Configurar directivas de acceso condicional para Microsoft Dev Box
El acceso condicional es la protección de contenido regulado en un sistema, donde se exige que se cumplan determinados criterios antes de conceder acceso al contenido. En esencia, las directivas de acceso condicional son instrucciones if-then. If (si) un usuario quiere acceder a un recurso, then (entonces) debe completar una acción. Las directivas de acceso condicional son una herramienta eficaz para poder mantener los dispositivos de su organización seguros y compatibles con los entornos.
En este artículo se proporcionan ejemplos de cómo las organizaciones pueden usar directivas de acceso condicional para administrar el acceso a cuadros de desarrollo. Para Microsoft Dev Box, es habitual configurar directivas de acceso condicional para restringir quién puede acceder al cuadro de desarrollo y desde qué ubicaciones se puede acceder a sus cuadros de desarrollo.
Acceso condicional basado en dispositivos
- Microsoft Intune y Microsoft Entra ID funcionan conjuntamente para asegurarse de que solo los dispositivos administrados y compatibles puedan acceder a Dev Box. Las directivas incluyen el acceso condicional basado en el control de acceso de red.
- Más información sobre el acceso condicional basado en dispositivos con Intune
Acceso condicional basado en la aplicación
- Intune y Microsoft Entra ID funcionan conjuntamente para asegurarse de que solo los usuarios del cuadro de desarrollo pueden acceder a aplicaciones administradas como el portal para desarrolladores.
- Más información sobre el acceso condicional basado en la aplicación con Intune.
Requisitos previos
Concesión de acceso a un equipo de desarrollo
Su organización puede empezar con directivas de acceso condicional que, de forma predeterminada, no permiten nada. Puede configurar una directiva de acceso condicional que permita a los desarrolladores acceder a sus cuadros de desarrollo especificando las condiciones en las que pueden conectarse.
Puede configurar directivas de acceso condicional a través de Microsoft Intune o a través de Microsoft Entra ID. Cada ruta de acceso le lleva a un panel de configuración, que se muestra en la captura de pantalla siguiente:
Escenario 1: Permitir el acceso a cuadros de desarrollo desde redes de confianza
Quiere permitir el acceso al cuadro de desarrollo, pero solo desde redes especificadas, como la oficina o la ubicación de un proveedor de confianza.
Definición de una ubicación
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección> Acceso condicional> Ubicaciones designadas.
Elija el tipo de ubicación que desea crear.
- Ubicación de los países o Ubicación de los intervalos de direcciones IP.
Asigne un nombre a la ubicación.
Proporcione los valores de Intervalos IP o seleccione el valor de Países o regiones de la ubicación especificada.
Si selecciona intervalos IP, puede opcionalmente seleccionar Marcar como ubicación de confianza >.
Si elige Países o regiones, puede optar por incluir áreas desconocidas.
Seleccione Crear
Para obtener más información, consulte ¿Cuál es la condición de ubicación en el acceso condicional de Microsoft Entra?
Crear una nueva directiva
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección>Acceso condicional>Directivas.
Seleccione Nueva directiva.
Asigne un nombre a la directiva. Use una convención de nomenclatura significativa para las directivas de acceso condicional.
En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
a. En Incluir, selecciona Todos los usuarios.
b. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de su organización.
En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube.
En Red:
a. Establezca Configurar en Sí.
b. En Excluir, seleccione Redes y ubicaciones seleccionadas
c. Seleccione la ubicación que ha creado para su organización.
d. Elija Seleccionar.
En Controles de acceso> > seleccione Bloquear acceso y seleccione Seleccionar.
Confirme la configuración y establezca Habilitar directiva en Solo informe.
Seleccione Crear para crear la directiva.
Confirme que la directiva funciona según lo previsto mediante el modo de solo informe. Confirme que la directiva funciona correctamente y, a continuación, habilítela.
Para obtener información sobre cómo configurar la directiva de acceso condicional para bloquear el acceso, consulte Acceso condicional: bloquear el acceso por ubicación.
Escenario 2: Permitir el acceso al portal para desarrolladores
Solo quiere permitir el acceso de desarrollador en el portal para desarrolladores. Los desarrolladores deben acceder a sus cuadros de desarrollo y administrarlos a través del portal para desarrolladores.
Creación de una nueva directiva
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección>Acceso condicional>Directivas.
Seleccione Nueva directiva.
Asigne un nombre a la directiva. Use una convención de nomenclatura significativa para las directivas de acceso condicional.
En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
a. En Incluir, seleccione Usuarios del cuadro de desarrollo.
b. En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de su organización.
En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Portal para desarrolladores de Microsoft, Fidalgo Dataplane Public, Service Management API de Windows Azure.
En Controles de acceso> > seleccione Permitir acceso y Seleccionar.
Confirme la configuración y establezca Habilitar directiva en Solo informe.
Seleccione Crear para crear la directiva.
Confirme que la directiva funciona según lo previsto mediante el modo de solo informe. Confirme que la directiva funciona correctamente y, a continuación, habilítela.
Precaución
La configuración incorrecta de una política de bloqueo puede provocar el bloqueo de organizaciones. Puede configurar cuentas de para el acceso de emergencia para evitar el bloqueo de la cuenta en todo el inquilino. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, se puede usar la cuenta administrativa de acceso de emergencia se para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
Aplicaciones necesarias para Dev Box
En la tabla siguiente se describen las aplicaciones pertinentes para Microsoft Dev Box. Puede personalizar las directivas de acceso condicional para satisfacer las necesidades de su organización al permitir o bloquear estas aplicaciones.
| Nombre de la aplicación | Id. de la aplicación | Descripción |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Se usa cuando se abre Escritorio remoto de Microsoft para recuperar la lista de recursos para el usuario y cuando los usuarios inician acciones en su cuadro de desarrollo, como Reiniciar. |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Se usa para autenticarse en la puerta de enlace durante la conexión y cuando el cliente envía información de diagnóstico al servicio. También puede aparecer como Windows Virtual Desktop. |
| Escritorio remoto de Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Se usa para autenticar a los usuarios en el equipo de desarrollo. Solo es necesario cuando se configura el inicio de sesión único en una directiva de aprovisionamiento. |
| Inicio de sesión en la nube de Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 | Se usa para autenticar a los usuarios en el equipo de desarrollo. Esta aplicación reemplaza a la aplicación Escritorio remoto de Microsoft. Solo es necesario cuando se configura el inicio de sesión único en una directiva de aprovisionamiento. |
| Windows Azure Service Management API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | Se usa para consultar proyectos de DevCenter en los que el usuario puede crear cuadros de desarrollo. |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | Se usa para administrar cuadros de desarrollo y otros recursos de DevCenter a través de las API de REST de DevCenter, la CLI de Azure o el Portal para desarrolladores. |
| Portal para desarrolladores de Microsoft | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | Se usa para iniciar sesión en la aplicación web del portal para desarrolladores. |
Puede permitir aplicaciones en función de sus requisitos. Por ejemplo, puede permitir que Fidalgo Dataplane Public permita la administración de cuadros de desarrollo mediante las API REST de DevCenter, la CLI de Azure o el Portal para desarrolladores. En la tabla siguiente se enumeran las aplicaciones que se usan en escenarios comunes.
| Aplicación | Iniciar sesión en los cuadros de desarrollo y administrarlos en el Portal para desarrolladores | Administración de cuadros de desarrollo (create/delete/stop, etc.) | Conexión a través del explorador | Conexión a través de Escritorio remoto |
|---|---|---|---|---|
| Portal para desarrolladores de Microsoft | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure Service Management API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Escritorio remoto de Microsoft |
|
|
|
|
Para obtener más información sobre cómo configurar directivas de acceso condicional, consulte: Acceso condicional: usuarios, grupos e identidades de carga de trabajo.