使用條件式存取應用程控的身分識別受控裝置
您可能會想要將條件新增至原則,以瞭解裝置是否受到管理。 若要識別裝置的狀態,請根據您是否有Microsoft Entra,設定存取和會話原則來檢查特定條件。
使用 Microsoft Entra 檢查裝置管理
如果您有Microsoft Entra,請確定您的原則會檢查Microsoft符合 Intune 規範的裝置,或Microsoft Entra 混合式聯結裝置。
Microsoft Entra 條件式存取可讓 Intune 相容且Microsoft Entra 混合式聯結裝置資訊直接傳遞至 適用於雲端的 Defender Apps。 從該處建立考慮裝置狀態的存取或會話原則。 如需詳細資訊,請參閱 什麼是裝置身分識別?
注意
某些瀏覽器可能需要額外的設定,例如安裝擴充功能。 如需詳細資訊,請參閱 條件式存取瀏覽器支援。
檢查沒有 Microsoft Entra 的裝置管理
如果您沒有Microsoft Entra,請檢查信任鏈結中是否有客戶端憑證。 使用組織中已部署的現有用戶端憑證,或將新的用戶端憑證推出至受控裝置。
請確定客戶端憑證已安裝在使用者存放區中,而不是計算機存放區。 然後,您可以使用這些憑證設定存取與工作階段原則。
上傳憑證並設定相關原則之後,當適用的會話周遊 適用於雲端的 Defender 應用程式和條件式存取應用程控時,適用於雲端的 Defender 應用程式會要求瀏覽器出示 SSL/TLS 用戶端憑證。 瀏覽器會提供隨私鑰安裝的 SSL/TLS 用戶端憑證。 此憑證和私鑰的組合是使用 PKCS #12 檔案格式來完成,通常是 .p12 或 .pfx。
執行客戶端憑證檢查時,適用於雲端的 Defender 應用程式會檢查下列條件:
- 選取的客戶端憑證有效,且位於正確的根或中繼 CA 之下。
- 憑證不會撤銷(如果已啟用CRL)。
注意
大部分的主要瀏覽器都支援執行客戶端憑證檢查。 不過,行動裝置和傳統型應用程式通常會利用內建瀏覽器,這些瀏覽器可能不支援這項檢查,因此會影響這些應用程式的驗證。
設定原則以透過客戶端憑證套用裝置管理
若要使用用戶端憑證向相關裝置要求驗證,您需要 X.509 跟證書或中繼證書頒發機構單位 (CA) SSL/TLS 憑證,格式為 。PEM 檔案。 憑證必須包含 CA 的公鑰,然後用來簽署工作階段期間呈現的客戶端憑證。
將您的根或中繼 CA 憑證上傳至 [設定雲端應用程式>條件式存取應用程控>裝置識別] 頁面中 適用於雲端的 Defender 應用程式。>
上傳憑證之後,您可以根據 裝置標籤 和有效的客戶端憑證來建立存取和 會話原則。
若要測試運作方式,請使用我們的範例根 CA 和客戶端憑證,如下所示:
相關內容
如需詳細資訊,請參閱使用 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控來保護應用程式。