Compartir a través de

Dispositivos administrados por identidad con control de aplicación de acceso condicional

  • Artículo

Es posible que quiera agregar condiciones a la directiva sobre si un dispositivo está administrado o no. Para identificar el estado de un dispositivo, configure las directivas de acceso y sesión para comprobar las condiciones específicas, en función de si tiene Microsoft Entra o no.

Comprobación de la administración de dispositivos con Microsoft Entra

Si tiene Microsoft Entra, haga que las directivas comprueben los dispositivos compatibles con Microsoft Intune o Microsoft Entra dispositivos unidos a híbridos.

Microsoft Entra acceso condicional permite que la información del dispositivo unido a Intune y Microsoft Entra se pase directamente a Defender for Cloud Apps. Desde allí, cree una directiva de acceso o sesión que tenga en cuenta el estado del dispositivo. Para obtener más información, consulte ¿Qué es una identidad de dispositivo?

Nota:

Es posible que algunos exploradores requieran una configuración adicional, como la instalación de una extensión. Para obtener más información, consulte Compatibilidad con el explorador de acceso condicional.

Comprobación de la administración de dispositivos sin Microsoft Entra

Si no tiene Microsoft Entra, compruebe la presencia de certificados de cliente en una cadena de confianza. Use los certificados de cliente existentes ya implementados en su organización o implemente nuevos certificados de cliente en dispositivos administrados.

Asegúrese de que el certificado de cliente está instalado en el almacén de usuarios y no en el almacén del equipo. A continuación, use la presencia de esos certificados para establecer las directivas de acceso y sesión.

Una vez cargado el certificado y configurada una directiva pertinente, cuando una sesión aplicable atraviesa Defender for Cloud Apps y el control de aplicación de acceso condicional, Defender for Cloud Apps solicita al explorador que presente los certificados de cliente SSL/TLS. El explorador sirve los certificados de cliente SSL/TLS que se instalan con una clave privada. Esta combinación de certificado y clave privada se realiza mediante el formato de archivo PKCS #12, normalmente .p12 o .pfx.

Cuando se realiza una comprobación de certificado de cliente, Defender for Cloud Apps comprueba las condiciones siguientes:

  • El certificado de cliente seleccionado es válido y se encuentra en la entidad de certificación raíz o intermedia correcta.
  • El certificado no se revoca (si CRL está habilitado).

Nota:

La mayoría de los exploradores principales admiten la realización de una comprobación de certificado de cliente. Sin embargo, las aplicaciones móviles y de escritorio a menudo aprovechan exploradores integrados que pueden no admitir esta comprobación y, por tanto, afectan a la autenticación de estas aplicaciones.

Configuración de una directiva para aplicar la administración de dispositivos a través de certificados de cliente

Para solicitar la autenticación de dispositivos pertinentes mediante certificados de cliente, necesita un certificado SSL/TLS de entidad de certificación (CA) raíz o intermedia X.509, con formato . Archivo PEM . Los certificados deben contener la clave pública de la entidad de certificación, que se usa a continuación para firmar los certificados de cliente presentados durante una sesión.

Cargue los certificados de ca raíz o intermedios en Defender for Cloud Apps en la página Configuración > de control de aplicaciones > de acceso condicional de Aplicaciones en la nube>.

Una vez cargados los certificados, puede crear directivas de acceso y sesión basadas en la etiqueta de dispositivo y el certificado de cliente válido.

Para probar cómo funciona, use nuestra entidad de certificación raíz de ejemplo y el certificado de cliente, como se indica a continuación:

  1. Descargue la ca raíz de ejemplo y el certificado de cliente.
  2. Cargue la CA raíz en Defender for Cloud Apps.
  3. Instale el certificado de cliente en los dispositivos pertinentes. La contraseña es Microsoft.

Contenido relacionado

Para obtener más información, consulte Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional.