Del via

Identitetsadministrerte enheter med appkontroll for betinget tilgang

  • Artikkel

Det kan være lurt å legge til betingelser i policyen om hvorvidt en enhet administreres eller ikke. Hvis du vil identifisere tilstanden til en enhet, konfigurerer du tilgangs- og øktpolicyer for å se etter bestemte betingelser, avhengig av om du har Microsoft Entra eller ikke.

Se etter enhetsbehandling med Microsoft Entra

Hvis du har Microsoft Entra, må du se etter Microsoft Intune-kompatible enheter eller Microsoft Entra hybride sammenføyde enheter.

Microsoft Entra betinget tilgang gjør det mulig å sende Intune-kompatibel og Microsoft Entra hybrid sammenføyd enhetsinformasjon direkte til Defender for Cloud Apps. Derfra kan du opprette en tilgangs- eller øktpolicy som vurderer enhetstilstanden. Hvis du vil ha mer informasjon, kan du se Hva er en enhetsidentitet?

Obs!

Noen nettlesere kan kreve ekstra konfigurasjon, for eksempel å installere en utvidelse. Hvis du vil ha mer informasjon, kan du se støtte for nettleser for betinget tilgang.

Se etter enhetsbehandling uten Microsoft Entra

Hvis du ikke har Microsoft Entra, kan du se etter tilstedeværelsen av klientsertifikater i en klarert kjede. Bruk enten eksisterende klientsertifikater som allerede er distribuert i organisasjonen, eller rull ut nye klientsertifikater til administrerte enheter.

Kontroller at klientsertifikatet er installert i brukerlageret og ikke i datamaskinlageret. Deretter bruker du tilstedeværelsen av disse sertifikatene til å angi tilgangs- og øktpolicyer.

Når sertifikatet er lastet opp og en relevant policy er konfigurert, ber Defender for Cloud Apps nettleseren om å presentere SSL/TLS-klientsertifikatene når en gjeldende økt krysser Defender for Cloud Apps og appkontroll for betinget tilgang. Nettleseren serverer SSL/TLS-klientsertifikater som er installert med en privat nøkkel. Denne kombinasjonen av sertifikat og privatnøkkel gjøres ved hjelp av PKCS #12-filformatet, vanligvis .p12 eller .pfx.

Når en kontroll av et klientsertifikat utføres, Defender for Cloud Apps ser etter følgende betingelser:

  • Det valgte klientsertifikatet er gyldig og er under riktig rot- eller mellomliggende sertifiseringsinstans.
  • Sertifikatet tilbakekalles ikke (hvis CRL er aktivert).

Obs!

De fleste store nettlesere støtter utføring av en kontroll av klientsertifikat. Mobil- og skrivebordsapper drar imidlertid ofte nytte av innebygde nettlesere som kanskje ikke støtter denne kontrollen, og som derfor påvirker godkjenning for disse appene.

Konfigurer en policy for å bruke enhetsbehandling via klientsertifikater

Hvis du vil be om godkjenning fra relevante enheter ved hjelp av klientsertifikater, trenger du et X.509-rot- eller mellomliggende sertifiseringsinstans (CA) SSL/TLS-sertifikat, formatert som et . PEM-fil . Sertifikater må inneholde fellesnøkkelen for sertifiseringsinstansen, som deretter brukes til å signere klientsertifikatene som presenteres under en økt.

Last opp rot- eller mellomliggende CA-sertifikater for å Defender for Cloud Apps på siden Innstillinger > for appkontrollenhet for betinget tilgang > for skyapper>.

Når sertifikatene er lastet opp, kan du opprette tilgangs- og øktpolicyer basert på enhetskode og gyldig klientsertifikat.

Hvis du vil teste hvordan dette fungerer, kan du bruke rotinstansen og klientsertifikatet vårt, som følger:

  1. Last ned eksempel-rot-CA - og klientsertifikatet.
  2. Last opp rotinstansen for å Defender for Cloud Apps.
  3. Installer klientsertifikatet på de aktuelle enhetene. Passordet er Microsoft.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se Beskytt apper med Microsoft Defender for Cloud Apps appkontroll for betinget tilgang.