Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете добавить в политику условия о том, управляется ли устройство. Чтобы определить состояние устройства, настройте политики доступа и сеансов так, чтобы проверять определённые условия, в зависимости от того, используете ли вы Microsoft Entra.
Проверка управления устройствами с помощью Microsoft Entra
Если у вас есть Microsoft Entra, настройте политики так, чтобы они проверяли, соответствуют ли устройства требованиям Microsoft Intune или являются ли они устройствами, гибридно присоединенными к Microsoft Entra.
Условный доступ Microsoft Entra позволяет напрямую передавать в Defender for Cloud Apps сведения об устройствах, соответствующих требованиям Intune, и об устройствах, гибридно присоединенных к Microsoft Entra. В Defender for Cloud Apps создайте политику доступа или сеанса, которая учитывает состояние устройства. Дополнительные сведения см. в статье Что такое удостоверение устройства?
Примечание.
Для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.
Проверка управления устройствами без Microsoft Entra
Если у вас нет Microsoft Entra, проверьте наличие клиентских сертификатов в доверенной цепочке. Используйте существующие клиентские сертификаты, уже развернутые в организации, или развертывайте новые клиентские сертификаты на управляемых устройствах.
Убедитесь, что сертификат клиента установлен в хранилище пользователей, а не в хранилище компьютера. Затем вы используете наличие этих сертификатов для настройки политик доступа и сеансов.
После загрузки сертификата и настройки соответствующей политики, когда соответствующий сеанс проходит через Defender for Cloud Apps и контроль приложений условного доступа, Defender for Cloud Apps запрашивает у браузера предъявление клиентских сертификатов SSL/TLS. Браузер обслуживает сертификаты клиента SSL/TLS, установленные с закрытым ключом. Сертификат и его закрытый ключ обычно упаковываются с помощью формата файла PKCS #12, например P12 или PFX.
При выполнении проверка сертификата клиента Defender for Cloud Apps проверяет наличие следующих условий:
- Выбранный сертификат клиента действителен и находится в правильном корневом или промежуточном ЦС.
- Сертификат не отозван (если включен список отозванных сертификатов).
Примечание.
Большинство основных браузеров поддерживают проверку клиентского сертификата. Однако мобильные и настольные приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверку и поэтому влиять на аутентификацию в этих приложениях.
Настройка политики для применения управления устройствами с помощью сертификатов клиента
Чтобы запросить проверку подлинности с соответствующих устройств с помощью клиентских сертификатов, требуется сертификат SSL/TLS корневого или промежуточного центра сертификации X.509 в формате . PEM-файл . Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса.
Загрузите сертификаты корневого или промежуточного центра сертификации в Defender for Cloud Apps на странице Параметры > Облачные приложения > Управление приложениями с условным доступом > Идентификация устройства.
После отправки сертификатов можно создать политики доступа и сеанса на основе тега устройства и допустимого сертификата клиента.
Чтобы проверить идентификацию устройства на основе сертификатов клиента, используйте наш пример корневого ЦС и сертификата клиента, как показано ниже.
- Скачайте пример сертификата корневого ЦС (PEM) и пример сертификата клиента (PFX).
- Загрузите корневой сертификат центра сертификации в Defender for Cloud Apps.
- Установите сертификат клиента на соответствующие устройства. Пароль:
Microsoft.
Связанные материалы
Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.