Sdílet prostřednictvím

Konfigurace zásad podmíněného přístupu pro Dev Box

Tento článek ukazuje, jak organizace používají zásady podmíněného přístupu ke správě přístupu k vývojových polím.

Microsoft Dev Box používá Microsoft Intune ke správě zařízení a poskytuje centralizovanou kontrolu nad konfigurací zařízení, zásadami dodržování předpisů a nasazením aplikací, aby se zajistil zabezpečený přístup k podnikovým prostředkům. Aby se zajistil přístup k prostředkům, Dev Box při jejich vytváření automaticky zaregistruje nové vývojové rámečky v Intune.

Pokud chcete zvýšit zabezpečení, můžete použít zásady podmíněného přístupu k řízení, kdo má přístup k Dev Boxům a ze kterých umístění.

Podmíněný přístup je ochrana regulovaného obsahu v systému tím, že před udělením přístupu k obsahu vyžaduje splnění určitých kritérií. Zásady podmíněného přístupu jsou nejjednodušší příkazy if-then. Pokud chce uživatel získat přístup k prostředku, musí dokončit akci. Zásady podmíněného přístupu jsou výkonné nástroje, které pomáhají zajistit zabezpečení zařízení vaší organizace a dodržování předpisů v prostředích.

  • Podmíněný přístup založený na zařízení:

    • Intune a Microsoft Entra ID spolupracují, aby se zajistilo, že dev Box můžou používat jenom spravovaná a vyhovující zařízení. Zásady zahrnují podmíněný přístup na základě řízení přístupu k síti.
    • Přečtěte si další informace o podmíněném přístupu na základě zařízení v Intune.

  • Podmíněný přístup založený na aplikacích:

    • Intune a Microsoft Entra ID spolupracují, abyste měli jistotu, že ke spravovaným aplikacím, jako je portál pro vývojáře Microsoftu, mají přístup jenom uživatelé vývojového boxu.
    • Přečtěte si další informace o podmíněném přístupu na základě aplikací v Intune.

Požadavky

Poskytnutí přístupu k Dev Boxu

Vaše organizace může začínat zásadami podmíněného přístupu, které ve výchozím nastavení neumožňují nic. Můžete nastavit zásady podmíněného přístupu, které vývojářům umožní přístup ke svým vývojovým polím zadáním podmínek, za kterých se můžou připojit.

Zásady podmíněného přístupu můžete nakonfigurovat prostřednictvím Intune nebo Microsoft Entra ID. Každá cesta vás přenese do podokna konfigurace.

Snímek obrazovky znázorňující možnosti pro vytvoření nové zásady podmíněného přístupu

Scénář 1: Povolení přístupu k vývojových polím z důvěryhodných sítí

Chcete povolit přístup k vývojovému boxu, ale jenom ze zadaných sítí, jako je vaše kancelář nebo umístění důvěryhodného dodavatele.

Definování umístění

Postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.

  2. Přejděte k Ochrana>Podmíněný přístup>Pojmenované lokality.

  3. Zvolte typ umístění, které chcete vytvořit:

    • Umístění zemí
    • Umístění rozsahů IP adres

  4. Pojmenujte umístění.

  5. Zadejte rozsahy IP adres nebo vyberte zemi nebo oblast pro zadané umístění.

    • Pokud vyberete rozsahy IP, můžete volitelně zvolit Označit jako důvěryhodné>umístění.
    • Pokud vyberete Země/oblasti, můžete volitelně zvolit zahrnutí neznámých oblastí.

  6. Vyberte Vytvořit.

Další informace naleznete v tématu Co je podmínka umístění v aplikaci Microsoft Entra Podmíněný přístup?.

Vytvoření nové zásady

Postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.

  2. Přejděte na Ochrana>Podmíněný přístup>Zásady.

  3. Vyberte Novou politiku.

  4. Pojmenujte zásadu. Pro zásady podmíněného přístupu použijte smysluplné zásady vytváření názvů.

  5. V části Přiřazení vyberte Uživatele nebo identity úloh:

    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny. Zvolte účty pro nouzový přístup vaší organizace.

  6. V části Cílové prostředky>: Zahrnout cloudové aplikace> vyberte Všechny cloudové aplikace.

  7. V části Síť:

    1. Nastavte možnost Konfigurovat na hodnotu Ano.
    2. V části Vyloučit vyberte Vybrané sítě a umístění.
    3. Vyberte umístění, které jste vytvořili pro vaši organizaci.
    4. Zvolte Vybrat.

  8. V části Řízení přístupu vyberte Blokovat přístup>Vybrat.

  9. Potvrďte nastavení a nastavte Povolit zásadupouze pro sestavy.

  10. Vyberte Vytvořit pro vytvoření zásady.

Pomocí režimu pouze pro sestavy ověřte, že vaše zásady fungují správně podle očekávání. Ověřte, že zásada funguje správně, a pak ji povolte.

Informace o tom, jak nakonfigurovat zásady podmíněného přístupu pro blokování přístupu, najdete v tématu Podmíněný přístup: Blokování přístupu podle umístění.

Scénář 2: Povolení přístupu k portálu pro vývojáře

Chcete povolit přístup vývojáře jenom k portálu pro vývojáře. Vývojáři by měli přistupovat k vývojářským polím a spravovat je prostřednictvím portálu pro vývojáře.

Vytvoření nové zásady

Poznámka:

Aplikace Microsoft Developer Portal byla přejmenována z veřejného portálu Fidalgo Dev Portal, takže je možné, aby se některým tenantům stále zobrazoval předchozí název. I když vidí jiný název, stále mají stejné ID aplikace, takže je to správná aplikace. Pokud chcete zkusit vyřešit tento problém s pojmenováním, odstraňte a znovu přidejte služební hlavní objekt tenanta pro aplikaci.

Postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.

  2. Přejděte na Ochrana>Podmíněný přístup>Zásady.

  3. Vyberte Novou politiku.

  4. Pojmenujte zásadu. Pro zásady podmíněného přístupu použijte smysluplné zásady vytváření názvů.

  5. V části Přiřazení vyberte uživatelské nebo pracovní identity.

    1. V části Zahrnout vyberte Dev Box Users.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup vaší organizace.

  6. V části Cílové prostředky>Cloudové aplikace>Zahrnout vyberte Microsoft Developer Portal>veřejné datové roviny Fidalgo>rozhraní API služby Windows Azure Service Management.

  7. V části Řízení přístupu vyberte Povolit přístup a zvolte Vybrat.

  8. Potvrďte nastavení a nastavte Povolit zásadupouze pro sestavy.

  9. Vyberte Vytvořit pro vytvoření zásady.

Pomocí režimu pouze pro sestavy ověřte, že vaše zásady fungují správně podle očekávání. Ověřte, že zásada funguje správně, a pak ji povolte.

Upozornění

Chybná konfigurace zásad bloku může vést k uzamčení organizací. Můžete nakonfigurovat účty pro nouzový přístup , aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři, kdy jsou všichni správci uzamčeni z vašeho nájemce, můžete se pomocí nouzového administrativního účtu přihlásit k nájemci a provést kroky pro obnovení přístupu.

Aplikace, které jsou požadovány pro Dev Box

Následující tabulka popisuje aplikace, které jsou relevantní pro Dev Box. Zásady podmíněného přístupu můžete přizpůsobit tak, aby vyhovovaly potřebám vaší organizace tím, že povolíte nebo zablokujete tyto aplikace.

Název aplikace ID aplikace Popis
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Používá se, když je otevřen Microsoft Remote Desktop k načtení seznamu prostředků pro uživatele a když uživatelé zahajují akce na svém vývojovém počítači, jako je restartování.
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Slouží k ověření brány během připojení a při odesílání diagnostických informací do služby. Může se také zobrazit jako Windows Virtual Desktop.
Vzdálená plocha Microsoft a4a365df-50f1-4397-bc59-1a1564b8bb9c Slouží k ověřování uživatelů ve vývojovém boxu. Vyžaduje se při konfiguraci jednotného přihlašování v zásadách zřizování.
Přihlášení ke cloudu Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Slouží k ověřování uživatelů ve vývojovém boxu. Tato aplikace nahrazuje aplikaci Vzdálená plocha Microsoftu. Vyžaduje se při konfiguraci jednotného přihlašování v zásadách zřizování.
Správa služeb Windows Azure API 797f4846-ba00-4fd7-ba43-dac1f8f63013 Používá se k dotazování na projekty DevCenter, ve kterých může uživatel vytvářet vývojové boxy.
Fidalgo Dataplane Public e526e72f-ffae-44a0-8dac-cf14b8bd40e2 Slouží ke správě vývojových polí a dalších prostředků DevCenter prostřednictvím rozhraní REST API pro DevCenter, Azure CLI nebo portálu Pro vývojáře Microsoftu.
Portál pro vývojáře Microsoftu 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 Používá se k přihlášení k webové aplikaci Portál pro vývojáře Microsoftu.

Aplikace můžete povolit na základě vašich požadavků. Můžete například povolit Fidalgo Dataplane Public ke správě dev boxů pomocí rozhraní REST API pro DevCenter, Azure CLI nebo portálu Microsoft developer. Následující tabulka uvádí aplikace, které se používají v běžných scénářích.

Aplikace Přihlášení a správa vývojových polí na portálu pro vývojáře Správa dev boxů (vytvoření, odstranění, zastavení atd.) Připojení přes prohlížeč Připojit se přes vzdálenou plochu
Portál pro vývojáře Microsoftu
Fidalgo Dataplane Public
Správa služeb Windows Azure API
Windows 365
Azure Virtual Desktop
Vzdálená plocha Microsoft

Další informace o konfiguraci zásad podmíněného přístupu najdete v tématu Podmíněný přístup: Uživatelé, skupiny a identity úloh.

Související obsah