条件付きアクセス アプリ制御を使用した ID で管理されるデバイス
デバイスが管理されているかどうかに関する条件をポリシーに追加することもできます。 デバイスの状態を特定するには、Microsoft Entraがあるかどうかに応じて、特定の条件にチェックするようにアクセス ポリシーとセッション ポリシーを構成します。
Microsoft Entraを使用してデバイス管理を確認する
Microsoft Entraがある場合は、Microsoft Intune準拠デバイス、またはハイブリッド参加済みデバイスMicrosoft Entraポリシーをチェックします。
Microsoft Entra条件付きアクセスを使用すると、Intune準拠の Microsoft Entraハイブリッド参加済みデバイス情報をDefender for Cloud Appsに直接渡すことができます。 そこから、デバイスの状態を考慮したアクセス ポリシーまたはセッション ポリシーを作成します。 詳細については、「デバイス ID とは」を参照してください。
注:
一部のブラウザーでは、拡張機能のインストールなど、追加の構成が必要になる場合があります。 詳細については、「 条件付きアクセス ブラウザーのサポート」を参照してください。
Microsoft Entraを使用せずにデバイス管理を確認する
Microsoft Entraがない場合は、信頼されたチェーンにクライアント証明書が存在するかどうかをチェックします。 organizationに既にデプロイされている既存のクライアント証明書を使用するか、新しいクライアント証明書をマネージド デバイスにロールアウトします。
クライアント証明書がコンピューター ストアではなくユーザー ストアにインストールされていることを確認します。 次に、これらの証明書の存在を使用して、アクセス ポリシーとセッション ポリシーを設定します。
証明書がアップロードされ、関連するポリシーが構成されると、該当するセッションがDefender for Cloud Appsおよび条件付きアクセス アプリ制御を走査すると、Defender for Cloud Appsはブラウザーに SSL/TLS クライアント証明書の提示を要求します。 ブラウザーは、秘密キーでインストールされている SSL/TLS クライアント証明書を提供します。 証明書と秘密キーのこの組み合わせは、PKCS #12 ファイル形式 (通常は .p12 または .pfx) を使用して行われます。
クライアント証明書チェックが実行されると、Defender for Cloud Apps次の条件がチェックされます。
- 選択したクライアント証明書は有効であり、正しいルートまたは中間 CA の下にあります。
- 証明書は失効しません (CRL が有効になっている場合)。
注:
ほとんどの主要なブラウザーでは、クライアント証明書のチェックの実行がサポートされています。 ただし、モバイル アプリとデスクトップ アプリは、多くの場合、このチェックをサポートしていない可能性があり、これらのアプリの認証に影響を与える組み込みのブラウザーを利用します。
クライアント証明書を使用してデバイス管理を適用するポリシーを構成する
クライアント証明書を使用して関連デバイスから認証を要求するには、X.509 ルート証明機関または中間証明機関 (CA) SSL/TLS 証明書が必要です。形式は です。PEM ファイル。 証明書には CA の公開キーが含まれている必要があります。これは、セッション中に提示されたクライアント証明書に署名するために使用されます。
[Cloud Apps の設定] > [アプリの条件付きアクセス制御] > [デバイス識別] ページで、ルートまたは中間の CA 証明書>Defender for Cloud Appsにアップロードします。
証明書がアップロードされたら、 デバイス タグ と 有効なクライアント証明書に基づいてアクセス ポリシーとセッション ポリシーを作成できます。
このしくみをテストするには、次のようにサンプル ルート CA とクライアント証明書を使用します。
- サンプル ルート CA と クライアント証明書をダウンロードします。
- ルート CA をDefender for Cloud Appsにアップロードします。
- クライアント証明書を関連するデバイスにインストールします。 パスワードは
Microsoft。
関連コンテンツ
詳細については、「条件付きアクセス アプリ制御を使用してアプリMicrosoft Defender for Cloud Apps保護する」を参照してください。