Dispositivos gerenciados por identidade com controle de aplicativo de acesso condicional
Talvez você queira adicionar condições à sua política sobre se um dispositivo é gerenciado ou não. Para identificar o estado de um dispositivo, configure as políticas de acesso e sessão para verificar condições específicas, dependendo se você tem o Microsoft Entra ou não.
Verifique se há gerenciamento de dispositivos com o Microsoft Entra
Se você tiver o Microsoft Entra, peça que suas políticas verifiquem se há dispositivos compatíveis com o Microsoft Intune ou dispositivos híbridos ingressados no Microsoft Entra.
O Acesso Condicional do Microsoft Entra permite que as informações de dispositivos associados ao Intune e híbridos do Microsoft Entra sejam passadas diretamente para o Defender for Cloud Apps. A partir daí, crie uma política de acesso ou sessão que considere o estado do dispositivo. Para obter mais informações, consulte O que é uma identidade de dispositivo?
Nota
Alguns navegadores podem exigir configuração adicional, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de Acesso Condicional.
Verificar se há gerenciamento de dispositivos sem o Microsoft Entra
Se você não tiver o Microsoft Entra, verifique a presença de certificados de cliente em uma cadeia confiável. Use certificados de cliente existentes já implantados em sua organização ou distribua novos certificados de cliente para dispositivos gerenciados.
Certifique-se de que o certificado do cliente está instalado no armazenamento do usuário e não no armazenamento do computador. Em seguida, use a presença desses certificados para definir políticas de acesso e sessão.
Depois que o certificado é carregado e uma política relevante é configurada, quando uma sessão aplicável atravessa o Defender for Cloud Apps e o controle de aplicativo de acesso condicional, o Defender for Cloud Apps solicita que o navegador apresente os certificados de cliente SSL/TLS. O navegador serve os certificados de cliente SSL/TLS que são instalados com uma chave privada. Essa combinação de certificado e chave privada é feita usando o formato de arquivo PKCS #12, normalmente .p12 ou .pfx.
Quando uma verificação de certificado de cliente é executada, o Defender for Cloud Apps verifica as seguintes condições:
- O certificado de cliente selecionado é válido e está sob a CA raiz ou intermediária correta.
- O certificado não será revogado (se a CRL estiver habilitada).
Nota
A maioria dos principais navegadores suporta a realização de uma verificação de certificado de cliente. No entanto, os aplicativos móveis e de desktop geralmente aproveitam navegadores internos que podem não suportar essa verificação e, portanto, afetar a autenticação desses aplicativos.
Configurar uma política para aplicar o gerenciamento de dispositivos por meio de certificados de cliente
Para solicitar autenticação de dispositivos relevantes usando certificados de cliente, você precisa de um certificado SSL (CA) SSL/TLS raiz ou intermediária X.509, formatado como . Arquivo PEM . Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados de cliente apresentados durante uma sessão.
Carregue seus certificados de CA raiz ou intermediários para o Defender for Cloud Apps na página de identificação do dispositivo de controle > de aplicativo de acesso condicional Settings > Cloud Apps>.
Depois que os certificados forem carregados, você poderá criar políticas de acesso e sessão com base na tag Device e no certificado de cliente válido.
Para testar como isso funciona, use nosso exemplo de CA raiz e certificado de cliente, da seguinte maneira:
- Baixe a CA raiz de exemplo e o certificado do cliente.
- Carregue a autoridade de certificação raiz no Defender for Cloud Apps.
- Instale o certificado do cliente nos dispositivos relevantes. A palavra-passe é
Microsoft.
Conteúdos relacionados
Para obter mais informações, consulte Proteger aplicativos com o controle de aplicativo de acesso condicional do Microsoft Defender for Cloud Apps.