Condividi tramite

Dispositivi gestiti dall'identità con controllo app per l'accesso condizionale

  • Articolo

È possibile aggiungere condizioni ai criteri per stabilire se un dispositivo è gestito o meno. Per identificare lo stato di un dispositivo, configurare i criteri di accesso e sessione per verificare la presenza di condizioni specifiche, a seconda che si disponga o meno di Microsoft Entra.

Verificare la gestione dei dispositivi con Microsoft Entra

Se si dispone di Microsoft Entra, fare in modo che i criteri controllino la presenza di dispositivi conformi Microsoft Intune o Microsoft Entra dispositivi aggiunti ibridi.

Microsoft Entra l'accesso condizionale consente di passare direttamente a Defender for Cloud Apps le informazioni sul dispositivo aggiunto ibrido conformi Intune e Microsoft Entra. Da qui, creare un criterio di accesso o sessione che consideri lo stato del dispositivo. Per altre informazioni, vedere Che cos'è un'identità del dispositivo?

Nota

Alcuni browser potrebbero richiedere una configurazione aggiuntiva, ad esempio l'installazione di un'estensione. Per altre informazioni, vedere Supporto del browser per l'accesso condizionale.

Verificare la gestione dei dispositivi senza Microsoft Entra

Se non si dispone di Microsoft Entra, verificare la presenza di certificati client in una catena attendibile. Usare i certificati client esistenti già distribuiti nell'organizzazione o implementare nuovi certificati client nei dispositivi gestiti.

Assicurarsi che il certificato client sia installato nell'archivio utenti e non nell'archivio computer. Usare quindi la presenza di tali certificati per impostare i criteri di accesso e sessione.

Dopo aver caricato il certificato e configurato un criterio pertinente, quando una sessione applicabile attraversa Defender for Cloud Apps e il controllo dell'app di accesso condizionale, Defender for Cloud Apps richiede al browser di presentare i certificati client SSL/TLS. Il browser fornisce i certificati client SSL/TLS installati con una chiave privata. Questa combinazione di certificato e chiave privata viene eseguita usando il formato di file PKCS #12, in genere p12 o pfx.

Quando viene eseguito un controllo del certificato client, Defender for Cloud Apps verifica le condizioni seguenti:

  • Il certificato client selezionato è valido e si trova nella CA radice o intermedia corretta.
  • Il certificato non viene revocato (se CRL è abilitato).

Nota

La maggior parte dei browser principali supporta l'esecuzione di un controllo del certificato client. Tuttavia, le app per dispositivi mobili e desktop spesso sfruttano browser predefiniti che potrebbero non supportare questo controllo e quindi influire sull'autenticazione per queste app.

Configurare un criterio per applicare la gestione dei dispositivi tramite certificati client

Per richiedere l'autenticazione ai dispositivi pertinenti usando i certificati client, è necessario un certificato SSL/TLS X.509 radice o autorità di certificazione intermedia (CA), formattato come . File PEM . I certificati devono contenere la chiave pubblica della CA, che viene quindi usata per firmare i certificati client presentati durante una sessione.

Caricare i certificati ca radice o intermedi per Defender for Cloud Apps nella pagina Impostazioni > app > cloud accesso condizionale Controllo app Identificazione > del dispositivo.

Dopo il caricamento dei certificati, è possibile creare criteri di accesso e sessione in base al tag dispositivo e al certificato client valido.

Per testare il funzionamento, usare la CA radice di esempio e il certificato client, come indicato di seguito:

  1. Scaricare la CA radice di esempio e il certificato client.
  2. Caricare la CA radice in Defender for Cloud Apps.
  3. Installare il certificato client nei dispositivi pertinenti. La password è Microsoft.

Contenuto correlato

Per altre informazioni, vedere Proteggere le app con Microsoft Defender for Cloud Apps controllo app per l'accesso condizionale.