Konfigurieren von Richtlinien für bedingten Zugriff für Microsoft Dev Box
Bedingter Zugriff ist der Schutz regulierter Inhalte in einem System, indem bestimmte Kriterien erfüllt werden müssen, bevor der Zugriff auf die Inhalte gewährt wird. Die einfachste Form von Richtlinien für bedingten Zugriff sind if-then-Erklärungen. Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss dieser eine Aktion durchführen. Richtlinien für bedingten Zugriff sind eine gute Methode, um die Geräte Ihrer Organisation sicher und die Umgebung konform zu halten.
Dieser Artikel enthält Beispiele dafür, wie Organisationen Richtlinien für bedingten Zugriff verwenden können, um den Zugriff auf Dev-Boxen zu verwalten. Bei Microsoft Dev Box ist es üblich, Richtlinien für bedingten Zugriff zu konfigurieren, um einzuschränken, wer auf eine Dev-Box zugreifen kann und auf was diese Personen von welchen Standorten aus zugreifen können.
Gerätebasierter bedingter Zugriff
- Microsoft Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete und kompatible Geräte Dev-Boxen verwenden können. Die Richtlinien umfassen bedingten Zugriff basierend auf der Netzwerkzugriffssteuerung.
- Weitere Informationen finden Sie unter gerätebasierten bedingten Zugriff mit Intune.
App-basierter bedingter Zugriff
- Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur Dev Box-Benutzer auf verwaltete Apps wie das Entwicklerportal zugreifen können.
- Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Voraussetzungen
Bereitstellen des Zugriffs auf Dev Box
Ihre Organisation kann mit Richtlinien für bedingten Zugriff beginnen, die standardmäßig nichts zulassen. Sie können eine Richtlinie für bedingten Zugriff einrichten, mit der Entwickler auf ihre Dev-Boxen zugreifen können, indem Sie die Bedingungen angeben, unter denen sie eine Verbindung herstellen können.
Sie können Richtlinien für bedingten Zugriff über Microsoft Intune oder über Microsoft Entra ID konfigurieren. Über beide Pfade gelangen Sie zu einem Konfigurationsbereich. Ein Beispiel sehen Sie im folgenden Screenshot:
Szenario 1: Zulassen des Zugriffs auf Dev-Boxen aus vertrauenswürdigen Netzwerken
Sie möchten den Dev-Box-Zugriff ausschließlich aus bestimmten Netzwerken zulassen, z. B. Ihrem Büro oder dem Standort eines vertrauenswürdigen Anbieters.
Definieren eines Standorts
Führen Sie folgende Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.
Wählen Sie den Typ des zu erstellenden Speicherorts.
- Länder (Standort) oder IP-Adressbereiche (Standort)
Benennen Sie den Standort.
Geben Sie die IP-Bereiche an, oder wählen Sie die Länder/Regionen für den von Ihnen angegebenen Standort aus.
Wenn Sie IP-Bereiche auswählen, können Sie optional Als vertrauenswürdigen Standort markieren auswählen.
Wenn Sie „Länder/Regionen“ auswählen, können Sie optional auch unbekannte Gebiete einbeziehen.
Klicken Sie auf Erstellen
Weitere Informationen finden Sie unter Was ist die Standortbedingung in Microsoft Entra Conditional Access?.
Erstellen einer neuen Richtlinie
Führen Sie folgende Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
Wählen Sie Neue Richtlinie.
Benennen Sie Ihre Richtlinie. Verwenden Sie eine aussagekräftige Namenskonvention für Richtlinien für bedingten Zugriff.
Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
a. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
b. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Alle Cloud-Apps aus.
Unter Netzwerk.
a. Legen Sie Konfigurieren auf Ja fest
b. Wählen Sie unter Ausschließen die Option Ausgewählte Netzwerke und Standorte aus.
c. Wählen Sie den Standort aus, den Sie für Ihre Organisation erstellt haben.
d. Wählen Sie Auswählen.
Wählen Sie unter Zugriffssteuerung> die Option Zugriff blockieren und dann Auswählen aus.
Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
Wählen Sie Erstellen aus, um Ihre Richtlinie zu erstellen.
Vergewissern Sie sich, dass Ihre Richtlinie wie erwartet funktioniert, indem Sie den Modus „Nur Bericht“ verwenden. Vergewissern Sie sich, dass die Richtlinie ordnungsgemäß funktioniert, und aktivieren Sie sie dann.
Weitere Informationen zum Konfigurieren der Richtlinie für bedingten Zugriff zum Blockieren des Zugriffs finden Sie unter Bedingter Zugriff: Blockieren des Zugriffs nach Standort.
Szenario 2: Zulassen des Zugriffs auf das Entwicklerportal
Sie möchten nur Entwicklerzugriff auf das Entwicklerportal zulassen. Entwickler sollten über das Entwicklerportal auf ihre Dev-Boxen zugreifen und diese verwalten.
Erstellen einer neuen Richtlinie
Führen Sie folgende Schritte aus:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
Wählen Sie Neue Richtlinie.
Benennen Sie Ihre Richtlinie. Verwenden Sie eine aussagekräftige Namenskonvention für Richtlinien für bedingten Zugriff.
Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
a. Wählen Sie unter Einschließen die Option Dev Box-Benutzer aus.
b. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Microsoft-Entwicklerportal, Fidalgo Dataplane Public, Windows Azure-Dienstverwaltungs-API aus.
Wählen Sie unter Zugriffssteuerung> die Option Zugriff zulassen und dann Auswählen aus.
Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Vergewissern Sie sich, dass Ihre Richtlinie wie erwartet funktioniert, indem Sie den Modus „Nur Bericht“ verwenden. Vergewissern Sie sich, dass die Richtlinie ordnungsgemäß funktioniert, und aktivieren Sie sie dann.
Achtung
Die Fehlkonfiguration einer Blockierungsrichtlinie kann dazu führen, dass Organisationen ausgesperrt werden. Sie können Konten für den Notfallzugriff konfigurieren, um eine mandantenweite Kontosperrung zu verhindern. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
Für Dev Box erforderliche Apps
In der folgenden Tabelle werden die Apps beschrieben, die für Microsoft Dev Box relevant sind. Sie können Richtlinien für bedingten Zugriff an die Anforderungen Ihrer Organisation anpassen, indem Sie diese Apps zulassen oder blockieren.
| App-Name | App-ID | Beschreibung |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Wird verwendet, wenn Microsoft-Remotedesktop geöffnet wird, um die Liste der Ressourcen für den Benutzer abzurufen und wenn Benutzer Aktionen für ihre Dev-Box initiieren (z. B. einen Neustart). |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Wird verwendet, um sich während der Verbindung beim Gateway zu authentifizieren und wenn der Kunde Diagnoseinformationen an den Dienst sendet. Kann auch als Windows Virtual Desktop angezeigt werden. |
| Microsoft-Remotedesktop | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Wird verwendet, um Benutzer beim Entwicklerfeld zu authentifizieren. Nur erforderlich, wenn Sie einmaliges Anmelden in einer Bereitstellungsrichtlinie konfigurieren. |
| Windows Cloud Login | 270efc09-cd0d-444b-a71f-39af4910ec45 | Wird verwendet, um Benutzer beim Entwicklerfeld zu authentifizieren. Diese App ersetzt die Microsoft-Remotedesktop-App. Nur erforderlich, wenn Sie einmaliges Anmelden in einer Bereitstellungsrichtlinie konfigurieren. |
| Windows Azure Dienstverwaltungs-API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | Wird verwendet, um DevCenter-Projekte abzufragen, in denen der Benutzer Dev-Boxen erstellen kann. |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | Wird verwendet, um Dev-Boxen und andere DevCenter-Ressourcen über die DevCenter-REST-APIs, die Azure-Befehlszeilenschnittstelle oder das Entwicklerportal zu verwalten. |
| Microsoft-Entwicklerportal | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | Wird für die Anmeldung bei der Web-App des Entwicklerportals verwendet. |
Sie können Apps basierend auf Ihren Anforderungen zulassen. Beispielsweise können Sie Fidalgo Dataplane Public zulassen, um die Verwaltung von Dev-Boxen mit DevCenter-REST-APIs, der Azure-Befehlszeilenschnittstelle oder dem Entwicklerportal zuzulassen. In der folgenden Tabelle sind die Apps aufgeführt, die in gängigen Szenarien verwendet werden.
| App | Anmelden auf und Verwalten von Dev-Boxen im Entwicklerportal | Dev-Box-Verwaltung (Erstellen/Löschen/Beenden usw.) | Herstellen einer Verbindung über den Browser | Herstellen einer Verbindung mit Remotedesktop |
|---|---|---|---|---|
| Microsoft-Entwicklerportal | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure Dienstverwaltungs-API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Microsoft-Remotedesktop |
|
|
|
|
Weitere Informationen zum Konfigurieren von Richtlinien für bedingten Zugriff finden Sie unter Bedingter Zugriff: Benutzer, Gruppen und Workloadidentitäten.