Configurer des stratégies d’accès conditionnel pour Dev Box

Cet article montre comment les organisations utilisent des stratégies d’accès conditionnel pour gérer l’accès aux zones de développement.

Microsoft Dev Box utilise Microsoft Intune pour la gestion des appareils, fournissant un contrôle centralisé sur la configuration des appareils, les stratégies de conformité et le déploiement d’applications pour garantir un accès sécurisé aux ressources d’entreprise. Pour garantir l’accès aux ressources, Dev Box inscrit automatiquement de nouvelles zones de développement dans Intune lorsque vous les créez.

Pour améliorer la sécurité, vous pouvez appliquer des stratégies d’accès conditionnel pour contrôler qui peut accéder aux zones de développement et à partir de quels emplacements.

L’accès conditionnel est la protection du contenu réglementé dans un système en imposant la satisfaction de certains critères avant d’accorder l’accès au contenu. Les stratégies d’accès conditionnel à leur niveau le plus simple sont des instructions if-then. Si un utilisateur souhaite accéder à une ressource, il doit effectuer une action. Les stratégies d’accès conditionnel sont des outils puissants pour sécuriser les appareils de votre organisation et vos environnements.

• Accès conditionnel basé sur l’appareil :

  • Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les appareils gérés et conformes peuvent utiliser Dev Box. Les stratégies incluent l’Accès conditionnel en fonction du contrôle d’accès réseau.
  • En savoir plus sur l’accès conditionnel basé sur les appareils avec Intune.

• Accès conditionnel basé sur l’application :

  • Intune et Microsoft Entra ID fonctionnent ensemble pour vous assurer que seuls les utilisateurs de la zone de développement peuvent accéder aux applications gérées comme le portail des développeurs Microsoft.
  • En savoir plus sur l’Accès conditionnel basé sur les applications avec Intune.

Prérequis

• Licences Intune
• Licences Microsoft Entra ID P1

Fournir l’accès à Dev Box

Votre organisation peut commencer par des stratégies d’accès conditionnel qui, par défaut, n’autorisent rien. Vous pouvez configurer une stratégie d’accès conditionnel qui permet à vos développeurs d’accéder à leurs zones de développement en spécifiant les conditions dans lesquelles ils peuvent se connecter.

Vous pouvez configurer des stratégies d’accès conditionnel via Intune ou Microsoft Entra ID. Chaque chemin vous amène à un volet de configuration.

Scénario 1 : autoriser l’accès aux dev boxes à partir de réseaux approuvés

Vous souhaitez autoriser l’accès à la dev box, mais uniquement à partir de réseaux spécifiés, comme votre bureau ou l’emplacement d’un fournisseur approuvé.

Définir un emplacement

Effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de l’accès conditionnel.

2. Accédez à Protection>Accès conditionnel>Emplacement nommé.

3. Choisissez le type d’emplacement à créer :

   • Emplacement des pays
   • Emplacement des plages d’adresses IP

4. Donnez un nom à votre emplacement.

5. Indiquez les plages d’adresses IP ou sélectionnez le pays/la région pour l’emplacement que vous spécifiez.

   • Si vous sélectionnez des plages d’adresses IP, vous pouvez éventuellement sélectionner Marquer comme emplacement approuvé>.
   • Si vous sélectionnez Pays/Régions, vous pouvez choisir éventuellement d’inclure des zones inconnues.

6. Sélectionnez Créer.

Pour plus d’informations, consultez Quelle est la condition d’emplacement dans Microsoft Entra Conditional Access ?.

Créer une nouvelle stratégie

Effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de l’accès conditionnel.

2. Accédez à Protection>Accès conditionnel>Stratégies.

3. Sélectionnez Nouvelle stratégie.

4. Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.

5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail :

   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes. Choisissez les comptes d’accès d’urgence de votre organisation.

6. Sous Ressources cibles>Les applications cloud>incluent, sélectionnez Toutes les applications cloud.

7. Sous Réseau :

   1. Définissez Configurer sur Oui.
   2. Sous Exclure, sélectionnez Réseaux et emplacements sélectionnés.
   3. Sélectionnez l’emplacement que vous avez créé pour votre organisation.
   4. Choisissez Sélectionner.

8. Sous Contrôles d’accès, sélectionnez Bloquer l’accès>sélectionner.

9. Confirmez vos paramètres et définissez Activer la stratégie sur Mode rapport uniquement.

10. Sélectionnez Créer pour créer votre stratégie.

Confirmez que votre stratégie fonctionne comme prévu en mode Rapport seulement. Confirmez que la stratégie fonctionne correctement, puis activez-la.

Pour plus d’informations sur la configuration d’une stratégie d’accès conditionnel pour bloquer l’accès, consultez Accès conditionnel : Bloquer l’accès par emplacement.

Scénario 2 : autoriser l’accès au portail des développeurs

Vous souhaitez autoriser l’accès des développeurs au portail des développeurs uniquement. Les développeurs doivent accéder à leurs dev boxes et les gérer via le portail des développeurs.

Créer une nouvelle stratégie

Remarque

L'application Microsoft Developer Portal a été renommée depuis Fidalgo Dev Portal Public, il est donc possible que certains utilisateurs voient toujours l'ancien nom. Même s’ils voient un autre nom, ils ont toujours le même ID d’application. Il s’agit donc de l’application correcte. Si vous souhaitez essayer de résoudre ce problème de nommage, supprimez et ajoutez à nouveau le principal de service du locataire pour l’application.

Effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de l’accès conditionnel.

2. Accédez à Protection>Accès conditionnel>Stratégies.

3. Sélectionnez Nouvelle stratégie.

4. Donnez un nom à votre stratégie. Utilisez une convention d’affectation de noms significative pour les stratégies d’accès conditionnel.

5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.

   1. Sous Inclure, sélectionnez Utilisateurs Dev Box.
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence de votre organisation.

6. Sous Ressources cibles>, applications cloud>Inclure, sélectionnez Portail des développeurs Microsoft>, fidalgo dataplane public>, API de gestion des services Windows Azure.

7. Sous Contrôles d’accès, sélectionnez Autoriser l’accès , puis sélectionnez Sélectionner.

8. Confirmez vos paramètres et définissez Activer la stratégie sur Mode rapport uniquement.

9. Sélectionnez Créer pour créer votre stratégie.

Confirmez que votre stratégie fonctionne comme prévu en mode Rapport seulement. Confirmez que la stratégie fonctionne correctement, puis activez-la.

Attention

Une mauvaise configuration d’une stratégie de blocage peut entraîner l’exclusion des organisations. Vous pouvez configurer des comptes pour l’accès d’urgence afin d’empêcher le verrouillage de compte à l’échelle du tenant. Dans le scénario peu probable où tous les administrateurs sont exclus de votre espace de travail, vous pouvez utiliser votre compte d'accès d'urgence de l'administration pour vous connecter à l'espace de travail afin de prendre des mesures pour récupérer l'accès.

Applications requises pour Dev Box

Le tableau suivant décrit les applications pertinentes pour Dev Box. Vous pouvez personnaliser des stratégies d’accès conditionnel en fonction des besoins de votre organisation en autorisant ou en bloquant ces applications.

Nom de l’application	ID d’application	Descriptif
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Utilisé lorsque Le Bureau à distance Microsoft est ouvert pour récupérer la liste des ressources de l’utilisateur et lorsque les utilisateurs lancent des actions sur leur zone de développement, par exemple Redémarrer.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Utilisé pour s’authentifier auprès de la passerelle pendant la connexion et lorsque le client envoie des informations de diagnostic au service. Peut également apparaître sous le nom Windows Virtual Desktop.
Bureau à distance Microsoft	a4a365df-50f1-4397-bc59-1a1564b8bb9c	Utilisée pour authentifier les utilisateurs auprès de la dev box. Obligatoire lorsque vous configurez l’authentification unique dans une stratégie d’approvisionnement.
Connexion à la Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Utilisée pour authentifier les utilisateurs auprès de la dev box. Cette application remplace l’application Bureau à distance Microsoft. Obligatoire lorsque vous configurez l’authentification unique dans une stratégie d’approvisionnement.
API Gestion des services Windows Azure	797f4846-ba00-4fd7-ba43-dac1f8f63013	Permet d’interroger des projets DevCenter dans lesquels l’utilisateur peut créer des dev boxes.
Plan de données Fidalgo public	e526e72f-ffae-44a0-8dac-cf14b8bd40e2	Permet de gérer les zones de développement et d’autres ressources DevCenter via les API REST DevCenter, Azure CLI ou le portail des développeurs Microsoft.
Portail des développeurs Microsoft	0140a36d-95e1-4df5-918c-ca7ccd1fafc9	Permet de se connecter à l’application web du portail des développeurs Microsoft.

Vous pouvez autoriser les applications en fonction de vos exigences. Par exemple, vous pouvez autoriser Fidalgo Dataplane Public à autoriser la gestion des boîtes de développement à l’aide des API REST DevCenter, d’Azure CLI ou du portail des développeurs Microsoft. Le tableau suivant répertorie les applications utilisées dans les scénarios courants.

Application	Connectez-vous aux zones de développement et gérez-les dans le portail des développeurs	Gestion de dev box (créer/supprimer/arrêter, etc.)	Connexion via le navigateur	Connexion via le Bureau à distance
Portail des développeurs Microsoft
Plan de données Fidalgo public
API Gestion des services Windows Azure
Windows 365
Azure Virtual Desktop
Bureau à distance Microsoft

Pour plus d’informations sur la configuration des stratégies d’accès conditionnel, consultez Accès conditionnel : Utilisateurs, groupes et identités de charge de travail.

Contenu connexe

• Utilisateurs et groupes dans la stratégie d’accès conditionnel
• Applications cloud, actions et contexte d’authentification dans la stratégie d’accès conditionnel
• Réseau dans une stratégie d’accès conditionnel