Dispositivi gestiti dall'identità con controllo delle app per l'accesso condizionale
È possibile aggiungere condizioni ai criteri per stabilire se un dispositivo è gestito o meno. Per identificare lo stato di un dispositivo, configurare i criteri di accesso e sessione per verificare la presenza di condizioni specifiche, a seconda che si disponga o meno di Microsoft Entra.
Verificare la gestione dei dispositivi con Microsoft Entra
Se si dispone di Microsoft Entra, chiedere ai criteri di verificare la presenza di dispositivi conformi a Microsoft Intune o dispositivi aggiunti a Microsoft Entra ibrido.
L'accesso condizionale Di Microsoft Entra consente di passare direttamente alle app di Defender per il cloud le informazioni sui dispositivi aggiunti all'ambiente ibrido di Intune e microsoft Entra ibrido. Da qui creare un criterio di accesso o sessione che consideri lo stato del dispositivo. Per altre informazioni, vedere Che cos'è un'identità del dispositivo?
Nota
Alcuni browser potrebbero richiedere una configurazione aggiuntiva, ad esempio l'installazione di un'estensione. Per altre informazioni, vedere Supporto del browser per l'accesso condizionale.
Verificare la gestione dei dispositivi senza Microsoft Entra
Se non si dispone di Microsoft Entra, verificare la presenza di certificati client in una catena attendibile. Usare i certificati client esistenti già distribuiti nell'organizzazione o implementare nuovi certificati client nei dispositivi gestiti.
Assicurarsi che il certificato client sia installato nell'archivio utenti e non nell'archivio computer. È quindi possibile usare tali certificati esistenti per impostare i criteri di accesso e di sessione.
Dopo aver caricato il certificato e aver configurato un criterio pertinente, quando una sessione applicabile attraversa Defender per il cloud App e controllo app per l'accesso condizionale, Defender per il cloud le app richiede al browser di presentare i certificati client SSL/TLS. Il browser gestisce i certificati client SSL/TLS installati con una chiave privata. Questa combinazione di certificato e chiave privata viene eseguita usando il formato di file PKCS #12, in genere con estensione p12 o pfx.
Quando viene eseguito un controllo del certificato client, Defender per il cloud App verifica le condizioni seguenti:
- Il certificato client selezionato è valido e si trova nella CA radice o intermedia corretta.
- Il certificato non viene revocato (se CRL è abilitato).
Nota
La maggior parte dei principali browser supporta l'esecuzione di un controllo del certificato client. Tuttavia, le app per dispositivi mobili e desktop spesso sfruttano browser predefiniti che potrebbero non supportare questo controllo e pertanto influiscono sull'autenticazione per queste app.
Configurare un criterio per applicare la gestione dei dispositivi tramite certificati client
Per richiedere l'autenticazione dai dispositivi pertinenti usando i certificati client, è necessario un certificato SSL/TLS X.509 radice o intermedio, formattato come . File PEM . I certificati devono contenere la chiave pubblica della CA, che viene quindi usata per firmare i certificati client presentati durante una sessione.
Caricare i certificati ca radice o intermedi nelle app Defender per il cloud nella pagina Impostazioni > > App per l'accesso condizionale Controllo > app per l'accesso condizionale.
Dopo aver caricato i certificati, è possibile creare criteri di accesso e sessione in base al tag dispositivo e al certificato client valido.
Per testare il funzionamento, usare la CA radice di esempio e il certificato client, come indicato di seguito:
- Scaricare la CA radice di esempio e il certificato client.
- Caricare la CA radice in app Defender per il cloud.
- Installare il certificato client nei dispositivi pertinenti. La password è
Microsoft
.
Contenuto correlato
Per altre informazioni, vedere Proteggere le app con Microsoft Defender per il cloud controllo delle app per l'accesso condizionale.