具有条件访问应用控制的标识管理设备
你可能希望向策略添加有关设备是否托管的条件。 若要标识设备的状态,请配置访问和会话策略,以针对特定条件检查,具体取决于是否具有Microsoft Entra。
使用 Microsoft Entra 检查设备管理
如果有Microsoft Entra,请为符合Microsoft Intune标准的设备检查策略,或Microsoft Entra混合联接的设备。
Microsoft Entra条件访问允许将符合Intune和Microsoft Entra混合联接的设备信息直接传递给Defender for Cloud Apps。 从那里,创建考虑设备状态的访问或会话策略。 有关详细信息,请参阅 什么是设备标识?
注意
某些浏览器可能需要其他配置,例如安装扩展。 有关详细信息,请参阅 条件访问浏览器支持。
在没有Microsoft Entra的情况下检查设备管理
如果没有Microsoft Entra,检查客户端证书是否存在于受信任的链中。 使用组织中已部署的现有客户端证书,或向托管设备推出新的客户端证书。
请确保客户端证书安装在用户存储中,而不是计算机存储中。 然后,使用这些证书来设置访问和会话策略。
上传证书并配置相关策略后,当适用的会话遍历Defender for Cloud Apps和条件访问应用控制时,Defender for Cloud Apps请求浏览器提供 SSL/TLS 客户端证书。 浏览器提供随私钥一起安装的 SSL/TLS 客户端证书。 证书和私钥的这种组合通过使用 PKCS #12 文件格式完成,通常为 .p12 或 .pfx。
执行客户端证书检查时,Defender for Cloud Apps检查以下条件:
- 所选客户端证书有效,位于正确的根 CA 或中间 CA 下。
- 如果) 启用了 CRL,则不会 (吊销证书。
注意
大多数主要浏览器都支持执行客户端证书检查。 但是,移动和桌面应用通常利用内置浏览器,这些浏览器可能不支持此检查因此会影响这些应用的身份验证。
配置策略以通过客户端证书应用设备管理
若要使用客户端证书从相关设备请求身份验证,需要 X.509 根证书颁发机构或中间证书颁发机构 (CA) SSL/TLS 证书,格式为 。PEM 文件。 证书必须包含 CA 的公钥,该公钥随后用于对会话期间提供的客户端证书进行签名。
将根或中间 CA 证书上传到“设置”“云应用>条件访问应用控制>设备标识”>页中的Defender for Cloud Apps。
上传证书后,可以根据 设备标记 和 有效的客户端证书创建访问和会话策略。
若要测试其工作原理,请使用我们的示例根 CA 和客户端证书,如下所示: