Door identiteit beheerde apparaten met app-beheer voor voorwaardelijke toegang
Mogelijk wilt u voorwaarden aan uw beleid toevoegen over het feit of een apparaat wordt beheerd of niet. Als u de status van een apparaat wilt identificeren, configureert u toegangs- en sessiebeleid om te controleren op specifieke voorwaarden, afhankelijk van of u Microsoft Entra hebt of niet.
Controleren op apparaatbeheer met Microsoft Entra
Als u Microsoft Entra hebt, laat u uw beleid controleren op apparaten die compatibel zijn met Microsoft Intune of Microsoft Entra hybride gekoppelde apparaten.
met Microsoft Entra voorwaardelijke toegang kunnen Intune-compatibele en Microsoft Entra hybride gekoppelde apparaatgegevens rechtstreeks worden doorgegeven aan Defender for Cloud Apps. Maak hier een toegangs- of sessiebeleid dat rekening houdt met de apparaatstatus. Zie Wat is een apparaat-id? voor meer informatie.
Opmerking
Voor sommige browsers is mogelijk aanvullende configuratie vereist, zoals het installeren van een extensie. Zie Browserondersteuning voor voorwaardelijke toegang voor meer informatie.
Controleren op apparaatbeheer zonder Microsoft Entra
Als u geen Microsoft Entra hebt, controleert u op de aanwezigheid van clientcertificaten in een vertrouwde keten. Gebruik bestaande clientcertificaten die al zijn geïmplementeerd in uw organisatie of implementeer nieuwe clientcertificaten op beheerde apparaten.
Zorg ervoor dat het clientcertificaat is geïnstalleerd in het gebruikersarchief en niet in het computerarchief. Vervolgens gebruikt u de aanwezigheid van deze certificaten om toegangs- en sessiebeleid in te stellen.
Zodra het certificaat is geüpload en een relevant beleid is geconfigureerd, vraagt Defender for Cloud Apps de browser om de SSL/TLS-clientcertificaten te presenteren wanneer een toepasselijke sessie doorkruist Defender for Cloud Apps en app-beheer voor voorwaardelijke toegang. De browser dient de SSL/TLS-clientcertificaten die zijn geïnstalleerd met een persoonlijke sleutel. Deze combinatie van certificaat en persoonlijke sleutel wordt uitgevoerd met behulp van de PKCS #12-bestandsindeling, meestal .p12 of .pfx.
Wanneer een clientcertificaatcontrole wordt uitgevoerd, controleert Defender for Cloud Apps op de volgende voorwaarden:
- Het geselecteerde clientcertificaat is geldig en bevindt zich onder de juiste basis- of tussenliggende CA.
- Het certificaat wordt niet ingetrokken (als CRL is ingeschakeld).
Opmerking
De meeste belangrijke browsers ondersteunen het uitvoeren van een clientcertificaatcontrole. Mobiele en desktop-apps maken echter vaak gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen en daarom van invloed zijn op de verificatie voor deze apps.
Een beleid configureren om apparaatbeheer toe te passen via clientcertificaten
Als u verificatie wilt aanvragen bij relevante apparaten met behulp van clientcertificaten, hebt u een X.509-basiscertificaat of een tussenliggende certificeringsinstantie (CA) SSL/TLS-certificaat nodig, opgemaakt als een . PEM-bestand . Certificaten moeten de openbare sleutel van de CA bevatten, die vervolgens wordt gebruikt om de clientcertificaten te ondertekenen die tijdens een sessie worden gepresenteerd.
Upload uw basis- of tussenliggende CA-certificaten naar Defender for Cloud Apps op de pagina Instellingen > Cloud Apps > Voor voorwaardelijke toegang App-beheer > Apparaatidentificatie.
Nadat de certificaten zijn geüpload, kunt u toegangs- en sessiebeleid maken op basis van apparaattag en geldig clientcertificaat.
Als u wilt testen hoe dit werkt, gebruikt u als volgt ons voorbeeld van de basis-CA en het clientcertificaat:
- Download het voorbeeld van de basis-CA en het clientcertificaat.
- Upload de basis-CA naar Defender for Cloud Apps.
- Installeer het clientcertificaat op de relevante apparaten. Het wachtwoord is
Microsoft
.
Verwante onderwerpen
Zie Apps beveiligen met Microsoft Defender for Cloud Apps app-beheer voor voorwaardelijke toegang voor meer informatie.