具有條件式存取應用程控的身分識別受控裝置
您可能想要在原則中新增裝置是否受管理的條件。 若要識別裝置的狀態,請根據您是否有 Microsoft Entra,設定存取和會話原則來檢查特定條件。
使用 Microsoft Entra 檢查裝置管理
如果您有 Microsoft Entra,請檢查您的原則是否有 Microsoft Intune 相容的裝置,或 Microsoft Entra 混合式聯結裝置。
Microsoft Entra 條件式存取可讓 Intune 相容且 Microsoft Entra 混合式聯結裝置資訊直接傳遞至 Defender for Cloud Apps。 從該處建立會考慮裝置狀態的存取或會話原則。 如需詳細資訊,請參閱 什麼是裝置身分識別?
注意事項
某些瀏覽器可能需要額外的設定,例如安裝擴充功能。 如需詳細資訊,請 參閱條件式存取瀏覽器支援。
檢查裝置管理,但不使用 Microsoft Entra
如果您沒有 Microsoft Entra,請檢查受信任鏈結中是否有客戶端憑證。 使用已部署在組織中的現有用戶端憑證,或將新的用戶端憑證推出至受控裝置。
請確定客戶端憑證已安裝在使用者存放區中,而不是計算機存放區中。 然後,您可以使用這些憑證的存在來設定存取和會話原則。
上傳憑證並設定相關原則之後,當適用的會話周遊 Defender for Cloud Apps 和條件式存取應用程控時,Defender for Cloud Apps 要求瀏覽器出示 SSL/TLS 用戶端憑證。 瀏覽器會提供使用私鑰安裝的 SSL/TLS 用戶端憑證。 此憑證和私鑰的組合是使用 PKCS #12 檔案格式來完成,通常是 .p12 或 .pfx。
執行客戶端憑證檢查時,Defender for Cloud Apps 檢查下列條件:
- 選取的客戶端憑證有效,且位於正確的根或中繼 CA 之下。
- 如果已啟用CRL) ,則憑證不會 (撤銷。
注意事項
大部分的主要瀏覽器都支援執行客戶端憑證檢查。 不過,行動和傳統型應用程式通常會利用內建瀏覽器,而這些瀏覽器可能不支援這項檢查,因此會影響這些應用程式的驗證。
設定原則以透過客戶端憑證套用裝置管理
若要使用用戶端憑證向相關裝置要求驗證,您需要 X.509 跟證書或中繼證書頒發機構單位 (CA) SSL/TLS 憑證,格式為 。PEM 檔案。 憑證必須包含 CA 的公鑰,然後用來簽署工作階段期間顯示的客戶端憑證。
在 [設定 > Cloud Apps > 條件式存取應用程>控裝置識別] 頁面中,將您的根或中繼 CA 憑證上傳至 Defender for Cloud Apps。
上傳憑證之後,您可以根據 裝置捲標 和 有效的客戶端憑證來建立存取和會話原則。
若要測試其運作方式,請使用我們的範例根 CA 和客戶端憑證,如下所示:
相關內容
如需詳細資訊,請參閱使用 Microsoft Defender for Cloud Apps 條件式存取應用程控來保護應用程式。