Dela via

Identitetshanterade enheter med appkontroll för villkorsstyrd åtkomst

  • Artikel

Du kanske vill lägga till villkor i principen om huruvida en enhet hanteras eller inte. Om du vill identifiera tillståndet för en enhet konfigurerar du åtkomst- och sessionsprinciper för att söka efter specifika villkor, beroende på om du har Microsoft Entra eller inte.

Kontrollera enhetshantering med Microsoft Entra

Om du har Microsoft Entra kan du låta dina principer söka efter Microsoft Intune kompatibla enheter eller Microsoft Entra hybrid-anslutna enheter.

Microsoft Entra villkorlig åtkomst gör att Intune-kompatibel och Microsoft Entra hybridansluten enhetsinformation kan skickas direkt till Defender for Cloud Apps. Därifrån skapar du en åtkomst- eller sessionsprincip som tar hänsyn till enhetens tillstånd. Mer information finns i Vad är en enhetsidentitet?

Obs!

Vissa webbläsare kan kräva ytterligare konfiguration, till exempel att installera ett tillägg. Mer information finns i Webbläsarstöd för villkorsstyrd åtkomst.

Kontrollera enhetshantering utan Microsoft Entra

Om du inte har Microsoft Entra kontrollerar du om det finns klientcertifikat i en betrodd kedja. Använd antingen befintliga klientcertifikat som redan har distribuerats i din organisation eller distribuera nya klientcertifikat till hanterade enheter.

Kontrollera att klientcertifikatet är installerat i användararkivet och inte datorarkivet. Sedan använder du förekomsten av dessa certifikat för att ange åtkomst- och sessionsprinciper.

När certifikatet har laddats upp och en relevant princip har konfigurerats, när en tillämplig session passerar Defender for Cloud Apps och appkontrollen för villkorsstyrd åtkomst, Defender for Cloud Apps begär att webbläsaren ska presentera SSL/TLS-klientcertifikaten. Webbläsaren hanterar de SSL/TLS-klientcertifikat som är installerade med en privat nyckel. Den här kombinationen av certifikat och privat nyckel görs med hjälp av PKCS #12-filformatet, vanligtvis .p12 eller .pfx.

När en klientcertifikatkontroll utförs kontrollerar Defender for Cloud Apps följande villkor:

  • Det valda klientcertifikatet är giltigt och finns under rätt rot eller mellanliggande certifikatutfärdare.
  • Certifikatet har inte återkallats (om CRL är aktiverat).

Obs!

De flesta större webbläsare har stöd för att utföra en klientcertifikatkontroll. Men mobilappar och skrivbordsappar använder ofta inbyggda webbläsare som kanske inte stöder den här kontrollen och därför påverkar autentiseringen för dessa appar.

Konfigurera en princip för att tillämpa enhetshantering via klientcertifikat

Om du vill begära autentisering från relevanta enheter med klientcertifikat behöver du ett X.509-rotcertifikat eller mellanliggande certifikatutfärdare (CA) SSL/TLS-certifikat, formaterat som ett . PEM-fil . Certifikat måste innehålla den offentliga nyckeln för certifikatutfärdare, som sedan används för att signera klientcertifikaten som visas under en session.

Ladda upp dina rotcertifikat eller mellanliggande CA-certifikat till Defender for Cloud Apps i inställningar > cloud apps > villkorsstyrd åtkomst appkontroll > enhetsidentifieringssida.

När certifikaten har laddats upp kan du skapa åtkomst- och sessionsprinciper baserat på enhetstaggen och ett giltigt klientcertifikat.

Om du vill testa hur detta fungerar använder du vår exempelrot-CA och vårt klientcertifikat enligt följande:

  1. Ladda ned exempelrotcertifikatutfärdare och klientcertifikat.
  2. Ladda upp rotcertifikatutfärdarna till Defender for Cloud Apps.
  3. Installera klientcertifikatet på relevanta enheter. Lösenordet är Microsoft.

Relaterat innehåll

Mer information finns i Skydda appar med Microsoft Defender for Cloud Apps appkontroll för villkorsstyrd åtkomst.