次の方法で共有

Dev Box の条件付きアクセス ポリシーを構成する

この記事では、組織が条件付きアクセス ポリシーを使用して開発ボックスへのアクセスを管理する方法について説明します。

Microsoft Dev Box では、デバイス管理に Microsoft Intune を使用し、デバイス構成、コンプライアンス ポリシー、アプリの展開を一元的に制御し、企業リソースへの安全なアクセスを確保します。 リソースに確実にアクセスできるように、Dev Box は、新しい開発ボックスを作成するときに Intune に自動的に登録します。

セキュリティを強化するために、条件付きアクセス ポリシーを適用して、開発ボックスにアクセスできるユーザーと場所を制御できます。

条件付きアクセスとは、コンテンツへのアクセスを許可する前に特定の条件を満たすことを要求することで、システム内の規制対象コンテンツを保護することです。 条件付きアクセス ポリシーは、簡単に言えば、if-then ステートメントです。 ユーザーがリソースにアクセスする場合は、アクションを完了する必要があります。 条件付きアクセス ポリシーは、組織のデバイスをセキュリティで保護し、環境を準拠させるために役立つ強力なツールです。

  • デバイス ベースの条件付きアクセス:

    • Intune と Microsoft Entra ID が連携して、マネージドデバイスと準拠デバイスのみが Dev Box を使用できるようにします。 ポリシーには、ネットワーク アクセス制御に基づく条件付きアクセスが含まれます。
    • Intune を使用 したデバイスベースの条件付きアクセスの詳細について説明します。

  • アプリベースの条件付きアクセス:

    • Intune と Microsoft Entra ID が連携して、開発ボックス ユーザーのみが Microsoft 開発者ポータルなどのマネージド アプリにアクセスできるようにします。
    • Intune でのアプリ ベースの条件付きアクセスに関するページを参照してください。

前提条件

Dev Box へのアクセスを提供する

組織は、既定では何も許可しない条件付きアクセス ポリシーから始める場合があります。 開発者が接続できる条件を指定することで、開発者が開発ボックスにアクセスできるようにする条件付きアクセス ポリシーを設定できます。

条件付きアクセス ポリシーは、Intune または Microsoft Entra ID を使用して構成できます。 各パスによって、構成ウィンドウが表示されます。

新しい条件付きアクセス ポリシーを作成するためのオプションを示すスクリーンショット。

シナリオ 1: 信頼されたネットワークからの開発ボックスへのアクセスを許可する

開発ボックスへのアクセスを許可するが、オフィスや信頼できるベンダーの場所など、指定されたネットワークからのみ許可する必要があります。

場所を定義する

次のステップを実行します。

  1. 少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインします。

  2. [保護]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。

  3. 作成する場所の種類を選択します。

    • 国の場所
    • IP 範囲の場所

  4. 場所に名前を付けます。

  5. IP 範囲を指定するか、指定する場所の国/地域を選択します。

    • IP 範囲を選択する場合は、必要に応じて [信頼済みの場所としてマーク>する] を選択できます。
    • [国/地域] を選択した場合は、必要に応じて不明な領域を含めることができます。

  6. を選択してを作成します。

詳細については、「 Microsoft Entra 条件付きアクセスの場所の条件とは」を参照してください。

新しいポリシーの作成

次のステップを実行します。

  1. 少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインします。

  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。

  3. [新しいポリシー] を選択します。

  4. ポリシーに名前を付けてください。 条件付きアクセス ポリシーにはわかりやすい名前付け規則を使用します。

  5. [ 割り当て] で、[ ユーザーまたはワークロード ID] を選択します

    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [ 除外] で、[ ユーザーとグループ] を選択します。 組織の緊急アクセスアカウントを選択します。

  6. [ターゲット リソース]>[クラウド アプリ]>[対象] で、[すべてのクラウド アプリ] を選びます。

  7. ネットワークの下に

    1. [ 構成] を[はい] に設定します。
    2. [ 除外] で、[ 選択したネットワークと場所] を選択します。
    3. 組織用に作成した場所を選択します。
    4. を選択し、を選択してください。」

  8. [アクセス制御] で、[アクセスのブロック]>[選択] を選択します。

  9. 設定を確認し、[ポリシーの有効化][レポート専用] に設定します。

  10. [作成] を選択して、そのポリシーを作成します。

レポート専用モードを使用して、ポリシーが期待どおりに動作することを確認します。 正しく動作していることを確認し、ポリシーを有効にします。

アクセスをブロックするように条件付きアクセス ポリシーを構成する方法については、「 条件付きアクセス: 場所によるアクセスをブロックする」を参照してください。

シナリオ 2: 開発者ポータルへのアクセスを許可する

開発者に開発者ポータルのみへのアクセスを許可する必要があります。 開発者は、開発者ポータルから開発ボックスにアクセスして管理する必要があります。

新しいポリシーの作成

メモ

アプリケーションの Microsoft 開発者ポータルの名前が Fidalgo Dev Portal Public から変更されたため、特定のテナントで以前の名前が引き続き表示される可能性があります。 別の名前が表示されている場合でも、同じアプリケーション ID を持っているので、正しいアプリです。 これを名前付けの問題を修正する場合は、テナントのアプリのサービス プリンシパルを削除して追加しなおします。

次のステップを実行します。

  1. 少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインします。

  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。

  3. [新しいポリシー] を選択します。

  4. ポリシーに名前を付けてください。 条件付きアクセス ポリシーにはわかりやすい名前付け規則を使用します。

  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。

    1. [対象] で、[Dev Box ユーザー] を選択します。
    2. [除外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用アカウントを選択します。

  6. [ ターゲット リソース>クラウド アプリ>Include] で、 Microsoft 開発者ポータル>Fidalgo データプレーン パブリック>Windows Azure サービス管理 API を選択します。

  7. [ アクセス制御] で、[ アクセスの許可 ] を選択し、[選択] を 選択します

  8. 設定を確認し、[ポリシーの有効化][レポート専用] に設定します。

  9. [作成] を選択して、そのポリシーを作成します。

レポート専用モードを使用して、ポリシーが期待どおりに動作することを確認します。 正しく動作していることを確認し、ポリシーを有効にします。

注意事項

ブロック ポリシーが正しく構成されていないと、組織がロックアウトされる可能性があります。アカウントを緊急アクセス用に構成して、テナント全体のアカウント ロックアウトを防ぐことができます。 テナントからすべての管理者がロックアウトされている可能性が低いシナリオでは、緊急アクセス管理アカウントを使用してテナントにサインインし、アクセスを回復するための手順を実行できます。

Dev Box に必要なアプリ

次の表では、Dev Box に関連するアプリについて説明します。 これらのアプリを許可またはブロックすることで、組織のニーズに合わせて条件付きアクセス ポリシーをカスタマイズできます。

アプリ名 アプリケーションID 説明
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Microsoft リモート デスクトップを開いてユーザーのリソースの一覧を取得するとき、およびユーザーが開発ボックス (再起動など) でアクションを開始するときに使用されます。
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 接続中およびクライアントがサービスに診断情報を送信するときに、ゲートウェイに対する認証に使用されます。 Windows Virtual Desktop としても表示される場合があります。
Microsoft リモート デスクトップ a4a365df-50f1-4397-bc59-1a1564b8bb9c 開発ボックスに対してユーザーを認証するために使用されます。 プロビジョニング ポリシーでシングル サインオンを構成するときに必要です。
Windows Cloud サインイン 270efc09-cd0d-444b-a71f-39af4910ec45 開発ボックスに対してユーザーを認証するために使用されます。 このアプリは、Microsoft リモート デスクトップ アプリに代わるアプリです。 プロビジョニング ポリシーでシングル サインオンを構成するときに必要です。
Windows Azure Service Management API 797f4846-ba00-4fd7-ba43-dac1f8f63013 ユーザーが開発ボックスを作成できる DevCenter プロジェクトのクエリに使用されます。
Fidalgo データプレーン パブリック e526e72f-ffae-44a0-8dac-cf14b8bd40e2 DevCenter REST API、Azure CLI、または Microsoft 開発者ポータルを使用して、開発ボックスやその他の DevCenter リソースを管理するために使用されます。
Microsoft 開発者ポータル 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 Microsoft 開発者ポータル Web アプリにサインインするために使用されます。

要件に基づいてアプリを許可できます。 たとえば、Fidalgo Dataplane Public に DevCenter REST API、Azure CLI、または Microsoft 開発者ポータルを使用して開発ボックス管理を許可できます。 次の表に、一般的なシナリオで使用されるアプリの一覧を示します。

アプリ 開発者ポータルで開発ボックスにサインインして管理する 開発ボックス管理 (作成、削除、停止など) ブラウザー経由で接続する リモート デスクトップ経由で接続する
Microsoft 開発者ポータル
Fidalgo データプレーン パブリック
Windows Azure Service Management API
Windows 365
Azure Virtual Desktop
Microsoft リモート デスクトップ

条件付きアクセス ポリシーを構成する方法の詳細については、「 条件付きアクセス: ユーザー、グループ、およびワークロード ID」を参照してください。

関連するコンテンツ