Governar aplicações ligadas

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

A governação permite-lhe controlar o que os seus utilizadores fazem, em tempo real, nas aplicações. Para aplicações ligadas, pode aplicar ações de governação a ficheiros ou atividades. As ações de governação são ações integradas que pode executar em ficheiros ou atividades diretamente a partir de Microsoft Cloud App Security. As ações de governação controlam o que os seus utilizadores fazem, em tempo real, através de aplicações conectadas. Para obter informações sobre onde pode utilizar ações de governação, consulte Aplicar ações de governação.

Nota

Quando Microsoft Cloud App Security tenta executar uma ação de governação num ficheiro, mas falha porque o ficheiro está bloqueado, ele automaticamente recandidou a ação de governação.

Ações de governação de ficheiros

As seguintes ações de governação podem ser utilizadas em aplicações ligadas num utilizador ou ficheiro específico ou a partir de uma política específica.

  • Notificações:

    • Alertas – Os alertas podem ser acionados no sistema e propagados por e-mail e mensagem de texto, com base no nível de gravidade.

    • Notificação de e-mail do utilizador – As mensagens de e-mail podem ser personalizadas e serão enviadas para todos os proprietários de ficheiros que violem.

    • Notifique utilizadores específicos – Lista específica de endereços de e-mail que receberão estas notificações.

    • Notifique o último editor de ficheiros – Envie notificações à última pessoa que modificou o ficheiro.

  • Ações de governação em apps - As ações granulares podem ser aplicadas por app, as ações específicas variam consoante a terminologia da aplicação.

    • Rotulagem

      • Aplicar etiqueta - Capacidade de adicionar uma etiqueta de classificação Azure Information Protection.
      • Remover a etiqueta - Capacidade de remover uma etiqueta de classificação de proteção de informação Azure.
    • Alterar partilha

      • Remover a partilha pública – Permitir o acesso apenas a colaboradores nomeados, por exemplo: Remover o acesso público ao Google Workspace e remover link partilhado direto para Box e Dropbox.

      • Remover utilizadores externos – Permitir o acesso apenas aos utilizadores da empresa.

      • Tornar privado – Apenas os Administradores do Site podem aceder ao ficheiro, todas as ações são removidas.

      • Remover um colaborador – Remova um colaborador específico do ficheiro.

      • Reduzir o acesso do público - Definir ficheiros publicamente disponíveis para estarem disponíveis apenas com um link partilhado. (Google)

      • Expire link compartilhado - Capacidade de definir uma data de validade para um link compartilhado após o qual deixará de estar ativo. (Caixa)

      • Alterar o nível de acesso ao link de partilha - Capacidade de alterar o nível de acesso da ligação partilhada apenas entre empresas, colaboradores e público. (Caixa)

    • Quarentena

      • Colocar em quarentena do utilizador – Permitir o autosserviço movendo o ficheiro para uma pasta de quarentena controlada pelo utilizador

      • Colocação em quarentena de administração – O ficheiro é movido para a quarentena na unidade de administração, e o administrador tem que aprová-lo.

    • Herdar permissões dos pais - Esta ação de governação permite-lhe remover permissões específicas definidas para um ficheiro ou pasta em Office 365. Em seguida, reverta para quaisquer permissões definidas para a pasta dos pais.

    • Lixo – Mova o ficheiro para a pasta do lixo. (Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex)

    policy_create alertas.

Ações de governação de atividade

  • Notificações

    • Alertas – Os alertas podem ser acionados no sistema e propagados por e-mail e mensagem de texto, com base no nível de gravidade.

    • Notificação de e-mail do utilizador – As mensagens de e-mail podem ser personalizadas e serão enviadas para todos os proprietários de ficheiros que violem.

    • Notifique utilizadores adicionais – Lista específica de endereços de e-mail que receberão estas notificações.

  • Ações de governação em apps - As ações granulares podem ser aplicadas por app, as ações específicas variam consoante a terminologia da aplicação.

    • Suspender o utilizador – Suspender o utilizador da aplicação.

      Nota

      Se o seu Azure Ative Directory (Azure AD) estiver programado para sincronizar automaticamente com os utilizadores no ambiente do seu Ative Directory no local, as definições no ambiente no local irão sobrepor-se às definições de AD do Azure e esta ação de governação será revertida.

    • Exigir que o utilizador volte a fazer o serção – Assine o utilizador para fora e o exija que volte a iniciar serção.

    • Confirme o utilizador comprometido - Coloque o nível de risco do utilizador em alta. Isto faz com que as ações políticas relevantes definidas na Azure AD sejam aplicadas. Para obter mais informações Sobre como a Azure AD funciona com níveis de risco, veja como a Azure AD usa o meu feedback de risco.

    Cloud App Security ações de governança política de atividade.

Conflitos de governação

Depois de criar múltiplas políticas, pode ocorrer a sobreposição de ações de governação em múltiplas políticas. Neste caso, o Cloud App Security processará as ações de governação da seguinte forma:

Conflitos entre políticas

  • Se duas políticas contiverem ações que estão contidas uma na outra (por exemplo, Remover partilhas externas está incluída em Tornar privado), o Cloud App Security resolverá o conflito e será imposta a ação mais forte.
  • Se as ações não estiverem relacionadas (por exemplo, Notifique o proprietário e torne-se privado). ambas as ações decorrerão.
  • Se as ações entrarem em conflito (por exemplo, alterar o proprietário para o utilizador A e alterar o utilizador B), resultados diferentes podem resultar de cada partida. É importante mudar as suas políticas para prevenir conflitos porque podem resultar em mudanças indesejadas no impulso que serão difíceis de detetar.

Conflitos na sincronização do utilizador

  • Se o seu AD Azure estiver programado para sincronizar automaticamente com os utilizadores no seu ambiente de Ative Directory no local, as definições no ambiente no local irão sobrepor-se às definições de AD do Azure e esta ação de governação será revertida.

Registo de governação

O Registo de governação fornece um registo do estado de cada tarefa que definiu para o Cloud App Security executar, incluindo tarefas manuais e automáticas. Estas tarefas incluem as que definiu nas políticas, as ações de governação que definiu em ficheiros e utilizadores, e qualquer outra ação que Cloud App Security a tomar. O Registo de governação também fornece informações que permitem saber se estas ações foram realizadas com êxito ou não. Pode optar por repetir ou reverter algumas das ações de governação do Registo de governação.

Para ver o registo de governação, na barra de menu, clique no ícone de definições de engrenagens. e, em seguida, selecione registo de governação.

Segue-se a lista completa de ações que o portal Cloud App Security lhe permite tomar. Estas ações estão ativadas em vários locais da consola, conforme descrito na coluna Localização. Cada ação de governação tomada é listada no registo de governação. Para obter informações sobre como as ações de governação são processadas quando existem conflitos de políticas, veja Conflitos de Políticas.

Localização Tipo de objeto de destino Ação de governação Descrição Conectores relacionados
Contas Ficheiro Remover colaborações do utilizador Remova todos as colaborações de um utilizador específico para quaisquer ficheiros - é aconselhável para as pessoas que saíram da empresa. Box, Google Workspace
Contas Conta Anular a suspensão do utilizador Anula a suspensão do utilizador Google Workspace, Box, Office, Salesforce
Contas Conta Definições da conta Leva-o para a página de definições da conta na aplicação específica (por exemplo, no Salesforce). Todas as aplicações - As definições do OneDrive e do SharePoint são configuradas a partir do Office.
Contas Ficheiro Transferir a propriedade do todos os ficheiros Numa conta, você transfere os todos ficheiros de um utilizador que passam a ser propriedade da nova pessoa que selecionar. O anterior proprietário torna-se editor e já não pode alterar as definições de partilha. O novo proprietário irá receber uma notificação de e-mail sobre a alteração de propriedade. Espaço de trabalho do Google
Contas, Política de atividade Conta Suspender utilizador Define o utilizador para não ter acesso e nenhuma capacidade de iniciar sação. Se eles estiverem registados quando definires esta ação, eles estão imediatamente bloqueados. Google Workspace, Box, Office, Salesforce
Política de atividade, Contas Conta Exija que o utilizador volte a fazer o seu ser para fazer o seu seru Revoga todos os tokens de atualização e problemas de cookies de sessão para aplicações pelo utilizador. Esta ação irá impedir o acesso a qualquer um dos dados da organização e obrigará o utilizador a voltar a inscrever-se em todas as aplicações. Google Workspace, Office
Política de atividade, Contas Conta Confirme o utilizador comprometido Coloque o nível de risco do utilizador em alta. Isto faz com que as ações políticas relevantes definidas na Azure AD sejam aplicadas. Office
Política de atividade, Contas Conta Revogar privilégios de administrador Revoga privilégios para uma conta de administração. Por exemplo, definir uma política de atividade que revoga privilégios administrativos após 10 tentativas falhadas de login. Espaço de trabalho do Google
Dashboard de aplicações > Permissões de aplicações Permissões App unban No Google e no Salesforce: remova a proibição da aplicação e permita que os utilizadores dêem permissões à aplicação de terceiros com a sua Google ou Salesforce. Em Office 365: restaura as permissões das aplicações de terceiros para Office. Google Workspace, Salesforce, Office
Dashboard de aplicações > Permissões de aplicações Permissões Desativar permissões de aplicações Revogue as permissões de uma aplicação de terceiros para o Google, Salesforce ou Office. Esta é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá futuras ligações. Google Workspace, Salesforce, Office
Dashboard de aplicações > Permissões de aplicações Permissões Ativar permissões de aplicações Conceda permissões de uma aplicação de terceiros ao Google, Salesforce ou Office. Esta é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá futuras ligações. Google Workspace, Salesforce, Office
Dashboard de aplicações > Permissões de aplicações Permissões Banir aplicação No Google e no Salesforce: revoga as permissões de uma aplicação de terceiros para o Google ou o Salesforce e impede-a de receber permissões no futuro. Em Office 365: não permite que a permissão de aplicações de terceiros tenha acesso a Office, mas não as revoga. Google Workspace, Salesforce, Office
Dashboard de aplicações > Permissões de aplicações Permissões Revogar a aplicação Revoga permissões de uma aplicação de terceiros do Google ou Salesforce. Esta é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá futuras ligações. Google Workspace, Salesforce
Dashboard de aplicações > Permissões de aplicações Conta Revogar o utilizador a partir da aplicação Pode revogar utilizadores específicos quando clica no número em Utilizadores. O ecrã apresentará os utilizadores específicos e pode utilizar o X para eliminar permissões para qualquer utilizador. Google Workspace, Salesforce
Detetar > Aplicações/endereços IP/utilizadores detetados Cloud Discovery Exportar dados de deteção Cria um CSV a partir de dados de deteção. Deteção
Política de ficheiro Ficheiro Lixo Move o ficheiro no lixo do utilizador. Caixa, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (excluir permanentemente)
Política de Ficheiros Ficheiro Notificar o último editor de ficheiros Envia uma mensagem de e-mail a notificar a última pessoa que editou o ficheiro que este viola uma política. Google Workspace, Box
Política de Ficheiros Ficheiro Notificar proprietário do ficheiro Envia um e-mail ao proprietário do ficheiro, quando um ficheiro viola uma apólice. No Dropbox, se nenhum proprietário estiver associado a um ficheiro, a notificação será enviada ao utilizador específico que definiu. Todas as aplicações
Política de Ficheiros, Política de Atividade Ficheiro, Atividade Notificar os utilizadores específicos Envia uma mensagem de e-mail para notificar os utilizadores específicos sobre um ficheiro que viola uma política. Todas as aplicações
Política de ficheiros e a política de atividade Ficheiro, Atividade Notificar o utilizador Envia uma mensagem de e-mail aos utilizadores para notificá-los sobre algo que fizeram ou se um ficheiro que possuem viola alguma política. Pode adicionar uma notificação a informá-los qual foi a violação. Todos
Política de ficheiros e Ficheiros Ficheiro Remover a capacidade dos editores de partilhar No Google Drive, as permissões predefinidas do editor de um ficheiro permitem também a partilha. Esta ação de governação restringe esta opção e restringe a partilha de ficheiros para o proprietário. Espaço de trabalho do Google
Política de ficheiros e Ficheiros Ficheiro Colocar em quarentena administrativa Remove quaisquer permissões do ficheiro e desloca o ficheiro para uma pasta de quarentena num local para a administração. Esta ação permite ao administrador rever o ficheiro e removê-lo. Office 365 SharePoint, OneDrive para Empresas, Box
Política de ficheiros e Ficheiros Ficheiro Aplicar rótulo de classificação Aplica uma etiqueta de classificação Azure Information Protection a ficheiros automaticamente baseados nas condições definidas na política. Box, One Drive, Google Workspace, SharePoint
Política de ficheiros e Ficheiros Ficheiro Remover rótulo de classificação Remove automaticamente uma etiqueta de classificação Azure Information Protection dos ficheiros com base nas condições definidas na apólice. Só pode remover as etiquetas se não incluir proteção, e foram aplicadas a partir de Cloud App Security, e não etiquetas aplicadas diretamente na Proteção de Informação. Box, One Drive, Google Workspace, SharePoint
Política de arquivos, política de atividades, alertas Aplicação Exigir que os utilizadores voltem a fazer o seu ser para fazer o seu trabalho Pode exigir que os utilizadores voltem a fazer sedúns para todas as aplicações Office 365 e Azure AD como uma remediação rápida e eficaz para alertas de atividade de utilizadores suspeitos e contas comprometidas. Pode encontrar a nova governação nas definições de política e nas páginas de alerta, junto à opção utilizador Suspender. Office 365, Azure AD
Ficheiros Ficheiro Restaurar a partir de quarentena de utilizador Restaura um utilizador que foi colocado em quarentena. Box
Ficheiros Ficheiro Conceder permissões de leitura para mim Concede permissões de leitura para o ficheiro para si para que possa aceder ao ficheiro e compreender se tem uma violação ou não. Espaço de trabalho do Google
Ficheiros Ficheiro Permitir a partilha pelos editores Em Google Drive, a permissão do editor predefinido de um ficheiro também permite a partilha. Esta ação de governação é o oposto da capacidade do editor remove de partilhar e permite ao editor partilhar o ficheiro. Espaço de trabalho do Google
Ficheiros Ficheiro Proteger Proteja um ficheiro com proteção de informação Azure aplicando um modelo de organização. Office 365 (SharePoint e OneDrive)
Ficheiros Ficheiro Revogar as minhas permissões de leitura Revoga as suas permissões de leitura do ficheiro, isto é útil depois de conceder a si próprio permissão para compreender se um ficheiro tem uma violação ou não. Espaço de trabalho do Google
Ficheiros, Política de ficheiros Ficheiro Transferir a propriedade de ficheiro Altera o proprietário - na política que escolher para um proprietário específico. Espaço de trabalho do Google
Ficheiros, Política de ficheiros Ficheiro Reduzir o acesso público Esta ação permite-lhe definir ficheiros disponíveis ao público para estar disponível apenas com um link partilhado. Espaço de trabalho do Google
Ficheiros, Política de ficheiros Ficheiro Remover um funcionário Remove um funcionário específico de um ficheiro. Google Workspace, Box, One Drive, SharePoint
Ficheiros, Política de ficheiros Ficheiro Tornar privado Apenas os Administradores do Site podem aceder ao ficheiro, todas as ações são removidas. Google Workspace, One Drive, SharePoint
Ficheiros, Política de ficheiros Ficheiro Remover utilizadores externos Remove todos os funcionários externos - fora dos domínios configurados como internos nas Definições. Google Workspace, Box, One Drive, SharePoint
Ficheiros, Política de ficheiros Ficheiro Conceder permissão de leitura para domínio Concede permissões de leitura ao ficheiro do domínio especificado para o seu domínio completo ou de um domínio específico. Esta ação é útil se quiser remover o acesso do público depois de conceder acesso ao domínio das pessoas que precisam trabalhar nela. Espaço de trabalho do Google
Ficheiros, Política de ficheiros Ficheiro Colocar em quarentena de utilizador Remove todas as permissões do ficheiro e move-o para uma pasta de quarentena na unidade raiz do utilizador. Esta ação permite ao utilizador rever o ficheiro e movê-lo. Se for manualmente deslocado, a partilha de ficheiros não é restaurada. Box, OneDrive, SharePoint
Ficheiros Ficheiro Expire link compartilhado Estabeleça uma data de validade para um link partilhado após o qual deixará de estar ativo. Box
Ficheiros Ficheiro Alterar o nível de acesso ao link de partilha Altera o nível de acesso da ligação partilhada apenas entre empresas, colaboradores e público. Box
Ficheiros, Política de ficheiros Ficheiro Remover o acesso público Se um ficheiro fosse seu e o colocasse no acesso público, torna-se acessível a qualquer outra pessoa configurada com acesso ao ficheiro (dependendo do tipo de acesso que o ficheiro tinha). Espaço de trabalho do Google
Ficheiros, Política de ficheiros Ficheiro Remover ligação partilhada direta Remove um link que é criado para o ficheiro que é público mas apenas partilhado com pessoas específicas. Box, Dropbox
Definições> configurações de Cloud Discovery Cloud Discovery Recalcular as pontuações da Cloud Discovery Volta a calcular as pontuações no catálogo de aplicações em cloud depois de alterar uma métrica de pontuação. Deteção
Definições> configurações de Cloud Discovery > Gerir as vistas de dados Cloud Discovery Criar vista de dados de filtro da Cloud Discovery personalizada Cria uma nova vista de dados para uma vista mais granular dos resultados da deteção. Por exemplo, intervalos IP específicos. Deteção
Definições> configurações de Cloud Discovery > Eliminar dados Cloud Discovery Eliminar dados da Cloud Discovery Elimina todos os dados recolhidos a partir de origens de deteção. Deteção
Definições> as definições de Cloud Discovery > Carregar registos manualmente/Carregar automaticamente Cloud Discovery Analisar dados da Cloud Discovery Notificação de que todos os dados de registo foram analisados. Deteção

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.