Implementar controles de aplicativos

  • 4 minutos

O Controle de Aplicativo de Acesso Condicional permite que o acesso ao aplicativo e as sessões do usuário sejam monitorados e controlados em tempo real com base nas políticas de acesso e sessão. As políticas de acesso e sessão são usadas no portal Microsoft Defender for Cloud Apps para refinar ainda mais os filtros e definir ações a serem executadas em um usuário.

Controlo de Aplicações de Acesso Condicional

Captura de ecrã do Controlo de Aplicação de Acesso Condicional selecionado no assistente de acesso condicional.

O Controlo de Acesso Condicional para Aplicativos usa uma arquitetura de proxy reverso e está exclusivamente integrado com o Acesso Condicional do Microsoft Entra. O Acesso Condicional do Microsoft Entra permite-lhe impor controlos de acesso às aplicações da sua organização com base em determinadas condições. As condições definem quem (usuário ou grupo de usuários) e o quê (quais aplicativos na nuvem) e onde (quais locais e redes) uma política de Acesso Condicional é aplicada. Depois de determinar as condições, você pode rotear os usuários para o Microsoft Defender for Cloud Apps, onde pode proteger os dados com o Controle de Aplicativo de Acesso Condicional aplicando controles de acesso e sessão.

Com as políticas de acesso e sessão, você pode:

  • Impedir a exfiltração de dados: você pode bloquear o download, cortar, copiar e imprimir documentos confidenciais em, por exemplo, dispositivos não gerenciados.
  • Proteger durante o download: em vez de bloquear o download de documentos confidenciais, você pode exigir que os documentos sejam rotulados e protegidos com a Proteção de Informações do Azure. Essa ação garante que o documento esteja protegido e o acesso do usuário seja restrito em uma sessão potencialmente arriscada.
  • Impedir o upload de arquivos sem rótulo: antes que um arquivo confidencial seja carregado, distribuído e usado por outras pessoas, é importante garantir que o arquivo tenha o rótulo e a proteção corretos. Você pode garantir que arquivos sem rótulo com conteúdo confidencial sejam bloqueados de serem carregados até que o usuário classifique o conteúdo.
  • Monitore as sessões do utilizador quanto à conformidade: os utilizadores arriscados são monitorizados quando acedem a aplicações e as suas ações são registadas na sessão. Você pode investigar e analisar o comportamento do usuário para entender onde, e em que condições, as políticas de sessão devem ser aplicadas no futuro.
  • Bloquear acesso: você pode bloquear granularmente o acesso a aplicativos e usuários específicos, dependendo de vários fatores de risco. Por exemplo, você pode bloqueá-los se eles estiverem usando certificados de cliente como uma forma de gerenciamento de dispositivos.
  • Bloquear atividades personalizadas: alguns aplicativos têm cenários exclusivos que comportam riscos, por exemplo, o envio de mensagens com conteúdo confidencial em aplicativos como o Microsoft Teams ou o Slack. Nesses tipos de cenários, você pode verificar mensagens em busca de conteúdo confidencial e bloqueá-las em tempo real.

Como: Exigir uma política de proteção de aplicativo e um aplicativo cliente aprovado para acesso a aplicativos na nuvem com Acesso Condicional

As pessoas utilizam regularmente os seus dispositivos móveis para tarefas pessoais e de trabalho. Ao mesmo tempo em que garantem que a equipe possa ser produtiva, as organizações também querem evitar a perda de dados de aplicativos potencialmente inseguros. Com o Acesso Condicional, as organizações podem restringir o acesso a aplicativos cliente aprovados (com capacidade de autenticação moderna).

Esta seção apresenta dois cenários para configurar políticas de Acesso Condicional para recursos como o Microsoft 365, o Exchange Online e o SharePoint Online.

Nota

Para exigir aplicativos cliente aprovados para dispositivos iOS e Android, esses dispositivos devem primeiro se registrar no Microsoft Entra ID.

Cenário 1: Os aplicativos do Microsoft 365 exigem um aplicativo cliente aprovado

Nesse cenário, a Contoso decidiu que os usuários que usam dispositivos móveis podem acessar todos os serviços do Microsoft 365, desde que usem aplicativos cliente aprovados, como o Outlook mobile, o OneDrive e o Microsoft Teams. Todos os seus utilizadores já iniciam sessão com credenciais do Microsoft Entra e têm licenças atribuídas que incluem o Microsoft Entra ID Premium P1 ou P2 e o Microsoft Intune.

As organizações devem concluir as três etapas a seguir para exigir o uso de um aplicativo cliente aprovado em dispositivos móveis.

Etapa 1: Política para clientes de autenticação moderna baseados em Android e iOS que exigem o uso de um aplicativo cliente aprovado ao acessar o Exchange Online.

  1. Entre no centro de administração do Microsoft Entra como Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue até Identidade, depois Proteção e, em seguida, Acesso Condicional.

  3. Selecione +Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os utilizadores ou os Utilizadores e grupos específicos aos quais pretende aplicar esta política.
    2. Selecionar Concluído.

  6. Em Aplicações ou ações na nuvem, em seguida , Incluir, selecione Office 365.

  7. Em Condições, selecione Plataformas de dispositivos.

    1. Defina Configurar como Sim.
    2. Inclua Android e iOS.

  8. Em Condições, selecione Aplicativos cliente (visualização).

  9. Defina Configurar como Sim.

  10. Selecione Aplicativos móveis e clientes de desktop e Clientes de autenticação moderna.

  11. Em Controles de acesso, depois Conceder, selecione Conceder acesso, Exigir aplicação cliente aprovada e selecione Selecionar.

  12. Confirme suas configurações e defina Ativar política como Ativado.

  13. Selecione Criar para criar e ativar sua política.

Etapa 2: Configurar uma política de Acesso Condicional do Microsoft Entra para o Exchange Online com o ActiveSync (EAS).

  1. Navegue até Identidade, depois Proteção e, em seguida, Acesso Condicional.

  2. Selecione +Criar nova política.

  3. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  4. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os utilizadores ou os Utilizadores e grupos específicos aos quais pretende aplicar esta política.
    2. Selecionar Concluído.

  5. Em Aplicações ou ações na nuvem, em seguida , Incluir, selecione Office 365 Exchange Online.

  6. Sob Condições:

    1. Aplicativos cliente (visualização):

      1. Defina Configurar como Sim.
      2. Selecione Aplicações móveis e clientes de área de trabalho e clientes do Exchange ActiveSync.

  7. Em Controles de acesso, depois Conceder, selecione Conceder acesso, Exigir aplicação cliente aprovada e selecione Selecionar.

  8. Confirme suas configurações e defina Ativar política como Ativado.

  9. Selecione Criar para criar e ativar sua política.

Etapa 3: Configurar a política de proteção de aplicativos do Intune para aplicativos cliente iOS e Android.

Consulte o artigo Como criar e atribuir políticas de proteção de aplicativos para conhecer as etapas de criação de políticas de proteção de aplicativos para Android e iOS.

Cenário 2: O Exchange Online e o SharePoint Online exigem um aplicativo cliente aprovado

Nesse cenário, a Contoso decidiu que os usuários só podem acessar emails e dados do SharePoint em dispositivos móveis desde que usem um aplicativo cliente aprovado, como o Outlook mobile. Todos os seus utilizadores já iniciam sessão com credenciais do Microsoft Entra e têm licenças atribuídas que incluem o Microsoft Entra ID Premium P1 ou P2 e o Microsoft Intune.

As organizações devem concluir as três etapas a seguir para exigir o uso de um aplicativo cliente aprovado em dispositivos móveis e clientes Exchange ActiveSync.

Etapa 1: Política para clientes de autenticação moderna baseados em Android e iOS que exigem o uso de um aplicativo cliente aprovado ao acessar o Exchange Online e o SharePoint Online.

  1. Entre no centro de administração do Microsoft Entra como Administrador de Segurança ou Administrador de Acesso Condicional.

  2. Navegue até Identidade, depois Proteção e, em seguida, Acesso Condicional.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os utilizadores ou os Utilizadores e grupos específicos aos quais pretende aplicar esta política.
    2. Selecionar Concluído.

  6. Em Aplicações ou ações na nuvem, em seguida , Incluir, selecione Office 365 Exchange Online e Office 365 SharePoint Online.

  7. Em Condições, selecione Plataformas de dispositivos.

    1. Defina Configurar como Sim.
    2. Inclua Android e iOS.

  8. Em Condições, selecione Aplicativos cliente (visualização).

    1. Defina Configurar como Sim.
    2. Selecione Aplicativos móveis e clientes de desktop e Clientes de autenticação moderna.

  9. Em Controles de acesso, depois Conceder, selecione Conceder acesso, Exigir aplicação cliente aprovada e selecione Selecionar.

  10. Confirme suas configurações e defina Ativar política como Ativado.

  11. Selecione Criar para criar e ativar sua política.

Etapa 2: Política para clientes do Exchange ActiveSync que exigem o uso de um aplicativo cliente aprovado.

  1. Navegue até Identidade, depois Proteção e, em seguida, Acesso Condicional.

  2. Selecione Nova política.

  3. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  4. Em Atribuições, selecione Usuários e grupos.

    1. Em Incluir, selecione Todos os utilizadores ou os Utilizadores e grupos específicos aos quais pretende aplicar esta política.
    2. Selecionar Concluído.

  5. Em Aplicações ou ações na nuvem, em seguida , Incluir, selecione Office 365 Exchange Online.

  6. Sob Condições:

  7. Aplicativos cliente (visualização):

    1. Defina Configurar como Sim.
    2. Selecione Aplicações móveis e clientes de área de trabalho e clientes do Exchange ActiveSync.

  8. Em Controles de acesso, depois Conceder, selecione Conceder acesso, Exigir aplicação cliente aprovada e selecione Selecionar.

  9. Confirme suas configurações e defina Ativar política como Ativado.

  10. Selecione Criar para criar e ativar sua política.

Etapa 3: Configurar a política de proteção de aplicativos do Intune para aplicativos cliente iOS e Android.

Consulte o artigo Como criar e atribuir políticas de proteção de aplicativos para conhecer as etapas de criação de políticas de proteção de aplicativos para Android e iOS.

Visão geral das políticas de proteção de aplicativos

As políticas de proteção de aplicativos (APP) são regras que garantem que os dados de uma organização permaneçam seguros ou contidos em um aplicativo gerenciado. Uma política pode ser uma regra que é aplicada quando o usuário tenta acessar ou mover dados "corporativos", ou um conjunto de ações que são proibidas ou monitoradas quando o usuário está dentro do aplicativo. Um aplicativo gerenciado tem políticas de proteção de aplicativo aplicadas a ele e pode ser gerenciado pelo Intune.

As políticas de proteção de aplicativos de Gerenciamento de Aplicativos Móveis (MAM) permitem que você gerencie e proteja os dados da sua organização dentro de um aplicativo. Através da MAM sem inscrição (MAM-WE), a gestão de uma aplicação escolar ou profissional que contenha dados confidenciais pode ser efetuada em praticamente todos os dispositivos, incluindo dispositivos pessoais em cenários bring-your-own-device (BYOD). Muitos aplicativos de produtividade, como os aplicativos do Microsoft Office, podem ser gerenciados pelo MAM do Intune.

Como você pode proteger os dados do aplicativo

Seus funcionários usam dispositivos móveis para tarefas pessoais e de trabalho. Ao mesmo tempo em que garante que seus funcionários possam ser produtivos, você quer evitar a perda de dados — intencional e não intencional. Você também desejará proteger os dados da empresa que são acessados a partir de dispositivos que você não gerencia.

Pode utilizar as políticas de proteção de aplicações do Intune independentemente de qualquer solução de gestão de dispositivos móveis (MDM). Essa independência ajuda você a proteger os dados da sua empresa com ou sem registrar dispositivos em uma solução de gerenciamento de dispositivos. Ao implementar políticas no nível do aplicativo, você pode restringir o acesso aos recursos da empresa e manter os dados sob a alçada do seu departamento de TI.

Políticas de proteção de aplicativos em dispositivos

As políticas de proteção de aplicativos podem ser configuradas para aplicativos executados em dispositivos que:

  • Inscritos no Microsoft Intune: estes dispositivos são normalmente propriedade empresarial.

  • Inscritos em uma solução de MDM de terceiros: esses dispositivos geralmente são de propriedade corporativa.

    Nota

    As políticas de gerenciamento de aplicativos móveis não devem ser usadas com gerenciamento de aplicativos móveis de terceiros ou soluções de contêiner seguro.

  • Não inscritos em nenhuma solução de gerenciamento de dispositivos móveis: esses dispositivos geralmente são dispositivos de propriedade de funcionários que não são gerenciados ou registrados no Intune ou em outras soluções de MDM.

    Importante

    Você pode criar políticas de gerenciamento de aplicativos móveis para aplicativos móveis do Office que se conectam aos serviços do Microsoft 365. Também pode proteger o acesso a caixas de correio locais do Exchange criando políticas de proteção de aplicações do Intune para o Outlook para iOS/iPadOS e Android ativado com a Autenticação Moderna híbrida. Antes de utilizar esta funcionalidade, certifique-se de que cumpre os requisitos do Outlook para iOS/iPadOS e Android. Não há suporte para políticas de proteção de aplicativos para outros aplicativos que se conectam a serviços locais do Exchange ou do SharePoint.

Benefícios do uso de políticas de proteção de aplicativos

Os benefícios importantes do uso de políticas de proteção de aplicativos são os seguintes:

  • Proteger os dados da sua empresa ao nível da aplicação. Como o gerenciamento de aplicativos móveis não requer gerenciamento de dispositivos, você pode proteger os dados da empresa em dispositivos gerenciados e não gerenciados. O gerenciamento é centrado na identidade do usuário, o que remove a necessidade de gerenciamento de dispositivos.

  • A produtividade do usuário final não é afetada e as políticas não se aplicam ao usar o aplicativo em um contexto pessoal. As políticas são aplicadas apenas em contexto de trabalho, o que lhe dá a capacidade de proteger os dados da empresa sem tocar nos dados pessoais.

  • As políticas de proteção de aplicativos garantem que as proteções da camada de aplicativo estejam em vigor. Por exemplo, pode:

    • Exigir um PIN para abrir uma aplicação num contexto de trabalho.
    • Controlar a partilha de dados entre aplicações.
    • Impedir que os dados de aplicações da empresa sejam guardados numa localização de armazenamento pessoal.

  • O MDM, além do MAM, garante que o dispositivo está protegido. Por exemplo, você pode exigir um PIN para acessar o dispositivo ou pode implantar aplicativos gerenciados no dispositivo. Também pode implementar aplicações em dispositivos através da sua solução MDM para lhe dar mais controlo sobre a gestão de aplicações.

Há benefícios adicionais em usar o MDM com políticas de proteção de aplicativos, e as empresas podem usar políticas de proteção de aplicativos com e sem MDM ao mesmo tempo. Por exemplo, considere um funcionário que usa um telefone emitido pela empresa, bem como seu tablet pessoal. O telefone da empresa está inscrito no MDM e protegido por políticas de proteção de aplicativos, enquanto o dispositivo pessoal é protegido apenas por políticas de proteção de aplicativos.

Se você aplicar uma política de MAM ao usuário sem definir o estado do dispositivo, o usuário obterá a política de MAM no dispositivo BYOD e no dispositivo gerenciado pelo Intune. Você também pode aplicar uma política de MAM com base no estado gerenciado. Portanto, ao criar uma política de proteção de aplicativo, ao lado de Segmentar para todos os tipos de aplicativo, você selecionará Não. Em seguida, siga um destes procedimentos:

  • Aplique uma política de MAM menos rigorosa a dispositivos geridos pelo Intune e aplique uma política de MAM mais restritiva a dispositivos não inscritos no MDM.
  • Aplique uma política de MAM apenas a dispositivos não registrados.