Controle de aplicativo de Acesso Condicional no Microsoft Defender for Cloud Apps
No local de trabalho de hoje, não basta saber o que aconteceu no seu ambiente de nuvem depois do fato. Você precisa parar violações e vazamentos em tempo real. Você também precisa evitar que os funcionários coloquem intencionalmente ou acidentalmente seus dados e organização em risco.
Você deseja oferecer suporte aos usuários em sua organização enquanto eles usam os melhores aplicativos de nuvem disponíveis e trazem seus próprios dispositivos para o trabalho. No entanto, você também precisa de ferramentas para proteger sua organização contra vazamentos de dados e roubo em tempo real. O Microsoft Defender for Cloud Apps integra-se com qualquer provedor de identidade (IdP) para fornecer essa proteção com políticas de acesso e sessão .
Por exemplo:
Use as políticas de acesso para:
- Bloqueie o acesso ao Salesforce para usuários de dispositivos não gerenciados.
- Bloqueie o acesso ao Dropbox para clientes nativos.
Use as políticas de sessão para:
- Bloqueie downloads de arquivos confidenciais do OneDrive para dispositivos não gerenciados.
- Bloqueie carregamentos de ficheiros de malware para o SharePoint Online.
Os usuários do Microsoft Edge se beneficiam da proteção direta no navegador. Um ícone de cadeado 
na barra de endereço do navegador indica essa proteção.
Os usuários de outros navegadores são redirecionados via proxy reverso para o Defender for Cloud Apps. Esses navegadores exibem um *.mcas.ms sufixo no URL do link. Por exemplo, se o URL do aplicativo for myapp.com, o URL do aplicativo será atualizado para myapp.com.mcas.ms.
Este artigo descreve o controle de aplicativo de Acesso Condicional no Defender for Cloud Apps por meio de políticas de Acesso Condicional do Microsoft Entra.
Atividades no controle de aplicativo Acesso Condicional
O controle de aplicativo de Acesso Condicional usa políticas de acesso e políticas de sessão para monitorar e controlar o acesso ao aplicativo do usuário e as sessões em tempo real, em toda a sua organização.
Cada política tem condições para definir quem (qual usuário ou grupo de usuários), o que (quais aplicativos na nuvem) e onde (quais locais e redes) a política é aplicada. Depois de determinar as condições, encaminhe seus usuários primeiro para o Defender for Cloud Apps. Lá, você pode aplicar os controles de acesso e sessão para ajudar a proteger seus dados.
As políticas de acesso e sessão incluem os seguintes tipos de atividades:
| Atividade | Description |
|---|---|
| Evitar a exfiltração de dados | Bloqueie o download, corte, cópia e impressão de documentos confidenciais em (por exemplo) dispositivos não gerenciados. |
| Exigir contexto de autenticação | Reavalie as políticas de Acesso Condicional do Microsoft Entra quando ocorrer uma ação confidencial na sessão, como exigir autenticação multifator. |
| Proteja ao fazer o download | Em vez de bloquear o download de documentos confidenciais, exija que os documentos sejam rotulados e criptografados quando você se integrar à Proteção de Informações do Microsoft Purview. Essa ação ajuda a proteger o documento e restringir o acesso do usuário em uma sessão potencialmente arriscada. |
| Impedir o upload de arquivos sem rótulo | Certifique-se de que o upload de arquivos sem rótulo com conteúdo confidencial seja bloqueado até que o usuário classifique o conteúdo. Antes de um usuário carregar, distribuir ou usar um arquivo confidencial, o arquivo deve ter o rótulo definido pela política da sua organização. |
| Bloqueie potenciais malwares | Ajude a proteger seu ambiente contra malware bloqueando o upload de arquivos potencialmente mal-intencionados. Qualquer arquivo que um usuário tente carregar ou baixar pode ser verificado contra o Microsoft Threat Intelligence e bloqueado instantaneamente. |
| Monitorar sessões de usuário para conformidade | Investigue e analise o comportamento do usuário para entender onde e em que condições as políticas de sessão devem ser aplicadas no futuro. Os utilizadores arriscados são monitorizados quando iniciam sessão nas aplicações e as suas ações são registadas a partir da sessão. |
| Bloquear acesso | Bloqueie granularmente o acesso a aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você pode bloqueá-los se eles estiverem usando certificados de cliente como uma forma de gerenciamento de dispositivos. |
| Bloquear atividades personalizadas | Algumas aplicações têm cenários únicos que comportam riscos. Um exemplo é o envio de mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses tipos de cenários, verifique as mensagens em busca de conteúdo confidencial e bloqueie-as em tempo real. |
Para obter mais informações, consulte:
- Criar políticas de acesso do Microsoft Defender for Cloud Apps
- Criar políticas de sessão do Microsoft Defender for Cloud Apps
Capacidade de utilização
O controle de aplicativo de Acesso Condicional não exige que você instale nada no dispositivo, por isso é ideal quando você está monitorando ou controlando sessões de dispositivos não gerenciados ou usuários parceiros.
O Defender for Cloud Apps usa heurísticas patenteadas para identificar e controlar as atividades do usuário no aplicativo de destino. As heurísticas são projetadas para otimizar e equilibrar segurança com usabilidade.
Em alguns cenários raros, o bloqueio de atividades no lado do servidor torna o aplicativo inutilizável, de modo que as organizações protegem essas atividades apenas no lado do cliente. Essa abordagem os torna potencialmente suscetíveis à exploração por insiders mal-intencionados.
Desempenho do sistema e armazenamento de dados
O Defender for Cloud Apps usa datacenters do Azure em todo o mundo para fornecer desempenho otimizado por meio de geolocalização. A sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e de sua localização. No entanto, para ajudar a proteger a privacidade do usuário, esses datacenters não armazenam dados de sessão.
Os servidores proxy do Defender for Cloud Apps não armazenam dados em repouso. Quando armazenamos conteúdo em cache, seguimos os requisitos estabelecidos na RFC 7234 (cache HTTP) e armazenamos em cache apenas conteúdo público.
Aplicações e clientes suportados
Aplique controles de sessão e acesso a qualquer logon único interativo que use o protocolo de autenticação SAML 2.0. Os controles de acesso também são suportados para aplicativos cliente móveis e de desktop integrados.
Além disso, se você estiver usando aplicativos Microsoft Entra ID, aplique controles de sessão e acesso a:
- Qualquer logon único interativo que use o protocolo de autenticação OpenID Connect.
- Aplicativos hospedados no local e configurados com o proxy de aplicativo Microsoft Entra.
Os aplicativos Microsoft Entra ID também são integrados automaticamente para controle de aplicativo de Acesso Condicional, enquanto os aplicativos que usam outros IdPs devem ser integrados manualmente.
O Defender for Cloud Apps identifica aplicativos usando dados do catálogo de aplicativos na nuvem. Se você personalizou aplicativos com plug-ins, deverá adicionar quaisquer domínios personalizados associados ao aplicativo relevante no catálogo. Para obter mais informações, consulte Localizar seu aplicativo na nuvem e calcular pontuações de risco.
Nota
Não pode utilizar aplicações instaladas com fluxos de início de sessão não interativos , como a aplicação Autenticador e outras aplicações incorporadas, com controlos de acesso. Nossa recomendação, nesse caso, é criar uma política de acesso no centro de administração do Microsoft Entra, além das políticas de acesso do Microsoft Defender for Cloud Apps.
Âmbito do suporte para controlo de sessão
Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, suportamos as versões mais recentes dos seguintes navegadores:
Os usuários do Microsoft Edge se beneficiam da proteção no navegador, sem redirecionar para um proxy reverso. Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (visualização).
Suporte de aplicativos para TLS 1.2+
O Defender for Cloud Apps usa protocolos TLS (Transport Layer Security) 1.2+ para fornecer criptografia. Aplicativos cliente internos e navegadores que não suportam TLS 1.2+ não são acessíveis quando você os configura com controle de sessão.
No entanto, os aplicativos de software como serviço (SaaS) que usam TLS 1.1 ou anterior aparecem no navegador como usando TLS 1.2+ quando você os configura com o Defender for Cloud Apps.