Controle de aplicativo de acesso condicional do Microsoft Defender for Cloud Apps

No local de trabalho de hoje, não basta saber o que aconteceu no seu ambiente de nuvem depois do fato. Você também precisa impedir violações e vazamentos em tempo real e evitar que os funcionários coloquem, intencionalmente ou acidentalmente, seus dados e organização em risco.

Você deseja oferecer suporte aos usuários em sua organização enquanto eles usam os melhores aplicativos de nuvem disponíveis e trazem seus próprios dispositivos para o trabalho. No entanto, você também precisa de ferramentas para proteger sua organização contra vazamentos de dados e roubo em tempo real. O Microsoft Defender for Cloud Apps integra-se com qualquer provedor de identidade (IdP) para fornecer essa proteção com políticas de acesso e sessão .

Por exemplo:

  • Use as políticas de acesso para:

    • Bloquear o acesso ao Salesforce para usuários provenientes de dispositivos não gerenciados
    • Bloqueie o acesso ao Dropbox para clientes nativos.
  • Use as políticas de sessão para:

    • Bloquear downloads de arquivos confidenciais do OneDrive para dispositivos não gerenciados
    • Bloquear carregamentos de ficheiros de malware para o SharePoint Online

Os usuários do Microsoft Edge se beneficiam da proteção direta no navegador, indicada pelo ícone de cadeado mostrado na barra de endereço do navegador.

Os usuários de outros navegadores são redirecionados por meio de um proxy reverso para o Defender for Cloud Apps e exibem um *.mcas.ms sufixo no URL do link. Por exemplo, se o URL do aplicativo estiver myapp.com, o URL do aplicativo será atualizado para myapp.com.mcas.ms.

Este artigo descreve o controle de aplicativo de acesso condicional do Defender for Cloud Apps com políticas de Acesso Condicional do Microsoft Entra.

Capacidade de utilização

O controle de aplicativo de acesso condicional não exige que você instale nada no dispositivo, tornando-o ideal ao monitorar ou controlar sessões de dispositivos não gerenciados ou usuários parceiros.

O Defender for Cloud Apps usa a melhor heurística patenteada da categoria para identificar e controlar as atividades realizadas pelo usuário no aplicativo de destino. Nossa heurística é projetada para otimizar e equilibrar segurança com usabilidade.

Em alguns cenários raros, quando o bloqueio de atividades no lado do servidor torna o aplicativo inutilizável, protegemos essas atividades apenas no lado do cliente, o que as torna potencialmente suscetíveis à exploração por insiders mal-intencionados.

Desempenho do sistema e armazenamento de dados

O Defender for Cloud Apps utiliza os Data Centers do Azure em todo o mundo para fornecer um desempenho otimizado através da geolocalização. Isso significa que a sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

Os servidores proxy do Defender for Cloud Apps não armazenam dados em repouso. Ao armazenar conteúdo em cache, seguimos os requisitos estabelecidos na RFC 7234 (cache HTTP) e armazenamos em cache apenas o conteúdo público.

Referência das atividades apoiadas

O controle de aplicativo de acesso condicional usa políticas de acesso e políticas de sessão para monitorar e controlar o acesso ao aplicativo do usuário e as sessões em tempo real, em toda a sua organização.

Cada política tem condições para definir quem (qual usuário ou grupo de usuários), o que (quais aplicativos na nuvem) e onde (quais locais e redes) a política é aplicada. Depois de determinar as condições, encaminhe seus usuários primeiro para o Defender for Cloud Apps, onde você pode aplicar os controles de acesso e sessão para proteger seus dados.

As políticas de acesso e sessão incluem os seguintes tipos de atividades:

Atividade Description
Evitar a exfiltração de dados Bloqueie o download, corte, cópia e impressão de documentos confidenciais, por exemplo, em dispositivos não gerenciados.
Exigir contexto de autenticação Reavalie as políticas de Acesso Condicional do Microsoft Entra quando ocorrer uma ação confidencial na sessão, como exigir autenticação multifator.
Proteja ao fazer o download Em vez de bloquear o download de documentos confidenciais, exija que os documentos sejam rotulados e criptografados quando você se integrar à Proteção de Informações do Microsoft Purview. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
Impedir o upload de arquivos sem rótulo Certifique-se de que os arquivos sem rótulo com conteúdo confidencial sejam impedidos de serem carregados até que o usuário classifique o conteúdo. Antes de um arquivo confidencial ser carregado, distribuído e usado por outras pessoas, é importante certificar-se de que o arquivo confidencial tenha o rótulo definido pela política da sua organização.
Bloqueie potenciais malwares Proteja o seu ambiente contra malware bloqueando o carregamento de ficheiros potencialmente maliciosos. Qualquer arquivo que seja carregado ou baixado pode ser verificado com base em informações sobre ameaças da Microsoft e bloqueado instantaneamente.
Monitorar sessões de usuário para conformidade Investigue e analise o comportamento do usuário para entender onde e em que condições as políticas de sessão devem ser aplicadas no futuro. Os utilizadores arriscados são monitorizados quando iniciam sessão em aplicações e as suas ações são registadas a partir da sessão.
Bloquear acesso Bloqueie granularmente o acesso a aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você pode bloqueá-los se eles estiverem usando certificados de cliente como uma forma de gerenciamento de dispositivos.
Bloquear atividades personalizadas Algumas aplicações têm cenários únicos que comportam riscos, por exemplo, o envio de mensagens com conteúdo confidencial em aplicações como o Microsoft Teams ou o Slack. Nesses tipos de cenários, verifique as mensagens em busca de conteúdo confidencial e bloqueie-as em tempo real.

Para obter mais informações, consulte:

Aplicações e clientes suportados

Aplique sessão e acesso a controles a qualquer logon único interativo que use o protocolo de autenticação SAML 2.0. Os controles de acesso também são suportados para aplicativos cliente móveis e de desktop integrados.

Além disso, se você estiver usando aplicativos Microsoft Entra ID, aplique controles de sessão e acesso a:

  • Qualquer logon único interativo que use o protocolo de autenticação Open ID Connect.
  • Aplicativos hospedados no local e configurados com o proxy de aplicativo Microsoft Entra.

O Defender for Cloud Apps identifica aplicativos que usam dados do catálogo de aplicativos na nuvem. Se você personalizou aplicativos com plug-ins, todos os domínios personalizados associados devem ser adicionados ao aplicativo relevante no catálogo. Para obter mais informações, consulte Trabalhando com a pontuação de risco.

Nota

As aplicações com fluxos de início de sessão não interativos , como a aplicação Autenticador e outras aplicações incorporadas, não podem ser utilizadas com controlos de acesso.

Aplicações pré-integradas

Qualquer aplicativo Web configurado usando os protocolos de autenticação mencionados anteriormente pode ser integrado para trabalhar com controles de acesso e sessão. Além disso, os seguintes aplicativos já estão integrados com controles de acesso e sessão para o Microsoft Entra ID.

Nota

É necessário encaminhar os aplicativos desejados para acessar e controlar a sessão e executar um primeiro login.

  • AWS
  • Box
  • Concur
  • CornerStone sob demanda
  • DocuSign
  • Dropbox
  • Egnyte
  • GitHub
  • Espaço de trabalho do Google
  • HighQ
  • JIRA/Confluência
  • LinkedIn Learning
  • Microsoft Azure DevOps (Visual Studio Team Services)
  • Portal do Microsoft Azure
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • Microsoft OneDrive para Empresas
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Stream
  • Microsoft Yammer
  • Salesforce
  • Slack
  • Tableau
  • Workday
  • Workiva
  • Local de trabalho da Meta

Se você estiver interessado em que um aplicativo específico seja pré-integrado, envie-nos detalhes sobre o aplicativo. Certifique-se de enviar o caso de uso em que você está interessado para integrá-lo.

Browsers suportados

Embora os controles de sessão sejam criados para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operacional, suportamos os seguintes navegadores:

Os usuários do Microsoft Edge se beneficiam da proteção no navegador, sem redirecionar para um proxy reverso. Para obter mais informações, consulte Proteção no navegador com o Microsoft Edge for Business (Visualização).

Suporte de aplicativos para TLS 1.2+

O Defender for Cloud Apps usa protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria, e aplicativos cliente e navegadores integrados que não suportam TLS 1.2+ não são acessíveis quando configurados com controle de sessão.

No entanto, os aplicativos SaaS que usam TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configurados com o Defender for Cloud Apps.

Para obter mais informações, consulte: