Lire en anglais

Partager via


Configurer des stratégies d’Accès conditionnel pour Microsoft Dev Box

L’accès conditionnel est la protection du contenu réglementé dans un système en exigeant que certains critères soient remplis avant d’accorder l’accès au contenu. Les stratégies d’accès conditionnel les plus simples sont des instructions if-then. Si (if) un utilisateur souhaite accéder à une ressource, alors (then) il doit effectuer une action. Les stratégies d’accès conditionnel constituent un outil puissant permettant de garantir la sécurité des appareils de votre organisation et la conformité des environnements.

Cet article fournit des exemples de la façon dont les organisations peuvent utiliser des stratégies d’accès conditionnel pour gérer l’accès aux dev boxes. Pour Microsoft Dev Box, il est courant de configurer des stratégies d’accès conditionnel pour restreindre les personnes pouvant accéder à la dev box, et à partir de quels emplacements ils peuvent accéder à leurs dev boxes.

  • Accès conditionnel basé sur l’appareil

    • Microsoft Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les appareils gérés et conformes peuvent avoir accès à Dev Box. Les stratégies incluent l’Accès conditionnel en fonction du contrôle d’accès réseau.
    • En savoir plus sur l’Accès conditionnel basé sur les appareils avec Intune
  • Accès conditionnel basé sur l’application

Prérequis

Fournir l’accès à Dev Box

Votre organisation peut commencer par des stratégies d’accès conditionnel qui, par défaut, n’autorisent rien. Vous pouvez configurer une stratégie d’accès conditionnel qui permet à vos développeurs d’accéder à leurs dev boxes en spécifiant les conditions dans lesquelles ils peuvent se connecter.

Vous pouvez configurer des stratégies d’accès conditionnel via Microsoft Intune ou via Microsoft Entra ID. Chaque chemin d’accès vous amène à un volet de configuration, dont un exemple est illustré dans la capture d’écran suivante :

Capture d’écran montrant les options de création d’une nouvelle stratégie d’accès conditionnel.

Scénario 1 : autoriser l’accès aux dev boxes à partir de réseaux approuvés

Vous souhaitez autoriser l’accès à la dev box, mais uniquement à partir de réseaux spécifiés, comme votre bureau ou l’emplacement d’un fournisseur approuvé.

Définir un emplacement

Effectuez les étapes suivantes :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel>Emplacement nommé.

  3. Choisissez le type d’emplacement à créer.

    • Emplacement des pays or Emplacement des plages d’adresses IP.
  4. Donnez un nom à votre emplacement.

  5. Fournissez les plages d’adresses IP ou sélectionnez Pays/régions pour l’emplacement que vous spécifiez.

    • Si vous sélectionnez des plages d’adresses IP, vous pouvez éventuellement Marquer comme approuvé > emplacement.

    • Si vous choisissez Pays/régions, vous pouvez éventuellement choisir d’inclure les zones inconnues.

  6. Sélectionnez Créer

Pour plus d’informations, consultez Condition d’emplacement dans l’Accès conditionnel Microsoft Entra.

Créer une stratégie

Effectuez les étapes suivantes :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel>Stratégies.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.

  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

    a. Sous Inclure, sélectionnez Tous les utilisateurs.

    b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.

  6. Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Toutes les applications cloud.

  7. Sous Réseau.

    a. Définissez Configurer sur Oui

    b. Sous Exclure, sélectionnez Réseaux et emplacements sélectionnés

    c. Sélectionnez l’emplacement que vous avez créé pour votre organisation.

    d. Sélectionnez Sélectionner.

  8. Sous Contrôles d’accès> sélectionnez Bloquer l’accès, puis Sélectionner.

  9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.

  10. Sélectionnez Créer pour créer votre stratégie.

Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.

Pour plus d’informations sur la configuration de la stratégie d’accès conditionnel pour bloquer l’accès, consultez Accès conditionnel : bloquer l’accès par emplacement.

Scénario 2 : autoriser l’accès au portail des développeurs

Vous souhaitez autoriser l’accès des développeurs au portail des développeurs uniquement. Les développeurs doivent accéder à leurs dev boxes et les gérer via le portail des développeurs.

Créer une nouvelle stratégie

Effectuez les étapes suivantes :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.

  2. Accédez à Protection>Accès conditionnel>Stratégies.

  3. Sélectionnez Nouvelle stratégie.

  4. Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.

  5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

    a. Sous Inclure, sélectionnez Utilisateurs Dev Box.

    b. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.

  6. Sous Ressources cibles>Applications cloud>Inclure, sélectionnez Portail des développeurs Microsoft, Plan de données Fidalgo public, API Gestion des services Azure Windows.

  7. Sous Contrôles d’accès> sélectionnez Autoriser l’accès, puis Sélectionner.

  8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.

  9. Sélectionnez Créer pour créer votre stratégie.

Confirmez que votre stratégie fonctionne comme prévu à l’aide du mode Rapport seul. Confirmez que la stratégie fonctionne correctement, puis activez-la.

Attention

Une mauvaise configuration d’une stratégie de blocage peut entraîner l’exclusion des organisations. Vous pouvez configurer des comptes pour l’accès d’urgence afin d’empêcher le verrouillage de compte à l’échelle du tenant. Dans le scénario improbable où tous les administrateurs seraient verrouillés hors de votre locataire, votre compte administratif d’accès d’urgence peut être utilisé pour vous connecter au locataire et prendre les mesures nécessaires pour récupérer l’accès.

Applications nécessaires pour Dev Box

Le tableau suivant décrit les applications pertinentes pour Microsoft Dev Box. Vous pouvez personnaliser des stratégies d’accès conditionnel en fonction des besoins de votre organisation en autorisant ou en bloquant ces applications.

Nom de l’application ID d’application Description
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Utilisé lorsque le Bureau à distance Microsoft est ouvert, pour récupérer la liste des ressources pour l’utilisateur et lorsque les utilisateurs lancent des actions sur leur dev box, comme Redémarrer.
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Utilisée pour s’authentifier auprès de la passerelle pendant la connexion, et lorsque le client envoie des informations de diagnostic au service. Peut également apparaître sous le nom Windows Virtual Desktop.
Microsoft Remote Desktop a4a365df-50f1-4397-bc59-1a1564b8bb9c Utilisée pour authentifier les utilisateurs auprès de la dev box. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement.
Connexion au cloud Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Utilisée pour authentifier les utilisateurs auprès de la dev box. Cette application remplace l’application Bureau à distance Microsoft. Nécessaire uniquement lorsque vous configurez l’authentification unique dans une stratégie de provisionnement.
API Gestion des services Windows Azure 797f4846-ba00-4fd7-ba43-dac1f8f63013 Permet d’interroger des projets DevCenter dans lesquels l’utilisateur peut créer des dev boxes.
Plan de donnés Fidalgo public e526e72f-ffae-44a0-8dac-cf14b8bd40e2 Permet de gérer des dev boxes et d’autres ressources DevCenter via les API REST DevCenter, Azure CLI ou le portail de développement.
Portail des développeurs Microsoft 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 Utilisé pour se connecter à l’application web du portail des développeurs.

Vous pouvez autoriser les applications en fonction de vos exigences. Par exemple, vous pouvez autoriser le Plan de donnés Fidalgo public à autoriser la gestion de dev box à l’aide des API REST DevCenter, d’Azure CLI ou du portail de développement. Le tableau suivant répertorie les applications utilisées dans les scénarios courants.

Application Connection et gestion des dev boxes dans le portail des développeurs Gestion de dev box (créer/supprimer/arrêter, etc.) Connexion via le navigateur Connexion via le Bureau à distance
Portail des développeurs Microsoft
Plan de donnés Fidalgo public
API Gestion des services Windows Azure
Windows 365
Azure Virtual Desktop
Bureau à distance Microsoft

Pour plus d’informations sur la configuration des stratégies d’accès conditionnel, consultez : Accès conditionnel : utilisateurs, groupes et identités de charge de travail.