Устройства, управляемые удостоверениями, с элементом управления условным доступом к приложениям

Вы можете добавить в политику условия о том, управляется ли устройство. Чтобы определить состояние устройства, настройте политики доступа и сеансов так, чтобы проверять определённые условия, в зависимости от того, используете ли вы Microsoft Entra.

Проверка управления устройствами с помощью Microsoft Entra

Если у вас есть Microsoft Entra, настройте политики так, чтобы они проверяли, соответствуют ли устройства требованиям Microsoft Intune или являются ли они устройствами, гибридно присоединенными к Microsoft Entra.

Условный доступ Microsoft Entra позволяет напрямую передавать в Defender for Cloud Apps сведения об устройствах, соответствующих требованиям Intune, и об устройствах, гибридно присоединенных к Microsoft Entra. В Defender for Cloud Apps создайте политику доступа или сеанса, которая учитывает состояние устройства. Дополнительные сведения см. в статье Что такое удостоверение устройства?

Примечание.

Для некоторых браузеров может потребоваться дополнительная настройка, например установка расширения. Дополнительные сведения см. в разделе Поддержка браузера условного доступа.

Проверка управления устройствами без Microsoft Entra

Если у вас нет Microsoft Entra, проверьте наличие клиентских сертификатов в доверенной цепочке. Используйте существующие клиентские сертификаты, уже развернутые в организации, или развертывайте новые клиентские сертификаты на управляемых устройствах.

Убедитесь, что сертификат клиента установлен в хранилище пользователей, а не в хранилище компьютера. Затем вы используете наличие этих сертификатов для настройки политик доступа и сеансов.

После загрузки сертификата и настройки соответствующей политики, когда соответствующий сеанс проходит через Defender for Cloud Apps и контроль приложений условного доступа, Defender for Cloud Apps запрашивает у браузера предъявление клиентских сертификатов SSL/TLS. Браузер обслуживает сертификаты клиента SSL/TLS, установленные с закрытым ключом. Сертификат и его закрытый ключ обычно упаковываются с помощью формата файла PKCS #12, например P12 или PFX.

При выполнении проверка сертификата клиента Defender for Cloud Apps проверяет наличие следующих условий:

  • Выбранный сертификат клиента действителен и находится в правильном корневом или промежуточном ЦС.
  • Сертификат не отозван (если включен список отозванных сертификатов).

Примечание.

Большинство основных браузеров поддерживают проверку клиентского сертификата. Однако мобильные и настольные приложения часто используют встроенные браузеры, которые могут не поддерживать эту проверку и поэтому влиять на аутентификацию в этих приложениях.

Настройка политики для применения управления устройствами с помощью сертификатов клиента

Чтобы запросить проверку подлинности с соответствующих устройств с помощью клиентских сертификатов, требуется сертификат SSL/TLS корневого или промежуточного центра сертификации X.509 в формате . PEM-файл . Сертификаты должны содержать открытый ключ ЦС, который затем используется для подписи сертификатов клиента, представленных во время сеанса.

Загрузите сертификаты корневого или промежуточного центра сертификации в Defender for Cloud Apps на странице Параметры > Облачные приложения > Управление приложениями с условным доступом > Идентификация устройства.

После отправки сертификатов можно создать политики доступа и сеанса на основе тега устройства и допустимого сертификата клиента.

Чтобы проверить идентификацию устройства на основе сертификатов клиента, используйте наш пример корневого ЦС и сертификата клиента, как показано ниже.

  1. Скачайте пример сертификата корневого ЦС (PEM) и пример сертификата клиента (PFX).
  2. Загрузите корневой сертификат центра сертификации в Defender for Cloud Apps.
  3. Установите сертификат клиента на соответствующие устройства. Пароль: Microsoft.

Дополнительные сведения см. в статье Защита приложений с помощью Microsoft Defender for Cloud Apps управления условным доступом.