Conectar aplicativos

Observação

  • Renomeamos Microsoft Cloud App Security. Agora se chama Microsoft Defender para Aplicativos de Nuvem. Nas próximas semanas, atualizaremos as capturas de tela e as instruções aqui e nas páginas relacionadas. Para obter mais informações sobre a alteração, consulte este comunicado. Para saber mais sobre a renomeação recente dos serviços de segurança da Microsoft, consulte o blog do Microsoft Ignite Security.

  • Microsoft Defender para Aplicativos de Nuvem agora faz parte do Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem suas tarefas de segurança em um local. Isso simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorar e gerenciar a segurança em suas identidades, dados, dispositivos, aplicativos e infraestrutura da Microsoft. Para obter mais informações sobre essas alterações, consulte Microsoft Defender para Aplicativos de Nuvem no Microsoft 365 Defender.

Os conectores de aplicativos usam as APIs de provedores de aplicativos para permitir maior visibilidade e controle pelo Microsoft Defender for Cloud Apps sobre os aplicativos aos quais você se conecta.

Microsoft Defender para Aplicativos de Nuvem aproveita as APIs fornecidas pelo provedor de nuvem. Toda a comunicação entre aplicativos Defender para Nuvem e aplicativos conectados é criptografada usando HTTPS. Cada serviço tem a própria estrutura e limitações de API, como limitação, limites de API, janelas de API de mudança de tempo dinâmica e outros. Microsoft Defender para Aplicativos de Nuvem trabalhou com os serviços para otimizar o uso das APIs e fornecer o melhor desempenho. Levando em conta as diferentes limitações que os serviços impõem às APIs, os mecanismos Defender para Nuvem Apps usam a capacidade permitida. Algumas operações, como verificação de todos os arquivos no locatário, exigem várias APIs e, portanto, elas são distribuídas por um período mais longo. Espere algumas que algumas políticas sejam executadas por várias horas ou vários dias.

Suporte de várias instâncias

Defender para Nuvem Apps dá suporte a várias instâncias do mesmo aplicativo conectado. Por exemplo, se você tiver mais de uma instância de Salesforce (uma para vendas, uma para marketing), poderá se conectar a Defender para Nuvem Apps. Você pode gerenciar as diferentes instâncias no mesmo console para criar políticas granulares e uma investigação mais profunda. Esse suporte se aplica somente a aplicativos conectados por API, e não a aplicativos descobertos na nuvem ou aplicativos conectados por proxy.

Observação

Não há suporte para várias instâncias para Office 365 e Azure.

Como ele funciona

Defender para Nuvem Apps é implantado com privilégios de administrador do sistema para permitir acesso total a todos os objetos em seu ambiente.

O fluxo do Conector de Aplicativos é da maneira a seguir:

  1. Defender para Nuvem Aplicativos verifica e salva permissões de autenticação.

  2. Defender para Nuvem Aplicativos solicita a lista de usuários. Na primeira vez que a solicitação é feita, é necessário algum tempo até que a verificação seja concluída. Depois que a verificação do usuário terminar, Defender para Nuvem Aplicativos passarão para atividades e arquivos. Assim que a verificação for iniciada, algumas atividades estarão disponíveis no Defender para Nuvem Apps.

  3. Após a conclusão da solicitação do usuário, o Defender para Nuvem Apps examina periodicamente usuários, grupos, atividades e arquivos. Todas as atividades estarão disponíveis após a primeira verificação.

Essa conexão pode levar algum tempo, dependendo do tamanho do locatário, do número de usuários e do tamanho e número de arquivos que precisam ser examinados.

Dependendo do aplicativo ao qual você está se conectando, a conexão de API permite os seguintes itens:

  • Dados da conta – visibilidade de usuários, contas, informações de perfil, grupos de status (suspenso, ativo, desabilitado) e privilégios.
  • Trilha de auditoria – Visibilidade das atividades do usuário, atividades de administrador, atividades de entrada.
  • Governança de conta – capacidade de suspender usuários, revogar senhas, etc.
  • Permissões de aplicativo – visibilidade dos tokens emitidos e suas permissões.
  • Governança de permissão do aplicativo – capacidade de remover tokens.
  • Verificação de dados – verificação de dados não estruturados usando dois processos: periodicamente (a cada 12 horas) e verificação em tempo real (disparada sempre que uma alteração é detectada).
  • Governança de dados – capacidade de colocar arquivos em quarentena, incluindo arquivos no lixo e substituir arquivos.

A lista de tabelas a seguir, por aplicativo de nuvem, quais habilidades têm suporte com conectores de aplicativo:

Observação

Como nem todos os conectores de aplicativo dão suporte a todas as habilidades, algumas linhas podem estar vazias.

Usuários e atividades

Aplicativo Listar contas Listar grupos Listar privilégios Atividade de logon Atividade do usuário Atividade administrativa
Atlassian (versão prévia)
AWS Não aplicável
Azure
Box
DocuSign (versão prévia)
Dropbox
Egnyte (versão prévia)
GitHub
GCP Assunto da conexão do Espaço de Trabalho do Google Assunto da conexão do Espaço de Trabalho do Google Assunto da conexão do Espaço de Trabalho do Google Assunto da conexão do Espaço de Trabalho do Google
Espaço de Trabalho do Google ✔ – requer o Google Business ou Enterprise
NetDocuments
Office 365
Okta Sem suporte pelo provedor
OneLogin
Service Now Parcial Parcial
Salesforce Com suporte com o Salesforce Shield
Margem de atraso
Smartsheet
Webex
Workday Sem suporte pelo provedor Sem suporte pelo provedor Sem suporte pelo provedor
Zendesk

Visibilidade da configuração de usuário, governança de aplicativo e segurança

Aplicativo Governança de usuário Exibir permissões de aplicativo Revogar permissões de aplicativo Visibilidade da configuração de segurança
Atlassian (versão prévia)
AWS Não aplicável Não aplicável
Azure Sem suporte pelo provedor
Box Sem suporte pelo provedor
DocuSign (versão prévia)
Dropbox
Egnyte (versão prévia)
GitHub
GCP Assunto da conexão do Espaço de Trabalho do Google Não aplicável Não aplicável
Espaço de Trabalho do Google
NetDocuments
Office 365
Okta Não aplicável Não aplicável
OneLogin
Service Now Versão prévia (em disponibilidade geral, o licenciamento desse recurso pode ser alterado)
Salesforce Versão prévia (em disponibilidade geral, o licenciamento desse recurso pode ser alterado)
Slack
Smartsheet
Webex Não aplicável Não aplicável
Workday Sem suporte pelo provedor Não aplicável Não aplicável
Zendesk

Proteção das informações

Aplicativo DLP – Verificação de pendências periódica DLP – Verificação quase em tempo real Controle de compartilhamento Governança de arquivos Aplicar rótulos de confidencialidade de Proteção de Informações do Microsoft Purview
Atlassian (versão prévia)
AWS ✔ - Somente descoberta de bucket S3 Não aplicável
Azure
Box
DocuSign (versão prévia)
Dropbox
Egnyte (versão prévia)
GitHub
GCP Não aplicável Não aplicável Não aplicável Não aplicável Não aplicável
Espaço de Trabalho do Google ✔ – requer o Google Business Enterprise
NetDocuments
Office 365
Okta Não aplicável Não aplicável Não aplicável Não aplicável Não aplicável
OneLogin
Service Now Não aplicável
Salesforce
Margem de atraso
Smartsheet
Webex Não aplicável
Workday Sem suporte pelo provedor Sem suporte pelo provedor Sem suporte pelo provedor Sem suporte pelo provedor Não aplicável
Zendesk

Pré-requisitos

  • Para alguns aplicativos, pode ser necessário permitir que endereços IP de lista habilitem Defender para Nuvem Aplicativos coletem logs e forneçam acesso ao console do Defender para Nuvem Apps. Para obter mais informações, consulte os requisitos de rede.

Observação

Para obter atualizações quando URLs e endereços IP forem alterados, assine o RSS conforme explicado em: URLs e intervalos de endereços IP do Office 365.

ExpressRoute

Defender para Nuvem Apps é implantado no Azure e totalmente integrado ao ExpressRoute. Todas as interações com os aplicativos Defender para Nuvem Apps e o tráfego enviado para Defender para Nuvem Apps, incluindo o upload de logs de descoberta, são roteadas por meio do ExpressRoute para melhorar a latência, o desempenho e a segurança. Não há nenhuma etapa de configuração necessária do lado do cliente. Para obter mais informações sobre emparelhamento público, consulte circuitos do ExpressRoute e domínios de roteamento.

Desabilitar conectores de aplicativo

Observação

  • Antes de desabilitar um conector de aplicativo, verifique se você tem os detalhes da conexão disponíveis, pois precisará deles se quiser reabilitar o conector.
  • Depois que um conector do Azure é desabilitado, ele não pode ser habilitado novamente. Se o conector estiver desabilitado por acidente, entre em contato com o suporte da Microsoft.
  • Essas etapas não podem ser usadas para desabilitar aplicativos de Controle de Aplicativo de Acesso Condicional e aplicativos de configuração de segurança.

Para desabilitar aplicativos conectados:

  1. Na página Aplicativos Conectados, na linha relevante, clique nos três pontos e selecione Desabilitar Conector de aplicativos.
  2. No pop-up, clique em Desabilitar Conector de aplicativos instância para confirmar a ação.

Depois de desabilitada, a instância do conector deixará de consumir dados do conector.

Habilitar novamente conectores de aplicativo

Para reabilitar aplicativos conectados:

  1. Na página Aplicativos Conectados , na linha relevante, clique nos três pontos e selecione Editar aplicativo. Isso inicia o processo para adicionar um conector.
  2. Adicione o conector usando as etapas no guia do conector de API relevante. Por exemplo, se você estiver habilitando novamente GitHub, use as etapas no Conexão GitHub Enterprise Cloud para Defender para Nuvem Apps.

Próximas etapas

Em caso de problemas, estamos aqui para ajudar. Abra um tíquete de suporte para receber assistência ou suporte para o produto.