Partager via

Appareils gérés par l’identité avec contrôle d’application par accès conditionnel

  • Article

Vous pouvez ajouter des conditions à votre stratégie pour savoir si un appareil est géré ou non. Pour identifier l’état d’un appareil, configurez des stratégies d’accès et de session pour case activée pour des conditions spécifiques, selon que vous avez Microsoft Entra ou non.

Vérifier la gestion des appareils avec Microsoft Entra

Si vous avez Microsoft Entra, faites en case activée vos stratégies pour les appareils compatibles Microsoft Intune ou Microsoft Entra appareils joints hybrides.

Microsoft Entra l’accès conditionnel permet de transmettre directement aux Defender for Cloud Apps des informations d’appareil hybrides Intune et Microsoft Entra. À partir de là, créez une stratégie d’accès ou de session qui prend en compte l’état de l’appareil. Pour plus d’informations, consultez Qu’est-ce qu’une identité d’appareil ?

Remarque

Certains navigateurs peuvent nécessiter une configuration supplémentaire, telle que l’installation d’une extension. Pour plus d’informations, consultez Prise en charge du navigateur par accès conditionnel.

Vérifier la gestion des appareils sans Microsoft Entra

Si vous n’avez pas Microsoft Entra, case activée la présence de certificats clients dans une chaîne approuvée. Utilisez des certificats clients existants déjà déployés dans votre organization ou déployez de nouveaux certificats clients sur des appareils gérés.

Assurez-vous que le certificat client est installé dans le magasin de l’utilisateur et non dans le magasin d’ordinateurs. Vous utilisez ensuite la présence de ces certificats pour définir des stratégies d’accès et de session.

Une fois le certificat chargé et une stratégie appropriée configurée, lorsqu’une session applicable traverse Defender for Cloud Apps et le contrôle d’application d’accès conditionnel, Defender for Cloud Apps demande au navigateur de présenter les certificats clients SSL/TLS. Le navigateur sert les certificats clients SSL/TLS qui sont installés avec une clé privée. Cette combinaison de certificat et de clé privée est effectuée à l’aide du format de fichier PKCS #12, généralement .p12 ou .pfx.

Lorsqu’une case activée de certificat client est effectuée, Defender for Cloud Apps vérifie les conditions suivantes :

  • Le certificat client sélectionné est valide et se trouve sous l’autorité de certification racine ou intermédiaire correcte.
  • Le certificat n’est pas révoqué (si la liste de révocation de certificats est activée).

Remarque

La plupart des principaux navigateurs prennent en charge l’exécution d’un certificat client case activée. Toutefois, les applications mobiles et de bureau tirent souvent parti des navigateurs intégrés qui peuvent ne pas prendre en charge cette case activée et, par conséquent, affecter l’authentification pour ces applications.

Configurer une stratégie pour appliquer la gestion des appareils via des certificats clients

Pour demander l’authentification auprès d’appareils appropriés à l’aide de certificats clients, vous avez besoin d’un certificat SSL/TLS racine X.509 ou d’autorité de certification intermédiaire, au format . Fichier PEM . Les certificats doivent contenir la clé publique de l’autorité de certification, qui est ensuite utilisée pour signer les certificats clients présentés pendant une session.

Chargez vos certificats d’autorité de certification racine ou intermédiaire sur Defender for Cloud Apps dans la page Paramètres > Du contrôle > d’application par accès conditionnel Cloud Apps > page Identification de l’appareil.

Une fois les certificats chargés, vous pouvez créer des stratégies d’accès et de session basées sur la balise d’appareil et le certificat client valide.

Pour tester le fonctionnement, utilisez notre exemple d’autorité de certification racine et de certificat client, comme suit :

  1. Téléchargez l’exemple d’autorité de certification racine et de certificat client.
  2. Chargez l’autorité de certification racine dans Defender for Cloud Apps.
  3. Installez le certificat client sur les appareils appropriés. Le mot de passe est Microsoft.

Contenu connexe

Pour plus d’informations, consultez Protéger les applications avec Microsoft Defender for Cloud Apps contrôle d’application d’accès conditionnel.