pelo Controle de Acesso Condicional do Defender for Cloud Apps, você precisará:

Siga as etapas abaixo para configurar qualquer aplicativo a ser controlado pelo Controle de Aplicativo de Acesso Condicional do Defender for Cloud Apps.

Nota

Para implantar o Controle de Aplicativo de Acesso Condicional para aplicativos Microsoft Entra, você precisa de uma licença válida para o Microsoft Entra ID P1 ou superior , bem como uma licença do Defender for Cloud Apps.

Configurar o Microsoft Entra ID para trabalhar com o Defender for Cloud Apps

Nota

Ao configurar um aplicativo com SSO no Microsoft Entra ID ou outros provedores de identidade, um campo que pode ser listado como opcional é a configuração de URL de entrada. Observe que esse campo pode ser necessário para que o Controle de Aplicativo de Acesso Condicional funcione.

  1. No Microsoft Entra ID, navegue até Acesso Condicional de Segurança>.

  2. No painel Acesso Condicional, na barra de ferramentas na parte superior, selecione Nova política -> Criar nova política.

  3. No painel Novo, na caixa de texto Nome, digite o nome da política.

  4. Em Atribuições, selecione Usuários ou identidades de carga de trabalho, atribua os usuários que integrarão (logon e verificação iniciais) o aplicativo e selecione Concluído.

  5. Em Atribuições, selecione Aplicações ou ações na nuvem, atribua as aplicações que pretende controlar com o Controlo de Aplicações de Acesso Condicional e, em seguida, selecione Concluído.

  6. Em Controles de acesso, selecione Sessão, selecione Usar Controle de Aplicativo de Acesso Condicional e escolha uma política interna (Monitorar somente ou Bloquear downloads) ou Usar política personalizada para definir uma política avançada no Defender for Cloud Apps e clique em Selecionar.

    Microsoft Entra Conditional Access.

  7. Opcionalmente, adicione condições e conceda controles conforme necessário.

  8. Defina Ativar política como Ativado e selecione Criar.

Os aplicativos no catálogo de aplicativos são preenchidos automaticamente na tabela em Aplicativos conectados. Saia do aplicativo se tiver uma sessão ativa e entre novamente para permitir que o aplicativo seja descoberto. Verifique se o aplicativo que você deseja implantar é reconhecido navegando até lá.

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional para aceder a uma tabela de aplicações que podem ser configuradas com políticas de acesso e sessão.

    Conditional access app control apps.

  3. Selecione o menu suspenso App: Select apps... para filtrar e pesquisar o aplicativo que você deseja implantar.

    Select App: Select apps to search for the app.

  4. Se não vir a aplicação lá, terá de adicioná-la manualmente.

Como adicionar manualmente um aplicativo não identificado

  1. No banner, selecione Exibir novos aplicativos.

    Conditional access app control view new apps.

  2. Na lista de novas aplicações, para cada aplicação que está a integrar, selecione o + sinal e, em seguida, selecione Adicionar.

    Nota

    Se um aplicativo não aparecer no catálogo de aplicativos do Defender for Cloud Apps, ele aparecerá na caixa de diálogo em aplicativos não identificados junto com o URL de login. Ao clicar no sinal + para esses aplicativos, você pode integrar o aplicativo como um aplicativo personalizado.

    Conditional access app control discovered Microsoft Entra apps.

Associar os domínios corretos a um aplicativo permite que o Defender for Cloud Apps aplique políticas e atividades de auditoria.

Por exemplo, se você configurou uma política que bloqueia o download de arquivos para um domínio associado, os downloads de arquivos pelo aplicativo desse domínio serão bloqueados. No entanto, os downloads de arquivos pelo aplicativo de domínios não associados ao aplicativo não serão bloqueados e a ação não será auditada no registro de atividades.

Nota

O Defender for Cloud Apps ainda adiciona um sufixo a domínios não associados ao aplicativo para garantir uma experiência de usuário perfeita.

  1. No aplicativo, na barra de ferramentas de administração do Defender for Cloud Apps, selecione Domínios descobertos.

    Select Discovered domains.

    Nota

    A barra de ferramentas admin só é visível para usuários com permissões para aplicativos integrados ou de manutenção.

  2. No painel Domínios descobertos, anote os nomes de domínio ou exporte a lista como um arquivo .csv.

    Nota

    O painel exibe uma lista de domínios descobertos que não estão associados no aplicativo. Os nomes de domínio são totalmente qualificados.

  3. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.

  4. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.

  5. Na lista de aplicações, na linha em que a aplicação que está a implementar é apresentada, escolha os três pontos no final da linha e, em seguida, selecione Editar aplicação.

    Edit app details.

    Gorjeta

    Para exibir a lista de domínios configurados no aplicativo, selecione Exibir domínios do aplicativo.

    • Domínios definidos pelo usuário: domínios associados ao aplicativo. Navegue até o aplicativo e você pode usar a barra de ferramentas Admin para identificar os domínios associados ao aplicativo e determinar se algum deles está faltando. Observe que um domínio ausente pode fazer com que o aplicativo protegido não seja renderizado corretamente.

    • Trate o token de acesso como solicitações de login: alguns aplicativos usam tokens de acesso e solicitações de código como logins de aplicativos. Isso dá a capacidade de tratar solicitações de código e token de acesso como logins ao integrar aplicativos para acessar e controles de sessão para que o aplicativo seja renderizado corretamente. Ao integrar o aplicativo, certifique-se sempre de que isso esteja marcado.

    • Usar aplicativo com controle de sessão: para permitir que este aplicativo seja usado ou não com controles de sessão. Ao integrar o aplicativo, certifique-se sempre de que isso esteja marcado.

    • Execute um segundo logon: Se o aplicativo usar um nonce, um segundo logon será necessário para contabilizar o tratamento nonce. O logon nonce ou segundo é usado por aplicativos para garantir que o token de login que o IdP cria para o usuário só possa ser usado uma vez, e não roubado e reutilizado por outra pessoa. O nonce é verificado pelo provedor de serviços para corresponder ao que ele esperava, e não algo que ele já usou recentemente, o que poderia indicar um ataque de replay. Quando isso é escolhido, garantimos que um segundo login está sendo acionado a partir de uma sessão sufixada, o que garante um login bem-sucedido. Para um melhor desempenho, isso deve ser habilitado.

      Perform a second login.

  6. Em Domínios definidos pelo utilizador, introduza todos os domínios que pretende associar a esta aplicação e, em seguida, selecione Guardar.

    Nota

    Você pode usar o caractere curinga * como um espaço reservado para qualquer caractere. Ao adicionar domínios, decida se deseja adicionar domínios específicos (sub1.contoso.com,sub2.contoso.com) ou vários domínios (*.contoso.com). Isso só é suportado para domínios específicos (*.contoso.com) e não para domínios de nível superior (*.com).

  7. Repita as etapas a seguir para instalar os certificados raiz autoassinados da CA atual e da próxima autoridade de certificação.

    1. Selecione o certificado.
    2. Selecione Abrir e, quando solicitado, selecione Abrir novamente.
    3. Selecione Instalar certificado.
    4. Escolha Usuário atual ou Máquina local.
    5. Selecione Colocar todos os certificados no armazenamento a seguir e, em seguida, selecione Procurar.
    6. Selecione Autoridades de certificação raiz confiáveis e, em seguida, selecione OK.
    7. Selecione Concluir.

    Nota

    Para que os certificados sejam reconhecidos, depois de instalar o certificado, você deve reiniciar o navegador e ir para a mesma página.

  8. Selecione Continuar.

  9. Verifique se o aplicativo está disponível na tabela.

    Onboard with session control.

Para verificar se o aplicativo está protegido, primeiro execute uma saída física dos navegadores associados ao aplicativo ou abra um novo navegador com modo de navegação anônima.

Abra o aplicativo e execute as seguintes verificações:

  • Verifique se o ícone de cadeado aparece no seu navegador ou se você estiver trabalhando em um navegador diferente do Microsoft Edge, verifique se o URL do aplicativo contém o sufixo .mcas . Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (Visualização).
  • Visite todas as páginas dentro do aplicativo que fazem parte do processo de trabalho de um usuário e verifique se as páginas são renderizadas corretamente.
  • Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.
  • Analise a lista de domínios associados ao aplicativo.

Se você encontrar erros ou problemas, use a barra de ferramentas admin para reunir recursos, como .har arquivos e sessões gravadas, para preencher um tíquete de suporte.

Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção da sua organização, siga as etapas a seguir.

  1. No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
  2. Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional.
  3. Na lista de aplicações, na linha em que a aplicação que está a implementar é apresentada, escolha os três pontos no final da linha e, em seguida, selecione Editar aplicação.
  4. Selecione Usar o aplicativo com controles de sessão e, em seguida, selecione Salvar.
  5. No Microsoft Entra ID, em Segurança, selecione Acesso Condicional.
  6. Atualize a política criada anteriormente para incluir os usuários, grupos e controles relevantes necessários.
  7. Em Controle de Aplicativo de Acesso Condicional de Uso de Sessão>, se você selecionou Usar Política Personalizada, vá para Defender for Cloud Apps e crie uma política de sessão correspondente. Para obter mais informações, consulte Políticas de sessão.

Próximos passos

PREVIOUS: Implantar o Controle de Aplicativo de Acesso Condicional para aplicativos de catálogo

PRÓXIMO: Como criar uma política de sessão

Consulte também

Introdução ao Controle de Aplicativo de Acesso Condicional

Solução de problemas de acesso e controles de sessão

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.