Controlando aplicativos conectados

O controle permite que você controle o que os usuários fazem, em tempo real, entre aplicativos. Para aplicativos conectados, você pode aplicar ações de controle a arquivos ou atividades. Ações de governança são ações integradas que você pode executar em arquivos ou atividades diretamente do Microsoft Defender para Aplicativos de Nuvem. As ações de governança controlam o que os usuários fazem, em tempo real, nos aplicativos conectados.

Observação

Quando o Microsoft Defender para Aplicativos de Nuvem tenta executar uma ação de governança em um arquivo e falha porque o arquivo está bloqueado, ele automaticamente repete a ação de governança.

Ações de governança de arquivo

As ações de controle a seguir podem ser tomadas para aplicativos conectados em um arquivo, usuário ou política específica.

  • Notificações:

    • Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.

    • Notificação por email do usuário – as mensagens de email podem ser personalizadas e serão enviadas a todos os proprietários de arquivos em violação.

    • Notificar usuários específicos – lista específica de endereços de email que receberão essas notificações.

    • Notificar último editor do arquivo – enviar notificações para a última pessoa que modificou o arquivo.

  • Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.

    • Rotulação

      • Aplicar rótulo – capacidade de adicionar um rótulo de confidencialidade da Proteção de Informações do Microsoft Purview.
      • Remover rótulo – capacidade de remover um rótulo de confidencialidade da Proteção de Informações do Microsoft Purview.
    • Alterar compartilhamento

      • Remover o compartilhamento público – permite o acesso apenas aos colaboradores indicados, por exemplo: Remover acesso público para o Google Workspace e Remover link compartilhado direto para o Box e o Dropbox.

      • Remover usuários externos – permitir o acesso somente aos usuários da empresa.

      • Tornar particular – somente o proprietário pode acessar o arquivo, todos os compartilhamentos são removidos.

      • Remover um colaborador – remova um colaborador específico do arquivo.

      • Reduzir o acesso público – defina os arquivos disponíveis publicamente a serem disponibilizados somente com um link compartilhado. (Google)

      • Expiração de link compartilhado – Capacidade de definir uma data de expiração para um link compartilhado, após a qual ele não estará mais ativo. (Box)

      • Alterar nível de acesso para compartilhamento de link – Capacidade de alterar o nível de acesso do link compartilhado entre "somente a empresa", "somente colaboradores" e "público". (Box)

    • Quarentena

      • Colocar em quarentena do usuário – permitir o autoatendimento movendo o arquivo para uma pasta de quarentena controlada pelo usuário

      • Colocar em quarentena do administrador – o arquivo é movido para a quarentena na unidade do administrador, que precisa aprová-lo.

    • Herdar permissões do pai – essa ação de governança permite remover o conjunto de permissões específicas para um arquivo ou uma pasta no Office 365. Em seguida, reverta para as permissões definidas para a pasta pai.

    • Lixeira – mova o arquivo para a pasta da lixeira. (Box, Dropbox, Google Drive, OneDrive, SharePoint)

    policy_create alerts.

Ações de governança para malware (preview)

As ações de controle a seguir podem ser tomadas para aplicativos conectados em um arquivo, usuário ou política específica. Por motivos de segurança, essa lista limita-se a ações relacionadas a malware que não impliquem risco para o usuário ou o locatário.

  • Notificações:

    • Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.
  • Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.

    • Alterar compartilhamento

      • Remover usuários externos – permitir o acesso somente aos usuários da empresa. (Box, Google Drive, OneDrive, SharePoint)
      • Remover link compartilhado direto – remover permissões de links compartilhados anteriormente (Box, Dropbox)
    • Quarentena

      • Colocar em quarentena do usuário – permitir o autoatendimento movendo o arquivo para uma pasta de quarentena controlada pelo usuário (Box, OneDrive, SharePoint)
      • Colocar em quarentena do administrador – o arquivo é movido para a quarentena na unidade do administrador, que precisa aprová-lo. (Box)
    • Lixeira – mova o arquivo para a pasta da lixeira. (Box, Dropbox, Google Drive, OneDrive, SharePoint)

Ações de governança de malware.

Observação

No SharePoint e no OneDrive, o Defender para Aplicativos de Nuvem oferece suporte à quarentena do usuário apenas para arquivos em bibliotecas de documentos compartilhados (SharePoint Online) e arquivos na biblioteca de documentos (OneDrive for Business).

Os clientes do Microsoft Defender para Microsoft 365 podem controlar os arquivos de malware detectados no SharePoint e no OneDrive por meio da página Quarentena do Microsoft Defender XDR. Por exemplo, as atividades com suporte incluem a recuperação de arquivos, a exclusão de arquivos e o download de arquivos em arquivos ZIP protegidos por senha. Essas atividades limitam-se a arquivos que ainda não foram colocados em quarentena pelo Microsoft Defender para Aplicativos de Nuvem. No SharePoint, o Defender para Aplicativos de Nuvem oferece suporte a tarefas de quarentena apenas para arquivos com Documentos Compartilhados no caminho em inglês.

As ações serão exibidas apenas para os aplicativos conectados.

Ações de governança de atividade

  • Notificações

    • Alertas – os alertas podem ser disparados no sistema e propagados por email e mensagem de texto, com base no nível de gravidade.

    • Notificação por email do usuário – as mensagens de email podem ser personalizadas e serão enviadas a todos os proprietários de arquivos em violação.

    • Notificar usuários adicionais – lista específica de endereços de email que receberão essas notificações.

  • Ações de governança em aplicativos – ações granulares podem ser impostas por aplicativo, ações específicas variam dependendo da terminologia do aplicativo.

    • Suspender usuário – suspende o usuário do aplicativo.

      Observação

      Se o Azure Active Directory estiver definido para sincronizar automaticamente com os usuários no seu ambiente local do Active Directory, as configurações no ambiente local substituirão as configurações do Azure AD e esta ação de governança será revertida.

    • Exigir que o usuário entre novamente – desconecta o usuário e exige que ele entre novamente.

    • Confirmar usuário comprometido – define o nível de risco do usuário como alto. Isso faz com que as ações de política relevantes definidas no Microsoft Entra ID sejam impostas. Para obter mais informações sobre como o Microsoft Entra ID funciona com os níveis de risco, confira Como o Microsoft Entra ID usa meus feedbacks de risco.

    Ações de governança da política de atividades do Defender para Aplicativos de Nuvem.

Revogar um aplicativo OAuth e notificar o usuário

Para o Google Workspace e a Salesforce, é possível revogar a permissão de um aplicativo OAuth ou notificar o usuário de que é necessário alterar a permissão. Ao revogar a permissão, são removidas todas as permissões concedidas ao aplicativo em "Aplicativos Empresariais" no Microsoft Entra ID.

  1. Nas guias Google ou Salesforce, na página Governança de aplicativos, selecione as reticências no final da linha do aplicativo e clique em Notificar usuário. Por padrão, o usuário será notificado da seguinte forma: Você autorizou o aplicativo a acessar sua conta do Google Workspace. Este aplicativo entra em conflito com a política de segurança da sua organização. Reconsidere conceder ou revogar as permissões que você deu a este aplicativo em sua conta do Google Workspace. Para revogar o acesso ao aplicativo, acesse: https://security.google.com/settings/security/permissions?hl=en&pli=1 Selecione o aplicativo e selecione ˜Revogar acesso˜na barra de menus à direita. Você pode personalizar a mensagem enviada.

  2. Você também pode revogar permissões para usar o aplicativo para o usuário. Clique no ícone no final da linha do aplicativo na tabela e selecione Revogar aplicativo. Por exemplo:

    Captura de tela de um exemplo da opção Revogar aplicativo.

Conflitos de governança

Após a criação de várias políticas, pode surgir uma situação na qual as ações de governança em várias políticas se sobreponham. Nesse caso, o Defender para Aplicativos de Nuvem processará as ações de governança da maneira a seguir.

Conflitos entre políticas

  • Se duas políticas contiverem ações contidas uma na outra (por exemplo, Remover compartilhamentos externos está incluído em Tornar particular), o Defender para Aplicativos de Nuvem resolverá o conflito e a ação mais forte será imposta.
  • Se as ações não forem relacionadas (por exemplo, Notificar proprietário e Tornar particular). Ambas as ações serão executadas.
  • Se houver conflito entre as ações (por exemplo Alterar o proprietário para o usuário A e Alterar o proprietário para o usuário B), diferentes resultados poderão ocorrer em cada correspondência. É importante alterar as políticas para evitar conflitos, pois eles podem resultar em alterações indesejadas na unidade que serão difíceis de serem detectadas.

Conflitos na sincronização de usuário

  • Se o Azure Active Directory estiver definido para sincronizar automaticamente com os usuários em seu ambiente local do Active Directory, as configurações no ambiente local substituirão as configurações do Azure AD e esta ação de governança será revertida.

Log de governança

O log de governança fornece um registro de status de cada tarefa que você definir no Defender para Aplicativos de Nuvem para execução, incluindo tarefas manuais e automáticas. Essas tarefas incluem aquelas definidas nas políticas, as ações de governança definidas em arquivos e usuários e outras ações definidas para execução no Defender para Aplicativos de Nuvem. O Log de governança também fornece informações sobre o êxito ou falha dessas ações. Você pode optar por repetir ou reverter algumas das ações de governança do log de governança.

Para exibir o log de governança, no portal do Microsoft Defender, em Aplicativos de Nuvem, selecione Log de governança.

A tabela a seguir é a lista completa de ações que o portal do Defender para Aplicativos de Nuvem permite executar. Essas ações são habilitadas em vários locais por todo o console, conforme descrito na coluna Localização. Cada ação de governança realizada é relacionada no Log de Governança. Para obter informações sobre como as ações de governança são tratadas quando há conflitos de política, consulte Conflitos de política.

Localidade Tipo de objeto de destino Ação de governança Descrição Conectores relacionados
Contas Arquivo Remover colaborações do usuário Remove todas as colaborações de um usuário específico para todos os arquivos - bom para as pessoas que estão saindo da empresa. Google Workspace
Contas Conta Cancelar suspensão de usuário Cancela a suspensão do usuário Google Workspace, Box, Office, Salesforce
Contas Conta Configurações de conta Leva você para a página de configurações de conta no aplicativo específico (por exemplo, dentro do Salesforce). Todas as configurações dos aplicativos One Drive e SharePoint são feitas no Office.
Contas Arquivo Transferir a propriedade de todos os arquivos Em uma conta, você transfere os arquivos de um usuário para que a propriedade deles seja concedida a uma nova pessoa que você selecionar. O proprietário anterior se torna um editor e não pode mais alterar as configurações de compartilhamento. O novo proprietário receberá uma notificação por email sobre a alteração de propriedade. Google Workspace
Contas, Política de atividade Conta Suspender um usuário Define o usuário para que ele não tenha nenhum acesso e nenhuma capacidade de entrar. Se ele estiver conectado quando você definir essa ação, ele será bloqueado imediatamente. Google Workspace, Box, Office, Salesforce
Política de atividade, Contas Conta Exigir que o usuário entre novamente Revoga todos os tokens de atualização e todas as emissões de cookie de sessão para aplicativos pelo usuário. Essa ação impedirá o acesso aos dados da organização e forçará o usuário a entrar novamente em todos os aplicativos. Google Workspace, Office
Política de atividade, Contas Conta Confirmar usuário comprometido Defina o nível de risco do usuário como alto. Isso faz com que as ações de política relevantes definidas no Microsoft Entra ID sejam impostas. Office
Política de atividade, Contas Conta Revogar privilégios de administrador Revoga os privilégios da conta do administrador. Por exemplo, definir uma política de atividade que revogue os privilégios de administrador depois de 10 tentativas de logon com falha. Google Workspace
Painel do aplicativo > Permissões de aplicativo Permissões Cancelar veto de aplicativo No Google e no Salesforce: remove o veto do aplicativo e permite que os usuários concedam permissões ao aplicativo de terceiros com suas contas do Google ou do Salesforce. No Office 365: restaura as permissões do aplicativo de terceiros para o Office. Google Workspace, Salesforce, Office
Painel do aplicativo > Permissões de aplicativo Permissões Desabilitar permissões de aplicativo Revoga as permissões de um aplicativo de terceiros para o Google, o Salesforce ou o Office. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. Google Workspace, Salesforce, Office
Painel do aplicativo > Permissões de aplicativo Permissões Habilitar permissões de aplicativo Concede as permissões de um aplicativo de terceiros para o Google, o Salesforce ou o Office. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. Google Workspace, Salesforce, Office
Painel do aplicativo > Permissões de aplicativo Permissões Vetar aplicativo No Google e Salesforce: revoga as permissões de um aplicativo de terceiros para o Google ou Salesforce e impede que ele receba permissões no futuro. No Office 365: não concede a permissão de aplicativos de terceiros para acessar o Office, mas não os revoga. Google Workspace, Salesforce, Office
Painel do aplicativo > Permissões de aplicativo Permissões Revogar o aplicativo Revogue as permissões de um aplicativo de terceiros para o Google ou Salesforce. Essa é uma ação única que ocorrerá em todas as permissões existentes, mas não impedirá conexões futuras. Google Workspace, Salesforce
Painel do aplicativo > Permissões de aplicativo Conta Revogar o usuário do aplicativo Você pode revogar usuários específicos ao clicar no número em Usuários. A tela exibirá os usuários específicos e você poderá usar o X para excluir permissões para qualquer usuário. Google Workspace, Salesforce
Descobrir > Aplicativos descobertos/Endereços IP/Usuários Cloud Discovery Exportar dados de descoberta Cria um CSV dos dados de descoberta. Descoberta
Política de arquivos Arquivo Lixeira Coloca o arquivo na lixeira do usuário. Box, Dropbox, Google Drive, OneDrive, SharePoint, Cisco Webex (excluir permanentemente)
Política de Arquivos Arquivo Notificar o último editor de arquivo Envia um email para notificar a última pessoa que editou o arquivo que ele viola uma política. Google Workspace, Box
Política de Arquivos Arquivo Notificar o proprietário do arquivo Envia um email para o proprietário do arquivo quando um arquivo viola uma política. No Dropbox, se nenhum proprietário estiver associado um arquivo, a notificação será enviada para o usuário específico que você definir. Todos os aplicativos
Política de arquivos, Atividade de política Arquivo, Atividade Notificar usuários específicos Envia um email para notificar usuários específicos sobre um arquivo que viola uma política. Todos os aplicativos
Política de arquivos e Política de atividade Arquivo, Atividade Notificar o usuário Envia um email aos usuários para notificá-los de que algo que eles fizeram ou um arquivo que têm viola uma política. Você pode adicionar uma notificação personalizada para que ele saiba qual foi a violação. Tudo
Política de arquivos e Arquivos Arquivo Remover a capacidade do editor de compartilhar No Google Drive, as permissões de editor padrão de um arquivo permitem o compartilhamento também. Esta ação de governança restringe essa opção e também o compartilhamento de arquivos com o proprietário. Google Workspace
Política de arquivos e Arquivos Arquivo Colocar em quarentena do administrador Remove qualquer permissão do arquivo e o move para uma pasta de quarentena em um local para o administrador. Office 365 SharePoint, OneDrive for Business, Box
Política de arquivos e Arquivos Arquivo Aplicar rótulos de confidencialidade Aplica um rótulo de classificação da Proteção de Informações do Microsoft Purview a arquivos automaticamente de acordo com as condições definidas na política. Google Apps, Box, One Drive, SharePoint
Política de arquivos e Arquivos Arquivo Remover rótulos de confidencialidade Remove um rótulo de classificação da Proteção de Informações do Microsoft Purview de arquivos automaticamente de acordo com as condições definidas na política. É possível remover rótulos apenas se não incluírem proteção e tiverem sido aplicados no Defender para Aplicativos de Nuvem. Rótulos aplicados diretamente na Proteção de Informações não podem ser removidos. Google Apps, Box, One Drive, SharePoint
Política de arquivos, Política de atividade, Alertas Aplicativo Exigir que os usuários entrem novamente Agora você pode exigir que os usuários entrem novamente em todos os aplicativos do Office 365 e do Azure AD como uma correção rápida e eficaz para alertas de atividade do usuário suspeita e contas comprometidas. Você pode encontrar a nova governança nas configurações de política e nas páginas de alertas, ao lado da opção Suspender usuário. Microsoft Entra ID Gratuito / Microsoft 365 Apps
Arquivos Arquivo Restaurar da quarentena do usuário Restaura um usuário de ser colocado em quarentena. Box
Arquivos Arquivo Conceder permissões de leitura para mim Concede permissões de leitura do arquivo para você mesmo, de forma que você possa acessar o arquivo e entender se ele tem uma violação ou não. Google Workspace
Arquivos Arquivo Permitir que os editores compartilhem No Google Drive, a permissão de editor padrão de um arquivo permite o compartilhamento também. Esta ação de governança é o oposto da ação Remover a capacidade do editor de compartilhar, e permite que o editor compartilhe o arquivo. Google Workspace
Arquivos Arquivo Proteger Proteger um arquivo com o Microsoft Purview aplicando um modelo da organização. Microsoft 365 (SharePoint e OneDrive)
Arquivos Arquivo Revogar formulário de permissões de leitura para mim Revoga permissões de leitura do arquivo para você mesmo, útil após conceder permissão a si próprio para entender se um arquivo tem uma violação ou não. Google Workspace
Arquivos, Política de arquivos Arquivo Transferir a propriedade do arquivo Altera o proprietário - na política em que você escolher um proprietário específico. Google Workspace
Arquivos, Política de arquivos Arquivo Reduzir o acesso público Essa ação permite que você defina os arquivos disponíveis publicamente a serem disponibilizados somente com um link compartilhado. Google Workspace
Arquivos, Política de arquivos Arquivo Remover um parceiro Remove um parceiro específico de um arquivo. Google Workspace, Box, One Drive, SharePoint
Arquivos, Política de arquivos Arquivo Tornar privado Somente administradores do site podem acessar o arquivo; todos os compartilhamentos são removidos. Google Workspace, One Drive, SharePoint
Arquivos, Política de arquivos Arquivo Remover usuários externos Remove todos os parceiros externos - fora dos domínios configurados como internos nas Configurações. Google Workspace, Box, One Drive, SharePoint
Arquivos, Política de arquivos Arquivo Conceder permissão de leitura ao domínio Concede permissões de leitura do arquivo no domínio especificado para todo o seu domínio ou para um domínio específico. Essa ação é útil se você deseja remover o acesso público depois de conceder acesso ao domínio de pessoas que precisam trabalhar nele. Google Workspace
Arquivos, Política de arquivos Arquivo Colocar em quarentena do usuário Remove todas as permissões do arquivo e o move para uma pasta de quarentena na unidade de raiz do usuário. Essa ação permite que o usuário examine o arquivo e o mova. Se ele for movido manualmente de volta, o compartilhamento de arquivos não será restaurado. Box, One Drive, SharePoint
Arquivos Arquivo Expiração de link compartilhado Define uma data de expiração para um link compartilhado, após a qual ele não estará mais ativo. Box
Arquivos Arquivo Alterar nível de acesso para compartilhamento de link Altera o nível de acesso do link compartilhado entre "somente a empresa", "somente colaboradores" e "público". Box
Arquivos, Política de arquivos Arquivo Remover acesso público Se um arquivo era seu e você o colocou no acesso público, ele se tornará acessível somente para quem tiver sido configurado com acesso ao arquivo (dependendo do tipo de acesso que o arquivo tinha). Google Workspace
Arquivos, Política de arquivos Arquivo Remover link compartilhado direto Remove um link que foi criado para o arquivo que é público, mas só é compartilhado com pessoas específicas. Box, Dropbox
Configurações> Configurações do Cloud Discovery Cloud Discovery Recalcular pontuações do Cloud Discovery Recalcula as pontuações no catálogo de aplicativos de Nuvem após alterar uma métrica de pontuação. Descoberta
Configurações> Configurações do Cloud Discovery > Gerenciar exibições de dados Cloud Discovery Criar exibição personalizada de dados de filtro do Cloud Discovery Cria uma nova exibição de dados para uma exibição mais detalhada dos resultados da descoberta. Por exemplo, intervalos de IP específicos. Descoberta
Configurações> Configurações do Cloud Discovery > Excluir dados Cloud Discovery Excluir dados de Cloud Discovery Exclui todos os dados coletados de fontes de descoberta. Descoberta
Configurações> Configurações do Cloud Discovery > Carregar logs manualmente/Carregar logs automaticamente Cloud Discovery Analisar dados do Cloud Discovery Notificação de que todos os dados de log foram analisados. Descoberta

Próximas etapas

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.