Implementar controlo de aplicativos de acesso condicional para aplicações de catálogo com Azure AD

Nota

  • Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.

Os controlos de acesso e sessão em Microsoft Defender for Cloud Apps funcionam com aplicações do catálogo de aplicações Cloud e com aplicações personalizadas. Para obter uma lista de aplicações pré-a bordo e trabalhar fora da caixa, consulte as aplicações Protect com o Defender for Cloud Apps Conditional Access App Control.

Pré-requisitos

  • A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:

  • As aplicações devem ser configuradas com um único sign-on

  • As aplicações devem utilizar um dos seguintes protocolos de autenticação:

    URL de Protocolos
    Azure AD SAML 2.0 ou Ligação OpenID
    Outro SAML 2.0

Implementar aplicativos de catálogo

Siga os passos abaixo para configurar aplicações de catálogo a serem controladas por Microsoft Defender for Cloud Apps Controlo de Aplicações de Acesso Condicional.

Configure a integração com Azure AD

Nota

Ao configurar uma aplicação com SSO em Azure AD, ou outros fornecedores de identidade, um campo que pode ser listado como opcional é a definição de URL de inscrição. Note que este campo pode ser necessário para que o Controlo de Aplicações de Acesso Condicional funcione.

Use os seguintes passos para criar uma política de acesso condicional Azure AD que encaminha sessões de aplicações para Defender para Apps Cloud. Para outras soluções IdP, consulte a integração do Configure com outras soluções IdP.

  1. Em Azure AD, navegue peloAcesso Condicional deSegurança>.

  2. No painel de acesso condicional , na barra de ferramentas no topo, selecione Nova política ->Crie uma nova política.

  3. No painel Novo , na caixa de texto Name , insira o nome da apólice.

  4. Em Atribuições, selecione Utilizadores ou identidades de carga de trabalho e atribua aos utilizadores e grupos que estarão a bordo (iniciação de sessão e verificação) da aplicação.

  5. Em Atribuições, selecione aplicativos ou ações cloud e atribua as aplicações e ações que pretende controlar com o Controlo de Aplicações de Acesso Condicional.

  6. Nos controlos de Acesso, selecione 'Sessão', selecione Use Conditional Access App Control e escolha uma política incorporada (apenas controlo (pré-visualização) ou downloads de blocos (preview)) ou Use a política personalizada para definir uma política avançada no Defender para aplicações na nuvem e, em seguida, selecione Select.

    Azure AD acesso condicional.

  7. Opcionalmente, adicione condições e conceda controlos, conforme necessário.

  8. Detiver Ativar a política para continuar e, em seguida, selecionar Criar.

Nota

Antes de prosseguir, certifique-se de assinar pela primeira vez fora das sessões existentes.

Depois de criar a apólice, inscreva-se em cada app configurada nessa política. Certifique-se de que faz sedundo usando um utilizador configurado na apólice.

O Defender for Cloud Apps sincronizará os seus dados de política nos seus servidores para cada nova aplicação a que iniciar sôs. Isto pode levar até um minuto.

As instruções anteriores ajudaram-no a criar uma política incorporada do Defender para aplicações cloud para aplicações de catálogo diretamente em Azure AD. Neste passo, verifique se os controlos de acesso e sessão estão configurados para estas aplicações.

  1. No portal Defender para Aplicações cloud, selecione o ícone de definições de engrenagens. e, em seguida, selecione Controlo de Aplicações de Acesso Condicional.

  2. Na tabela de aplicações de controlo de aplicações de acesso condicional, olhe para a coluna de controlos disponíveis e verifique se tanto o controlo de acesso comoAzure AD o acesso condicional, e o controlo de sessão aparecem para as suas aplicações.

    Nota

    Se a aplicação não estiver ativada para controlo de sessão, pode adicioná-la selecionando Onboard com controlo de sessão e verificação Utilize esta aplicação com controlos de sessão. A bordo com controlo de sessão.

Assim que estiver pronto para ativar a aplicação para utilização no ambiente de produção da sua organização, faça os seguintes passos.

  1. No Defender para Apps cloud, selecione as definições de configurações do ícone.e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.

  2. Na lista de aplicações, na linha em que aparece a aplicação que está a implementar, escolha os três pontos no final da linha e, em seguida, escolha a app Editar.

  3. Selecione Utilize a aplicação com controlos de sessão e, em seguida, selecione Guardar.

    Edite este diálogo de aplicações.

  4. Primeiro sinal de qualquer sessões existentes. Em seguida, tente iniciar sedução em cada app que foi implementada com sucesso. Inscreva-se usando um utilizador que corresponda à política configurada em Azure AD ou para uma aplicação SAML configurada com o seu fornecedor de identidade.

  5. No portal Defender for Cloud Apps, no âmbito do 'Investigar', selecione 'Registo de Atividade' e certifique-se de que as atividades de login são capturadas para cada aplicação.

  6. Pode filtrar clicando em Advanced e, em seguida, filtrar usando Source é igual ao controlo de Acesso.

    Filtrar utilizando Azure AD acesso condicional.

  7. Recomenda-se que assine em aplicativos móveis e desktop a partir de dispositivos geridos e não geridos. Isto é para garantir que as atividades sejam devidamente capturadas no registo de atividades.
    Para verificar se a atividade está corretamente capturada, selecione uma única atividade de login de início de sessão para que abra a gaveta da atividade. Certifique-se de que a etiqueta do agente do Utilizador reflete corretamente se o dispositivo é um cliente nativo (ou seja, uma aplicação móvel ou de ambiente de trabalho) ou se o dispositivo é um dispositivo gerido (conforme, domínio associado ou certificado de cliente válido).

Nota

Depois de ser implementado, não é possível remover uma aplicação da página De Controlo de Aplicações de Acesso Condicional. Desde que não estabeleça uma política de sessão ou acesso na aplicação, o Controlo de Aplicações de Acesso Condicional não altera qualquer comportamento para a aplicação.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.