Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Google Workspace permite que os seus utilizadores partilhem documentos por toda a sua organização e com parceiros. No entanto, também pode expor dados sensíveis a utilizadores externos ou torná-los públicos através de links partilhados. Estes riscos podem vir de agentes maliciosos ou de colaboradores que desconhecem o perigo. O Google Workspace também tem um grande ecossistema de aplicações de terceiros. Estas aplicações podem colocar a sua organização em risco devido a aplicações maliciosas ou com permissões a mais.
Quando liga o Google Workspace ao Defender for Cloud Apps, obtém melhor visibilidade sobre a atividade dos utilizadores. Também tem deteção de ameaças através de aprendizagem automática, alertas de proteção de dados (como partilha externa), controlos automáticos de remediação e deteção de ameaças provenientes de aplicações de terceiros.
Principais ameaças ao seu ambiente Google Workspace
Ligar o Google Workspace ao Defender for Cloud Apps ajuda-o a enfrentar as seguintes ameaças:
- Contas comprometidas e ameaças internas
- Fuga de dados
- Consciencialização insuficiente para a segurança
- Aplicações maliciosas de terceiros e complementos do Google
- Malware
- Ransomware
- Dispositivo pessoal não gerido (BYOD)
Como Defender for Cloud Apps ajuda a proteger o seu ambiente
Utilize o Defender for Cloud Apps com o Google Workspace para:
- Detetar ameaças na cloud, contas comprometidas e utilizadores maliciosos
- Descobrir, classificar, rotular e proteger dados sensíveis na cloud
- Descubra e gere aplicações OAuth no seu ambiente
- Aplicar políticas DLP e de conformidade para dados na cloud
- Limitar a exposição partilhada de dados e aplicar políticas de colaboração
- Utilizar o registo de auditoria das atividades para investigações
Gestão da postura de segurança SaaS do Google Workspace
Ligue o Google Workspace para obter dicas de segurança no Classificação de Segurança da Microsoft. Depois de se ligar, selecione Ações Recomendadas no Secure Score. Depois filtra por Produto = no Google Workspace para ver os resultados.
O Google Workspace suporta uma recomendação de segurança para Permitir a aplicação da MFA.
Para mais informações, consulte:
Controlar o Google Workspace com políticas incorporadas e modelos de política
Pode utilizar os seguintes modelos de política incorporados para detetar e notificá-lo sobre potenciais ameaças:
Importante
As políticas de ficheiros serão descontinuadas a 6 de janeiro de 2027. Para manter a proteção de dados baseada em ficheiros para esta aplicação, migre para o Microsoft Purview DLP ou para políticas de rotulagem automática.
| Tipo | Name |
|---|---|
| Política de deteção de anomalias incorporada |
Atividade de endereços IP anónimos Atividade de país pouco frequente Atividade de endereços IP suspeitos Viagem impossível Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP) Deteção de software maligno Várias tentativas de início de sessão falhadas Atividades administrativas invulgares |
| Modelo de política de atividade | Início de sessão a partir de um endereço IP arriscado |
| Modelo de política de ficheiros | Detetar um ficheiro partilhado com um domínio não autorizado Detetar um ficheiro partilhado com endereços de e-mail pessoais Detetar ficheiros com PII/PCI/PHI |
Para obter mais informações sobre como criar políticas, veja Criar uma política.
Automatizar controlos de governação
Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do Google Workspace para remediar ameaças detetadas:
| Tipo | Ação |
|---|---|
| Governação de dados | - Aplicar a etiqueta de confidencialidade da Proteção de Informações do Microsoft Purview - Conceder permissão de leitura ao domínio - Tornar um ficheiro/pasta no Google Drive privado - Reduzir o acesso público ao ficheiro/pasta - Remover um colaborador de um ficheiro - Remover a etiqueta de confidencialidade do Proteção de Informações do Microsoft Purview - Remover colaboradores externos do ficheiro/da pasta - Remover a capacidade de partilha do editor de ficheiros - Remover o acesso público ao ficheiro/pasta - Exigir que o utilizador reponha a palavra-passe para o Google - Enviar resumo da violação de DLP aos proprietários de ficheiros - Enviar violação de DLP para o último editor de ficheiros - Transferir a propriedade do ficheiro - Ficheiro de lixo |
| Governação de utilizadores | - Suspender utilizador - Notificar o utilizador em alerta (através de Microsoft Entra ID) - Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID) - Suspender utilizador (através de Microsoft Entra ID) |
| Governação de aplicações OAuth | - Revogar a permissão da aplicação OAuth |
Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.
Proteger o Google Workspace em tempo real
Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.
Ligar o Google Workspace ao Microsoft Defender for Cloud Apps
As instruções seguintes descrevem como ligar o Microsoft Defender for Cloud Apps à sua conta Google Workspace existente usando as APIs de conector. Esta ligação dá-lhe visibilidade e controlo sobre a utilização do Google Workspace.
Os seguintes passos de configuração do conector do Google Workspace devem ser concluídos por um administrador do Google Workspace. Para informações detalhadas sobre os passos de configuração no Google Workspace, consulte a documentação do Google Workspace. Programar no Google Workspace |Google para Programadores
Nota
Defender for Cloud Apps não apresenta atividades de transferência de ficheiros para o Google Workspace.
Configurar a Área de Trabalho do Google
Enquanto Super Administração do Google Workspace, execute estes passos para preparar o seu ambiente.
Inicie sessão no Google Workspace como superadministrador.
Crie um novo projeto com o nome Defender for Cloud Apps.
Copie o número do Projeto. Precisará dele mais tarde.
Ative as seguintes APIs:
- API do SDK de Administração
- Google Drive API
Crie Credenciais para uma conta de serviço com os seguintes detalhes:
Nome: Defender for Cloud Apps
Descrição: conector da API do Defender for Cloud Apps para uma conta do Google Workspace.
Conceda a esta conta de serviço acesso ao projeto.
Copie as seguintes informações da conta de serviço. Irá precisar dele mais tarde
- ID de Cliente
Crie uma nova chave. Transfira e guarde o ficheiro e a palavra-passe necessárias para utilizar o ficheiro.
Nos controlos de API, adicione um novo ID de Cliente na Delegação de Domínio Amplo com o ID de Cliente que copiou acima.
Adicione as seguintes autorizações. Introduza a seguinte lista de âmbitos necessários (copie o texto e cole-o na caixa Âmbitos de OAuth ):
https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/admin.reports.usage.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/drive.appdata,https://www.googleapis.com/auth/drive.apps.readonly,https://www.googleapis.com/auth/drive.file,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.scripts,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.user.security,https://www.googleapis.com/auth/admin.directory.user.alias,https://www.googleapis.com/auth/admin.directory.orgunit,https://www.googleapis.com/auth/admin.directory.notifications,https://www.googleapis.com/auth/admin.directory.group.member,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.device.mobile.action,https://www.googleapis.com/auth/admin.directory.device.mobile,https://www.googleapis.com/auth/admin.directory.user ```
Na consola de administração do Google, ative o estado de serviço do Google Drive para o utilizador Super Admin que será usado pelo conector. Recomendamos que ative o estado do serviço para todos os utilizadores.
Configurar Defender for Cloud Apps
Execute os seguintes passos no Defender for Cloud Apps para completar a ligação ao Google Workspace:
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações.
Selecione +Ligar uma aplicação e, em seguida, selecione Google Workspace na lista de aplicações.
Para fornecer os detalhes da ligação ao Google Workspace, em conectores de aplicação, faça uma das seguintes ações dependendo se a sua organização já tem uma instância GCP ligada:
Para uma organização do Google Workspace que já tem uma instância do GCP ligada
- Na lista de conectores, no final da linha em que aparece a instância do GCP, selecione os três pontos e, em seguida, selecione Associar instância do Google Workspace.
Para uma organização do Google Workspace que ainda não tem uma instância do GCP ligada
- Na página Aplicações ligadas , selecione +Ligar uma aplicação e, em seguida, selecione Google Workspace.
Na janela Nome da instância, atribua um nome ao conector. Em seguida, selecione Seguinte.
Na janela Adicionar chave do Google, insira o ID da conta de serviço, o número do projeto, o certificado P12 e o endereço de e-mail do Super Admin:
Introduza o ID da conta de serviço, o Email que copiou anteriormente.
Introduza o Número do projeto (ID da Aplicação) que copiou anteriormente.
Carregue o ficheiro de Certificado P12 que guardou anteriormente.
Introduza o endereço de e-mail do seu superadministrador do Google Workspace.
A implementação com uma conta que não seja um superadministrador do Google Workspace resultará na falha do teste da API e não permite que o Defender for Cloud Apps funcione corretamente. Pedimos âmbitos de permissão específicos, pelo que, mesmo como Super Admin, o Defender for Cloud Apps continua a estar limitado.
Se tiver uma conta do Google Workspace Business ou Enterprise, selecione a caixa de verificação. Para obter informações sobre que funcionalidades estão disponíveis no Defender for Cloud Apps para o Google Workspace Business ou Enterprise, consulte Ativar a visibilidade instantânea, proteção e ações de governação para as suas aplicações.
Selecione Ligar áreas de trabalho do Google.
No Portal do Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.
Depois de ligar a conta do Google Workspace, receberá eventos dos sete dias anteriores à ligação.
Depois de ligar o Google Workspace, Defender for Cloud Apps efetua uma análise completa. Consoante o número de ficheiros e utilizadores que tiver, a conclusão da análise completa pode demorar algum tempo. Para ativar a análise quase em tempo real, os ficheiros nos quais a atividade é detetada são movidos para o início da fila de análise. Por exemplo, um ficheiro que é editado, atualizado ou partilhado é analisado imediatamente. Isto não se aplica a ficheiros que não são modificados inerentemente. Por exemplo, os ficheiros visualizados, pré-visualizados, impressos ou exportados são analisados durante a análise normal.
Os dados da gestão da postura de segurança de SaaS (SSPM) (Pré-visualização) são apresentados no portal do Microsoft Defender na página Pontuação de Segurança. Para obter mais informações, veja Gestão da postura de segurança para aplicações SaaS.
Se tiver problemas ao ligar a aplicação, veja Resolução de Problemas dos Conectores de Aplicações.