Ligar aplicações

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Os conectores de aplicações utilizam as APIs dos fornecedores de aplicações para aumentar a visibilidade e o controlo do Microsoft Cloud App Security nas aplicações a que se liga.

Microsoft Cloud App Security alavanca as APIs fornecidas pelo fornecedor de nuvem. Toda a comunicação entre Cloud App Security e aplicações conectadas é encriptada utilizando HTTPS. Cada serviço tem o seu próprio enquadramento e limitações de API tais como estrangulamento, limites de API, janelas API dinâmicas que mudam o tempo, entre outros. Microsoft Cloud App Security trabalhou com os serviços para otimizar o uso das APIs e proporcionar o melhor desempenho. Tendo em conta as diferentes limitações impostas aos SERVIÇOS, os motores Cloud App Security utilizam a capacidade permitida. Algumas operações, como a digitalização de todos os ficheiros do inquilino, requerem numerosas APIs, por isso estão espalhadas por um período mais longo. Pode esperar que a execução de algumas políticas demorem várias horas ou vários dias.

Suporte a várias instâncias

Cloud App Security suporta múltiplas instâncias da mesma aplicação conectada. Por exemplo, se tiver mais de um exemplo de Salesforce (um para vendas, um para marketing) pode ligar-se a Cloud App Security. Você pode gerir as diferentes instâncias da mesma consola para criar políticas granulares e investigação mais profunda. Este suporte aplica-se apenas a aplicações ligadas à API, não a aplicações cloud descobertas ou a aplicações ligadas a Proxy.

Nota

Não é apoiado em várias instâncias para Office 365 e Azure.

Como funciona

O Cloud App Security é implementado com privilégios de administrador do sistema para permitir o acesso total a todos os objetos no seu ambiente.

O fluxo do Conector de Aplicações é o seguinte:

  1. Cloud App Security digitaliza e guarda permissões de autenticação.

  2. O Cloud App Security solicita a lista de utilizadores. A primeira vez que o pedido for feito, pode levar algum tempo até que o exame esteja concluído. Depois de a análise de utilizador terminar, o Cloud App Security passa para os ficheiros e as atividades. Assim que a análise é iniciada, algumas atividades ficarão disponíveis no Cloud App Security.

  3. Após a conclusão do pedido do utilizador, Cloud App Security analisa periodicamente os utilizadores, grupos, atividades e ficheiros. Todas as atividades estarão disponíveis após a primeira análise completa.

Esta ligação pode demorar algum tempo dependendo do tamanho do inquilino, do número de utilizadores e do tamanho e número de ficheiros que precisam de ser digitalizados.

Dependendo da aplicação à qual está a ligar, a ligação API permite os seguintes itens:

  • Informações de conta - Visibilidade em utilizadores, contas, informações de perfil, grupos de estado (suspensos, ativos, incapacitados) e privilégios.
  • Pista de auditoria - Visibilidade nas atividades do utilizador, atividades de administração, atividades de inscrição.
  • Governação da conta - Capacidade de suspender utilizadores, revogar senhas, etc.
  • Permissões de aplicativos - Visibilidade em fichas emitidas e suas permissões.
  • Governação da permissão de aplicativos - Capacidade de remover fichas.
  • Digitalização de dados - Digitalização de dados não estruturados utilizando dois processos periodicamente (a cada 12 horas) e em análise em tempo real (desencadeado cada vez que é detetada uma alteração).
  • Governação de dados - Capacidade de colocar ficheiros de quarentena, incluindo ficheiros no lixo, e substituir ficheiros.

A lista de tabelas a seguir, por aplicação em nuvem, que habilidades são suportadas com conectores App:

Utilizadores e atividades

Aplicação Contas de lista Grupos de listas Privilégios de lista Atividade de início de sessão Atividade do utilizador Atividade administrativa
AWS Não aplicável
Azure
Box
Dropbox
GitHub
GCP Assunto Ligação Google Workspace Assunto Ligação Google Workspace Assunto Ligação Google Workspace Assunto Ligação Google Workspace
Espaço de trabalho do Google ✔ - requer Google Business ou Enterprise
Office 365
Okta Não suportado pelo fornecedor
OneLogin
Serviço agora Parcial Parcial
Salesforce Suportado com o Salesforce Shield
Slack
Smartsheet
Webex
Workday Não suportado pelo fornecedor Não suportado pelo fornecedor Não suportado pelo fornecedor
Zendesk (Pré-visualização)

Governação de utilizadores e aplicativos

Aplicação Governação do utilizador Ver permissões de aplicações Revogar permissões de aplicações
AWS Não aplicável Não aplicável
Azure Não suportado pelo fornecedor
Box Não suportado pelo fornecedor
Dropbox Em breve Em breve Em breve
GitHub
GCP Assunto Ligação Google Workspace Não aplicável Não aplicável
Espaço de trabalho do Google
Office 365
Okta Não aplicável Não aplicável
OneLogin
Serviço agora
Salesforce
Slack
Smartsheet
Webex Não aplicável Não aplicável
Workday Não suportado pelo fornecedor Não aplicável Não aplicável
Zendesk (Pré-visualização)

Proteção de informação

Aplicação DLP - Verificação periódica de atrasos DLP - Quase digitalização em tempo real Controlo de partilha Governação de ficheiros Aplicar rótulos de proteção de informação Azure
AWS ✔ - Apenas descoberta de Balde S3 Não aplicável
Azure
Box
Dropbox
GitHub
GCP Não aplicável Não aplicável Não aplicável Não aplicável Não aplicável
Espaço de trabalho do Google ✔ - requer a Google Business Enterprise
Office 365
Okta Não aplicável Não aplicável Não aplicável Não aplicável Não aplicável
OneLogin
Serviço agora Não aplicável
Salesforce
Slack
Smartsheet
Webex Não aplicável
Workday Não suportado pelo fornecedor Não suportado pelo fornecedor Não suportado pelo fornecedor Não suportado pelo fornecedor Não aplicável
Zendesk (Pré-visualização)

Pré-requisitos

  • Para algumas aplicações, pode ser necessário permitir a lista de endereços IP para permitir que Cloud App Security recolham registos e forneçam acesso à consola Cloud App Security. Para mais informações, consulte os requisitos da Rede.

  • Para cada aplicação que quer ligar com a integração de APIs do Cloud App Security, recomendamos a criação de uma conta de serviço administrativa dedicada ao Cloud App Security.

Nota

Para obter atualizações quando os endereços IP e os URLs forem alterados, subscreva o RSS, conforme explicado em: Intervalos de endereços IP e URLs do Office 365.

Para utilizar os Conectores de Aplicação, tem de se certificar de que tem as seguintes coisas para cada aplicação específica:

Aplicação Tipo de licença Utilizador
Azure Admin Global
AWS Utilizador criado recentemente
Box Grandes Empresas Recomenda-se vivamente que se conecte à Box como um Administrador. Se se ligar como Coadmin, certifique-se de selecionar todas as permissões.
Dropbox Business/Enterprise Admin
GitHub GitHub Enterprise Cloud Proprietário
GCP Consulte os pré-requisitos GCP de ligação
Espaço de trabalho do Google Google Workspace Business ou Enterprise preferido

Google Workspace Enterprise (minimamente)
Super Admin
Office 365 Admin Global
Okta Enterprise (não é avaliação) Admin
Salesforce Admin
ServiceNow Eureka e superior Função de administrador + RestAPI
Webex Administrador + Administrador de Conformidade
Workday Consulte os pré-requisitos do Dia de Trabalho de ligação

ExpressRoute

O Cloud App Security é implementado no Azure e totalmente integrado no ExpressRoute. Todas as interações com as aplicações Cloud App Security e tráfego enviados para Cloud App Security, incluindo o upload de registos de descoberta, é encaminhado via ExpressRoute para uma maior latência, desempenho e segurança. Não são necessários passos de configuração do lado do cliente. Para obter mais informações sobre o Peering Público, veja ExpressRoute circuits and routing domains (Circuitos e domínios de encaminhamento do ExpressRoute).

Desativar os conectores de aplicações

Nota

  • Antes de desativar um conector de aplicações, certifique-se de que tem os dados de ligação disponíveis, pois necessitará deles se quiser voltar a ativar o conector.
  • Estes passos não podem ser utilizados para desativar o conector Azure.
  • Estes passos não podem ser utilizados para desativar aplicações de controlo de aplicações de acesso condicional e aplicações de configuração de segurança.

Para desativar as aplicações conectadas:

  1. Na página de aplicações Conectadas, na linha relevante, clique nos três pontos e selecione Disable Conector de aplicações.
  2. No pop-up, clique em Desativar Conector de aplicações instância para confirmar a ação.

Uma vez desativado, a instância do conector deixará de consumir dados do conector.

Re-ativar os conectores de aplicações

Para ree capacitar aplicações conectadas:

  1. Na página de aplicações Connected, na linha relevante, clique nos três pontos e selecione a aplicação Editar. Isto inicia o processo para adicionar um conector.
  2. Adicione o conector utilizando os passos no guia de conector API relevante. Por exemplo, se estiver a voltar a permitir GitHub, utilize os passos Ligação GitHub Enterprise Cloud para Cloud App Security.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.