Dispositivos geridos por identidade com controlo de aplicação de Acesso Condicional
Poderá querer adicionar condições à sua política sobre se um dispositivo é gerido ou não. Para identificar o estado de um dispositivo, configure as políticas de acesso e sessão para marcar para condições específicas, dependendo se tem Microsoft Entra ou não.
Verificar a gestão de dispositivos com Microsoft Entra
Se tiver Microsoft Entra, tenha as suas políticas marcar para dispositivos compatíveis com Microsoft Intune ou Microsoft Entra dispositivos associados híbridos.
Microsoft Entra Acesso Condicional permite que as informações dos dispositivos associados a Microsoft Entra e compatíveis com Intune sejam transmitidas diretamente ao Defender para Aplicativos de Nuvem. A partir daí, crie uma política de acesso ou sessão que considere o estado do dispositivo. Para obter mais informações, consulte o artigo O que é uma identidade do dispositivo?
Observação
Alguns browsers podem necessitar de configuração adicional, como a instalação de uma extensão. Para obter mais informações, veja Suporte do browser de Acesso Condicional.
Verificar a gestão de dispositivos sem Microsoft Entra
Se não tiver Microsoft Entra, marcar para a presença de certificados de cliente numa cadeia fidedigna. Utilize os certificados de cliente existentes já implementados na sua organização ou implemente novos certificados de cliente em dispositivos geridos.
Certifique-se de que o certificado de cliente está instalado no arquivo de utilizadores e não no arquivo do computador. Em seguida, utilize a presença desses certificados para definir políticas de acesso e sessão.
Quando o certificado é carregado e uma política relevante é configurada, quando uma sessão aplicável atravessa Defender para Aplicativos de Nuvem e o controlo da aplicação de Acesso Condicional, Defender para Aplicativos de Nuvem pede ao browser para apresentar os certificados de cliente SSL/TLS. O browser serve os certificados de cliente SSL/TLS instalados com uma chave privada. Esta combinação de certificado e chave privada é feita com o formato de ficheiro PKCS #12, normalmente .p12 ou .pfx.
Quando um certificado de cliente marcar é executado, Defender para Aplicativos de Nuvem verifica as seguintes condições:
- O certificado de cliente selecionado é válido e está na AC intermédia ou raiz correta.
- O certificado não é revogado (se a CRL estiver ativada).
Observação
A maioria dos browsers principais suporta a execução de um certificado de cliente marcar. No entanto, muitas vezes, as aplicações móveis e de ambiente de trabalho tiram partido de browsers incorporados que podem não suportar este marcar e, por conseguinte, afetam a autenticação para estas aplicações.
Configurar uma política para aplicar a gestão de dispositivos através de certificados de cliente
Para pedir a autenticação a partir de dispositivos relevantes através de certificados de cliente, precisa de um certificado SSL/TLS de autoridade de certificação (AC) de raiz ou intermédia X.509, formatado como . Ficheiro PEM . Os certificados têm de conter a chave pública da AC, que é utilizada para assinar os certificados de cliente apresentados durante uma sessão.
Carregue os certificados de AC de raiz ou intermediários para Defender para Aplicativos de Nuvem na página Definições de Controlo de Aplicações >> de > Acesso Condicional do Dispositivo.
Depois de os certificados serem carregados, pode criar políticas de acesso e sessão com base na Etiqueta do dispositivo e no Certificado de cliente válido.
Para testar como isto funciona, utilize a nossa AC de raiz de exemplo e o certificado de cliente, da seguinte forma:
- Transfira a AC de raiz de exemplo e o certificado de cliente.
- Carregue a AC de raiz para Defender para Aplicativos de Nuvem.
- Instale o certificado de cliente nos dispositivos relevantes. A palavra-passe é
Microsoft.
Conteúdo relacionado
Para obter mais informações, veja Proteger aplicações com Microsoft Defender para Aplicativos de Nuvem controlo de aplicações de Acesso Condicional.