Deploy Conditional Access App Control for featured apps (Implementar o Controlo de Aplicações de Acesso Condicional para aplicações em destaque)

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Os controlos de sessão em Microsoft Cloud App Security funcionam com as aplicações em destaque. Para obter uma lista de aplicações que são apresentadas por Cloud App Security para trabalhar fora da caixa, consulte aplicações Protect com Cloud App Security Controlo de Aplicações de Acesso Condicional.

Pré-requisitos

  • A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:

  • As aplicações devem ser configuradas com um único sign-on

  • As aplicações devem utilizar um dos seguintes protocolos de autenticação:

    URL de Protocolos
    Azure AD SAML 2.0 ou Ligação OpenID
    Outro SAML 2.0

Siga estes passos para configurar aplicações em destaque a serem controladas por Microsoft Cloud App Security Controlo de Aplicações de Acesso Condicional.

Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security

Passo 2: Inscreva-se em cada app usando um utilizador abrangido pela política

Passo 3: Verifique se as aplicações estão configuradas para utilizar controlos de acesso e sessão

Passo 4: Ativar a aplicação para uso na sua organização

Passo 5: Testar a implantação

Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security

Configure a integração com a Azure AD

Nota

Ao configurar uma aplicação com SSO em Azure AD, ou outros fornecedores de identidade, um campo que pode ser listado como opcional é a definição de URL de inscrição. Note que este campo pode ser necessário para que o Controlo de Aplicações de Acesso Condicional funcione.

Use os seguintes passos para criar uma política de acesso condicional Azure AD que encaminha sessões de aplicações para Cloud App Security. Para outras soluções IdP, consulte a integração do Configure com outras soluções IdP.

  1. Em Azure AD, navegue pelo > Acesso Condicional de Segurança .

  2. No painel de acesso condicional, na barra de ferramentas na parte superior, selecione Nova política.

  3. No painel Novo, na caixa de texto Name, insira o nome da apólice.

  4. Em Atribuições, selecione Utilizadores e grupos, atribua aos utilizadores que estarão a bordo (iniciar sessão e verificação) a aplicação e, em seguida, selecione Feito.

  5. Em Atribuições, selecione aplicações Cloud, atribua as aplicações que pretende controlar com o Controlo de Aplicações de Acesso Condicional e, em seguida, selecione Feito.

  6. Sob os controlos de Acesso, selecione 'Sessão '' 'Utilizar' e selecione uma política incorporada (apenas controlo (pré-visualização) ou downloads de blocos (pré-visualização) ou Use a política personalizada para definir uma política avançada em Cloud App Security e, em seguida, selecione Select.

    Acesso condicional Azure AD.

  7. Opcionalmente, adicione condições e conceda controlos, conforme necessário.

  8. Definir Ativar a política para continuar e, em seguida, selecionar Criar.

Configurar a integração com outras soluções IdP

Use os seguintes passos para encaminhar sessões de aplicações de outras soluções IdP para Cloud App Security. Para Azure AD, consulte a integração configure com a Azure AD.

Nota

Por exemplo, como configurar soluções IdP, consulte:

  1. Em Cloud App Security, navegue para investigar > aplicações conectadas > de aplicações de controlo de aplicações de acesso condicional.

  2. Selecione o sinal de mais ( + ), e no pop-up, selecione a aplicação que pretende implementar e, em seguida, selecione Start Wizard.

  3. Na página APP INFORMATION, preencha o formulário utilizando as informações da página de configuração de inscrição única da sua aplicação e, em seguida, selecione Next.

    • Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.
    • Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:
      • URL de serviço ao consumidor de afirmação
      • Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

    Screenshot mostrando página de informação de aplicativo.

  4. Na página DO FORNECEDOR DE IDENTIDADE, utilize as etapas fornecidas para configurar uma nova aplicação no portal do IdP e, em seguida, selecione Seguinte.

    1. Vá ao portal do seu IdP e crie uma nova aplicação SAML personalizada.
    2. Copie a configuração única de inscrição da aplicação existente <app_name> para a nova aplicação personalizada.
    3. Atribua os utilizadores à nova aplicação personalizada.
    4. Copie as informações de configuração de inscrição única das aplicações. Vai precisar no próximo passo.

    Screenshot mostrando recolher página de informações do fornecedor de identidade.

    Nota

    Estes passos podem diferir ligeiramente dependendo do seu fornecedor de identidade. Este passo é recomendado pelas seguintes razões:

    • Alguns fornecedores de identidade não permitem alterar os atributos SAML ou propriedades URL de uma aplicação de galeria
    • Configurar uma aplicação personalizada permite-lhe testar esta aplicação com controlos de acesso e sessão sem alterar o comportamento existente para a sua organização.
  5. Na página seguinte, preencha o formulário utilizando as informações da página de configuração de inscrição única da sua aplicação e, em seguida, selecione Next.

    • Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.
    • Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:
      • URL de serviço ao consumidor de afirmação
      • Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

    Screenshot mostrando a página de informação do fornecedor de identidade.

  6. Na página seguinte, copie as seguintes informações e, em seguida, selecione Seguinte. Vai precisar da informação no próximo passo.

    • URL de inscrição única
    • Atributos e valores

    Screenshot mostrando recolher a página de informações saml dos fornecedores de identidade.

  7. No portal do seu IdP, faça o seguinte:

    Nota

    As definições são geralmente encontradas na página de definições de aplicações personalizadas do portal IdP

    1. No único campo URL de inscrição, insira o URL de inscrição único que fez uma nota de anterior.

      Nota

      Alguns fornecedores podem referir-se ao URL de inscrição única como URL de resposta.

    2. Adicione os atributos e valores que fez uma nota anterior às propriedades da aplicação.

      Nota

      • Alguns fornecedores podem referir-se a eles como atributos ou Reclamações do Utilizador.
      • Ao criar uma nova aplicação SAML, o Fornecedor de Identidade Okta limita os atributos a 1024 caracteres. Para mitigar esta limitação, primeiro crie a app sem os atributos relevantes. Depois de criar a aplicação, edite-a e adicione os atributos relevantes.
    3. Verifique se o identificador de nome está no formato de endereço de e-mail.
    4. Guarde as suas definições.
  8. Na página ALTERAÇÕES DA APP, faça o seguinte e, em seguida, selecione Seguinte. Vai precisar da informação no próximo passo.

    • Copie o URL de inscrição única
    • Faça o download do certificado saml Cloud App Security

    Screenshot mostrando recolher Cloud App Security página de informações DOML.

  9. No portal da sua aplicação, nas definições de inscrição única, faça o seguinte:

    1. [Recomendado] Crie uma cópia de segurança das suas definições atuais.
    2. Substitua o valor do campo URL do Fornecedor de Identidade pelo URL de Cloud App Security ÚNICO URL de entrada de SAÚDE QUE notou anteriormente.
    3. Faça o upload do certificado SAML Cloud App Security que descarregou anteriormente.
    4. Selecione Guardar.

    Nota

    • Depois de guardar as suas definições, todos os pedidos de login associados a esta aplicação serão encaminhados através do Controlo de Aplicações de Acesso Condicional.
    • O certificado Cloud App Security SAML é válido por um ano. Depois de expirar, um novo certificado terá de ser gerado.

Passo 2: Inscreva-se em cada app usando um utilizador abrangido pela política

Nota

Antes de prosseguir, certifique-se de assinar pela primeira vez fora das sessões existentes.

Depois de criar a apólice, inscreva-se em cada app configurada nessa política. Certifique-se de que faz sedundo usando um utilizador configurado na apólice.

Cloud App Security sincronizará os seus dados de política nos seus servidores para cada nova aplicação a que iniciar. Isto pode levar até um minuto.

Passo 3: Verifique se as aplicações estão configuradas para utilizar controlos de acesso e sessão

As instruções acima ajudaram-no a criar uma política de Cloud App Security incorporada para aplicações em destaque diretamente no Azure AD. Neste passo, verifique se os controlos de acesso e sessão estão configurados para estas aplicações.

  1. No portal Cloud App Security, selecione o ícone de definiçõesde engrenagens e, em seguida, selecione Controlo de Aplicações de Acesso Condicional.

  2. Na tabela de aplicações de controlo de aplicações de acesso condicional, olhe para a coluna de controlos disponíveis e verifique se tanto o controlo de acesso como o acesso condicional AD Azure e o controlo de Sessão aparecem para as suas aplicações.

    Nota

    Se o controlo de sessão não aparecer para uma aplicação, ainda não está disponível para essa aplicação específica. Pode adicioná-lo imediatamente como uma aplicação personalizada,ou pode abrir um pedido para adicioná-lo como uma aplicação em destaque clicando no controlo de sessão request.

    Pedido de controlo de aplicativo de acesso condicional.

Passo 4: Ativar a aplicação para uso na sua organização

Assim que estiver pronto para ativar a aplicação para utilização no ambiente de produção da sua organização, faça os seguintes passos.

  1. Em Cloud App Security, selecione o ícone de definições de engrenagens de configurações  e, em seguida, selecione o Controlo de Aplicações de Acesso Condicional.

  2. Na lista de aplicações, na linha em que aparece a aplicação que está a implementar, escolha os três pontos no final da linha e, em seguida, escolha a app Editar.

  3. Selecione Utilizar com controlo de aplicações de acesso condicional e, em seguida, selecione Guardar.

    Ativar os controlos de sessão pop-up.

Passo 5: Testar a implantação

  1. Primeiro sinal de qualquer sessões existentes. Em seguida, tente iniciar sedução em cada app que foi implementada com sucesso. Inscreva-se usando um utilizador que corresponda à política configurada no AD Azure ou para uma aplicação SAML configurada com o seu fornecedor de identidade.

  2. No portal Cloud App Security, no âmbito da Investigação, selecione Registo de Atividades e certifique-se de que as atividades de login são capturadas para cada aplicação.

  3. Pode filtrar clicando em Advanced, e depois filtrar usando o controlo de acesso igual ao controlo de acesso.

    Filtrar utilizando o acesso condicional Azure AD.

  4. Recomenda-se que assine em aplicativos móveis e desktop a partir de dispositivos geridos e não geridos. Isto é para garantir que as atividades sejam devidamente capturadas no registo de atividades.
    Para verificar se a atividade está corretamente capturada, selecione uma única atividade de login de início de sessão para que abra a gaveta da atividade. Certifique-se de que a etiqueta do agente do Utilizador reflete corretamente se o dispositivo é um cliente nativo (ou seja, uma aplicação móvel ou de ambiente de trabalho) ou se o dispositivo é um dispositivo gerido (conforme, domínio associado ou certificado de cliente válido).

Nota

Depois de ser implementado, não é possível remover uma aplicação da página De Controlo de Aplicações de Acesso Condicional. Desde que não estabeleça uma política de sessão ou acesso na aplicação, o Controlo de Aplicações de Acesso Condicional não altera qualquer comportamento para a aplicação.

Passos seguintes

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.