Configurer des stratégies d’Accès conditionnel pour Microsoft Dev Box
L’accès conditionnel est la protection du contenu réglementé dans un système en exigeant que certains critères soient remplis avant d’accorder l’accès au contenu. Les stratégies d’accès conditionnel les plus simples sont des instructions if-then. Si (if) un utilisateur souhaite accéder à une ressource, alors (then) il doit effectuer une action. Les stratégies d’accès conditionnel constituent un outil puissant permettant de garantir la sécurité des appareils de votre organisation et la conformité des environnements.
Cet article fournit des exemples de la façon dont les organisations peuvent utiliser des stratégies d’accès conditionnel pour gérer l’accès aux dev boxes. Pour Microsoft Dev Box, il est courant de configurer des stratégies d’accès conditionnel pour restreindre les personnes pouvant accéder à la dev box, et à partir de quels emplacements ils peuvent accéder à leurs dev boxes.
Accès conditionnel basé sur l’appareil
- Microsoft Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les appareils gérés et conformes peuvent avoir accès à Dev Box. Les stratégies incluent l’Accès conditionnel en fonction du contrôle d’accès réseau.
- En savoir plus sur l’Accès conditionnel basé sur les appareils avec Intune
Accès conditionnel basé sur l’application
- Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les utilisateurs de dev box peuvent accéder aux applications gérées comme le portail des développeurs.
- En savoir plus sur l’Accès conditionnel basé sur les applications avec Intune.
Prérequis
Fournir l’accès à Dev Box
Votre organisation peut commencer par des stratégies d’accès conditionnel qui, par défaut, n’autorisent rien. Vous pouvez configurer une stratégie d’accès conditionnel qui permet à vos développeurs d’accéder à leurs dev boxes en spécifiant les conditions dans lesquelles ils peuvent se connecter.
Vous pouvez configurer des stratégies d’accès conditionnel via Microsoft Intune ou via Microsoft Entra ID. Chaque chemin d’accès vous amène à un volet de configuration, dont un exemple est illustré dans la capture d’écran suivante :
Scénario 1 : autoriser l’accès aux dev boxes à partir de réseaux approuvés
Vous souhaitez autoriser l’accès à la dev box, mais uniquement à partir de réseaux spécifiés, comme votre bureau ou l’emplacement d’un fournisseur approuvé.
Définir un emplacement
Effectuez les étapes suivantes :
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
Accédez à Protection>Accès conditionnel>Emplacement nommé.
Choisissez le type d’emplacement à créer.
- Emplacement des pays or Emplacement des plages d’adresses IP.
Donnez un nom à votre emplacement.
Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.
Si vous sélectionnez des plages d’adresses IP, vous pouvez éventuellement Marquer comme approuvé > emplacement.
Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.
Sélectionnez Créer
Pour plus d’informations, consultez Condition d’emplacement dans l’Accès conditionnel Microsoft Entra.
Créer une stratégie
Effectuez les étapes suivantes :
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
Accédez à Protection>Accès conditionnel>Stratégies.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.
Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
a. Sous Inclure, sélectionnez Tous les utilisateurs.
b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.
Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Toutes les applications cloud.
Sous Réseau.
a. Définissez Configurer sur Oui
b. Sous Exclure, sélectionnez Réseaux et emplacements sélectionnés
c. Sélectionnez l’emplacement que vous avez créé pour votre organisation.
d. Sélectionnez Sélectionner.
Sous Contrôles d’accès> sélectionnez Bloquer l’accès, puis Sélectionner.
Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
Sélectionnez Créer pour créer votre stratégie.
Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.
Pour plus d’informations sur la configuration de la stratégie d’accès conditionnel pour bloquer l’accès, consultez Accès conditionnel : bloquer l’accès par emplacement.
Scénario 2 : autoriser l’accès au portail des développeurs
Vous souhaitez autoriser l’accès des développeurs au portail des développeurs uniquement. Les développeurs doivent accéder à leurs dev boxes et les gérer via le portail des développeurs.
Créer une nouvelle stratégie
Effectuez les étapes suivantes :
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
Accédez à Protection>Accès conditionnel>Stratégies.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.
Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
a. Sous Inclure, sélectionnez Utilisateurs Dev Box.
b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.
Sous Ressources cibles>Applications cloud>Inclure, sélectionnez Portail des développeurs Microsoft, Plan de données Fidalgo public, API Gestion des services Azure Windows.
Sous Contrôles d’accès> sélectionnez Autoriser l’accès, puis Sélectionner.
Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
Sélectionnez Créer pour créer votre stratégie.
Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.
Attention
Une mauvaise configuration d’une stratégie de blocage peut entraîner l’exclusion des organisations. Vous pouvez configurer des comptes pour l’accès d’urgence afin d’empêcher le verrouillage de compte à l’échelle du tenant. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
Applications nécessaires pour Dev Box
Le tableau suivant décrit les applications pertinentes pour Microsoft Dev Box. Vous pouvez personnaliser des stratégies d’accès conditionnel en fonction des besoins de votre organisation en autorisant ou en bloquant ces applications.
| Nom de l’application | ID d’application | Description |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Utilisé lorsque le Bureau à distance Microsoft est ouvert, pour récupérer la liste des ressources pour l’utilisateur et lorsque les utilisateurs lancent des actions sur leur dev box, comme Redémarrer. |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Utilisée pour s’authentifier auprès de la passerelle pendant la connexion, et lorsque le client envoie des informations de diagnostic au service. Peut également apparaître sous le nom Windows Virtual Desktop. |
| Microsoft Remote Desktop | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Utilisée pour authentifier les utilisateurs auprès de la dev box. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement. |
| Connexion au cloud Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 | Utilisée pour authentifier les utilisateurs auprès de la dev box. Cette application remplace l’application Bureau à distance Microsoft. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement. |
| API Gestion des services Windows Azure | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | Permet d’interroger des projets DevCenter dans lesquels l’utilisateur peut créer des dev boxes. |
| Plan de donnés Fidalgo public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | Permet de gérer des dev boxes et d’autres ressources DevCenter via les API REST DevCenter, Azure CLI ou le portail de développement. |
| Portail des développeurs Microsoft | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | Utilisé pour se connecter à l’application web du portail des développeurs. |
Vous pouvez autoriser les applications en fonction de vos exigences. Par exemple, vous pouvez autoriser le Plan de donnés Fidalgo public à autoriser la gestion de dev box à l’aide des API REST DevCenter, d’Azure CLI ou du portail de développement. Le tableau suivant répertorie les applications utilisées dans les scénarios courants.
| Application | Connection et gestion des dev boxes dans le portail des développeurs | Gestion de dev box (créer/supprimer/arrêter, etc.) | Connexion via le navigateur | Connexion via le Bureau à distance |
|---|---|---|---|---|
| Portail des développeurs Microsoft | 
|
|
|
|
| Plan de donnés Fidalgo public |
|
|
|
|
| API Gestion des services Windows Azure |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Bureau à distance Microsoft |
|
|
|
|
Pour plus d’informations sur la configuration des stratégies d’accès conditionnel, consultez : Accès conditionnel : utilisateurs, groupes et identités de charge de travail.