Dispositivos geridos por identidade com controlo de aplicação de Acesso Condicional
Poderá querer adicionar condições à sua política sobre se um dispositivo é gerido ou não. Para identificar o estado de um dispositivo, configure as políticas de acesso e de sessão para verificar se existem condições específicas, dependendo se tem Microsoft Entra ou não.
Verificar a gestão de dispositivos com Microsoft Entra
Se tiver Microsoft Entra, peça às políticas que verifiquem a existência de dispositivos compatíveis com Microsoft Intune ou Microsoft Entra dispositivos associados híbridos.
Microsoft Entra Acesso Condicional permite que as informações de dispositivos associadas híbridas Microsoft Entra e compatíveis com Intune sejam transmitidas diretamente ao Defender for Cloud Apps. A partir daí, crie uma política de acesso ou sessão que considere o estado do dispositivo. Para obter mais informações, consulte o artigo O que é uma identidade do dispositivo?
Nota
Alguns browsers podem necessitar de configuração adicional, como a instalação de uma extensão. Para obter mais informações, veja Suporte do browser de Acesso Condicional.
Verificar a gestão de dispositivos sem Microsoft Entra
Se não tiver Microsoft Entra, verifique a presença de certificados de cliente numa cadeia fidedigna. Utilize os certificados de cliente existentes já implementados na sua organização ou implemente novos certificados de cliente em dispositivos geridos.
Certifique-se de que o certificado de cliente está instalado no arquivo de utilizadores e não no arquivo do computador. Em seguida, utilize a presença desses certificados para definir políticas de acesso e sessão.
Quando o certificado é carregado e uma política relevante é configurada, quando uma sessão aplicável atravessa Defender for Cloud Apps e o controlo da aplicação de Acesso Condicional, Defender for Cloud Apps pede ao browser para apresentar os certificados de cliente SSL/TLS. O browser serve os certificados de cliente SSL/TLS instalados com uma chave privada. Esta combinação de certificado e chave privada é feita com o formato de ficheiro PKCS #12, normalmente .p12 ou .pfx.
Quando é efetuada uma verificação do certificado de cliente, Defender for Cloud Apps verifica as seguintes condições:
- O certificado de cliente selecionado é válido e está na AC intermédia ou raiz correta.
- O certificado não é revogado (se a CRL estiver ativada).
Nota
A maioria dos browsers principais suporta a realização de uma verificação de certificado de cliente. No entanto, muitas vezes, as aplicações móveis e de ambiente de trabalho tiram partido de browsers incorporados que podem não suportar esta verificação e, por conseguinte, afetam a autenticação destas aplicações.
Configurar uma política para aplicar a gestão de dispositivos através de certificados de cliente
Para pedir a autenticação a partir de dispositivos relevantes através de certificados de cliente, precisa de um certificado SSL/TLS de autoridade de certificação (AC) de raiz ou intermédia X.509, formatado como . Ficheiro PEM . Os certificados têm de conter a chave pública da AC, que é utilizada para assinar os certificados de cliente apresentados durante uma sessão.
Carregue os certificados de AC de raiz ou intermediários para Defender for Cloud Apps na página Definições de Controlo de Aplicações > de Acesso Condicional do Dispositivo do Controlo > de Aplicações>.
Depois de os certificados serem carregados, pode criar políticas de acesso e sessão com base na Etiqueta do dispositivo e no Certificado de cliente válido.
Para testar como isto funciona, utilize a nossa AC de raiz de exemplo e o certificado de cliente, da seguinte forma:
- Transfira a AC de raiz de exemplo e o certificado de cliente.
- Carregue a AC de raiz para Defender for Cloud Apps.
- Instale o certificado de cliente nos dispositivos relevantes. A palavra-passe é
Microsoft.
Conteúdos relacionados
Para obter mais informações, veja Proteger aplicações com Microsoft Defender for Cloud Apps controlo de aplicações de Acesso Condicional.