Zařízení spravovaná identitou s podmíněným řízením aplikací pro přístup
Do zásad můžete přidat podmínky týkající se toho, jestli je zařízení spravované nebo ne. Pokud chcete zjistit stav zařízení, nakonfigurujte zásady přístupu a relací tak, aby kontrolovaly konkrétní podmínky v závislosti na tom, jestli máte Microsoft Entra nebo ne.
Kontrola správy zařízení pomocí Microsoft Entra
Pokud máte Microsoft Entra, zkontrolujte, jestli vaše zásady kontrolují zařízení kompatibilní s Microsoft Intune nebo hybridní zařízení připojená k Microsoft Entra.
Podmíněný přístup Microsoft Entra umožňuje předávat informace o zařízeních kompatibilních s Intune a Microsoft Entra, které jsou připojené k hybridnímu zařízení, přímo do Defenderu for Cloud Apps. Odtud vytvořte zásadu přístupu nebo relace, která považuje stav zařízení. Další informace najdete v tématu Co je identita zařízení?
Poznámka:
Některé prohlížeče můžou vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.
Kontrola správy zařízení bez Microsoft Entra
Pokud nemáte Microsoft Entra, zkontrolujte přítomnost klientských certifikátů v důvěryhodném řetězu. Použijte stávající klientské certifikáty, které už jsou ve vaší organizaci nasazené, nebo nasaďte nové klientské certifikáty do spravovaných zařízení.
Ujistěte se, že je klientský certifikát nainstalovaný v úložišti uživatelů, a ne v úložišti počítačů. Pak použijete přítomnost těchto certifikátů k nastavení zásad přístupu a relací.
Jakmile se certifikát nahraje a nakonfiguruje se příslušná zásada, služba Defender for Cloud Apps a řízení aplikací podmíněného přístupu požádá Defender for Cloud Apps o prezentaci klientských certifikátů SSL/TLS v prohlížeči. Prohlížeč obsluhuje klientské certifikáty SSL/TLS nainstalované s privátním klíčem. Tato kombinace certifikátu a privátního klíče se provádí ve formátu souboru PKCS #12, obvykle .p12 nebo .pfx.
Když se provede kontrola certifikátu klienta, Defender for Cloud Apps zkontroluje následující podmínky:
- Vybraný klientský certifikát je platný a je pod správnou kořenovou nebo zprostředkující certifikační autoritou.
- Certifikát se neodvolá (pokud je povolený CRL).
Poznámka:
Většina hlavních prohlížečů podporuje kontrolu klientského certifikátu. Mobilní a desktopové aplikace ale často využívají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto mají vliv na ověřování těchto aplikací.
Konfigurace zásad pro použití správy zařízení prostřednictvím klientských certifikátů
Pokud chcete požádat o ověření z příslušných zařízení pomocí klientských certifikátů, potřebujete certifikát SSL/TLS (CA) X.509 root nebo intermediate certificate authority (CA) naformátovaný jako . PEM soubor. Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů prezentovaných během relace.
Nahrajte certifikáty kořenové nebo zprostředkující certifikační autority do programu Defender for Cloud Apps na stránce pro identifikaci zařízení > podmíněného přístupu ke > cloudovým aplikacím Nastavení Cloud Apps>.
Po nahrání certifikátů můžete vytvořit zásady přístupu a relací na základě značky zařízení a platného klientského certifikátu.
Pokud chcete otestovat, jak to funguje, použijte naši ukázkovou kořenovou certifikační autoritu a klientský certifikát následujícím způsobem:
- Stáhněte si ukázkovou kořenovou certifikační autoritu a klientský certifikát.
- Nahrajte kořenovou certifikační autoritu do Programu Defender for Cloud Apps.
- Nainstalujte klientský certifikát na příslušná zařízení. Heslo je
Microsoft
.
Související obsah
Další informace najdete v tématu Ochrana aplikací pomocí Microsoft Defenderu pro řízení podmíněného přístupu k aplikacím cloudových aplikací.