Door identiteit beheerde apparaten met app-beheer voor voorwaardelijke toegang
Mogelijk wilt u voorwaarden toevoegen aan uw beleid over of een apparaat wordt beheerd of niet. Als u de status van een apparaat wilt identificeren, configureert u toegangs- en sessiebeleid om te controleren op specifieke voorwaarden, afhankelijk van of u Microsoft Entra hebt of niet.
Controleren op apparaatbeheer met Microsoft Entra
Als u Microsoft Entra hebt, moet u uw beleid controleren op apparaten die compatibel zijn met Microsoft Intune of hybride apparaten van Microsoft Entra.
Met voorwaardelijke toegang van Microsoft Entra kunnen aan Intune compatibele en hybride apparaatgegevens van Microsoft Entra rechtstreeks worden doorgegeven aan Defender voor Cloud-apps. Maak daar een toegangs- of sessiebeleid dat de status van het apparaat in acht neemt. Zie de what is a device identity (Wat is een apparaat-id) voor meer informatie?
Notitie
Voor sommige browsers is mogelijk extra configuratie vereist, zoals het installeren van een extensie. Zie de ondersteuning van de browser voor voorwaardelijke toegang voor meer informatie.
Controleren op apparaatbeheer zonder Microsoft Entra
Als u geen Microsoft Entra hebt, controleert u op de aanwezigheid van clientcertificaten in een vertrouwde keten. Gebruik bestaande clientcertificaten die al in uw organisatie zijn geïmplementeerd of implementeer nieuwe clientcertificaten op beheerde apparaten.
Zorg ervoor dat het clientcertificaat is geïnstalleerd in het gebruikersarchief en niet in het computerarchief. Vervolgens gebruikt u de aanwezigheid van deze certificaten om toegangs- en sessiebeleid in te stellen.
Zodra het certificaat is geüpload en een relevant beleid is geconfigureerd, vraagt Defender voor Cloud Apps de browser om de SSL/TLS-clientcertificaten te presenteren wanneer een toepasselijke sessie Defender voor Cloud Apps en app-beheer voor voorwaardelijke toegang doorkruist. De browser dient de SSL/TLS-clientcertificaten die zijn geïnstalleerd met een persoonlijke sleutel. Deze combinatie van certificaat en persoonlijke sleutel wordt uitgevoerd met behulp van de PKCS #12-bestandsindeling, meestal .p12 of .pfx.
Wanneer een controle van een clientcertificaat wordt uitgevoerd, controleert Defender voor Cloud Apps op de volgende voorwaarden:
- Het geselecteerde clientcertificaat is geldig en bevindt zich onder de juiste basis- of tussenliggende CA.
- Het certificaat wordt niet ingetrokken (als CRL is ingeschakeld).
Notitie
De meeste belangrijke browsers ondersteunen het uitvoeren van een controle van een clientcertificaat. Mobiele en desktop-apps maken echter vaak gebruik van ingebouwde browsers die deze controle mogelijk niet ondersteunen en dus van invloed zijn op verificatie voor deze apps.
Een beleid configureren om apparaatbeheer toe te passen via clientcertificaten
Als u verificatie wilt aanvragen bij relevante apparaten met behulp van clientcertificaten, hebt u een X.509-basis- of CA-certificaat (CA) SSL/TLS-certificaat nodig, opgemaakt als een . PEM-bestand . Certificaten moeten de openbare sleutel van de CA bevatten, die vervolgens wordt gebruikt om de clientcertificaten te ondertekenen die tijdens een sessie worden gepresenteerd.
Upload uw basis- of tussenliggende CA-certificaten naar Defender voor Cloud Apps op de pagina Apparaatidentificatie van app-beheer > voor voorwaardelijke toegang voor cloud-apps > >.
Nadat de certificaten zijn geüpload, kunt u toegangs- en sessiebeleid maken op basis van apparaattag en geldig clientcertificaat.
Als u wilt testen hoe dit werkt, gebruikt u het voorbeeld van de basis-CA en het clientcertificaat als volgt:
- Download het voorbeeld van de basis-CA en het clientcertificaat.
- Upload de basis-CA naar Defender voor Cloud Apps.
- Installeer het clientcertificaat op de relevante apparaten. Het wachtwoord is
Microsoft
.
Gerelateerde inhoud
Zie Apps beveiligen met Microsoft Defender voor Cloud App-beheer voor voorwaardelijke toegang voor apps voor meer informatie.