Appareils à gestion d’identité avec contrôle par application à accès conditionnel

  • Article

Vous pourriez vouloir ajouter des conditions à votre stratégie pour savoir si un appareil est géré ou non. Pour identifier l’état d’un appareil, configurez les stratégies d’accès et de session pour vérifier des conditions spécifiques, selon que vous disposez ou non de Microsoft Entra.

Vérifier la gestion des appareils avec Microsoft Entra

Si vous disposez de Microsoft Entra, demandez à vos stratégies de vérifier la présence d’appareils conformes à Microsoft Intune ou d’appareils hybrides Microsoft Entra.

L’accès conditionnel Microsoft Entra permet aux informations d’appareil à jonction hybride conforme Intune et Microsoft Entra d’être transmises directement à Defender for Cloud Apps. À partir de là, créez une stratégie d’accès ou de session qui prend en compte l’état de l’appareil. Pour en savoir plus, consultez Qu’est-ce qu’une identité de périphérique ?

Remarque

Certains navigateurs peuvent nécessiter une configuration supplémentaire telle que l’installation d’une extension. Pour plus d’informations, consultez Prise en charge du navigateur Accès conditionnel.

Vérifier la gestion des appareils sans Microsoft Entra

Si vous n’avez pas Microsoft Entra, vérifiez la présence de certificats clients dans une chaîne approuvée. Utilisez soit les certificats clients existants déjà déployés dans votre organisation, soit déployez de nouveaux certificats clients sur les appareils gérés.

Vérifiez que le certificat client est installé dans le magasin d’utilisateurs et non dans le magasin d’ordinateurs. Vous profitez ensuite de la présence de ces certificats pour définir des stratégies d’accès et de session.

Une fois le certificat téléchargé et une stratégie pertinente configurée, lorsqu’une session applicable traverse Defender for Cloud Apps et le contrôle des applications à accès conditionnel, Defender for Cloud Apps demande au navigateur de présenter les certificats client SSL/TLS. Le navigateur sert les certificats client SSL/TLS qui sont installés avec une clé privée. Cette combinaison de certificat et de clé privée est effectuée à l’aide du format de fichier PKCS #12, généralement .p12 ou .pfx.

Lorsqu’une vérification du certificat client est effectuée, Defender for Cloud Apps vérifie les conditions suivantes :

  • Le certificat client sélectionné est valide et se trouve sous l’autorité de certification racine ou intermédiaire correcte.
  • Le certificat n’est pas révoqué (si la liste de révocation de certificats est activée).

Remarque

La plupart des principaux navigateurs prennent en charge l’exécution d’une vérification du certificat client. Toutefois, les applications mobiles et de bureau utilisent souvent des navigateurs intégrés qui peuvent ne pas prendre en charge cette vérification et donc affecter l’authentification pour ces applications.

Configurez une stratégie pour appliquer la gestion des appareils via les certificats clients.

Pour requérir l’authentification des appareils concernés à l’aide de certificats clients, vous devez disposer d’un certificat SSL/TLS racine ou intermédiaire de l’autorité de certification (AC) X.509, formaté sous la forme d’un fichier .PEM. Les certificats doivent contenir la clé publique de l’autorité de certification, qui est ensuite utilisée pour signer les certificats clients présentés au cours d’une session.

Téléchargez vos certificats d’autorité de certification racine ou intermédiaire vers Defender pour Cloud Apps dans la page Réglages > Applications Cloud > Contrôle des applications à accès conditionnel > Identification de l’appareil.

Une fois les certificats chargés, vous pouvez créer des stratégies d’accès et de session basées sur une balise d’appareil et un certificat client valide.

Pour tester ce fonctionnement, utilisez notre exemple d’autorité de certification racine et de certificat client, comme suit :

  1. Téléchargez l’exemple d’AC racine et de certificat client.
  2. Chargez l’autorité de certification racine dans Defender for Cloud Apps.
  3. Installez le certificat client sur les appareils concernés. Le mot de passe est Microsoft.

Contenu connexe

Pour en savoir plus, consultez Protéger les applications avec le contrôle d’accès conditionnel des apps par Microsoft Defender pour Cloud Apps.