Configurer des stratégies d’Accès conditionnel pour Microsoft Dev Box
Article
L’accès conditionnel est la protection du contenu réglementé dans un système en exigeant que certains critères soient remplis avant d’accorder l’accès au contenu. Les stratégies d’accès conditionnel les plus simples sont des instructions if-then. Si (if) un utilisateur souhaite accéder à une ressource, alors (then) il doit effectuer une action. Les stratégies d’accès conditionnel constituent un outil puissant permettant de garantir la sécurité des appareils de votre organisation et la conformité des environnements.
Cet article fournit des exemples de la façon dont les organisations peuvent utiliser des stratégies d’accès conditionnel pour gérer l’accès aux dev boxes. Pour Microsoft Dev Box, il est courant de configurer des stratégies d’accès conditionnel pour restreindre les personnes pouvant accéder à la dev box, et à partir de quels emplacements ils peuvent accéder à leurs dev boxes.
Accès conditionnel basé sur l’appareil
Microsoft Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les appareils gérés et conformes peuvent avoir accès à Dev Box. Les stratégies incluent l’Accès conditionnel en fonction du contrôle d’accès réseau.
Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les utilisateurs de dev box peuvent accéder aux applications gérées comme le portail des développeurs.
Votre organisation peut commencer par des stratégies d’accès conditionnel qui, par défaut, n’autorisent rien. Vous pouvez configurer une stratégie d’accès conditionnel qui permet à vos développeurs d’accéder à leurs dev boxes en spécifiant les conditions dans lesquelles ils peuvent se connecter.
Vous pouvez configurer des stratégies d’accès conditionnel via Microsoft Intune ou via Microsoft Entra ID. Chaque chemin d’accès vous amène à un volet de configuration, dont un exemple est illustré dans la capture d’écran suivante :
Scénario 1 : autoriser l’accès aux dev boxes à partir de réseaux approuvés
Vous souhaitez autoriser l’accès à la dev box, mais uniquement à partir de réseaux spécifiés, comme votre bureau ou l’emplacement d’un fournisseur approuvé.
Accédez à Protection>Accès conditionnel>Stratégies.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.
Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
a. Sous Inclure, sélectionnez Tous les utilisateurs.
b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.
Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Toutes les applications cloud.
Sous Réseau.
a. Définissez Configurer sur Oui
b. Sous Exclure, sélectionnez Réseaux et emplacements sélectionnés
c. Sélectionnez l’emplacement que vous avez créé pour votre organisation.
d. Sélectionnez Sélectionner.
Sous Contrôles d’accès> sélectionnez Bloquer l’accès, puis Sélectionner.
Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
Sélectionnez Créer pour créer votre stratégie.
Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.
Scénario 2 : autoriser l’accès au portail des développeurs
Vous souhaitez autoriser l’accès des développeurs au portail des développeurs uniquement. Les développeurs doivent accéder à leurs dev boxes et les gérer via le portail des développeurs.
Accédez à Protection>Accès conditionnel>Stratégies.
Sélectionnez Nouvelle stratégie.
Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.
Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
a. Sous Inclure, sélectionnez Utilisateurs Dev Box.
b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.
Sous Ressources cibles>Applications cloud>Inclure, sélectionnez Portail des développeurs Microsoft, Plan de données Fidalgo public, API Gestion des services Azure Windows.
Sous Contrôles d’accès> sélectionnez Autoriser l’accès, puis Sélectionner.
Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
Sélectionnez Créer pour créer votre stratégie.
Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.
Attention
Une mauvaise configuration d’une stratégie de blocage peut entraîner l’exclusion des organisations. Vous pouvez configurer des comptes pour l’accès d’urgence afin d’empêcher le verrouillage de compte à l’échelle du tenant. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.
Applications nécessaires pour Dev Box
Le tableau suivant décrit les applications pertinentes pour Microsoft Dev Box. Vous pouvez personnaliser des stratégies d’accès conditionnel en fonction des besoins de votre organisation en autorisant ou en bloquant ces applications.
Nom de l’application
ID d’application
Description
Windows 365
0af06dc6-e4b5-4f28-818e-e78e62d137a5
Utilisé lorsque le Bureau à distance Microsoft est ouvert, pour récupérer la liste des ressources pour l’utilisateur et lorsque les utilisateurs lancent des actions sur leur dev box, comme Redémarrer.
Azure Virtual Desktop
9cdead84-a844-4324-93f2-b2e6bb768d07
Utilisée pour s’authentifier auprès de la passerelle pendant la connexion, et lorsque le client envoie des informations de diagnostic au service. Peut également apparaître sous le nom Windows Virtual Desktop.
Microsoft Remote Desktop
a4a365df-50f1-4397-bc59-1a1564b8bb9c
Utilisée pour authentifier les utilisateurs auprès de la dev box. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement.
Connexion au cloud Windows
270efc09-cd0d-444b-a71f-39af4910ec45
Utilisée pour authentifier les utilisateurs auprès de la dev box. Cette application remplace l’application Bureau à distance Microsoft. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement.
API Gestion des services Windows Azure
797f4846-ba00-4fd7-ba43-dac1f8f63013
Permet d’interroger des projets DevCenter dans lesquels l’utilisateur peut créer des dev boxes.
Plan de donnés Fidalgo public
e526e72f-ffae-44a0-8dac-cf14b8bd40e2
Permet de gérer des dev boxes et d’autres ressources DevCenter via les API REST DevCenter, Azure CLI ou le portail de développement.
Portail des développeurs Microsoft
0140a36d-95e1-4df5-918c-ca7ccd1fafc9
Utilisé pour se connecter à l’application web du portail des développeurs.
Vous pouvez autoriser les applications en fonction de vos exigences. Par exemple, vous pouvez autoriser le Plan de donnés Fidalgo public à autoriser la gestion de dev box à l’aide des API REST DevCenter, d’Azure CLI ou du portail de développement. Le tableau suivant répertorie les applications utilisées dans les scénarios courants.
Application
Connection et gestion des dev boxes dans le portail des développeurs
Gestion de dev box (créer/supprimer/arrêter, etc.)
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.
Découvrir comment activer l’authentification unique pour les zones de développement Modifier un pool existant pour configurer l’authentification unique pour les nouvelles dev boxes.
Découvrez comment gérer les connexions réseau pour un centre de développement dans Microsoft Dev Box. Connectez-vous à un réseau virtuel ou activez la connexion à des ressources locales.
Découvrez comment accorder l’accès au niveau de l’utilisateur aux projets dans Microsoft Dev Box pour permettre aux développeurs de créer et de gérer des zones de développement.
Découvrez les exigences réseau pour le déploiement de boîtiers de développement, la connexion aux ressources basées sur le cloud, aux ressources sur site et aux ressources Internet.
Découvrez comment configurer la Gestion des privilèges de points de terminaison Microsoft Intune pour les dev box afin que les utilisateurs de dev box n’aient pas besoin de privilèges d’administration locaux.
Découvrez comment gérer plusieurs projets Microsoft Dev Box en accordant des autorisations d’administrateur et en déléguant l’administration de projet.