Implantar o controle de aplicativo de acesso condicional para aplicativos de catálogo com a ID do Microsoft Entra
Os controles de acesso e sessão no Microsoft Defender for Cloud Apps funcionam com aplicativos do catálogo de aplicativos da nuvem e com aplicativos personalizados. Para obter uma lista de aplicativos que estão pré-integrados e funcionam prontamente, consulte Proteger aplicativos com o controle de aplicativo de acesso condicional do Defender for Cloud Apps.
Pré-requisitos
Sua organização deve ter as seguintes licenças para usar o controle de aplicativo de acesso condicional:
- Microsoft Entra ID P1 ou superior
- Microsoft Defender for Cloud Apps
Os aplicativos devem ser configurados com logon único
Os aplicativos devem usar um dos seguintes protocolos de autenticação:
Metadados Protocolos Microsoft Entra ID SAML 2.0 ou OpenID Connect Outro SAML 2.0
Configurar a integração do Microsoft Entra ID
Nota
Ao configurar um aplicativo com SSO no Microsoft Entra ID ou outros provedores de identidade, um campo que pode ser listado como opcional é a configuração de URL de entrada. Observe que esse campo pode ser necessário para que o controle de aplicativo de acesso condicional funcione.
Use as etapas a seguir para criar uma política de Acesso Condicional do Microsoft Entra que roteie sessões de aplicativos para o Defender for Cloud Apps. Para outras soluções IdP, consulte Configurar a integração com outras soluções IdP.
No Microsoft Entra ID, navegue até Acesso Condicional de Segurança>.
No painel Acesso Condicional, na barra de ferramentas na parte superior, selecione Nova política -> Criar nova política.
No painel Novo, na caixa de texto Nome, digite o nome da política.
Em Atribuições, selecione Usuários ou identidades de carga de trabalho e atribua os usuários e grupos que serão integrados (logon inicial e verificação) ao aplicativo.
Em Atribuições, selecione Aplicações ou ações na nuvem e atribua as aplicações e ações que pretende controlar com o controlo de aplicações de acesso condicional.
Em Controles de acesso, selecione Sessão, selecione Usar Controle de Aplicativo de Acesso Condicional e escolha uma política interna (Monitorar somente (Visualizar) ou Bloquear downloads (Visualização)) ou Usar política personalizada para definir uma política avançada no Defender for Cloud Apps e selecione Selecionar.
Opcionalmente, adicione condições e conceda controles conforme necessário.
Defina Ativar política como Ativado e selecione Criar.
Nota
Antes de prosseguir, certifique-se de primeiro sair das sessões existentes.
Depois de criar a política, inicie sessão em cada aplicação configurada nessa política. Certifique-se de entrar usando um usuário configurado na política.
O Defender for Cloud Apps sincronizará os detalhes da sua política com os seus servidores para cada nova aplicação em que iniciar sessão. Isto pode demorar até um minuto.
Verifique se os controles de acesso e sessão estão configurados
As instruções anteriores ajudaram você a criar uma política interna do Defender for Cloud Apps para aplicativos de catálogo diretamente no Microsoft Entra ID. Nesta etapa, verifique se os controles de acesso e sessão estão configurados para esses aplicativos.
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional. Observe a coluna Controles disponíveis e verifique se o Controle de acesso ou o Acesso Condicional do Azure AD e o Controle de sessão aparecem para seus aplicativos.
Se o aplicativo não estiver habilitado para controle de sessão, adicione-o selecionando Integrado com controle de sessão e marcando Usar este aplicativo com controles de sessão. Por exemplo:
Habilite seu aplicativo para uso em produção
Quando estiver pronto, este procedimento descreve como habilitar o aplicativo para uso no ambiente de produção da sua organização.
No Portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Cloud Apps.
Em Aplicações ligadas, selecione Aplicações de Controlo de Aplicações de Acesso Condicional. Na lista de aplicações, na linha em que a aplicação que está a implementar é apresentada, escolha os três pontos no final da linha e, em seguida, selecione Editar aplicação.
Selecione Permitir que a aplicação funcione em controlos de sessão e, em seguida, selecione Guardar. Por exemplo:
Primeiro saia de todas as sessões existentes. Em seguida, tente entrar em cada aplicativo que foi implantado com êxito. Entre usando um usuário que corresponda à política configurada no ID do Microsoft Entra ou para um aplicativo SAML configurado com seu provedor de identidade.
No Portal do Microsoft Defender, em Aplicativos na Nuvem, selecione Registro de atividades e verifique se as atividades de logon são capturadas para cada aplicativo.
Você pode filtrar selecionando Avançado e, em seguida, filtrar usando Origem é igual ao controle de acesso. Por exemplo:
Recomendamos que inicie sessão em aplicações móveis e de ambiente de trabalho a partir de dispositivos geridos e não geridos. Isso é para garantir que as atividades sejam capturadas corretamente no registro de atividades.
Para verificar se a atividade foi capturada corretamente, selecione uma atividade de login de logon único para que ela abra a gaveta de atividades. Verifique se a tag User agent reflete corretamente se o dispositivo é um cliente nativo (ou seja, um aplicativo móvel ou de desktop) ou se o dispositivo é um dispositivo gerenciado (compatível, ingressado no domínio ou certificado de cliente válido).
Nota
Depois de implantado, não é possível remover um aplicativo da página Controle de Aplicativo de Acesso Condicional. Contanto que você não defina uma sessão ou política de acesso no aplicativo, o controle do aplicativo de acesso condicional não mudará nenhum comportamento para o aplicativo.
Próximos passos
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do seu produto, abra um ticket de suporte.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários