Identitätsverwaltete Geräte mit App-Steuerung für bedingten Zugriff

  • Artikel

Möglicherweise möchten Sie Ihrer Richtlinie Bedingungen hinzufügen, ob ein Gerät verwaltet wird oder nicht. Um den Status eines Geräts zu ermitteln, konfigurieren Sie Zugriffs- und Sitzungsrichtlinien, um bestimmte Bedingungen zu überprüfen, je nachdem, ob Sie über Microsoft Entra verfügen oder nicht.

Überprüfen der Geräteverwaltung mit Microsoft Entra

Wenn Sie über Microsoft Entra verfügen, überprüfen Sie Ihre Richtlinien auf Microsoft Intune-kompatible Geräte oder mit Microsoft Entra verbundene Geräte.

Der bedingte Zugriff von Microsoft Entra ermöglicht in Intune kompatible und in Microsoft Entra eingebundene Geräteinformationen direkt an Defender for Cloud Apps zu übergeben. Erstellen Sie von dort aus eine Zugriffs- oder Sitzungsrichtlinie, die den Gerätestatus berücksichtigt. Weitere Informationen finden Sie unter Was ist eine Geräteidentität?

Hinweis

Einige Browser erfordern möglicherweise eine zusätzliche Konfiguration, z. B. die Installation einer Erweiterung. Weitere Informationen finden Sie unter Browser-Support für bedingten Zugriff.

Überprüfen der Geräteverwaltung ohne Microsoft Entra

Wenn Sie nicht über Microsoft Entra verfügen, überprüfen Sie, ob Clientzertifikate in einer vertrauenswürdigen Kette vorhanden sind. Verwenden Sie entweder bereits vorhandene Clientzertifikate, die bereits für Ihre Organisation bereitgestellt wurden, oder stellen Sie neue Clientzertifikate für verwaltete Geräte bereit.

Stellen Sie sicher, dass das Clientzertifikat im Benutzerspeicher und nicht im Computerspeicher installiert ist. Sie können diese Zertifikate nutzen, um Zertifikat- und Sitzungsrichtlinien festzulegen.

Sobald das Zertifikat hochgeladen und eine relevante Richtlinie konfiguriert wurde, fordert Defender for Cloud Apps den Browser auf, die SSL/TLS-Clientzertifikate zu präsentieren, wenn eine entsprechende Sitzung Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff durchläuft. Der Browser stellt die SSL/TLS-Clientzertifikate bereit, die mit einem privaten Schlüssel installiert werden. Diese Kombination aus Zertifikat und privatem Schlüssel erfolgt mithilfe des PKCS #12-Dateiformats, in der Regel .p12 oder .pfx.

Wenn eine Clientzertifikatüberprüfung durchgeführt wird, sucht Defender for Cloud Apps nach den folgenden Bedingungen:

  • Das ausgewählte Clientzertifikat ist gültig und befindet sich unter der richtigen Stamm- oder Zwischenzertifizierungsstelle.
  • Das Zertifikat wird nicht widerrufen (wenn CRL aktiviert ist).

Hinweis

Die meisten großen Browser unterstützen die Durchführung einer Clientzertifikatüberprüfung. Mobile und Desktop-Apps nutzen jedoch häufig integrierte Browser, die diese Überprüfung möglicherweise nicht unterstützen und sich daher auf die Authentifizierung für diese Apps auswirken.

Konfigurieren einer Richtlinie zum Anwenden der Geräteverwaltung über Clientzertifikate

Um die Authentifizierung von relevanten Geräten mithilfe von Clientzertifikaten anzufordern, benötigen Sie ein X.509-SSL/TLS-Zertifikat einer Stamm- oder Zwischenzertifizierungsstelle (CA), das als .PEM-Datei formatiert ist. Zertifikate müssen den öffentlichen Schlüssel der Zertifizierungsstelle enthalten, der dann zum Signieren der während einer Sitzung vorgelegten Clientzertifikate verwendet wird.

Laden Sie Ihre Zertifikate der Stamm- oder Zwischenzertifizierungsstelle in Defender for Cloud Apps auf der Seite Einstellungen > Cloud-Apps > App-Steuerung für bedingten Zugriff > Geräteidentifikation hoch.

Nachdem Sie das Zertifikat hochgeladen haben, können Sie Zugriffs- und Sitzungsrichtlinien basierend auf Gerätetags und einem gültigen Clientzertifikat erstellen.

Um zu testen, wie dies funktioniert, verwenden Sie unsere Beispielstammzertifizierungsstelle und das Clientzertifikat wie folgt:

  1. Laden Sie die Beispielstammzertifizierungsstellen- und das Clientzertifikat herunter.
  2. Laden Sie die Stammzertifizierungsstelle in Defender for Cloud Apps hoch.
  3. Installieren Sie das Clientzertifikat auf den entsprechenden Geräten. Das Kennwort lautet Microsoft.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter Schützen von Apps mit der App-Steuerung für bedingten Zugriff von Microsoft Defender for Cloud Apps.