Поделиться через

Управляемые удостоверениями устройства с помощью управления условным доступом

  • Статья

Возможно, вы хотите добавить условия в политику о том, управляется ли устройство или нет. Чтобы определить состояние устройства, настройте политики доступа и сеанса для проверки определенных условий в зависимости от того, есть ли у вас Microsoft Entra или нет.

Проверка управления устройствами с помощью Microsoft Entra

Если у вас есть Microsoft Entra, убедитесь, что политики проверяют наличие устройств, совместимых с Microsoft Intune, или гибридных устройств, присоединенных к Microsoft Entra.

Условный доступ Microsoft Entra позволяет передавать сведения об устройствах, совместимых с Intune, и данные устройства, присоединенные к Microsoft Entra, напрямую Defender для облака Apps. Создайте политику доступа или сеанса, которая учитывает состояние устройства. Дополнительные сведения см. в разделе " Что такое удостоверение устройства"

Примечание.

Для некоторых браузеров может потребоваться дополнительная конфигурация, например установка расширения. Дополнительные сведения см. в разделе поддержки браузера условного доступа.

Проверка управления устройствами без Microsoft Entra

Если у вас нет Microsoft Entra, проверьте наличие сертификатов клиента в доверенной цепочке. Используйте существующие сертификаты клиента, уже развернутые в организации, или развертывайте новые сертификаты клиента на управляемых устройствах.

Убедитесь, что сертификат клиента установлен в пользовательском хранилище, а не в хранилище компьютеров. Затем используйте эти сертификаты для настройки политик доступа и сеансов.

После отправки сертификата и настройки соответствующей политики, когда соответствующий сеанс проходит Defender для облака приложения и управление приложениями условного доступа, Defender для облака Приложения запрашивают браузер, чтобы представить сертификаты клиента SSL/TLS. Браузер обслуживает сертификаты клиента SSL/TLS, установленные с закрытым ключом. Это сочетание сертификата и закрытого ключа выполняется с помощью формата PKCS #12, обычно p12 или PFX.

При выполнении проверки сертификата клиента Defender для облака Приложения проверяют следующие условия:

  • Выбранный сертификат клиента действителен и находится под правильным корневым или промежуточным ЦС.
  • Сертификат не отозван (если параметр CRL включен).

Примечание.

Большинство основных браузеров поддерживают проверку сертификата клиента. Однако мобильные и классические приложения часто используют встроенные браузеры, которые не поддерживают эту проверку и поэтому влияют на проверку подлинности для этих приложений.

Настройка политики для применения управления устройствами с помощью сертификатов клиента

Чтобы запросить проверку подлинности с соответствующих устройств с помощью сертификатов клиента, вам потребуется корневой или промежуточный сертификат центра сертификации (ЦС) SSL/TLS, отформатированный как сертификат. PEM-файл . Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса.

Отправьте корневые или промежуточные сертификаты ЦС в Defender для облака Приложения на странице идентификации устройства управления > условным доступом > к облачным приложениям>.

После отправки сертификатов можно создать политики доступа и сеансов на основе тега устройства и допустимого сертификата клиента.

Чтобы проверить, как это работает, используйте пример корневого ЦС и сертификата клиента, как показано ниже.

  1. Скачайте пример корневого ЦС и сертификата клиента.
  2. Отправьте корневой ЦС в Defender для облака Приложения.
  3. Установите сертификат клиента на соответствующие устройства. Пароль имеет значение Microsoft.

Связанный контент

Дополнительные сведения см. в разделе "Защита приложений с помощью управления условным доступом к приложениям Microsoft Defender для облака".