Protect apps with Microsoft Cloud App Security Conditional Access App Control (Proteger aplicações com o Controlo de Aplicações de Acesso Condicional do Microsoft Cloud App Security)

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

No local de trabalho de hoje, muitas vezes não é suficiente saber o que está a acontecer no seu ambiente nublado depois do facto. Pretende parar as falhas e fugas em tempo real, antes que os colaboradores coloquem intencionalmente ou inadvertidamente os seus dados e a sua organização em risco. É importante permitir que os utilizadores da sua organização tirem o máximo partido dos serviços e ferramentas disponíveis nas aplicações na nuvem e que lhes permitam trazer os seus próprios dispositivos para o trabalho. Ao mesmo tempo, precisa de ferramentas para ajudar a proteger a sua organização de fugas de dados e roubo de dados, em tempo real. Microsoft Cloud App Security integra-se com qualquer fornecedor de identidade (IdP) para fornecer estas capacidades com controlos de acesso e sessão. Se estiver a utilizar Azure Ative Directory (Azure AD) como idP, estes controlos são integrados e simplificados para uma implementação mais simples e personalizada construída na ferramenta de Acesso Condicionalda Azure AD.

Nota

  • Além de uma licença de Cloud App Security válida, para utilizar Cloud App Security Controlo de Aplicações de Acesso Condicional, também precisa de uma licença P1 Azure Ative Directory,ou a licença exigida pela sua solução IdP, bem como uma licença de Cloud App Security.

Como funciona

O Controlo de Aplicações de Acesso Condicional utiliza uma arquitetura de procuração inversa e integra-se com o seu IdP. Ao integrar-se com o Azure AD Conditional Access, pode configurar aplicações para trabalhar com o Controlo de Aplicações de Acesso Condicional com apenas alguns cliques, permitindo-lhe impor facilmente e seletivamente controlos de acesso e sessão nas aplicações da sua organização com base em qualquer condição no Acesso Condicional. As condições definem quem (utilizador ou grupo de utilizadores) e o que (que aplicações em nuvem) e onde (a que locais e redes) é aplicada uma política de Acesso Condicional. Depois de ter determinado as condições, pode encaminhar os utilizadores para Cloud App Security onde pode proteger dados com o Controlo de Aplicações de Acesso Condicional, aplicando controlos de acesso e sessão.

O Controlo de Aplicações de Acesso Condicional permite que o acesso e sessões da aplicação do utilizador sejam monitorizados e controlados em tempo real com base nas políticas de acesso e sessão. As políticas de acesso e sessão são utilizadas no portal Cloud App Security para aperfeiçoar ainda mais os filtros e definir ações a serem tomadas num utilizador. Com as políticas de acesso e sessão, pode:

  • Evitar a exfiltração de dados: Pode bloquear o descarregamento, corte, cópia e impressão de documentos sensíveis em, por exemplo, dispositivos não geridos.

  • Requerer o contexto de autenticação: Pode reavaliar as políticas de acesso condicional Azure AD quando ocorrer uma ação sensível na sessão. Por exemplo, requerem a autenticação de vários fatores no download de um ficheiro altamente confidencial.

  • Proteja no download: Em vez de bloquear o descarregamento de documentos sensíveis, pode exigir que os documentos sejam rotulados e protegidos com a Azure Information Protection. Esta ação garante que o documento está protegido e o acesso do utilizador é restringido numa sessão potencialmente arriscada.

  • Evitar o upload de ficheiros não rotulados: Antes de um ficheiro sensível ser carregado, distribuído e utilizado por outros, é importante certificar-se de que o ficheiro tem a etiqueta e a proteção certas. Pode certificar-se de que os ficheiros não rotulados com conteúdo sensível estão bloqueados de serem carregados até que o utilizador classifique o conteúdo.

  • Bloquear malware potencial: Pode proteger o seu ambiente de malware bloqueando o upload de ficheiros potencialmente maliciosos. Qualquer ficheiro que seja carregado ou descarregado pode ser digitalizado contra a inteligência de ameaça da Microsoft e bloqueado instantaneamente.

  • Monitorize as sessões de utilizador para a conformidade: Os utilizadores arriscados são monitorizados quando assinam em apps e as suas ações são registadas dentro da sessão. Pode investigar e analisar o comportamento do utilizador para entender onde e em que condições as políticas de sessão devem ser aplicadas no futuro.

  • Acesso ao bloco: Pode bloquear granularmente o acesso a aplicações e utilizadores específicos, dependendo de vários fatores de risco. Por exemplo, pode bloqueá-los se estiverem a usar certificados de cliente como forma de gestão de dispositivos.

  • Bloquear atividades personalizadas: Algumas aplicações têm cenários únicos que carregam riscos, por exemplo, o envio de mensagens com conteúdo sensível em apps como Microsoft Teams ou Slack. Neste tipo de cenários, pode digitalizar mensagens para conteúdo sensível e bloqueá-las em tempo real.

Como funciona o controlo da sessão

A criação de uma política de sessão com o Controlo de Aplicações de Acesso Condicional permite-lhe controlar as sessões do utilizador redirecionando o utilizador através de um representante inverso em vez de diretamente para a aplicação. A partir daí, os pedidos e respostas dos utilizadores passam por Cloud App Security e não diretamente para a app.

Quando uma sessão é protegida por procuração, todos os URLs e cookies relevantes são substituídos por Cloud App Security. Por exemplo, se a aplicação retornar uma página com links cujos domínios terminam myapp.com com, o domínio do link é sufixo com algo *.mcas.ms como, da seguinte forma:

URL da Aplicação URL substituído
myapp.com myapp.com.mcas.ms

Este método não requer que você instale nada no dispositivo tornando-o ideal ao monitorizar ou controlar sessões de dispositivos não geridos ou utilizadores parceiros.

Nota

  • A nossa tecnologia utiliza heurística patenteada de melhor classe para identificar e controlar atividades realizadas pelo utilizador na aplicação-alvo. As nossas heurísticas são projetadas para otimizar e equilibrar a segurança com a usabilidade. Em alguns cenários raros, ao bloquear atividades no lado do servidor torna a app inutilizável, nós protegemos estas atividades apenas do lado do cliente, o que as torna potencialmente suscetíveis à exploração por pessoas de dentro maliciosas.
  • Cloud App Security aproveita os Centros de Dados do Azure em todo o mundo para proporcionar um desempenho otimizado através da geolocalização. Isto significa que a sessão de um utilizador pode ser hospedada fora de uma determinada região, dependendo dos padrões de tráfego e da sua localização. No entanto, para proteger a sua privacidade, nenhum dado de sessão é armazenado nestes centros de dados.
  • Os nossos servidores proxy não armazenam dados em repouso. Ao cache conteúdo, seguimos os requisitos estabelecidos no RFC 7234 (HTTP caching) e apenas cache conteúdo público.

Identificação gerida do dispositivo

O Controlo de Aplicações de Acesso Condicional permite-lhe criar políticas que têm em conta se um dispositivo é gerido ou não. Para identificar o estado de um dispositivo, pode configurar políticas de acesso e sessão para procurar:

  • Microsoft Intune Dispositivos compatíveis [apenas disponíveis com Azure AD]
  • Dispositivos associados ao AAD Híbrido [apenas disponível com o AAD]
  • Presença de certificados de cliente numa cadeia fidedigna

Dispositivos intune e híbrido Azure AD Unidos

O Acesso Condicional AD Azure permite que as informações do dispositivo intune e AD AD Híbridos sejam transmitidas diretamente para Cloud App Security. A partir daí, pode ser desenvolvida uma política de acesso ou uma política de sessão que utilize o estado do dispositivo como filtro. Para obter mais informações, consulte a Introdução à gestão do dispositivo em Azure Ative Directory.

Nota

Alguns navegadores podem necessitar de configurações adicionais, como instalar uma extensão. Para mais informações, consulte o suporte do navegador Acesso Condicional.

Dispositivos autenticados com certificado de cliente

O mecanismo de identificação do dispositivo pode solicitar a autenticação de dispositivos relevantes utilizando certificados de cliente. Pode utilizar certificados de cliente já implantados na sua organização ou lançar novos certificados de cliente para dispositivos geridos. Certifique-se de que o certificado do cliente está instalado na loja do utilizador e não na loja de computadores. Em seguida, utilize a presença desses certificados para definir políticas de acesso e sessão.

Os certificados de cliente SSL são verificados através de uma cadeia de fidedignidade. Pode carregar uma autoridade de certificados de raiz ou de certificado intermédio X.509 (CA) formatada no formato de certificado PEM. Estes certificados devem conter a chave pública da AC, que é depois utilizada para assinar os certificados de cliente apresentados durante uma sessão.

Uma vez que o certificado é carregado e uma política relevante é configurada, quando uma sessão aplicável atravessa o Controlo de Aplicações de Acesso Condicional, o Cloud App Security ponto final solicita ao navegador que apresente os certificados de cliente SSL. O navegador serve os certificados de cliente SSL que são instalados com uma chave privada. Esta combinação de certificado e chave privada é feita utilizando o formato de ficheiro #12 PKCS, tipicamente .p12 ou .pfx.

Quando é efetua verificação de certificado de cliente, Cloud App Security verifica as seguintes condições:

  1. O certificado de cliente selecionado é válido e encontra-se sob a raiz correta ou a AC intermédia.
  2. O certificado não é revogado (se o CRL estiver ativado).

Nota

A maioria dos principais navegadores suportam a realização de uma verificação de certificado de cliente. No entanto, as aplicações móveis e desktop muitas vezes aproveitam navegadores incorporados que podem não suportar esta verificação e, portanto, afetar a autenticação para estas aplicações.

Para configurar uma política de alavancagem da gestão de dispositivos através de certificados de cliente:

  1. Na Cloud App Security, na barra de menu, clique no ícone de definições de engrenagem. e selecione Definições.

  2. Selecione o separador de identificação do dispositivo.

  3. Faça o upload de todos os certificados de raiz ou intermédios que precisar.

    Dica

    Para testar como isto funciona, pode utilizar a nossa amostra raiz ca e certificado de cliente, da seguinte forma:

    1. Descarregue a raiz de amostra CA e o certificado de cliente.
    2. Faça o upload da raiz ca para Cloud App Security.
    3. Instale o certificado de cliente (password=Microsoft) nos dispositivos relevantes.

Após o upload dos certificados, pode criar políticas de acesso e sessão com base na etiqueta do Dispositivo e no certificado de cliente válido.

Aplicativos e clientes apoiados

Os controlos de sessão e acesso podem ser aplicados a qualquer sessão interativa de assinatura única, utilizando o protocolo de autenticação SAML 2.0 ou, se estiver a utilizar o Azure AD, o ID aberto Ligação protocolo de autenticação. Além disso, se as suas aplicações estiverem configuradas com Azure AD, também pode aplicar estes controlos a aplicações hospedadas no local configuradas com o Azure AD App Proxy. Além disso, os controlos de acesso podem ser aplicados a aplicações de clientes móveis e desktop nativos.

Cloud App Security identifica apps usando informações disponíveis no seu Catálogo de Aplicações Cloud. Algumas organizações e utilizadores personalizam aplicações adicionando plugins. No entanto, para que os controlos de sessão funcionem corretamente com estes plugins, os domínios personalizados associados devem ser adicionados à respetiva aplicação no catálogo.

Nota

A aplicação Authenticator, entre outros fluxos de início de sessão da aplicação cliente nativa, utiliza um fluxo de início de sessão não interativo e não pode ser utilizado com controlos de acesso.

Controlos de acesso

Muitas organizações que optam por usar controlos de sessão para aplicações na nuvem para controlar atividades em sessão, também aplicam controlos de acesso para bloquear o mesmo conjunto de aplicações de clientes móveis e desktop nativos, proporcionando assim uma segurança abrangente para as aplicações.

Pode bloquear o acesso a aplicações de clientes móveis e desktop nativos com políticas de acesso, definindo o filtro de aplicações do Cliente para Mobile e desktop. Algumas aplicações de clientes nativos podem ser reconhecidas individualmente, enquanto outras que fazem parte de um conjunto de aplicações só podem ser identificadas como a sua app de alto nível. Por exemplo, aplicações como o SharePoint Online só podem ser reconhecidas através da criação de uma política de acesso aplicada a aplicações Office 365.

Nota

A menos que o filtro de aplicação do Cliente esteja especificamente definido para Mobile e desktop, a política de acesso resultante só se aplicará às sessões do navegador. A razão para isso é evitar que as sessões de utilizador por procuração inadvertidamente, que podem ser um subproduto da utilização deste filtro. Embora a maioria dos principais navegadores suportem a realização de uma verificação de certificado de cliente, algumas aplicações móveis e desktop usam navegadores incorporados que podem não suportar esta verificação. Portanto, a utilização deste filtro pode afetar a autenticação destas aplicações.

Controlos de sessão

Enquanto os controlos de sessão são construídos para funcionar com qualquer navegador em qualquer plataforma principal em qualquer sistema operativo, nós suportamos Microsoft Edge (mais recente), Google Chrome (mais recente), Mozilla Firefox (mais recente) ou Apple Safari (mais recente). O acesso a aplicações móveis e desktop também pode ser bloqueado ou permitido.

Nota

  • Cloud App Security utiliza os protocolos de Segurança da Camada de Transporte (TLS) 1.2+ para fornecer encriptação de melhor classe. Aplicações e navegadores de clientes nativos que não suportam TLS 1.2+, não estarão acessíveis quando configurados com controlo de sessão. No entanto, as aplicações SaaS que utilizam o TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configuradas com Cloud App Security.
  • Para aplicar controlos de sessão a portal.office.com, tem de embarcar centro de administração do Microsoft 365. Para obter mais informações sobre aplicações de bordo, consulte a bordo e implemente o Controlo de Aplicações de Acesso Condicional para qualquer aplicação.

Qualquer aplicação web configurada usando os protocolos de autenticação anteriormente mencionados pode ser a bordo para trabalhar com controlos de acesso e sessão. Além disso, as seguintes aplicações já estão a bordo com controlos de acesso e sessão:

  • AWS
  • Azure DevOps (Visual Studio Team Services)
  • Portal do Azure
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • Dinâmica 365 CRM (pré-visualização)
  • Egnyte
  • Exchange Online
  • GitHub
  • Espaço de trabalho do Google
  • HighQ
  • JIRA/Confluência
  • OneDrive para Empresas
  • LinkedIn Learning
  • Power BI
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • Slack
  • Tableau
  • Microsoft Teams (pré-visualização)
  • Workday
  • Workiva
  • Workplace by Facebook
  • Yammer (pré-visualização)

Segue-se uma lista de aplicações em destaque que são suportadas em Office 365 Cloud App Security.

  • Exchange Online
  • OneDrive para Empresas
  • Power BI
  • SharePoint Online
  • Microsoft Teams (pré-visualização)
  • Yammer (pré-visualização)

Se estiver interessado em uma aplicação específica, envie-nos detalhes sobre a aplicação. Certifique-se de enviar o caso de uso que está interessado para embarcar.

Passos seguintes

Deploy Conditional Access App Control for featured apps (Implementar o Controlo de Aplicações de Acesso Condicional para aplicações em destaque)

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.