A bordo e implementar controlo de aplicativos de acesso condicional para qualquer appOnboard and deploy Conditional Access App Control for any app

Aplica-se a: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar.Threat protection product names from Microsoft are changing. Leia mais sobre esta e outras atualizações aqui.Read more about this and other updates here. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.We'll be updating names in products and in the docs in the near future.

Os controlos de sessão no Microsoft Cloud App Security podem ser configurados para funcionar com quaisquer aplicações web.Session controls in Microsoft Cloud App Security can be configured to work with any web apps. Este artigo descreve como embarcar e implementar aplicações personalizadas de linha de negócios, aplicações SaaS não apresentadas e aplicações no local hospedadas através do Azure Ative Directory (Azure AD) Application Proxy com controlos de sessão.This article describes how to onboard and deploy custom line-of-business apps, non-featured SaaS apps, and on-premise apps hosted via the Azure Active Directory (Azure AD) Application Proxy with session controls.

Para obter uma lista de aplicações que são apresentadas pela Cloud App Security para trabalhar fora da caixa, consulte aplicações Protect com Cloud App Security Conditional Access App Control.For a list of apps that are featured by Cloud App Security to work out-of-the-box, see Protect apps with Cloud App Security Conditional Access App Control.

Pré-requisitosPrerequisites

  • A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:Your organization must have the following licenses to use Conditional Access App Control:

  • As aplicações devem ser configuradas com um único sign-onApps must be configured with single sign-on

  • As aplicações devem utilizar um dos seguintes protocolos de autenticação:Apps must use one of the following authentication protocols:

    URL deIdP ProtocolosProtocols
    Azure ADAzure AD SAML 2.0 ou Ligação OpenIDSAML 2.0 or OpenID Connect
    OutroOther SAML 2.0SAML 2.0

Para implementar qualquer appTo deploy any app

Siga estes passos para configurar qualquer aplicação a ser controlada pelo Cloud App Security Conditional Access App Control.Follow these steps to configure any app to be controlled by Cloud App Security Conditional Access App Control.

Passo 1: Configurar o seu IdP para trabalhar com a Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Passo 2: Configurar os utilizadores que irão implementar a appStep 2: Configure the users that will deploy the app

Passo 3: Configurar a app que está a implementarStep 3: Configure the app that you are deploying

Passo 4: Verifique se a aplicação está a funcionar corretamenteStep 4: Verify that the app is working correctly

Passo 5: Ativar a aplicação para uso na sua organizaçãoStep 5: Enable the app for use in your organization

Passo 6: Atualizar a política AD do AZureStep 6: Update the Azure AD policy

Nota

Para implementar o Controlo de Aplicações de Acesso Condicional para aplicações AZure AD, precisa de uma licença válida para o Azure Ative Directory Premium P1 ou superior, bem como uma licença de Segurança da Cloud App.To deploy Conditional Access App Control for Azure AD apps, you need a valid license for Azure Active Directory Premium P1 or higher as well as a Cloud App Security license.

Passo 1: Configurar o seu IdP para trabalhar com a Cloud App SecurityStep 1: Configure your IdP to work with Cloud App Security

Configure a integração com a Azure ADConfigure integration with Azure AD

Use os seguintes passos para criar uma política de acesso condicional Azure AD que encaminha sessões de aplicações para Cloud App Security.Use the following steps to create an Azure AD Conditional Access policy that routes app sessions to Cloud App Security. Para outras soluções IdP, consulte a integração do Configure com outras soluções IdP.For other IdP solutions, see Configure integration with other IdP solutions.

  1. Em Azure AD, navegue pelo > Acesso Condicional de Segurança .In Azure AD, browse to Security > Conditional Access.

  2. No painel de acesso condicional, na barra de ferramentas na parte superior, clique em Nova política.On the Conditional Access pane, in the toolbar at the top, click New policy.

  3. No painel Novo, na caixa de texto Name, insira o nome da apólice.On the New pane, in the Name textbox, enter the policy name.

  4. Em Atribuições, clique em Utilizadores e grupos, atribua os utilizadores que estarão a bordo (sinal inicial e verificação) da aplicação e, em seguida, clique em Fazer.Under Assignments, click Users and groups, assign the users that will be onboarding (initial sign on and verification) the app, and then click Done.

  5. Em Atribuições, clique em aplicativos Cloud, atribua as aplicações que pretende controlar com o Controlo de Aplicações de Acesso Condicional e, em seguida, clique em Fazer.Under Assignments, click Cloud apps, assign the apps you want to control with Conditional Access App Control, and then click Done.

  6. Nos controlos de Acesso, clique em Sessão, selecione Use Conditional Access App Control e escolha uma política incorporada (apenas para monitorizar ou bloquear transferências) ou Use a política personalizada para definir uma política avançada na Cloud App Security e, em seguida, clique em Select.Under Access controls, click Session, select Use Conditional Access App Control and choose a built-in policy (Monitor only or Block downloads) or Use custom policy to set an advanced policy in Cloud App Security, and then click Select.

    Acesso condicional ao Azure AD

  7. Opcionalmente, adicione condições e conceda controlos de concessão, conforme necessário.Optionally, add conditions and grant controls as required.

  8. Definir Ativar a política para continuar e clicar Em Criar.Set Enable policy to On and then click Create.

Configurar a integração com outras soluções IdPConfigure integration with other IdP solutions

Use os seguintes passos para encaminhar sessões de aplicações de outras soluções IdP para Cloud App Security.Use the following steps to route app sessions from other IdP solutions to Cloud App Security. Para Azure AD, consulte a integração configure com a Azure AD.For Azure AD, see Configure integration with Azure AD.

Nota

Por exemplo, como configurar soluções IdP, consulte:For examples of how to configure IdP solutions, see:

  1. Na Cloud App Security, navegue para investigar > aplicações conectadas > de acesso às aplicações.In Cloud App Security, browse to Investigate > Connected apps > Conditional Access App Control apps.

  2. Clique no sinal de mais + (), e no pop-up, selecione a aplicação que pretende implementar e, em seguida, clique em Iniciar o Assistente.Click the plus sign (+), and in the pop-up, select the app you want to deploy, and then click Start Wizard.

  3. Na página APP INFORMATION, preencha o formulário utilizando as informações da página de configuração de inscrição única da sua aplicação e, em seguida, clique em Seguinte.On the APP INFORMATION page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:Or, select Fill in data manually and provide the following information:
      • URL de serviço ao consumidor de afirmaçãoAssertion consumer service URL
      • Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Screenshot mostrando página de informação de aplicativo

  4. Na página DO FORNECEDOR DE IDENTIDADE, utilize as etapas fornecidas para configurar uma nova aplicação no portal do seu IdP e, em seguida, clique em Seguinte.On the IDENTITY PROVIDER page, use the provided steps to set up a new application in your IdP's portal, and then click Next.

    1. Vá ao portal do seu IdP e crie uma nova aplicação SAML personalizada.Go to your IdP's portal and create a new custom SAML app.
    2. Copie a configuração única da aplicação existente <app_name> para a nova aplicação personalizada.Copy the single sign-on configuration of the existing <app_name> app to the new custom app.
    3. Atribua os utilizadores à nova aplicação personalizada.Assign users to the new custom app.
    4. Copie as informações de configuração de inscrição única das aplicações, vai precisar no próximo passo.Copy the apps single sign-on configuration information, you'll need it in the next step.

    Screenshot mostrando recolher página de informação do fornecedor de identidade

    Nota

    Estes passos podem diferir ligeiramente dependendo do seu fornecedor de identidade.These steps may differ slightly depending on your identity provider. Este passo é recomendado pelas seguintes razões:This step is recommended for the following reasons:

    • Alguns fornecedores de identidade não permitem alterar os atributos SAML ou propriedades DE URL de uma aplicação de galeriaSome identity providers do not allow you to change the SAML attributes or URL properties of a gallery app
    • Configurar uma aplicação personalizada permite-lhe testar esta aplicação com controlos de acesso e sessão sem alterar o comportamento existente para a sua organização.Configuring a custom app enables you to test this application with access and session controls without changing the existing behavior for your organization.
  5. Na página seguinte, preencha o formulário utilizando as informações da página de configuração de inscrição única da sua aplicação e, em seguida, clique em Seguinte.On the next page, fill out the form using the information from your app's single sign-on configuration page, and then click Next.

    • Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.If your IdP provides a single sign-on metadata file for the selected app, select Upload metadata file from the app and upload the metadata file.
    • Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:Or, select Fill in data manually and provide the following information:
      • URL de serviço ao consumidor de afirmaçãoAssertion consumer service URL
      • Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.If your app provides a SAML certificate, select Use <app_name> SAML certificate and upload the certificate file.

    Screenshot mostrando página de informação do fornecedor de identidade

  6. Na página seguinte, copie as seguintes informações e, em seguida, clique em Seguinte.On the next page, copy the following information, and then click Next. Vai precisar da informação no próximo passo.You'll need the information in the next step.

    • URL de inscrição únicaSingle sign-on URL
    • Atributos e valoresAttributes and values

    Screenshot mostrando recolher fornecedores de identidade página de informação SAML

  7. No portal do seu IdP, faça o seguinte:In your IdP's portal, do the following:

    Nota

    As definições são geralmente encontradas na página de definições de aplicações personalizadas do portal IdPThe settings are commonly found in IdP portal's custom app settings page

    1. [Recomendado] Crie uma cópia de segurança das suas definições atuais.[Recommended] Create a backup of your current settings.

    2. Substitua o valor do campo URL de inscrição única pelo URL de sinalização único de segurança da cloud que notou anteriormente.Replace the single sign-on URL field value with the Cloud App Security SAML single sign-on URL you noted earlier.

      Nota

      Alguns fornecedores podem referir-se ao URL de inscrição única como URL de resposta.Some providers may refer to the single sign-on URL as the Reply URL.

    3. Adicione os atributos e valores que fez uma nota anterior às propriedades da app.Add the attributes and values you made a note of earlier to the app's properties.

      Nota

      • Alguns fornecedores podem referir-se a eles como atributos ou Reclamações do Utilizador.Some providers may refer to them as User attributes or Claims.
      • Ao criar uma nova aplicação SAML, o Fornecedor de Identidade Okta limita os atributos a 1024 caracteres.When creating a new SAML app, the Okta Identity Provider limits attributes to 1024 characters. Para mitigar esta limitação, primeiro crie a app sem os atributos relevantes.To mitigate this limitation, first create the app without the relevant attributes. Depois de criar a app, edite-a e adicione os atributos relevantes.After creating the app, edit it, and then add the relevant attributes.
    4. Verifique se o identificador de nome está no formato de endereço de e-mail.Verify that the name identifier is in the email address format.

    5. Guarde as suas definições.Save your settings.

  8. Na página ALTERAÇÕES DA APP, faça o seguinte e, em seguida, clique em Seguinte.On the APP CHANGES page, do the following, and then click Next. Vai precisar da informação no próximo passo.You'll need the information in the next step.

    • Copie o URL de inscrição únicaCopy the Single sign-on URL
    • Descarregue o certificado SAML de Segurança da Cloud AppDownload the Cloud App Security SAML certificate

    Screenshot mostrando recolher página de informações de Segurança de Cloud App SAML

  9. No portal da sua aplicação, nas definições de inscrição única, faça o seguinte:In your app's portal, on the single sign-on settings, do the following:

    1. [Recomendado] Crie uma cópia de segurança das suas definições atuais.[Recommended] Create a backup of your current settings.
    2. No único campo de URL de entrada de sinal, insira o URL de sinalização de segurança de aplicação de nuvem que fez uma nota anterior.In the single sign-on URL field, enter the Cloud App Security single sign-on URL you made a note of earlier.
    3. Faça o upload do certificado SAML de Segurança da Cloud App que descarregou anteriormente.Upload the Cloud App Security SAML certificate you downloaded earlier.

    Nota

    • Depois de guardar as suas definições, todos os pedidos de login associados a esta aplicação serão encaminhados através do Controlo de Aplicações de Acesso Condicional.After saving your settings, all associated login requests to this app will be routed through Conditional Access App Control.
    • O certificado SAML de Segurança cloud app é válido por um ano.The Cloud App Security SAML certificate is valid for one year. Depois de expirar, um novo certificado terá de ser gerado.After it expires, a new certificate will need to be generated.

Passo 2: Configurar os utilizadores que irão implementar a appStep 2: Configure the users that will deploy the app

  1. Na Cloud App Security, na barra de menus, clique no ícone de definições de engrenagens e selecione Definições.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Settings.

  2. Em Controlo de Aplicações de Acesso Condicional, selecione App onboarding/maintenance.Under Conditional Access App Control, select App onboarding/maintenance.

  3. Introduza o nome principal do utilizador ou e-mail para os utilizadores que estarão a bordo da aplicação e, em seguida, clique em Guardar.Enter the user principal name or email for the users that will be onboarding the app, and then click Save.

    Screenshot de configurações para app de embarque e manutenção.

Passo 3: Configurar a app que está a implementarStep 3: Configure the app that you are deploying

Vá à aplicação que está a implementar.Go to the app that you are deploying. A página que vê depende se a aplicação é reconhecida.The page you see depends on whether the app is recognized. Faça um dos seguintes:Do one of the following:

Estado da aplicaçãoApp status DescriçãoDescription PassosSteps
Não reconhecidoNot recognized Verá uma aplicação não reconhecida, levando-o a configurar a sua aplicação.You will see an app not recognized page prompting you to configure your app. 1. Adicione a aplicação ao Controlo de Aplicações de Acesso Condicional.1. Add the app to Conditional Access App Control.
2. Adicione os domínios para a aplicação, e, em seguida, volte à aplicação e atualize a página.2. Add the domains for the app, and then return to the app and refresh the page.
3. Instale os certificados para a aplicação.3. Install the certificates for the app.
ReconhecidoRecognized Verá uma página de bordo a pedir-lhe que continue o processo de configuração da aplicação.You will see an onboarding page prompting you to continue the app configuration process. - Instale os certificados para a aplicação.- Install the certificates for the app.

Nota: Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente.Note: Make sure the app is configured with all domains required for the app to function correctly. Para configurar domínios adicionais, proceda a Adicionar os domínios para a aplicaçãoe, em seguida, volte à página da aplicação.To configure additional domains, proceed to Add the domains for the app, and then return to the app page.

Para adicionar uma nova appTo add a new app

  1. Na barra de menu, clique no ícone de definiçõesde engrenagens e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.In the menu bar, click the settings cog settings icon, and then select Conditional Access App Control.

  2. No banner, clique em Ver novas aplicações.In the banner, click View new apps.

    Controlo de aplicativos de acesso condicional ver novas aplicações

  3. Na lista de novas aplicações, para cada aplicação que está a bordo, clique no + sinal e, em seguida, clique em Adicionar.In the list of new apps, for each app that you are onboarding, click on the + sign, and then click Add.

    Nota

    Se uma aplicação não aparecer no catálogo de aplicações cloud App Security, ela aparecerá no diálogo sob aplicações não identificadas juntamente com o URL de login.If an app does not appear in the Cloud App Security app catalog, it will appear in the dialog under unidentified apps along with the login URL. Quando clicar no sinal + para estas aplicações, pode embarcar na aplicação como uma aplicação personalizada.When you click the + sign for these apps, you can onboard the application as a custom app.

    Controlo de aplicações de acesso condicional descoberto apps AZure AD

Para adicionar domínios para uma aplicaçãoTo add domains for an app

Associar os domínios corretos a uma aplicação permite que a Cloud App Security imponha políticas e atividades de auditoria.Associating the correct domains to an app allows Cloud App Security to enforce policies and audit activities.

Por exemplo, se tiver configurado uma política que bloqueie o descarregamento de ficheiros para um domínio associado, os downloads de ficheiros por aplicação desse domínio serão bloqueados.For example, if you have configured a policy that blocks downloading files for an associated domain, file downloads by the app from that domain will be blocked. No entanto, os downloads de ficheiros pela aplicação a partir de domínios não associados à app não serão bloqueados e a ação não será auditada no registo de atividades.However, file downloads by the app from domains not associated with the app will not be blocked and the action will not be audited in the activity log.

Nota

Cloud App Security ainda adiciona um sufixo a domínios não associados à app para garantir uma experiência de utilizador sem emenda.Cloud App Security still adds a suffix to domains not associated with the app to ensure a seamless user experience.

  1. A partir da aplicação, na barra de ferramentas de administração Cloud App Security, clique em domínios Descobertos.From within the app, on the Cloud App Security admin toolbar, click Discovered domains.

    Nota

    A barra de ferramentas de administração só é visível para os utilizadores com permissões para apps a bordo ou de manutenção.The admin toolbar is only visible to users with permissions to onboard or maintenance apps.

  2. No painel de domínios Descobertos, tome nota dos nomes de domínio ou exporte a lista como um ficheiro .csv.In the Discovered domains panel, make a note of domain names or export the list as a .csv file.

    Nota

    O painel apresenta uma lista de domínios descobertos que não estão associados na aplicação.The panel displays a list of discovered domains that are not associated in the app. Os nomes de domínio são totalmente qualificados.The domain names are fully qualified.

  3. Vá à Cloud App Security, na barra de menus, clique no ícone de definições de engrenagens e selecione Controlo de Aplicações de Acesso Condicional.Go to Cloud App Security, in the menu bar, click the settings cog settings icon and select Conditional Access App Control.
  4. Na lista de aplicações, na linha em que aparece a app em que aparece a app, escolha os três pontos no final da linha e, em seguida, em APP DETAILS, escolha Editar.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then under APP DETAILS, choose Edit.

    Dica

    Para ver a lista de domínios configurados na aplicação, clique nos domínios da aplicação.To view the list of domains configured in the app, click View app domains.

  5. Nos domínios definidos pelo Utilizador, insira todos os domínios que pretende associar a esta aplicação e, em seguida, clique em Guardar.In User-defined domains, enter all the domains you want to associate with this app, and then click Save.

    Nota

    Você pode usar o personagem * wildcard como um espaço reservado para qualquer personagem.You can use the * wildcard character as a placeholder for any character. Ao adicionar domínios, decida se pretende adicionar domínios específicos sub1.contoso.com (, sub2.contoso.com ) ou vários domínios *.contoso.com ().When adding domains, decide whether you want to add specific domains (sub1.contoso.com,sub2.contoso.com) or multiple domains (*.contoso.com).

Para instalar certificados de raizTo install root certificates

  1. Repita os seguintes passos para instalar os certificados de raiz auto-assinados ca e ca de corrente.Repeat the following steps to install the Current CA and Next CA self-signed root certificates.

    1. Selecione o certificado.Select the certificate.
    2. Clique em Abrir e quando solicitado clique em Abrir novamente.Click Open, and when prompted click Open again.
    3. Clique em Instalar o certificado.Click Install certificate.
    4. Escolha o utilizador atual ou a máquina local.Choose either Current User or Local Machine.
    5. Selecione Coloque todos os certificados na loja seguinte e, em seguida, clique em procurar.Select Place all certificates in the following store and then click Browse.
    6. Selecione As Autoridades de Certificado de Raiz Fidedigna e, em seguida, clique em OK.Select Trusted Root Certificate Authorities and then click OK.
    7. Clique em Concluir.Click Finish.

    Nota

    Para que os certificados sejam reconhecidos, uma vez instalado o certificado, deve reiniciar o navegador e ir para a mesma página.For the certificates to be recognized, once you have installed the certificate, you must restart the browser and go to the same page.

  2. Clique em Continue (Continuar).Click Continue.

Passo 4: Verifique se a aplicação está a funcionar corretamenteStep 4: Verify that the app is working correctly

  1. Verifique se o sinal em fluxo funciona corretamente.Verify that the sign in flow works correctly.
  2. Uma vez que esteja na aplicação, efetue as seguintes verificações:Once you are in the app, perform the following checks:
    1. Visite todas as páginas dentro da app que fazem parte do processo de trabalho de um utilizadores e verifique se as páginas são corretamente renderizadas.Visit all pages within the app that are part of a users' work process and verify that the pages render correctly.
    2. Verifique se o comportamento e funcionalidade da aplicação não são afetados de forma adversa pela realização de ações comuns, como o descarregamento e upload de ficheiros.Verify that the behavior and functionality of the app is not adversely affected by performing common actions such as downloading and uploading files.
    3. Reveja a lista de domínios associados à aplicação.Review the list of domains associated with the app. Para obter mais informações, consulte Adicionar os domínios para a aplicação.For more information, see Add the domains for the app.

Passo 5: Ativar a aplicação para uso na sua organizaçãoStep 5: Enable the app for use in your organization

Assim que estiver pronto para ativar a aplicação para utilização no ambiente de produção da sua organização, faça os seguintes passos.Once you are ready to enable the app for use in your organization's production environment, do the following steps.

  1. Na Cloud App Security, clique no ícone de definições de  engrenagens de definições e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.In Cloud App Security, click the settings cog settings icon, and then select Conditional Access App Control.

  2. Na lista de aplicações, na linha em que aparece a aplicação em que aparece a aplicação, escolha os três pontos no final da linha e, em seguida, escolha a app Edit.In the list of apps, on the row in which the app you are deploying appears, choose the three dots at the end of the row, and then choose Edit app.

  3. Selecione Utilizar com controlo de aplicativo de acesso condicional e, em seguida, clique em Guardar.Select Use with Conditional Access App Control and then click Save.

    Ativar os controlos de sessão pop-up

Passo 6: Atualizar a política AD do Azure (apenas AD A)Step 6: Update the Azure AD policy (Azure AD only)

  1. Em Azure AD, em Segurança, clique em Acesso Condicional.In Azure AD, under Security, click Conditional Access.
  2. Atualize a política que criou anteriormente para incluir os utilizadores, grupos e controlos relevantes que necessita.Update the policy you created earlier to include the relevant users, groups, and controls you require.
  3. Em > Sessão Use Controlo de Aplicações de Acesso Condicional, se selecionar Use Custom Policy, vá à Cloud App Security e crie uma política de sessão correspondente.Under Session > Use Conditional Access App Control, if you selected Use Custom Policy, go to Cloud App Security and create a corresponding session policy. Para obter mais informações, consulte as políticas de Sessão.For more information, see Session policies.

Passos seguintesNext steps

Ver tambémSee also

Se tiver algum problema, estamos aqui para ajudar.If you run into any problems, we're here to help. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.To get assistance or support for your product issue, please open a support ticket.