使用条件访问应用控制的身份管理设备
您可能想要在策略中添加设备是否受管理的条件。 若要识别设备的状态,可配置访问和会话策略来检查特定条件,具体取决于是否具有 Microsoft Entra。
使用 Microsoft Entra 检查设备管理
如果您有 Microsoft Entra,请让您的策略检查 Microsoft Intune 兼容设备或 Microsoft Entra 混合加入设备。
Microsoft Entra 条件访问允许符合 Intune 和已建立 Microsoft Entra 混合联接设备信息直接传到 Defender for Cloud Apps。 在此处创建考虑设备状态的访问或会话策略。 有关详细信息,请参阅什么是设备标识?。
注意
某些浏览器可能需要其他配置,例如安装扩展。 有关详细信息,请参阅条件访问浏览器支持。
在没有 Microsoft Entra 的情况下检查设备管理
如果没有 Microsoft Entra,检查可信链中是否存在客户端证书。 使用已在组织中部署的现有客户端证书,也可以将新的客户端证书迁出到受管理设备。
确保客户端证书安装在用户存储而不是计算机存储中。 然后,就可以使用这些证书来设置访问和会话策略。
上传证书并配置相关策略后,当适用的会话遍历 Defender for Cloud 应用和条件访问应用控制时,Defender for Cloud 应用会请求浏览器提供 SSL/TLS 客户端证书。 浏览器会提供随私钥安装的 SSL/TLS 客户端证书。 证书和私钥的组合使用 PKCS #12 文件格式(通常为 .p12 或 .pfx)完成。
执行客户端证书检查时,Defender for Cloud Apps 会检查以下条件是否满足:
- 所选客户端证书有效,且位于正确的根或中间 CA 下。
- 证书未吊销(如果 CRL 已启用)。
注意
大多数主浏览器都支持客户端证书检查。 但是,移动和桌面应用通常使用可能不支持此检查的内置浏览器,从而这些应用的身份验证。
配置策略以通过客户端证书应用设备管理
若要使用客户端证书从相关设备请求身份验证,需要格式为 .PEM 文件的 X.509 根证书颁发机构或中间证书颁发机构 (CA) SSL/TLS 证书。 证书必须包含 CA 的公钥,然后使用该公钥对会话期间提供的客户端证书进行签名。
在设置 > Cloud Apps >条件访问应用控制>设备标识页中,将根或中间 CA 证书上传到 Defender for Cloud Apps。
上传证书后,可根据“设备标记”和“有效的客户端证书”创建访问策略和会话策略。
若要测试其工作原理,请使用我们的示例根 CA 和客户端证书,如下所示:
相关内容
有关详细信息,请参阅使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用。