Udostępnij za pośrednictwem

Urządzenia zarządzane tożsamościami z kontrolą aplikacji dostępu warunkowego

  • Artykuł

Możesz dodać do zasad warunki dotyczące tego, czy urządzenie jest zarządzane, czy nie. Aby zidentyfikować stan urządzenia, skonfiguruj zasady dostępu i sesji, aby sprawdzać określone warunki, w zależności od tego, czy masz Microsoft Entra, czy nie.

Sprawdzanie zarządzania urządzeniami za pomocą Microsoft Entra

Jeśli masz Microsoft Entra, sprawdź zasady pod kątem urządzeń zgodnych z Microsoft Intune lub Microsoft Entra urządzeń przyłączonych hybrydowo.

Microsoft Entra dostęp warunkowy umożliwia bezpośrednie przekazywanie informacji o urządzeniach zgodnych Intune i Microsoft Entra przyłączonych hybrydowo do Defender for Cloud Apps. W tym miejscu utwórz zasady dostępu lub sesji, które uwzględniają stan urządzenia. Aby uzyskać więcej informacji, zobacz Co to jest tożsamość urządzenia?

Uwaga

Niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak instalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.

Sprawdzanie zarządzania urządzeniami bez Microsoft Entra

Jeśli nie masz Microsoft Entra, sprawdź obecność certyfikatów klienta w zaufanym łańcuchu. Użyj istniejących certyfikatów klienta już wdrożonych w organizacji lub wprowadź nowe certyfikaty klienta na urządzeniach zarządzanych.

Upewnij się, że certyfikat klienta jest zainstalowany w magazynie użytkowników, a nie w magazynie komputera. Następnie użyjesz obecności tych certyfikatów, aby ustawić zasady dostępu i sesji.

Po przekazaniu certyfikatu i skonfigurowaniu odpowiednich zasad, gdy odpowiednia sesja przechodzi przez Defender for Cloud Apps i kontrolę aplikacji dostępu warunkowego, Defender for Cloud Apps żąda od przeglądarki przedstawienia certyfikatów klienta SSL/TLS. Przeglądarka obsługuje certyfikaty klienta SSL/TLS zainstalowane z kluczem prywatnym. Ta kombinacja certyfikatu i klucza prywatnego odbywa się przy użyciu formatu pliku PKCS #12, zazwyczaj .p12 lub pfx.

Po sprawdzeniu certyfikatu klienta Defender for Cloud Apps sprawdza następujące warunki:

  • Wybrany certyfikat klienta jest prawidłowy i znajduje się w prawidłowym głównym lub pośrednim urzędzie certyfikacji.
  • Certyfikat nie został odwołany (jeśli włączono listę CRL).

Uwaga

Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często korzystają z wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania i w związku z tym mają wpływ na uwierzytelnianie tych aplikacji.

Konfigurowanie zasad w celu zastosowania zarządzania urządzeniami za pośrednictwem certyfikatów klienta

Aby zażądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta, potrzebujesz certyfikatu SSL/TLS X.509 głównego lub pośredniego urzędu certyfikacji (CA) sformatowanego jako . Plik PEM . Certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta przedstawionych podczas sesji.

Przekaż certyfikaty głównego lub pośredniego urzędu certyfikacji do Defender for Cloud Apps na stronie Identyfikacja urządzenia kontroli dostępu > warunkowego w usłudze Cloud > Apps>.

Po przekazaniu certyfikatów można utworzyć zasady dostępu i sesji na podstawie tagu urządzenia i prawidłowego certyfikatu klienta.

Aby sprawdzić, jak to działa, użyj naszego przykładowego głównego urzędu certyfikacji i certyfikatu klienta w następujący sposób:

  1. Pobierz przykładowy główny urząd certyfikacji i certyfikat klienta.
  2. Przekaż główny urząd certyfikacji do Defender for Cloud Apps.
  3. Zainstaluj certyfikat klienta na odpowiednich urządzeniach. Hasło to Microsoft.

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Ochrona aplikacji za pomocą Microsoft Defender for Cloud Apps kontroli aplikacji dostępu warunkowego.