设置 Cisco Duo 设备信任连接器

Microsoft Edge 商业版 与 Cisco Duo 连接，通过启用设备信任验证来增强安全性，而无需其他代理。 通过简单的 Duo 实现简化安全管理，确保安全的应用程序访问和增强的浏览器保护。

必备条件

• 访问Microsoft Entra 管理员中心 
• 访问Microsoft 365 管理员中心
• 以具有所有者、管理员或应用程序管理器管理角色的管理员身份访问 Duo 管理员 面板。  
• 要注册具有 Windows OS 的设备

Cisco Duo 管理员 门户设置

1. 创建边缘设备信任连接器集成

1. 登录到 Duo 管理员面板，并导航到“设备”部分下的“受信任的终结点”。
2. 如果这是你的第一次管理集成，请单击“受信任的终结点”简介页底部的 “入门 ”按钮。 如果要添加其他管理集成，请改为单击页面顶部显示的 “添加集成 ”按钮。
3. 在“添加管理工具集成”页上，在“设备管理工具”列表中找到Microsoft Edge 商业版设备信任连接器，然后单击“添加此集成”选择器。
4. 从“推荐”选项中选择 “Windows ”，然后单击“ 添加 ”按钮。

新的Microsoft Edge 商业版设备信任连接器集成以“已禁用”状态创建。 准备好应用 Duo 受信任的终结点策略时，将打开它。 如果 Edge for Business 设备信任连接器信任检查失败，任何基于 Duo Desktop 的活动集成都将运行信任检查作为回退。

在设置过程中，使 Duo 管理员 面板在浏览器中保持打开状态。 需要返回到 Edge for Business 设备信任连接器集成页，以完成Microsoft Entra配置步骤。

2. 在 Microsoft Entra 中创建新的应用注册

1. 导航到“Microsoft Entra 管理中心>应用程序>”应用注册>“新建注册”。

2. 注册新应用程序。 允许访问“任何组织目录中的帐户 (任何Microsoft Entra ID租户 - 多租户) ”。

3. 导航到新创建的应用注册。 使用左侧导航，在“管理”下转到“证书 & 机密”。 为应用程序创建新的客户端密码，以便在后续步骤中使用。

4. 在左侧导航栏中，转到“管理 > API 权限”。 在新创建的应用注册上配置所需的权限，以授予应用程序访问设备信任 API 的权限。

   4.1. 在“我的组织使用的 API”选项卡中搜索“Microsoft Edge 管理服务”。单击生成的行。 注意：如果未看到该应用程序，则需要将其添加到租户。

   4.2 如果在租户中找不到 Microsoft Edge 管理服务 ， 则必须将应用程序添加到租户中才能看到它。 导航到 Graph 资源管理器并使用帐户登录。 执行此作后，复制显示的请求并执行， (应用 ID 为 ff846ae4-7ec9-42f4-8576eb14198ad5e1) 。 确保在“修改权限”选项卡上授予图形资源管理器权限。完成此步骤后，应会看到租户中的Microsoft Edge 管理服务

4.3. 选择“应用程序权限”并添加“DeviceTrust.Read.All”权限。

在边缘管理服务中配置连接器

1. 导航到Microsoft管理员中心
   转到 https://admin.microsoft.com/Adminportal/Home#/Edge/Connectors

   • 管理员必须设置配置策略才能分配给任何连接器配置。 按照本指南创建配置策略。
   • 创建至少一个配置策略后，请访问 边缘管理服务中的“连接器”页 ，以访问边缘管理服务中的“连接器”页。

2. 发现连接器
   在 “发现连接器”下，找到 “Cisco Duo 设备信任连接器 ”，然后选择“ 设置”。

3. 选择策略
   在 “选择策略” 字段中，选择适合连接器配置的策略。

4. 输入 URL 模式
   在 允许的 URL 模式中，每行字段一个 ，输入“https://duosecurity.com”。

5. 保存配置
   选择“ 保存配置 ”以应用更改。

完成受信任的终结点部署

创建 Edge for Business 设备信任连接器受信任终结点集成后，设置 “受信任的终结点” 策略，以便在用户向受 Duo 保护的服务和应用程序进行身份验证时开始检查 Edge for Business 浏览器注册。 

将受信任的终结点策略应用于 Duo 应用程序时，返回到 Edge for Business

管理员面板中的设备信任连接器 [受信任终结点] 集成。 页面的“更改集成状态”部分显示创建) 后默认禁用的当前集成状态 (。 可以选择仅针对指定测试组或组的成员激活此集成，也可以为所有用户激活此集成。 

 

Duo 管理员面板中的 Device Insight 和 Endpoints 页面显示验证了哪些访问设备。  

验证设置

使用托管 Edge for Business 浏览器对受保护的应用程序进行身份验证。  

当“受信任的终结点”策略设置为“允许所有终结点”时，用户会收到对应用程序的访问权限， (假设托管 Edge 浏览器通过所有其他策略验证) ，并且 Duo 会记录该浏览器的受信任或不受信任的状态。  

如果“受信任的终结点”策略设置为“需要受信任的终结点”，并且 Duo 根据所需的策略设置成功验证托管 Edge for Business 浏览器的管理状态和配置，则用户将接收对受保护应用程序的访问权限。 

如果托管 Edge for Business 浏览器未通过配置和策略检查，Duo 将拒绝从非托管浏览器访问应用程序。