Dispositivos administrados por identidades con control de aplicaciones de acceso condicional

  • Artículo

Es posible que quiera agregar una serie de condiciones a la directiva para establecer si un dispositivo está administrado o no. Para identificar el estado de un dispositivo, configure las directivas de acceso y de sesión para comprobar si hay condiciones específicas, en función de si tiene Microsoft Entra o no.

Comprobación de administración de dispositivos con Microsoft Entra

Si tiene Microsoft Entra, haga que las directivas comprueben los dispositivos compatibles con Microsoft Intune o los dispositivos unidos a dispositivos híbridos de Microsoft Entra.

El acceso condicional de Microsoft Entra permite que la información de los dispositivos unidos conformes con Intune o de Microsoft Entra híbrido se pase directamente a Defender for Cloud Apps. Ahí, cree una directiva de acceso o de sesión que tenga en cuenta el estado del dispositivo. Para obtener más información, consulte ¿Qué es una identidad de dispositivo?

Nota:

Algunos exploradores pueden requerir una configuración adicional, como instalar una extensión. Para obtener más información, consulte Soporte del navegador para acceso condicional.

Comprobación de administración de dispositivos sin Microsoft Entra

Si no tiene Microsoft Entra, compruebe la presencia de certificados de cliente en una cadena de confianza. Use certificados de cliente existentes ya implementados en la organización o implantar nuevos certificados de cliente a los dispositivos administrados.

Asegúrese de que el certificado de cliente está instalado en el almacén de usuarios y no en el almacén del equipo. Después utilizará la presencia de esos certificados para establecer directivas de acceso y sesión.

Una vez cargado el certificado y configurada la directiva correspondiente, cuando una sesión aplicable atraviesa Defender for Cloud Apps y el control de aplicaciones de acceso condicional, Defender for Cloud Apps solicitará al explorador que presente los certificados de cliente SSL/TLS. El explorador facilita los certificados de cliente SSL/TLS instalados con una clave privada. Esta combinación de certificado y clave privada se realiza mediante el formato de archivo PKCS #12, normalmente .p12 o .pfx.

Cuando se realiza una comprobación de certificados de cliente, Defender for Cloud Apps comprueba las condiciones siguientes:

  • El certificado de cliente seleccionado es válido y está bajo la entidad de certificación raíz o intermedia correcta.
  • El certificado no se revoca (si CRL está habilitado).

Nota:

La mayoría de los exploradores principales admiten la realización de una comprobación de certificados de cliente. Sin embargo, las aplicaciones móviles y de escritorio suelen aprovechar los exploradores integrados que pueden no admitir esta comprobación y, por lo tanto, afectan a la autenticación de estas aplicaciones.

Configuración de una directiva para aplicar la administración de dispositivos a través de certificados de cliente

Para solicitar una autenticación a través de los dispositivos correspondientes mediante certificados de cliente, necesita un certificado SSL/TLS de entidad de certificación X.509 o intermedio, con el formato de archivo .PEM. Los certificados deben incluir la clave pública de la CA, que luego se usa para firmar los certificados de cliente presentados durante una sesión.

Cargue los certificados de CA de raíz o intermedios en Defender for Cloud Apps en la página Configuración > Aplicaciones en la nube > Control de aplicaciones de acceso condicional > Identificación de dispositivos.

Tras cargar los certificados, puede crear directivas de acceso y sesión basadas en la configuración de la opción Etiqueta de dispositivo y Certificado de cliente válido.

Para probar cómo funciona esto, use nuestra CA raíz de ejemplo y el certificado de cliente, tal como se indica a continuación:

  1. Descargue la CA raíz de ejemplo y el certificado de cliente.
  2. Cargue la entidad de certificación raíz en Defender for Cloud Apps.
  3. Instale el certificado de cliente en el dispositivo en cuestión. La contraseña es Microsoft.

Contenido relacionado

Para obtener más información, consulte Protección de aplicaciones con control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps.