Поделиться через

Устройства, управляемые удостоверениями, с элементом управления условным доступом к приложениям

  • Статья

Вы можете добавить в политику условия о том, управляется ли устройство. Чтобы определить состояние устройства, настройте политики доступа и сеансов для проверка для конкретных условий в зависимости от того, есть ли у вас Microsoft Entra или нет.

Проверка управления устройствами с помощью Microsoft Entra

Если у вас есть Microsoft Entra, проверка политики для устройств, соответствующих требованиям Microsoft Intune, или Microsoft Entra гибридных присоединенных устройств.

Условный доступ Microsoft Entra позволяет Intune совместимым и Microsoft Entra сведения об устройстве, присоединенном к гибридной среде, передаваться непосредственно Defender for Cloud Apps. После этого создайте политику доступа или сеанса, которая учитывает состояние устройства. Дополнительные сведения см. в статье Что такое удостоверение устройства?

Примечание.

Для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.

Проверка управления устройствами без Microsoft Entra

Если у вас нет Microsoft Entra, проверка наличие сертификатов клиента в доверенной цепочке. Используйте существующие клиентские сертификаты, уже развернутые в организации, или развертывайте новые клиентские сертификаты на управляемых устройствах.

Убедитесь, что сертификат клиента установлен в хранилище пользователей, а не в хранилище компьютера. Затем вы используете наличие этих сертификатов для настройки политик доступа и сеансов.

После отправки сертификата и настройки соответствующей политики, когда применимый сеанс проходит Defender for Cloud Apps и элемент управления условным доступом, Defender for Cloud Apps запрашивает в браузере сертификаты клиента SSL/TLS. Браузер обслуживает сертификаты клиента SSL/TLS, установленные с закрытым ключом. Это сочетание сертификата и закрытого ключа выполняется с помощью формата файла PKCS #12, обычно P12 или PFX.

При выполнении проверка сертификата клиента Defender for Cloud Apps проверяет наличие следующих условий:

  • Выбранный сертификат клиента действителен и находится в правильном корневом или промежуточном ЦС.
  • Сертификат не отозван (если список отзыва сертификатов включен).

Примечание.

Большинство основных браузеров поддерживают выполнение проверка сертификата клиента. Однако мобильные и классические приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверка и, следовательно, влиять на проверку подлинности для этих приложений.

Настройка политики для применения управления устройствами с помощью сертификатов клиента

Чтобы запросить проверку подлинности с соответствующих устройств с помощью клиентских сертификатов, требуется сертификат SSL/TLS корневого или промежуточного центра сертификации X.509 в формате . PEM-файл . Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса.

Отправьте корневые или промежуточные сертификаты ЦС в Defender for Cloud Apps на странице Параметры > Идентификация устройства управления условным доступом к облачным приложениям >>.

После отправки сертификатов можно создать политики доступа и сеанса на основе тега устройства и допустимого сертификата клиента.

Чтобы проверить, как это работает, используйте пример корневого ЦС и сертификат клиента следующим образом:

  1. Скачайте пример корневого ЦС и сертификат клиента.
  2. Отправьте корневой ЦС в Defender for Cloud Apps.
  3. Установите сертификат клиента на соответствующие устройства. Пароль имеет значение Microsoft.

Связанные материалы

Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.