Share via

Urządzenia zarządzane przez tożsamość z kontrolą aplikacji dostępu warunkowego

  • Artykuł

Możesz dodać warunki do zasad o tym, czy urządzenie jest zarządzane, czy nie. Aby zidentyfikować stan urządzenia, skonfiguruj zasady dostępu i sesji, aby sprawdzić określone warunki, w zależności od tego, czy masz firmę Microsoft Entra, czy nie.

Sprawdzanie zarządzania urządzeniami w firmie Microsoft Entra

Jeśli masz firmę Microsoft Entra, upewnij się, że zasady są sprawdzane pod kątem urządzeń zgodnych z usługą Microsoft Intune lub urządzeń dołączonych hybrydowo do firmy Microsoft Entra.

Dostęp warunkowy firmy Microsoft Entra umożliwia przekazywanie informacji o urządzeniu dołączonym hybrydowo do usługi Microsoft Entra w usłudze Intune bezpośrednio do aplikacji Defender dla Chmury. W tym miejscu utwórz zasady dostępu lub sesji, które uznają stan urządzenia. Aby uzyskać więcej informacji, zobacz Co to jest tożsamość urządzenia?

Uwaga

Niektóre przeglądarki mogą wymagać dodatkowej konfiguracji, takiej jak instalowanie rozszerzenia. Aby uzyskać więcej informacji, zobacz Obsługa przeglądarki dostępu warunkowego.

Sprawdzanie zarządzania urządzeniami bez firmy Microsoft Entra

Jeśli nie masz firmy Microsoft Entra, sprawdź obecność certyfikatów klienta w zaufanym łańcuchu. Użyj istniejących certyfikatów klienta już wdrożonych w organizacji lub wdróż nowe certyfikaty klienta na zarządzanych urządzeniach.

Upewnij się, że certyfikat klienta jest zainstalowany w magazynie użytkownika, a nie w magazynie komputerów. Następnie użyjesz obecności tych certyfikatów, aby ustawić zasady dostępu i sesji.

Po przekazaniu certyfikatu i skonfigurowaniu odpowiednich zasad, gdy odpowiednia sesja przechodzi Defender dla Chmury Aplikacje i kontrola aplikacji dostępu warunkowego, Defender dla Chmury Aplikacje żąda przeglądarki przedstawienia certyfikatów klienta SSL/TLS. Przeglądarka obsługuje certyfikaty klienta SSL/TLS zainstalowane przy użyciu klucza prywatnego. Ta kombinacja certyfikatu i klucza prywatnego odbywa się przy użyciu formatu pliku PKCS #12, zazwyczaj .p12 lub pfx.

Po zakończeniu sprawdzania certyfikatu klienta Defender dla Chmury Apps sprawdza następujące warunki:

  • Wybrany certyfikat klienta jest prawidłowy i znajduje się w prawidłowym głównym lub pośrednim urzędzie certyfikacji.
  • Certyfikat nie jest odwołany (jeśli lista CRL jest włączona).

Uwaga

Większość głównych przeglądarek obsługuje sprawdzanie certyfikatu klienta. Jednak aplikacje mobilne i klasyczne często korzystają z wbudowanych przeglądarek, które mogą nie obsługiwać tego sprawdzania i w związku z tym mają wpływ na uwierzytelnianie tych aplikacji.

Konfigurowanie zasad stosowania zarządzania urządzeniami za pomocą certyfikatów klienta

Aby zażądać uwierzytelniania z odpowiednich urządzeń przy użyciu certyfikatów klienta, musisz mieć certyfikat SSL/TLS X.509 (główny lub pośredni urząd certyfikacji), sformatowany jako . Plik PEM . Certyfikaty muszą zawierać klucz publiczny urzędu certyfikacji, który jest następnie używany do podpisywania certyfikatów klienta przedstawionych podczas sesji.

Przekaż certyfikaty głównego lub pośredniego urzędu certyfikacji do aplikacji Defender dla Chmury na stronie identyfikacji urządzeń kontroli > dostępu warunkowego aplikacji w usłudze Ustawienia > Cloud Apps>.

Po przekazaniu certyfikatów można utworzyć zasady dostępu i sesji na podstawie tagu urządzenia i prawidłowego certyfikatu klienta.

Aby przetestować, jak to działa, użyj naszego przykładowego głównego urzędu certyfikacji i certyfikatu klienta w następujący sposób:

  1. Pobierz przykładowy główny urząd certyfikacji i certyfikat klienta.
  2. Przekaż główny urząd certyfikacji do aplikacji Defender dla Chmury.
  3. Zainstaluj certyfikat klienta na odpowiednich urządzeniach. Hasło to Microsoft.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Protect apps with Microsoft Defender dla Chmury Apps conditional access app control (Ochrona aplikacji za pomocą kontroli dostępu warunkowego w usłudze Microsoft Defender dla Chmury Apps).