Implantar o Controle de Aplicativos de Acesso Condicional para aplicativos em destaque

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão mudando. Leia mais sobre essa e outras atualizações aqui. Em breve, atualizaremos os nomes nos produtos e nos documentos.

Os controles de sessão Microsoft Cloud App Security funcionam com os aplicativos em destaque. Para ver uma lista de aplicativos em destaque pelo Cloud App Security para funcionar de forma completa, consulte Proteger aplicativos com Cloud App Security Controle de Aplicativos de Acesso Condicional .

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar Controle de Aplicativos de Acesso Condicional:

  • Os aplicativos devem ser configurados com o login único

  • Os aplicativos devem usar um dos seguintes protocolos de autenticação:

    IdP Protocolos
    Azure AD SAML 2.0 ou OpenID Connect
    Outros SAML 2.0

Siga estas etapas para configurar aplicativos em destaque para serem controlados por Microsoft Cloud App Security Controle de Aplicativos de Acesso Condicional.

Etapa 1: Configurar seu IdP para trabalhar com Cloud App Security

Etapa 2: Entrar em cada aplicativo usando um usuário com escopo para a política

Etapa 3: Verificar se os aplicativos estão configurados para usar controles de acesso e sessão

Etapa 4: Habilitar o aplicativo para uso em sua organização

Etapa 5: Testar a implantação

Etapa 1: Configurar seu IdP para trabalhar com Cloud App Security

Configurar a integração com o Azure AD

Observação

Ao configurar um aplicativo com SSO no Azure AD ou outros provedores de identidade, um campo que pode ser listado como opcional é a configuração de URL de logor. Observe que esse campo pode ser necessário para que Controle de Aplicativos de Acesso Condicional funcione.

Use as etapas a seguir para criar uma política de Acesso Condicional do Azure AD que encaminha sessões de aplicativo para Cloud App Security. Para outras soluções de IdP, consulte Configurar a integração com outras soluções de IdP.

  1. No Azure AD, navegue até Acesso Condicional > de Segurança.

  2. No painel Acesso Condicional, na barra de ferramentas na parte superior, selecione Nova política.

  3. No painel Novo, na caixa de texto Nome, insira o nome da política.

  4. Em Atribuições, selecione Usuários e grupos , atribua os usuários que serão integração (logout inicial e verificação) ao aplicativo e, em seguida, selecione Done.

  5. Em Atribuições, selecione Aplicativos de nuvem, atribua os aplicativos que você deseja controlar com Controle de Aplicativos de Acesso Condicional e selecione Pronto.

  6. Em Controles de acesso, selecione Sessão , selecione Usar Controle de Aplicativos de Acesso Condicional e escolha uma política interna ( Somente Monitor (versão prévia) ou Bloquear downloads (versão prévia) ou Usar política personalizada para definir uma política avançada no Cloud App Security e, em seguida, selecione Selecionar.

    Acesso condicional do Azure AD.

  7. Opcionalmente, adicione condições e conceda controles conforme necessário.

  8. De definir Habilitar política como Ativado e, em seguida, selecione Criar.

Configurar a integração com outras soluções de IdP

Use as etapas a seguir para rotear sessões de aplicativo de outras soluções de IdP para Cloud App Security. Para o Azure AD, confira Configurar a integração com o Azure AD.

Observação

Para ver exemplos de como configurar soluções de IdP, confira:

  1. No Cloud App Security, navegue até Investigar > aplicativos conectados > Controle de Aplicativos de Acesso Condicional aplicativos.

  2. Selecione o sinal de a mais ( ) e, no pop-up, selecione o aplicativo que você deseja implantar e, em + seguida, selecione Assistente de Início.

  3. Na página INFORMAÇÕES DO APLICATIVO, preencha o formulário usando as informações da página de configuração de logor único do aplicativo e, em seguida, selecione Próximo.

    • Se o IdP fornece um arquivo de metadados de login único para o aplicativo selecionado, selecione Upload de metadados do aplicativo e carregue o arquivo de metadados.
    • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
      • URL do serviço de consumidor de declaração
      • Se seu aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.

    Captura de tela mostrando a página de informações do aplicativo.

  4. Na página PROVEDOR DE IDENTIDADE, use as etapas fornecidas para configurar um novo aplicativo no portal do IdP e selecione Próximo.

    1. Acesse o portal do IdP e crie um novo aplicativo SAML personalizado.
    2. Copie a configuração de login único do aplicativo <app_name> existente para o novo aplicativo personalizado.
    3. Atribua usuários ao novo aplicativo personalizado.
    4. Copie as informações de configuração de login único dos aplicativos. Você precisará dele na próxima etapa.

    Captura de tela mostrando a página coletar informações do provedor de identidade.

    Observação

    Essas etapas podem ser ligeiramente diferentes, dependendo do provedor de identidade. Esta etapa é recomendada pelos seguintes motivos:

    • Alguns provedores de identidade não permitem que você altere os atributos SAML ou as propriedades de URL de um aplicativo da galeria
    • Configurar um aplicativo personalizado permite que você teste esse aplicativo com controles de acesso e sessão sem alterar o comportamento existente para sua organização.
  5. Na próxima página, preencha o formulário usando as informações da página de configuração de logor único do aplicativo e, em seguida, selecione Próximo.

    • Se o IdP fornece um arquivo de metadados de login único para o aplicativo selecionado, selecione Upload de metadados do aplicativo e carregue o arquivo de metadados.
    • Ou selecione Preencher dados manualmente e forneça as seguintes informações:
      • URL do serviço de consumidor de declaração
      • Se seu aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e carregue o arquivo de certificado.

    Captura de tela mostrando a página inserir informações do provedor de identidade.

  6. Na próxima página, copie as informações a seguir e selecione Próximo. Você precisará das informações na próxima etapa.

    • URL de login único
    • Atributos e valores

    Captura de tela mostrando a página coletar informações samL de provedores de identidade.

  7. No portal do IdP, faça o seguinte:

    Observação

    As configurações normalmente são encontradas na página de configurações de aplicativo personalizadas do portal IdP

    1. No campo URL de logor único, insira a URL de logor único anotada anteriormente.

      Observação

      Alguns provedores podem se referir à URL de logor único como a URL de Resposta.

    2. Adicione os atributos e os valores anotados anteriormente às propriedades do aplicativo.

      Observação

      • Alguns provedores podem se referir a eles como Atributos de usuário ou Declarações.
      • Ao criar um novo aplicativo SAML, o Provedor de Identidade okta limita os atributos a 1024 caracteres. Para atenuar essa limitação, primeiro crie o aplicativo sem os atributos relevantes. Depois de criar o aplicativo, edite-o e adicione os atributos relevantes.
    3. Verifique se o identificador de nome está no formato de endereço de email.
    4. Salve suas configurações.
  8. Na página ALTERAÇÕES DO APLICATIVO, faça o seguinte e selecione Próximo. Você precisará das informações na próxima etapa.

    • Copiar a URL de login único
    • Baixar o certificado CLOUD APP SECURITY SAML

    Captura de tela mostrando a Cloud App Security informações SAML.

  9. No portal do aplicativo, nas configurações de logor único, faça o seguinte:

    1. [Recomendado] Crie um backup das configurações atuais.
    2. Substitua o valor do campo URL de Logon do Provedor de Identidade Cloud App Security URL de logon único do SAML que você anotou anteriormente.
    3. Upload o certificado CLOUD APP SECURITY SAML baixado anteriormente.
    4. Selecione Salvar.

    Observação

    • Depois de salvar suas configurações, todas as solicitações de logon associadas a esse aplicativo serão roteados por meio Controle de Aplicativos de Acesso Condicional.
    • O Cloud App Security certificado SAML é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

Etapa 2: entrar em cada aplicativo usando um escopo de usuário para a política

Observação

Antes de continuar, certifique-se de primeiro sair das sessões existentes.

Depois de criar a política, entre em cada aplicativo configurado nessa política. Entre usando um usuário configurado na política.

Cloud App Security sincronizará os detalhes da política com seus servidores para cada novo aplicativo no qual você entrar. Isso poderá levar até um minuto.

Etapa 3: verificar se os aplicativos estão configurados para usar controles de acesso e sessão

As instruções acima ajudaram a criar uma política interna do Cloud App Security para aplicativos em destaque diretamente no Azure AD. Nesta etapa, verifique se os controles de acesso e sessão estão configurados para esses aplicativos.

  1. no portal de Cloud App Security, selecione o ícone configurações configuraçõesde engrenagem. e, em seguida, selecione Controle de Aplicativos de Acesso Condicional.

  2. Na tabela Controle de Aplicativos de Acesso Condicional aplicativos, examine a coluna controles disponíveis e verifique se o controle de acesso ou o acesso condicional do Azure ad e o controle de sessão são exibidos para seus aplicativos.

    Observação

    Se o controle de sessão não aparecer para um aplicativo, ele ainda não estará disponível para esse aplicativo específico. Você pode adicioná-lo imediatamente como um aplicativo personalizadoou pode abrir uma solicitação para adicioná-lo como um aplicativo em destaque clicando em solicitar controle de sessão.

    Solicitação de controle de aplicativo de acesso condicional.

Etapa 4: habilitar o aplicativo para uso em sua organização

Quando estiver pronto para habilitar o aplicativo para uso no ambiente de produção de sua organização, execute as etapas a seguir.

  1. em Cloud App Security, selecione o ícone configurações  configurações de engrenagem. e, em seguida, selecione Controle de Aplicativos de Acesso Condicional.

  2. Na lista de aplicativos, na linha na qual o aplicativo que você está implantando aparece, escolha os três pontos no final da linha e escolha Editar aplicativo.

  3. Selecione usar com controle de aplicativos de acesso condicional e, em seguida, selecione salvar.

    Habilitar pop-up de controles de sessão.

Etapa 5: testar a implantação

  1. Primeiro saia das sessões existentes. Em seguida, tente entrar em cada aplicativo que foi implantado com êxito. Entre usando um usuário que corresponda à política configurada no Azure AD ou para um aplicativo SAML configurado com seu provedor de identidade.

  2. no portal de Cloud App Security, em investigar, selecione log de atividades e certifique-se de que as atividades de logon sejam capturadas para cada aplicativo.

  3. Você pode filtrar clicando em Avançado e, em seguida, usando a filtragem Origem é igual a Controle de acesso.

    Filtre usando o acesso condicional do Azure AD.

  4. É recomendável que você entre em aplicativos móveis e da área de trabalho em dispositivos gerenciados e não gerenciados. Isso serve para garantir que as atividades sejam capturadas corretamente no log de atividades.
    Para verificar se a atividade foi capturada corretamente, selecione uma atividade de logon único para que ela abra a gaveta de atividade. Verifique se a Marca de agente do usuário reflete corretamente se o dispositivo é um cliente nativo (o que significa um aplicativo móvel ou da área de trabalho) ou um dispositivo gerenciado (em conformidade, ingressado no domínio ou certificado do cliente válido).

Observação

Depois de implantado, você não pode remover um aplicativo da página de Controle de Aplicativos de Acesso Condicional. Desde que você não defina uma política de acesso ou sessão no aplicativo, o Controle de Aplicativos de Acesso Condicional não alterará comportamentos para o aplicativo.

Próximas etapas

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.