条件付きアクセスアプリコントロールを使用したid管理対象デバイス
デバイスが管理されているかどうかについて、ポリシーに条件を追加することができます。 デバイスの状態を識別するには、Microsoft Entraがあるかどうかに応じて、特定の条件を確認するようにアクセスポリシーとセッションポリシーを構成します。
Microsoft Entraでデバイス管理を確認します
Microsoft Entraがある場合は、ポリシーでMicrosoft Intune準拠デバイスまたはMicrosoft Entraハイブリッド参加済みデバイスを確認します。
Microsoft Entra の条件付きアクセスでは、Intune 準拠デバイスと Microsoft Entra ハイブリッド 参加済みデバイスの情報を、Defender for Cloud Apps に直接渡すことができます。 そこから、デバイスの状態を考慮するアクセスポリシーまたはセッションポリシーを作成します。 詳細については、 「デバイスIDとは」 を参照してください。
Note
一部のブラウザでは、拡張機能のインストールなどの追加の構成が必要な場合があります。 詳細については、「条件付きアクセス ブラウザのサポート」を参照してください。
Microsoft Entraを使用しないデバイス管理の確認
Microsoft Entraがない場合は、信頼されたチェーンにクライアント証明書が存在するかどうかを確認します。 組織に既に展開されている既存のクライアント証明書を使用するか、新しいクライアント証明書を管理対象デバイスにロールアウトします。
クライアント証明書がコンピューター ストアではなくユーザー ストアにインストールされていることを確認してください。 それらの証明書の存在を利用し、アクセスやセッションのポリシーを設定します。
証明書がアップロードされ、関連するポリシーが構成されると、該当するセッションがDefender for Cloud Appsと条件付きアクセスアプリコントロールをトラバースするときに、Defender for Cloud AppsはブラウザーにSSL/TLSクライアント証明書を提示するように要求します。 ブラウザーは、秘密キーと共にインストールされるSSL/TLSクライアント証明書を提供します。 証明書と秘密キーのこの組み合わせは、PKCS #12 ファイル形式 (通常は p12 または .pfx) を使用して行われます。
クライアント証明書のチェックが実行されるとき、Defender for Cloud Apps によって次の条件が確認されます。
- 選択したクライアント証明書は有効であり、正しいルート CA または中間 CA の下にあります。
- 証明書が取り消されていない (CRL が有効になっている場合)。
Note
ほとんどの主要なブラウザは、クライアント証明書チェックの実行をサポートしています。 ただし、モバイル アプリやデスクトップ アプリは、このチェックをサポートしていない組み込みブラウザを利用することが多いため、これらのアプリの認証に影響を与えます。
クライアント証明書を使用してデバイス管理を適用するポリシーを構成します
クライアント証明書を使用して関連するデバイスからの認証を要求するには、.PEMファイルとして書式設定されたX.509ルートまたは中間認証局 (CA) SSL/TLS証明書が必要です。 証明書にはCAの公開キーが含まれている必要があります。これは、セッション中に提示されるクライアント証明書に署名するために使用されます。
設定>クラウドアプリの >[アプリの条件付きアクセス制御>デバイスの識別] ページで、ルートまたは中間CA証明書をDefender for Cloud Appsにアップロードします。
証明書がアップロードされたら、デバイス タグ と 有効なクライアント証明書 に基づいてアクセス ポリシーとセッション ポリシーを作成できます。
この動作をテストするには、次のように、サンプルのルートCAとクライアント証明書を使用します。
- サンプルの ルート CA と クライアント証明書 をダウンロードします。
- ルート CA を Defender for Cloud Apps にアップロードします。
- クライアント証明書を関連するデバイスにインストールします。 パスワードは
Microsoftです。
関連するコンテンツ
詳細については、Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御によるアプリの保護に関するページを参照してください。