Bagikan melalui

Perangkat yang dikelola identitas dengan kontrol aplikasi akses bersyarah

  • Artikel

Anda mungkin ingin menambahkan kondisi ke kebijakan Anda tentang apakah perangkat dikelola atau tidak. Untuk mengidentifikasi status perangkat, konfigurasikan kebijakan akses dan sesi untuk memeriksa kondisi tertentu, tergantung pada apakah Anda memiliki Microsoft Entra atau tidak.

Periksa manajemen perangkat dengan Microsoft Entra

Jika Anda memiliki Microsoft Entra, minta kebijakan Anda memeriksa perangkat yang mematuhi Microsoft Intune, atau perangkat gabungan hibrid Microsoft Entra.

Microsoft Entra Conditional Access memungkinkan informasi perangkat yang bergabung dengan hibrid Intune dan Microsoft Entra untuk diteruskan langsung ke Defender untuk Cloud Apps. Dari sana, buat kebijakan akses atau sesi yang mempertimbangkan status perangkat. Untuk informasi selengkapnya, lihat Apa itu identitas perangkat?

Catatan

Beberapa browser mungkin memerlukan konfigurasi tambahan seperti menginstal ekstensi. Untuk informasi selengkapnya, lihat Dukungan browser Akses Bersyar.

Periksa manajemen perangkat tanpa Microsoft Entra

Jika Anda tidak memiliki Microsoft Entra, periksa keberadaan sertifikat klien dalam rantai tepercaya. Gunakan sertifikat klien yang sudah ada yang sudah disebarkan di organisasi Anda atau luncurkan sertifikat klien baru ke perangkat terkelola.

Pastikan bahwa sertifikat klien diinstal di penyimpanan pengguna dan bukan penyimpanan komputer. Anda kemudian menggunakan kehadiran sertifikat tersebut untuk mengatur kebijakan akses dan sesi.

Setelah sertifikat diunggah dan kebijakan yang relevan dikonfigurasi, ketika sesi yang berlaku melintasi aplikasi Defender untuk Cloud dan kontrol aplikasi akses bersyarat, Defender untuk Cloud Apps meminta browser untuk menyajikan sertifikat klien SSL/TLS. Browser melayani sertifikat klien SSL/TLS yang diinstal dengan kunci privat. Kombinasi sertifikat dan kunci privat ini dilakukan dengan menggunakan format file PKCS #12, biasanya .p12 atau .pfx.

Saat pemeriksaan sertifikat klien dilakukan, Defender untuk Cloud Apps memeriksa kondisi berikut:

  • Sertifikat klien yang dipilih valid dan berada di bawah CA akar atau menengah yang benar.
  • Sertifikat tidak dicabut (jika CRL diaktifkan).

Catatan

Sebagian besar browser utama mendukung pemeriksaan sertifikat klien. Namun, aplikasi seluler dan desktop sering memanfaatkan browser bawaan yang mungkin tidak mendukung pemeriksaan ini dan karenanya memengaruhi autentikasi untuk aplikasi ini.

Mengonfigurasi kebijakan untuk menerapkan manajemen perangkat melalui sertifikat klien

Untuk meminta autentikasi dari perangkat yang relevan menggunakan sertifikat klien, Anda memerlukan sertifikat SSL/TLS otoritas sertifikat akar atau menengah (CA) X.509, yang diformat sebagai . File PEM . Sertifikat harus berisi kunci publik CA, yang kemudian digunakan untuk menandatangani sertifikat klien yang disajikan selama sesi.

Unggah sertifikat OS akar atau menengah Anda ke aplikasi Defender untuk Cloud di halaman identifikasi Perangkat Kontrol > Aplikasi Akses Bersyar Pengaturan > Cloud Apps>.

Setelah sertifikat diunggah, Anda dapat membuat kebijakan akses dan sesi berdasarkan tag Perangkat dan Sertifikat klien yang valid.

Untuk menguji cara kerjanya, gunakan CONTOH CA akar dan sertifikat klien kami, sebagai berikut:

  1. Unduh CONTOH CA akar dan sertifikat klien.
  2. Unggah OS akar ke aplikasi Defender untuk Cloud.
  3. Instal sertifikat klien ke perangkat yang relevan. Kata sandinya adalah Microsoft.

Konten terkait

Untuk informasi selengkapnya, lihat Melindungi aplikasi dengan kontrol aplikasi akses bersyar Microsoft Defender untuk Cloud Apps.