Partilhar via

Criar políticas de acesso do Microsoft Defender for Cloud Apps

  • Artigo

As políticas de acesso do Microsoft Defender for Cloud Apps usam o controle de aplicativo de Acesso Condicional para fornecer monitoramento e controle em tempo real sobre o acesso a aplicativos na nuvem. As políticas de acesso controlam o acesso com base no utilizador, localização, dispositivo e aplicação e são suportadas para qualquer dispositivo.

As políticas criadas para um aplicativo host não estão conectadas a nenhum aplicativo de recurso relacionado. Por exemplo, as políticas de acesso que você cria para o Teams, Exchange ou Gmail não estão conectadas ao SharePoint, OneDrive ou Google Drive. Se você precisar de uma política para o aplicativo de recurso, além do aplicativo host, crie uma política separada.

Gorjeta

Se preferir permitir o acesso durante as sessões de monitoramento ou limitar atividades específicas da sessão, crie políticas de sessão. Para obter mais informações, consulte Políticas de sessão.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Para que sua política de acesso funcione, você também deve ter uma política de Acesso Condicional do Microsoft Entra ID, que cria as permissões para controlar o tráfego.

Exemplo: Criar políticas de Acesso Condicional do Microsoft Entra ID para uso com o Defender for Cloud Apps

Este procedimento fornece um exemplo de alto nível de como criar uma política de Acesso Condicional para uso com o Defender for Cloud Apps.

  1. No Acesso Condicional do Microsoft Entra ID, selecione Criar nova política.

  2. Introduza um nome significativo para a sua política e, em seguida, selecione a ligação em Sessão para adicionar controlos à sua política.

  3. Na área Sessão, selecione Usar Controle de Aplicativo de Acesso Condicional.

  4. Na área Usuários, selecione para incluir todos os usuários ou somente usuários e grupos específicos.

  5. Nas áreas Condições e Aplicativos cliente, selecione as condições e os aplicativos cliente que você deseja incluir em sua política.

  6. Salve a política alternando Somente relatório para Ativado e selecionando Criar.

O Microsoft Entra ID suporta políticas baseadas e não baseadas em navegador. Recomendamos que você crie ambos os tipos para aumentar a cobertura de segurança.

Repita este procedimento para criar uma política de Acesso Condicional não baseada em navegador. Na área Aplicativos cliente, alterne a opção Configurar para Sim. Em seguida, em Clientes de autenticação modernos, desmarque a opção Navegador . Deixe todas as outras seleções padrão selecionadas.

Para obter mais informações, consulte Políticas de acesso condicional e Criando uma política de acesso condicional.

Criar uma política de acesso do Defender for Cloud Apps

Este procedimento descreve como criar uma nova política de acesso no Defender for Cloud Apps.

  1. No Microsoft Defender XDR, selecione a guia Acesso condicional de gerenciamento > de políticas > de aplicativos em nuvem>.

  2. Selecione Criar política> de acesso. Por exemplo:

    Criar uma política de Acesso Condicional.

  3. Na página Criar política de acesso, insira as seguintes informações básicas:

    Nome Descrição
    Nome da política Um nome significativo para sua política, como Bloquear acesso de dispositivos não gerenciados
    Severidade da política Selecione a severidade que deseja aplicar à sua política.
    Categoria Manter o valor padrão de Controle de acesso
    Descrição Insira uma descrição opcional e significativa para sua política para ajudar sua equipe a entender seu propósito.

  4. Na área Atividades correspondentes a todas as áreas a seguir, selecione filtros de atividade adicionais a serem aplicados à política. Os filtros incluem as seguintes opções:

    Nome Descrição
    Aplicação Filtra um aplicativo específico a ser incluído na política. Selecione os aplicativos selecionando primeiro se eles usam a integração automatizada do Azure AD, para aplicativos Microsoft Entra ID, ou a integração manual, para aplicativos IdP que não são da Microsoft. Em seguida, selecione o aplicativo que deseja incluir no filtro na lista.

    Se o seu aplicativo IdP que não é da Microsoft estiver ausente da lista, certifique-se de que você o integrou completamente. Para mais informações, consulte:
    - Aplicativos de catálogo IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional
    - Aplicativos personalizados de IdP não Microsoft integrados para controle de aplicativo de Acesso Condicional

    Se optar por não utilizar o filtro de Aplicações, a política aplica-se a todas as aplicações marcadas como Ativadas na página Definições > Aplicações > na Nuvem Aplicações ligadas > Acesso Condicional Aplicações de Controlo.

    Observação: você pode ver alguma sobreposição entre aplicativos integrados e aplicativos que precisam de integração manual. Em caso de conflito no filtro entre as aplicações, as aplicações integradas manualmente têm precedência.
    Aplicação cliente Filtre por navegador ou aplicativos móveis/desktop.
    Dispositivo Filtre etiquetas de dispositivos, como um método de gestão de dispositivos específico, ou tipos de dispositivos, como PC, telemóvel ou tablet.
    Endereço IP Filtre por endereço IP ou use tags de endereço IP atribuídas anteriormente.
    Location Filtrar por localização geográfica. A ausência de um local claramente definido pode identificar atividades de risco.
    ISP registado Filtrar atividades provenientes de um ISP específico.
    Utilizador Filtrar para um usuário ou grupo de usuários específico.
    Cadeia de caracteres do agente do usuário Filtro para uma cadeia de caracteres específica do agente do usuário.
    Tag do agente do usuário Filtre por tags de agente do usuário, como navegadores ou sistemas operacionais desatualizados.

    Por exemplo:

    Captura de ecrã de um filtro de exemplo ao criar uma política de acesso.

    Selecione Editar e visualizar resultados para obter uma visualização dos tipos de atividades que seriam retornadas com sua seleção atual.

  5. Na área Ações, selecione uma das seguintes opções:

    • Auditoria: defina esta ação para permitir o acesso de acordo com os filtros de política definidos explicitamente.

    • Bloquear: defina esta ação para bloquear o acesso de acordo com os filtros de política definidos explicitamente.

  6. Na área Alertas, configure qualquer uma das seguintes ações conforme necessário:

    • Crie um alerta para cada evento correspondente à severidade da política
    • Enviar um alerta como e-mail
    • Limite diário de alertas por apólice
    • Enviar alertas para o Power Automate

  7. Quando tiver terminado, selecione Criar.

Testar a política

Depois de criar sua política de acesso, teste-a autenticando-a novamente em cada aplicativo configurado na política. Verifique se a experiência do aplicativo está conforme o esperado e verifique os registros de atividades.

É recomendável que:

  • Crie uma política para um usuário que você criou especificamente para teste.
  • Saia de todas as sessões existentes antes de se autenticar novamente em seus aplicativos.
  • Inicie sessão em aplicações móveis e de ambiente de trabalho a partir de dispositivos geridos e não geridos para garantir que as atividades são totalmente capturadas no registo de atividades.

Certifique-se de que inicia sessão com um utilizador que corresponda à sua política.

Para testar sua política em seu aplicativo:

  • Visite todas as páginas dentro do aplicativo que fazem parte do processo de trabalho de um usuário e verifique se as páginas são renderizadas corretamente.
  • Verifique se o comportamento e a funcionalidade do aplicativo não são afetados negativamente pela execução de ações comuns, como baixar e carregar arquivos.
  • Se estiver a trabalhar com aplicações IdP personalizadas que não sejam da Microsoft, verifique cada um dos domínios que adicionou manualmente à sua aplicação.

Para verificar os registos de atividades:

  1. No Microsoft Defender XDR, selecione Registro de atividades de aplicativos > de nuvem e verifique as atividades de entrada capturadas para cada etapa. Você pode querer filtrar selecionando Filtros avançados e filtragem para Origem é igual a Controle de acesso.

    As atividades de logon único são eventos de controle do aplicativo Acesso Condicional.

  2. Selecione uma atividade para expandir para obter mais detalhes. Verifique se a tag User agent reflete corretamente se o dispositivo é um cliente interno, um aplicativo móvel ou de desktop, ou se o dispositivo é um dispositivo gerenciado compatível e associado ao domínio.

Se você encontrar erros ou problemas, use a barra de ferramentas Modo de Exibição do administrador para reunir recursos, como .Har arquivos e sessões gravadas, e arquive um tíquete de suporte.

Criar políticas de acesso para dispositivos gerenciados por identidade

Use certificados de cliente para controlar o acesso de dispositivos que não ingressaram no Microsoft Entra-hybrid e não são gerenciados pelo Microsoft Intune. Implemente novos certificados em dispositivos gerenciados ou use certificados existentes, como certificados MDM de terceiros. Por exemplo, talvez você queira implantar o certificado do cliente em dispositivos gerenciados e, em seguida, bloquear o acesso de dispositivos sem um certificado.

Para obter mais informações, consulte Dispositivos gerenciados por identidade com controle de aplicativo Acesso Condicional.

Conteúdos relacionados

Para obter mais informações, consulte:

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.