Sdílet prostřednictvím

Zařízení spravovaná identitou s řízením podmíněného přístupu k aplikacím

  • Článek

Do zásad můžete přidat podmínky týkající se toho, jestli je zařízení spravované nebo ne. Pokud chcete zjistit stav zařízení, nakonfigurujte zásady přístupu a relací tak, aby kontrolovaly konkrétní podmínky v závislosti na tom, jestli máte Microsoft Entra nebo ne.

Kontrola správy zařízení pomocí Microsoft Entra

Pokud máte Microsoft Entra, požádejte zásady, aby zkontrolovaly zařízení kompatibilní s Microsoft Intune nebo Microsoft Entra zařízení připojená k hybridním připojením.

Microsoft Entra podmíněný přístup umožňuje předávání informací o zařízeních kompatibilních s Intune a Microsoft Entra hybridním připojením přímo do Defender for Cloud Apps. Odtud vytvořte zásady přístupu nebo relace, které zváží stav zařízení. Další informace najdete v tématu Co je identita zařízení?

Poznámka

Některé prohlížeče můžou vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.

Kontrola správy zařízení bez Microsoft Entra

Pokud nemáte Microsoft Entra, zkontrolujte přítomnost klientských certifikátů v důvěryhodném řetězu. Použijte stávající klientské certifikáty, které jsou už nasazené ve vaší organizaci, nebo zaváďte nové klientské certifikáty pro spravovaná zařízení.

Ujistěte se, že je klientský certifikát nainstalovaný v uživatelském úložišti, a ne v úložišti počítače. Přítomnost těchto certifikátů pak použijete k nastavení zásad přístupu a relací.

Jakmile se certifikát nahraje a nakonfiguruje příslušná zásada a příslušná relace přejde Defender for Cloud Apps a řízení podmíněného přístupu aplikací, Defender for Cloud Apps požádá prohlížeč o předložení klientských certifikátů SSL/TLS. Prohlížeč obsluhuje klientské certifikáty SSL/TLS, které jsou nainstalované s privátním klíčem. Tato kombinace certifikátu a privátního klíče se provádí pomocí formátu souboru PKCS #12, obvykle .p12 nebo .pfx.

Při kontrole klientského certifikátu Defender for Cloud Apps kontroluje následující podmínky:

  • Vybraný klientský certifikát je platný a je pod správnou kořenovou nebo zprostředkující certifikační autoritou.
  • Certifikát se neodvolá (pokud je povolený seznam CRL).

Poznámka

Většina hlavních prohlížečů podporuje kontrolu klientských certifikátů. Mobilní a desktopové aplikace ale často využívají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto ovlivňují ověřování těchto aplikací.

Konfigurace zásad pro použití správy zařízení prostřednictvím klientských certifikátů

Pokud chcete požádat o ověření z příslušných zařízení pomocí klientských certifikátů, potřebujete certifikát SSL/TLS kořenové nebo zprostředkující certifikační autority X.509 formátovaný jako . PEM soubor. Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů předložených během relace.

Nahrajte certifikáty kořenové nebo zprostředkující certifikační autority na Defender for Cloud Apps na stránce Nastavení > Cloud Apps > Řízení podmíněného přístupu k aplikacím > Identifikace zařízení.

Po nahrání certifikátů můžete vytvořit zásady přístupu a relací založené na značce zařízení a platném klientském certifikátu.

Pokud chcete otestovat, jak to funguje, použijte naši ukázkovou kořenovou certifikační autoritu a klientský certifikát následujícím způsobem:

  1. Stáhněte si ukázkovou kořenovou certifikační autoritu a klientský certifikát.
  2. Nahrajte kořenovou certifikační autoritu do Defender for Cloud Apps.
  3. Nainstalujte klientský certifikát na příslušná zařízení. Heslo je Microsoft.

Související obsah

Další informace najdete v tématu Ochrana aplikací pomocí Microsoft Defender for Cloud Apps řízení podmíněného přístupu k aplikacím.