Zařízení spravovaná identitou s podmíněným řízením aplikací pro přístup

  • Článek

Do zásad můžete přidat podmínky týkající se toho, jestli je zařízení spravované nebo ne. Pokud chcete zjistit stav zařízení, nakonfigurujte zásady přístupu a relací tak, aby kontrolovaly konkrétní podmínky v závislosti na tom, jestli máte Microsoft Entra nebo ne.

Kontrola správy zařízení pomocí Microsoft Entra

Pokud máte Microsoft Entra, zkontrolujte, jestli vaše zásady kontrolují zařízení kompatibilní s Microsoft Intune nebo hybridní zařízení připojená k Microsoft Entra.

Podmíněný přístup Microsoft Entra umožňuje předávat informace o zařízeních kompatibilních s Intune a Microsoft Entra, které jsou připojené k hybridnímu zařízení, přímo do Defenderu for Cloud Apps. Odtud vytvořte zásadu přístupu nebo relace, která považuje stav zařízení. Další informace najdete v tématu Co je identita zařízení?

Poznámka:

Některé prohlížeče můžou vyžadovat další konfiguraci, například instalaci rozšíření. Další informace najdete v tématu Podpora prohlížeče podmíněného přístupu.

Kontrola správy zařízení bez Microsoft Entra

Pokud nemáte Microsoft Entra, zkontrolujte přítomnost klientských certifikátů v důvěryhodném řetězu. Použijte stávající klientské certifikáty, které už jsou ve vaší organizaci nasazené, nebo nasaďte nové klientské certifikáty do spravovaných zařízení.

Ujistěte se, že je klientský certifikát nainstalovaný v úložišti uživatelů, a ne v úložišti počítačů. Pak použijete přítomnost těchto certifikátů k nastavení zásad přístupu a relací.

Jakmile se certifikát nahraje a nakonfiguruje se příslušná zásada, služba Defender for Cloud Apps a řízení aplikací podmíněného přístupu požádá Defender for Cloud Apps o prezentaci klientských certifikátů SSL/TLS v prohlížeči. Prohlížeč obsluhuje klientské certifikáty SSL/TLS nainstalované s privátním klíčem. Tato kombinace certifikátu a privátního klíče se provádí ve formátu souboru PKCS #12, obvykle .p12 nebo .pfx.

Když se provede kontrola certifikátu klienta, Defender for Cloud Apps zkontroluje následující podmínky:

  • Vybraný klientský certifikát je platný a je pod správnou kořenovou nebo zprostředkující certifikační autoritou.
  • Certifikát se neodvolá (pokud je povolený CRL).

Poznámka:

Většina hlavních prohlížečů podporuje kontrolu klientského certifikátu. Mobilní a desktopové aplikace ale často využívají integrované prohlížeče, které nemusí tuto kontrolu podporovat, a proto mají vliv na ověřování těchto aplikací.

Konfigurace zásad pro použití správy zařízení prostřednictvím klientských certifikátů

Pokud chcete požádat o ověření z příslušných zařízení pomocí klientských certifikátů, potřebujete certifikát SSL/TLS (CA) X.509 root nebo intermediate certificate authority (CA) naformátovaný jako . PEM soubor. Certifikáty musí obsahovat veřejný klíč certifikační autority, který se pak použije k podepsání klientských certifikátů prezentovaných během relace.

Nahrajte certifikáty kořenové nebo zprostředkující certifikační autority do programu Defender for Cloud Apps na stránce pro identifikaci zařízení > podmíněného přístupu ke > cloudovým aplikacím Nastavení Cloud Apps>.

Po nahrání certifikátů můžete vytvořit zásady přístupu a relací na základě značky zařízení a platného klientského certifikátu.

Pokud chcete otestovat, jak to funguje, použijte naši ukázkovou kořenovou certifikační autoritu a klientský certifikát následujícím způsobem:

  1. Stáhněte si ukázkovou kořenovou certifikační autoritu a klientský certifikát.
  2. Nahrajte kořenovou certifikační autoritu do Programu Defender for Cloud Apps.
  3. Nainstalujte klientský certifikát na příslušná zařízení. Heslo je Microsoft.

Související obsah

Další informace najdete v tématu Ochrana aplikací pomocí Microsoft Defenderu pro řízení podmíněného přístupu k aplikacím cloudových aplikací.