Compartilhar via

Dispositivos gerenciados por identidade com Controle de Aplicativos de Acesso Condicional

  • Artigo

Convém adicionar condições à sua política sobre se um dispositivo é gerenciado ou não. Para identificar o estado de um dispositivo, configure as políticas de acesso e sessão para verificar se há condições específicas, dependendo de você ter o Microsoft Entra ou não.

Verificar o gerenciamento de dispositivos com o Microsoft Entra

Se você tiver o Microsoft Entra, faça com que suas políticas verifiquem se há dispositivos compatíveis com o Microsoft Intune ou dispositivos ingressados no Microsoft Entra híbrido.

O Acesso Condicional do Microsoft Entra permite que as informações de um dispositivo em conformidade com o Intune e ingressado de forma híbrida no Microsoft Entra sejam passadas diretamente para o Defender para Aplicativos de Nuvem. A partir daí, crie uma política de acesso ou sessão que considere o estado do dispositivo. Para obter mais informações, consulte O que é uma identidade do dispositivo?

Observação

Alguns navegadores podem exigir configuração adicional, como a instalação de uma extensão. Para obter mais informações, consulte Suporte ao navegador de acesso condicional.

Verificar o gerenciamento de dispositivos sem o Microsoft Entra

Se você não tiver o Microsoft Entra, verifique a presença de certificados de cliente em uma cadeia confiável. Use certificados existentes do cliente já implantados em sua organização ou distribuir novos certificados do cliente para dispositivos gerenciados.

Verifique se o certificado do cliente está instalado no armazenamento do usuário e não no armazenamento do computador. Você usa a presença desses certificados para definir políticas de acesso e de sessão.

Depois que o certificado é carregado e uma política relevante é configurada, quando uma sessão aplicável atravessa o Defender para Aplicativos de nuvem e o Controle de Aplicativos de Acesso Condicional, o Defender para Aplicativos de nuvem solicita que o navegador apresente os certificados de cliente SSL/TLS. O navegador fornece os certificados de cliente SSL/TLS instalados com uma chave privada. Essa combinação de certificado e chave privada é feita usando o formato de arquivo PKCS nº 12, normalmente .p12 ou .pfx.

Quando uma verificação de certificado do cliente é executada, o Defender para Aplicativos de Nuvem verifica as seguintes condições:

  • O certificado do cliente selecionado é válido e está sob a raiz ou AC intermediária correta.
  • O certificado não está revogado (se a CRL estiver habilitada).

Observação

A maioria dos principais navegadores oferece suporte à execução de uma verificação de certificado do cliente. No entanto, os aplicativos para desktop e móveis geralmente aproveitam navegadores internos que podem não dar suporte a essa verificação e, portanto, afetam a autenticação desses aplicativos.

Configurar uma política para aplicar o gerenciamento de dispositivos por meio de certificados do cliente

Para solicitar autenticação de dispositivos relevantes usando certificados do cliente, você precisa de um certificado de uma autoridade de certificação (CA) raiz ou intermediário X.509, formatado como um arquivo .PEM. Os certificados devem conter a chave pública da autoridade de certificação, que é usada para assinar os certificados de cliente apresentados durante uma sessão.

Faça upload dos seus certificados de autoridade de certificação raiz ou intermediários no Defender para Aplicativos de nuvem na página Configurações > Aplicativos de nuvem > Controle de Aplicativos de Acesso Condicional > Identificação do dispositivo.

Após o upload do certificado, você poderá criar políticas de acesso e de sessão com base na Marca de dispositivo e no Certificado do cliente válido.

Para testar como isso funciona, use nosso exemplo de autoridade de certificação raiz e nosso certificado do cliente da seguinte maneira:

  1. Baixe a AC raiz e o certificado do cliente de exemplo.
  2. Carregue a AC raiz no Defender para Aplicativos de Nuvem.
  3. Instale o certificado do cliente nos dispositivos relevantes. A senha é Microsoft.

Conteúdo relacionado

Para obter mais informações, consulte Proteger aplicativos com o Controle de Aplicativos de Acesso Condicional do Microsoft Defender para Aplicativos de nuvem.