A bordo e implementar o Controlo de Aplicações de Acesso Condicional para qualquer app
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
Os controlos de sessão em Microsoft Cloud App Security podem ser configurados para trabalhar com quaisquer aplicações web. Este artigo descreve como embarcar e implementar aplicações personalizadas de linha de negócios, aplicações SaaS não apresentadas e aplicações no local hospedadas através do Azure Ative Directory (Azure AD) Application Proxy com controlos de sessão.
Para obter uma lista de aplicações que são apresentadas por Cloud App Security para trabalhar fora da caixa, consulte aplicações Protect com Cloud App Security Controlo de Aplicações de Acesso Condicional.
Pré-requisitos
A sua organização deve ter as seguintes licenças para utilizar o Controlo de Aplicações de Acesso Condicional:
- Azure Ative Directory (Azure AD) Premium P1 ou superior, ou a licença exigida pela solução do seu fornecedor de identidade (IdP)
- Microsoft Cloud App Security
As aplicações devem ser configuradas com um único sign-on
As aplicações devem utilizar um dos seguintes protocolos de autenticação:
URL de Protocolos Azure AD SAML 2.0 ou Ligação OpenID Outro SAML 2.0
Para implementar qualquer app
Siga estes passos para configurar qualquer aplicação a ser controlada por Cloud App Security Controlo de Aplicações de Acesso Condicional.
Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security
Passo 2: Configurar os utilizadores que irão implementar a app
Passo 3: Configurar a app que está a implementar
Passo 4: Verifique se a aplicação está a funcionar corretamente
Passo 5: Ativar a aplicação para utilização na sua organização
Passo 6: Atualizar a política AD do Azure
Nota
Para implementar o Controlo de Aplicações de Acesso Condicional para aplicações AD Azure, precisa de uma licença válida para Azure Ative Directory Premium P1 ou superior, bem como uma licença de Cloud App Security.
Passo 1: Configurar o seu IdP para trabalhar com Cloud App Security
Configure a integração com a Azure AD
Nota
Ao configurar uma aplicação com SSO em Azure AD, ou outros fornecedores de identidade, um campo que pode ser listado como opcional é a definição de URL de inscrição. Note que este campo pode ser necessário para que o Controlo de Aplicações de Acesso Condicional funcione.
Use os seguintes passos para criar uma política de acesso condicional Azure AD que encaminha sessões de aplicações para Cloud App Security. Para outras soluções IdP, consulte a integração do Configure com outras soluções IdP.
Em Azure AD, navegue pelo > Acesso Condicional de Segurança .
No painel de acesso condicional, na barra de ferramentas na parte superior, clique em Nova política.
No painel Novo, na caixa de texto Name, insira o nome da apólice.
Em Atribuições, clique em Utilizadores e grupos, atribua os utilizadores que estarão a bordo (sinal inicial e verificação) da aplicação e, em seguida, clique em Fazer.
Em Atribuições, clique em aplicativos Cloud, atribua as aplicações que pretende controlar com o Controlo de Aplicações de Acesso Condicional e, em seguida, clique em Fazer.
Sob controlos de acesso, clique em Sessão, selecione Use Conditional Access App Control e escolha uma política incorporada (apenas para monitorizar ou bloquear transferências) ou Use a política personalizada para definir uma política avançada em Cloud App Security e, em seguida, clique em Select.

Opcionalmente, adicione condições e conceda controlos, conforme necessário.
Definir Ativar a política para continuar e clicar Em Criar.
Configurar a integração com outras soluções IdP
Use os seguintes passos para encaminhar sessões de aplicações de outras soluções IdP para Cloud App Security. Para Azure AD, consulte a integração configure com a Azure AD.
Nota
Por exemplo, como configurar soluções IdP, consulte:
Em Cloud App Security, navegue para investigar > aplicações conectadas > de aplicações de controlo de aplicações de acesso condicional.
Clique no sinal de mais + (), e no pop-up, selecione a aplicação que pretende implementar e, em seguida, clique em Iniciar o Assistente.
Na página APP INFORMATION, preencha o formulário utilizando as informações da página de configuração de inscrição única da sua aplicação e, em seguida, clique em Seguinte.
- Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.
- Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:
- URL de serviço ao consumidor de afirmação
- Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

Na página DO FORNECEDOR DE IDENTIDADE, utilize as etapas fornecidas para configurar uma nova aplicação no portal do IdP e, em seguida, clique em Seguinte.
- Vá ao portal do seu IdP e crie uma nova aplicação SAML personalizada.
- Copie a configuração única de inscrição da aplicação existente
<app_name>para a nova aplicação personalizada. - Atribua os utilizadores à nova aplicação personalizada.
- Copie as informações de configuração de inscrição única das aplicações, vai precisar no próximo passo.

Nota
Estes passos podem diferir ligeiramente dependendo do seu fornecedor de identidade. Este passo é recomendado pelas seguintes razões:
- Alguns fornecedores de identidade não permitem alterar os atributos SAML ou propriedades URL de uma aplicação de galeria
- Configurar uma aplicação personalizada permite-lhe testar esta aplicação com controlos de acesso e sessão sem alterar o comportamento existente para a sua organização.
Na página seguinte, preencha o formulário utilizando as informações da página de configuração de sísmis única da sua aplicação e, em seguida, clique em Seguinte.
- Se o seu IdP fornecer um único ficheiro de metadados de assinatura para a aplicação selecionada, selecione carregar o ficheiro de metadados da aplicação e fazer o upload do ficheiro de metadados.
- Ou, selecione Preencha os dados manualmente e forneça as seguintes informações:
- URL de serviço ao consumidor de afirmação
- Se a sua aplicação fornecer um certificado SAML, selecione Use <app_name> certificado SAML e faça o upload do ficheiro de certificado.

Na página seguinte, copie as seguintes informações e, em seguida, clique em Seguinte. Vai precisar da informação no próximo passo.
- URL de inscrição única
- Atributos e valores

No portal do seu IdP, faça o seguinte:
Nota
As definições são geralmente encontradas na página de definições de aplicações personalizadas do portal IdP
[Recomendado] Crie uma cópia de segurança das suas definições atuais.
Substitua o valor do campo URL de inscrição única pelo URL de Cloud App Security ÚNICO SINAL QUE notou anteriormente.
Nota
Alguns fornecedores podem referir-se ao URL de inscrição única como URL de resposta.
Adicione os atributos e valores que fez uma nota anterior às propriedades da aplicação.
Nota
- Alguns fornecedores podem referir-se a eles como atributos ou Reclamações do Utilizador.
- Ao criar uma nova aplicação SAML, o Fornecedor de Identidade Okta limita os atributos a 1024 caracteres. Para mitigar esta limitação, primeiro crie a app sem os atributos relevantes. Depois de criar a aplicação, edite-a e adicione os atributos relevantes.
Verifique se o identificador de nome está no formato de endereço de e-mail.
Guarde as suas definições.
Na página ALTERAÇÕES DA APP, faça o seguinte e, em seguida, clique em Seguinte. Vai precisar da informação no próximo passo.
- Copie o URL de inscrição única
- Faça o download do certificado saml Cloud App Security

No portal da sua aplicação, nas definições de inscrição única, faça o seguinte:
- [Recomendado] Crie uma cópia de segurança das suas definições atuais.
- No único campo URL de entrada, insira o URL de Cloud App Security único que fez uma nota anterior.
- Faça o upload do certificado SAML Cloud App Security que descarregou anteriormente.
Nota
- Depois de guardar as suas definições, todos os pedidos de login associados a esta aplicação serão encaminhados através do Controlo de Aplicações de Acesso Condicional.
- O certificado Cloud App Security SAML é válido por um ano. Depois de expirar, um novo certificado terá de ser gerado.
<a name="step-2-configure-the-users-that-will-deploy-the-app">Passo 2: Configurar os utilizadores que irão implementar a app
Na Cloud App Security, na barra de menu, clique no ícone de definições de  e selecione Definições.
Em Controlo de Aplicações de Acesso Condicional, selecione App onboarding/maintenance.
Introduza o nome principal do utilizador ou e-mail para os utilizadores que estarão a bordo da aplicação e, em seguida, clique em Guardar.

Passo 3: Configurar a app que está a implementar
Vá para a aplicação que está a implementar. A página que vê depende se a aplicação é reconhecida. Faça um dos seguintes:
| Estado da aplicação | Descrição | Passos |
|---|---|---|
| Não reconhecido | Verá uma página não reconhecida que o leva a configurar a sua aplicação. | 1. Adicione a aplicação ao Controlo de Aplicações de Acesso Condicional. 2. Adicione os domínios para a aplicação, e, em seguida, volte à aplicação e refresque a página. 3. Instale os certificados para a aplicação. |
| Reconhecido | Verá uma página de bordo a pedir-lhe que continue o processo de configuração da aplicação. | - Instale os certificados para a aplicação. Nota: Certifique-se de que a aplicação está configurada com todos os domínios necessários para que a aplicação funcione corretamente. Para configurar domínios adicionais, proceda a Adicionar os domínios para a aplicaçãoe, em seguida, volte à página da aplicação. |
Para adicionar uma nova app
Na barra de menu, clique no ícone de
de engrenagens e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.No banner, clique em Ver novas aplicações.

Na lista de novas aplicações, para cada aplicação que está a bordo, clique no + sinal e, em seguida, clique em Adicionar.
Nota
Se uma aplicação não aparecer no catálogo de aplicações Cloud App Security, aparecerá no diálogo com aplicações não identificadas juntamente com o URL de login. Quando clicar no sinal + para estas aplicações, pode embarcar na aplicação como uma aplicação personalizada.

<a name="to-add-domains-for-an-app">Para adicionar domínios para uma aplicação
Associar os domínios corretos a uma aplicação permite que Cloud App Security imponha políticas e atividades de auditoria.
Por exemplo, se tiver configurado uma política que bloqueie o descarregamento de ficheiros para um domínio associado, as transferências de ficheiros por aplicação a partir desse domínio serão bloqueadas. No entanto, os downloads de ficheiros pela aplicação a partir de domínios não associados à app não serão bloqueados e a ação não será auditada no registo de atividades.
Nota
Cloud App Security ainda adiciona um sufixo a domínios não associados à app para garantir uma experiência de utilizador sem emenda.
- A partir da aplicação, na barra de ferramentas de administração Cloud App Security, clique em domínios Descobertos.
Nota
A barra de ferramentas de administração só é visível para os utilizadores com permissões para apps a bordo ou manutenção.
- No painel de domínios Descobertos, tome nota dos nomes de domínio ou exporte a lista como um ficheiro .csv.
Nota
O painel apresenta uma lista de domínios descobertos que não estão associados na aplicação. Os nomes de domínio são totalmente qualificados.
- Vá a Cloud App Security, na barra de menus, clique no ícone de definições de  e selecione Controlo de Aplicações de Acesso Condicional.
- Na lista de aplicações, na linha em que aparece a app em que aparece a app, escolha os três pontos no final da linha e, em seguida, em APP DETAILS, escolha Editar.
Dica
Para ver a lista de domínios configurados na aplicação, clique nos domínios da aplicação.
- Nos domínios definidos pelo Utilizador, insira todos os domínios que pretende associar a esta aplicação e, em seguida, clique em Guardar.
Nota
Você pode usar o personagem * wildcard como um espaço reservado para qualquer personagem. Ao adicionar domínios, decida se pretende adicionar domínios específicos
sub1.contoso.com(,sub2.contoso.com) ou vários domínios*.contoso.com().
Para instalar certificados de raiz
Repita os seguintes passos para instalar os certificados de raiz auto-assinados ca e ca de corrente.
- Selecione o certificado.
- Clique em Abrir e quando solicitado clique em Abrir novamente.
- Clique em Instalar o certificado.
- Escolha o utilizador atual ou a máquina local.
- Selecione Coloque todos os certificados na seguinte loja e, em seguida, clique em navegar.
- Selecione As Autoridades de Certificado de Raiz Fidedigna e, em seguida, clique em OK.
- Clique em Concluir.
Nota
Para que os certificados sejam reconhecidos, uma vez instalado o certificado, deve reiniciar o navegador e ir para a mesma página.
Clique em Continue (Continuar).
Passo 4: Verifique se a aplicação está a funcionar corretamente
- Verifique se o sinal em fluxo funciona corretamente.
- Uma vez que esteja na aplicação, efetue as seguintes verificações:
- Visite todas as páginas dentro da app que fazem parte do processo de trabalho de um utilizadores e verifique se as páginas são corretamente renderizadas.
- Verifique se o comportamento e funcionalidade da aplicação não são afetados de forma adversa pela realização de ações comuns, como o descarregamento e upload de ficheiros.
- Reveja a lista de domínios associados à aplicação. Para obter mais informações, consulte Adicionar os domínios para a aplicação.
Passo 5: Ativar a aplicação para utilização na sua organização
Assim que estiver pronto para ativar a aplicação para utilização no ambiente de produção da sua organização, faça os seguintes passos.
Em Cloud App Security, clique no ícone de definições de
e, em seguida, selecione O Controlo de Aplicações de Acesso Condicional.Na lista de aplicações, na linha em que aparece a aplicação em que aparece a aplicação, escolha os três pontos no final da linha e, em seguida, escolha a aplicação Edit.
Selecione Utilizar com controlo de aplicações de acesso condicional e, em seguida, clique em Guardar.

Passo 6: Atualizar a política AD do Azure (apenas AD A)
- Em Azure AD, em Segurança, clique em Acesso Condicional.
- Atualize a política que criou anteriormente para incluir os utilizadores, grupos e controlos relevantes que necessita.
- Em Sessão > Use Controlo de Aplicações de Acesso Condicional, se selecionou Use Custom Policy, vá a Cloud App Security e crie uma política de sessão correspondente. Para mais informações, consulte as políticas de Sessão.
Passos seguintes
Ver também
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.