Compartilhar via

Integrações de endpoint

Endpoints são dispositivos que acessam recursos e aplicativos organizacionais. Os locais de trabalho modernos incluem vários dispositivos que solicitam acesso dentro e fora da rede corporativa.

Soluções de confiança zero para pontos de extremidade visam verificar a segurança dos dispositivos que acessam dados profissionais, incluindo os aplicativos que estão em execução nos dispositivos. Os parceiros podem se integrar às soluções de ponto de extremidade da Microsoft para verificar a segurança do dispositivo e do aplicativo, impor políticas de privilégios mínimas e se preparar com antecedência para violações.

Essa orientação é para provedores de software e parceiros de tecnologia que desejam aprimorar suas soluções de segurança de ponto de extremidade integrando-se aos produtos da Microsoft.

Guia de integração Zero Trust para dispositivos finais

Este guia de integração inclui instruções para integração com os seguintes produtos:

  • O Microsoft Defender para Endpoint, que auxilia as redes empresariais na prevenção, detecção, investigação e resposta a ameaças avançadas.
  • O Microsoft Intune, que fornece proteção e segurança para os dispositivos que os funcionários usam e os aplicativos executados nesses dispositivos.
  • Microsoft Defender para IoT, que fornece segurança em suas redes OT (tecnologia operacional).

Microsoft Defender para Endpoint

Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto final empresarial concebida para ajudar as redes empresariais a impedir, detetar, investigar e responder a ameaças avançadas. Ele usa uma combinação de sensores comportamentais de endpoint, análise de segurança na nuvem e inteligência contra ameaças.

O Defender para Endpoint dá suporte a aplicativos que não são da Microsoft para ajudar a aprimorar os recursos de detecção, investigação e inteligência contra ameaças da plataforma. Além disso, os parceiros podem estender suas ofertas de segurança existentes com base na estrutura aberta e um conjunto rico e completo de APIs para criar extensões e integrações com o Defender para Ponto de Extremidade.

A página Microsoft Defender para Endpoint: oportunidades e cenários para parceiros descreve várias categorias de integrações com suporte. Além disso, outras ideias para cenários de integração podem incluir:

  • Simplificando a correção de ameaças: o Microsoft Defender para Endpoint pode executar respostas imediatas ou com assistência do operador para resolver alertas. Os parceiros podem usar as ações de resposta do ponto de extremidade, como isolamento do computador, quarentena de arquivo para bloquear a IoC no ponto de extremidade gerenciado.
  • Combine o controle de acesso à rede com a segurança do dispositivo: as pontuações de risco ou exposição podem ser usadas para implementar e impor políticas para acesso à rede e ao aplicativo.

Para se tornar um parceiro de solução do Defender para Ponto de Extremidade, você precisa seguir e concluir as etapas encontradas em Tornar-se um parceiro do Microsoft Defender para Ponto de Extremidade.

Microsoft Intune

O Microsoft Intune, que inclui o serviço Microsoft Intune e o Microsoft Configuration Manager, fornece proteção e segurança para os dispositivos que os funcionários usam e os aplicativos executados nesses dispositivos. O Intune inclui políticas de conformidade do dispositivo que garantem que os funcionários acessem aplicativos e dados de dispositivos que atendem às políticas de segurança da empresa. Ele também inclui políticas de proteção de aplicativo que fornecem controles de segurança baseados em aplicativo para dispositivos totalmente gerenciados e de propriedade de funcionários.

Para se integrar ao Microsoft Intune, os ISVs usam o Microsoft Graph e o SDK de gerenciamento de aplicativos do Microsoft Intune. A integração do Intune com a API do Microsoft Graph permite qualquer uma das mesmas funcionalidades oferecidas pelo console de administrador do Intune. Informações como estado de conformidade do dispositivo, configuração de política de conformidade, configurações de política de proteção de aplicativo e muito mais podem ser encontradas por meio da API do Microsoft Graph. Além disso, você pode automatizar tarefas no Intune que aprimoram ainda mais a história de Confiança Zero do cliente. As diretrizes gerais para trabalhar com o Intune no Microsoft Graph estão disponíveis no repositório de documentação do Microsoft Graph. Aqui, nos concentramos em cenários relacionados à Confiança Zero.

Os conectores do Microsoft Graph, de conexão de dados do Microsoft Graph e do Microsoft Graph permitem estender experiências do Microsoft 365 e criar aplicativos inteligentes.

Verificar se os dispositivos seguem os padrões de segurança e conformidade

As soluções ISV podem usar as informações de política e conformidade do dispositivo do Intune para dar suporte ao princípio de Confiança Zero de Verificar explicitamente. Os dados de conformidade sobre usuários e dispositivos do Intune permitem que o aplicativo do ISV determine a postura de risco de um dispositivo no que diz respeito ao uso do aplicativo. Ao fazer essas verificações, o ISV garante que os dispositivos que usam o serviço estejam em conformidade com os padrões e políticas de segurança e conformidade dos clientes.

A API do Microsoft Graph permite que os ISVs se integrem ao Intune por meio de um conjunto de APIs RESTful. Essas APIs são as mesmas usadas pelo Centro de administração do Microsoft Intune para exibir, criar, gerenciar, implantar e relatar todas as ações, dados e atividades no Intune. Itens de interesse específico para ISVs que dão suporte a iniciativas de Confiança Zero são a capacidade de exibir o estado de conformidade do dispositivo e configurar regras e políticas de conformidade. Confira as recomendações da Microsoft para usar o Microsoft Entra ID e o Intune para configuração e conformidade de Zero Trust: Proteger pontos de extremidade com Zero Trust. As regras de conformidade do Intune são fundamentais para o suporte ao Acesso Condicional baseado em dispositivo por meio da ID do Microsoft Entra. Os ISVs também devem visualizar o recurso de acesso condicional e as APIs para entender como completar cenários de conformidade de usuário e dispositivo e acesso condicional.

Idealmente como um ISV, seu aplicativo se conecta às APIs do Microsoft Graph como um aplicativo de nuvem e estabelece uma conexão serviço a serviço. Aplicativos multilocatários fornecem aos ISVs a definição e controle centralizados do aplicativo e permitem que os clientes consentam individualmente com o aplicativo ISV que está operando em relação aos dados de locatário. Examine as informações sobre Locação no Microsoft Entra ID para registrar e criar aplicativos únicos ou multilocatários do Microsoft Entra. A autenticação do aplicativo pode usar a ID do Microsoft Entra para logon único.

Depois de criar seu aplicativo, você precisa acessar o dispositivo e as informações de conformidade usando a API do Microsoft Graph. A documentação para usar o Microsoft Graph pode ser encontrada no centro de desenvolvimento do Microsoft Graph. A API do Microsoft Graph é um conjunto RESTful de APIs que seguem os padrões ODATA para acesso a dados e consulta.

Obtendo o estado de conformidade do dispositivo

Visualização do fluxo de verificação de dados para determinar se um dispositivo está em conformidade. Os dispositivos de usuário final transmitem informações de ameaças a um parceiro de defesa contra ameaças móveis. Os dispositivos também fornecem o estado da política de conformidade ao Intune e aos parceiros de gerenciamento de dispositivos móveis. Em seguida, o parceiro de defesa contra ameaças móveis fornece uma avaliação de risco para o serviço de nuvem do Intune. O Intune e o parceiro de gerenciamento de dispositivos móveis fornecem o status de conformidade para o mesmo serviço. Finalmente, o serviço de nuvem do Intune fornece um estado de conformidade calculado para o Microsoft Entra ID, que então fornece um status de conformidade do dispositivo via API do Microsoft Graph para a solução do ISV.

Este diagrama mostra como as informações de conformidade do dispositivo fluem do dispositivo para a solução ISV. Os dispositivos de usuário final recebem políticas do Intune, um parceiro de MTD (defesa contra ameaças móveis) ou um parceiro de conformidade do MDM (gerenciamento de dispositivo móvel). Depois que as informações de conformidade são coletadas dos dispositivos, o Intune calcula o estado geral de conformidade de cada dispositivo e armazena isso na ID do Microsoft Entra. Usando a API do Microsoft Graph, sua solução pode ler e responder ao estado de conformidade do dispositivo, aplicando os princípios de Confiança Zero.

Quando registrado no Intune, um registro de dispositivo é criado no Intune com outros detalhes do dispositivo, incluindo o estado de conformidade do dispositivo. O Intune encaminha o estado de conformidade do dispositivo para a ID do Microsoft Entra, em que a ID do Microsoft Entra também armazena o estado de conformidade com cada dispositivo. Ao fazer um GET on https://graph.microsoft.com/v1.0/deviceManagement/managedDevices, você pode ver todos os dispositivos registrados para um locatário e seu estado de conformidade. Ou você pode consultar https://graph.microsoft.com/v1.0/devices para obter uma lista dos dispositivos registrados e inscritos do Microsoft Entra e seu estado de conformidade.

Por exemplo, esta solicitação:

GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}

Retorna:

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095

{
 "value": {
  "@odata.type": "#microsoft.graph.managedDevice",
  "id": "705c034c-034c-705c-4c03-5c704c035c70",
  "userId": "User Id value",
  "deviceName": "Device Name value",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
  "lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
  "complianceState": "compliant",
...
}

Você também pode recuperar uma lista de políticas de conformidade, suas implantações e status de usuários e dispositivos para essas políticas de conformidade. As informações para acessar o Graph e obter detalhes sobre a política de conformidade começam aqui: deviceCompliancePolicy - Microsoft Graph v1.0. Uma boa introdução sobre políticas de conformidade de dispositivos e como elas são usadas pode ser encontrada aqui: Políticas de Conformidade de Dispositivos no Microsoft Intune – Azure.

Depois de identificar uma política específica, você pode consultar para obter o estado de um dispositivo para uma configuração de política de conformidade específica. Por exemplo, supondo que uma política de conformidade tenha sido implantada para exigir uma senha no bloqueio, consulte Get deviceComplianceSettingState para o estado específico dessa configuração. Essa consulta indica se o dispositivo está em conformidade ou não está em conformidade com a configuração de bloqueio de senha. Essa mesma abordagem pode ser usada para outras políticas de conformidade do dispositivo implantadas pelos clientes.

As informações de conformidade são fundamentais para o recurso de Acesso Condicional da ID do Microsoft Entra. O Intune determina a conformidade do dispositivo com base nas políticas de conformidade e grava o estado de conformidade na ID do Microsoft Entra. Em seguida, os clientes usam políticas de Acesso Condicional para determinar se quaisquer ações são tomadas por não conformidade, incluindo impedir que os usuários acessem dados corporativos de um dispositivo não compatível.

Siga o princípio de acesso de mínimo privilégio

Um ISV integrando com a Intune quer garantir que seu aplicativo dê suporte ao princípio de Confiança Zero para aplicar acesso com privilégios mínimos. A integração do Intune dá suporte a dois métodos importantes de controle de acesso: permissões delegadas ou permissões de aplicativo. O aplicativo do ISV deve usar um dos modelos de permissão. As permissões delegadas fornecem controle refinado sobre os objetos específicos no Intune aos quais o aplicativo tem acesso, mas exigem que um administrador entre com suas credenciais. Em comparação, as permissões de aplicativo permitem que o aplicativo do ISV acesse ou controle classes de dados e objetos, em vez de objetos individuais específicos, mas não exige que um usuário entre.

Além de criar seu aplicativo como um aplicativo de locatário único ou multilocatário (preferencial), você deve declarar as permissões delegadas ou de aplicativo exigidas pelo aplicativo para acessar as informações do Intune e executar ações no Intune. Veja informações sobre como começar a usar permissões aqui: configure permissões de aplicativo para uma API Web.

Microsoft Defender para IoT

As arquiteturas de rede OT (tecnologia operacional) geralmente diferem da infraestrutura de TI tradicional, usando tecnologia exclusiva com protocolos proprietários. Os dispositivos OT também podem ter plataformas envelhecidas com conectividade e energia limitadas ou requisitos de segurança específicos e ataques físicos únicos.

Implante o Microsoft Defender para IoT para aplicar princípios de Confiança Zero à sua rede OT, monitorando o tráfego para comportamentos anômalos ou não autorizados à medida que o tráfego cruza sites e zonas. Observe as ameaças e vulnerabilidades específicas aos dispositivos OT, mitigando os riscos conforme são detectados.

Agilize as operações compartilhando dados do Defender para IoT no SOC (centro de operações de segurança) e em outras partes da sua organização. Integre-se aos serviços da Microsoft, como o Microsoft Sentinel e o Defender para Endpoint ou outros serviços de parceiro, incluindo tanto a Gestão de Informações e Eventos de Segurança (SIEM) quanto sistemas de gerenciamento de tickets. Por exemplo:

Para obter mais informações, consulte:

Próximas etapas

  • Last updated on