Identitätsverwaltete Geräte mit App-Steuerung für bedingten Zugriff

Möglicherweise möchten Sie Ihrer Richtlinie Bedingungen dazu hinzufügen, ob ein Gerät verwaltet wird oder nicht. Um den Zustand eines Geräts zu identifizieren, konfigurieren Sie Zugriffs- und Sitzungsrichtlinien für die Überprüfung auf bestimmte Bedingungen, je nachdem, ob Sie Microsoft Entra haben oder nicht.

Überprüfen der Geräteverwaltung mit Microsoft Entra

Wenn Sie über Microsoft Entra verfügen, lassen Sie Ihre Richtlinien auf Microsoft Intune kompatible Geräte oder Microsoft Entra hybrid eingebundenen Geräten überprüfen.

Microsoft Entra bedingter Zugriff ermöglicht Intune-konformen und Microsoft Entra hybrid eingebundenen Geräteinformationen direkt an Defender for Cloud Apps. Erstellen Sie dort eine Zugriffs- oder Sitzungsrichtlinie, die den Gerätestatus berücksichtigt. Weitere Informationen finden Sie unter Was ist eine Geräteidentität?

Überprüfen auf Geräteverwaltung ohne Microsoft Entra

Wenn Sie nicht über Microsoft Entra verfügen, überprüfen Sie, ob Clientzertifikate in einer vertrauenswürdigen Kette vorhanden sind. Verwenden Sie entweder vorhandene Clientzertifikate, die bereits in Ihrem organization bereitgestellt wurden, oder führen Sie neue Clientzertifikate auf verwalteten Geräten aus.

Stellen Sie sicher, dass das Clientzertifikat im Benutzerspeicher und nicht im Computerspeicher installiert ist. Anschließend verwenden Sie das Vorhandensein dieser Zertifikate, um Zugriffs- und Sitzungsrichtlinien festzulegen.

Sobald das Zertifikat hochgeladen und eine relevante Richtlinie konfiguriert wurde, fordert Defender for Cloud Apps den Browser auf, die SSL/TLS-Clientzertifikate anzuzeigen, wenn eine entsprechende Sitzung Defender for Cloud Apps und die App-Steuerung für bedingten Zugriff durchläuft. Der Browser stellt die SSL/TLS-Clientzertifikate bereit, die mit einem privaten Schlüssel installiert werden. Diese Kombination aus Zertifikat und privatem Schlüssel erfolgt mithilfe des PKCS #12-Dateiformats, in der Regel .p12 oder .pfx.

Wenn eine Clientzertifikatüberprüfung ausgeführt wird, überprüft Defender for Cloud Apps, ob die folgenden Bedingungen erfüllt sind:

• Das ausgewählte Clientzertifikat ist gültig und befindet sich unter der richtigen Stamm- oder Zwischenzertifizierungsstelle.
• Das Zertifikat wird nicht widerrufen (wenn die Zertifikatsperrliste aktiviert ist).

Konfigurieren einer Richtlinie zum Anwenden der Geräteverwaltung über Clientzertifikate

Um die Authentifizierung von relevanten Geräten mithilfe von Clientzertifikaten anzufordern, benötigen Sie ein X.509-Stamm- oder Zwischenzertifizierungsstelle-SSL/TLS-Zertifikat, das als formatiert ist . PEM-Datei . Zertifikate müssen den öffentlichen Schlüssel der Zertifizierungsstelle enthalten, der dann zum Signieren der Clientzertifikate verwendet wird, die während einer Sitzung angezeigt werden.

Laden Sie Ihre Stamm- oder Zwischenzertifizierungsstellenzertifikate auf Defender for Cloud Apps auf der Seite Einstellungen > Cloud Apps > Bedingter Zugriff App-Steuerung > Geräteidentifikation hoch.

Nachdem die Zertifikate hochgeladen wurden, können Sie Zugriffs- und Sitzungsrichtlinien basierend auf dem Gerätetag und dem gültigen Clientzertifikat erstellen.

Um zu testen, wie dies funktioniert, verwenden Sie unsere Beispiel-Stammzertifizierungsstelle und das Clientzertifikat wie folgt:

1. Laden Sie die Beispiel-Stammzertifizierungsstelle und das Clientzertifikat herunter.
2. Laden Sie die Stammzertifizierungsstelle in Defender for Cloud Apps hoch.
3. Installieren Sie das Clientzertifikat auf den relevanten Geräten. Das Kennwort lautet Microsoft.

Verwandte Inhalte

Weitere Informationen finden Sie unter Schützen von Apps mit Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff.