Del via

Identitetsadministrerede enheder med kontrolelementet Betinget adgang

  • Artikel

Det kan være en god idé at føje betingelser til din politik om, hvorvidt en enhed administreres eller ej. Hvis du vil identificere en enheds tilstand, skal du konfigurere adgangs- og sessionspolitikker for at kontrollere, om der er specifikke betingelser, afhængigt af om du har Microsoft Entra eller ej.

Kontrollér, om der er enhedshåndtering med Microsoft Entra

Hvis du har Microsoft Entra, skal du kontrollere, om der er Microsoft Intune-kompatible enheder eller Microsoft Entra hybride tilsluttede enheder.

Microsoft Entra Betinget adgang gør det muligt at overføre Intune-kompatible og Microsoft Entra hybridtilsluttede enhedsoplysninger direkte til Defender for Cloud Apps. Herfra skal du oprette en adgangs- eller sessionspolitik, der tager enhedens tilstand i betragtning. Du kan få flere oplysninger i Hvad er en enhedsidentitet?

Bemærk!

Nogle browsere kan kræve yderligere konfiguration, f.eks. installation af en udvidelse. Du kan få flere oplysninger under Understøttelse af betinget adgang-browser.

Kontrollér, om der er enhedsadministration uden Microsoft Entra

Hvis du ikke har Microsoft Entra, skal du kontrollere, om der er klientcertifikater i en kæde, der er tillid til. Brug enten eksisterende klientcertifikater, der allerede er installeret i din organisation, eller udrul nye klientcertifikater til administrerede enheder.

Kontrollér, at klientcertifikatet er installeret i brugerlageret og ikke i computerlageret. Du kan derefter bruge tilstedeværelsen af disse certifikater til at angive adgangs- og sessionspolitikker.

Når certifikatet er uploadet, og der er konfigureret en relevant politik, når en relevant session gennemgår Defender for Cloud Apps og appkontrolelementet Betinget adgang, anmoder Defender for Cloud Apps browseren om at vise SSL/TLS-klientcertifikaterne. Browseren leverer SSL/TLS-klientcertifikater, der er installeret med en privat nøgle. Denne kombination af certifikat og privat nøgle udføres ved hjælp af PKCS #12-filformatet, typisk .p12 eller .pfx.

Når der udføres en kontrol af klientcertifikatet, kontrollerer Defender for Cloud Apps, om følgende betingelser er opfyldt:

  • Det valgte klientcertifikat er gyldigt og er under det korrekte rodnøglecenter eller det mellemliggende nøglecenter.
  • Certifikatet tilbagekaldes ikke (hvis liste over tilbagekaldte certifikater er aktiveret).

Bemærk!

De fleste overordnede browsere understøtter udførelse af en kontrol af klientcertifikater. Mobil- og skrivebordsapps bruger dog ofte indbyggede browsere, der muligvis ikke understøtter denne kontrol og derfor påvirker godkendelsen af disse apps.

Konfigurer en politik for at anvende enhedshåndtering via klientcertifikater

Hvis du vil anmode om godkendelse fra relevante enheder ved hjælp af klientcertifikater, skal du have et X.509-rod- eller mellemliggende nøglecenter (CA) SSL/TLS-certifikat, der er formateret som et . PEM-fil . Certifikater skal indeholde den offentlige nøgle for nøglecenteret, som derefter bruges til at signere de klientcertifikater, der præsenteres under en session.

Upload dine rodcertifikater eller mellemliggende nøglecentercertifikater for at Defender for Cloud Apps på siden Indstillinger > Cloud Apps > App Control > Enhedsidentifikation for betinget adgang.

Når certifikaterne er uploadet, kan du oprette adgangs- og sessionspolitikker baseret på Enhedsmærke og Gyldigt klientcertifikat.

Hvis du vil teste, hvordan dette fungerer, skal du bruge vores eksempelrodnøglecenter og klientcertifikat på følgende måde:

  1. Download eksempelrodnøglecenteret og klientcertifikatet.
  2. Overfør rodnøglecenteret til Defender for Cloud Apps.
  3. Installér klientcertifikatet på de relevante enheder. Adgangskoden er Microsoft.

Relateret indhold

Du kan få flere oplysninger under Beskyt apps med Microsoft Defender for Cloud Apps appkontrol af betinget adgang.