Beleid voor voorwaardelijke toegang configureren voor Microsoft Dev Box
Voorwaardelijke toegang is de bescherming van gereguleerde inhoud in een systeem door te vereisen dat aan bepaalde criteria wordt voldaan voordat toegang tot de inhoud wordt verleend. Beleidsregels voor voorwaardelijke toegang zijn eenvoudigste if-then-instructies. Als een gebruiker toegang wil krijgen tot een resource, moet deze een actie voltooien. Beleid voor voorwaardelijke toegang is een krachtig hulpmiddel om de apparaten van uw organisatie veilig te houden en omgevingen te kunnen naleven.
In dit artikel vindt u voorbeelden van hoe organisaties beleid voor voorwaardelijke toegang kunnen gebruiken om de toegang tot ontwikkelvakken te beheren. Voor Microsoft Dev Box is het gebruikelijk om beleid voor voorwaardelijke toegang te configureren om te beperken wie toegang heeft tot dev box, welke locaties ze toegang hebben tot hun ontwikkelvakken.
Voorwaardelijke toegang op basis van het apparaat
- Microsoft Intune en Microsoft Entra ID werken samen om ervoor te zorgen dat alleen beheerde en compatibele apparaten Dev Box kunnen gebruiken. Beleidsregels omvatten voorwaardelijke toegang op basis van netwerktoegangsbeheer.
- Meer informatie over voorwaardelijke toegang op basis van apparaten met Intune
Op apps gebaseerde voorwaardelijke toegang
- Intune en Microsoft Entra ID werken samen om ervoor te zorgen dat alleen gebruikers van dev box toegang hebben tot beheerde apps, zoals de ontwikkelaarsportal.
- Meer informatie over op apps gebaseerde voorwaardelijke toegang met Intune.
Vereisten
Toegang bieden tot Dev Box
Uw organisatie kan beginnen met beleid voor voorwaardelijke toegang dat standaard niets toestaat. U kunt een beleid voor voorwaardelijke toegang instellen waarmee uw ontwikkelaars toegang kunnen krijgen tot hun ontwikkelvakken door de voorwaarden op te geven waaronder ze verbinding kunnen maken.
U kunt beleid voor voorwaardelijke toegang configureren via Microsoft Intune of via Microsoft Entra-id. Elk pad brengt u naar een configuratiedeelvenster, waarvan een voorbeeld wordt weergegeven in de volgende schermopname:
Scenario 1: Toegang tot dev-vakken van vertrouwde netwerken toestaan
U wilt toegang tot dev box toestaan, maar alleen vanuit opgegeven netwerken, zoals uw kantoor of de locatie van een vertrouwde leverancier.
Een locatie definiëren
Volg vervolgens deze stappen:
Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
Blader naar >voorwaardelijke toegang>tot benoemde locaties voor beveiliging.
Kies het type locatie dat u wilt maken.
- Locatie van landen of IP-bereiken.
Geef uw locatie een naam.
Geef de IP-bereiken op of selecteer de landen/regio's voor de locatie die u opgeeft.
Als u IP-bereiken selecteert, kunt u desgewenst markeren als vertrouwde > locatie.
Als u landen/regio's kiest, kunt u eventueel onbekende gebieden opnemen.
Selecteer Maken.
Zie wat is de locatievoorwaarde in voorwaardelijke toegang van Microsoft Entra voor meer informatie.
Nieuw beleid maken
Volg vervolgens deze stappen:
Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
Selecteer Nieuw beleid.
Geef uw beleid een naam. Gebruik een zinvolle naamconventie voor beleid voor voorwaardelijke toegang.
Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
a. Selecteer onder Opnemen de optie Alle gebruikers.
b. Selecteer onder Uitsluiten gebruikers en groepen en kies de accounts voor toegang tot noodgevallen van uw organisatie.
Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps.
Onder Netwerk.
a. Stel Configureren in op Ja
b. Selecteer onder Uitsluiten geselecteerde netwerken en locaties
c. Selecteer de locatie die u voor uw organisatie hebt gemaakt.
d. Selecteer Selecteren.
Selecteer Onder Besturingselementen> van Access de optie Toegang blokkeren en selecteer Selecteren.
Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
Selecteer Maken om uw beleid te maken.
Controleer of uw beleid werkt zoals verwacht met behulp van de modus Alleen-rapport. Controleer of het beleid correct werkt en schakel het vervolgens in.
Zie Voorwaardelijke toegang: Toegang per locatie blokkeren voor informatie over het configureren van beleid voor voorwaardelijke toegang om toegang te blokkeren.
Scenario 2: Toegang tot de ontwikkelaarsportal toestaan
U wilt alleen ontwikkelaarstoegang tot de ontwikkelaarsportal toestaan. Ontwikkelaars moeten hun ontwikkelvakken openen en beheren via de ontwikkelaarsportal.
Een nieuw beleid maken
Volg vervolgens deze stappen:
Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
Selecteer Nieuw beleid.
Geef uw beleid een naam. Gebruik een zinvolle naamconventie voor beleid voor voorwaardelijke toegang.
Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
a. Selecteer onder Opnemen de optie Dev Box-gebruikers.
b. Selecteer onder Uitsluiten gebruikers en groepen en kies de accounts voor toegang tot noodgevallen van uw organisatie.
Selecteer onder Cloud-apps> doelresources>Microsoft Developer Portal, Fidalgo dataplane public, Windows Azure Service Management API.
Selecteer Onder Toegangsbeheer> de optie Toegang toestaan en selecteer Selecteren.
Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
Selecteer Maken om het beleid te kunnen inschakelen.
Controleer of uw beleid werkt zoals verwacht met behulp van de modus Alleen-rapport. Controleer of het beleid correct werkt en schakel het vervolgens in.
Let op
Onjuiste configuratie van een blokbeleid kan ertoe leiden dat organisaties worden vergrendeld. U kunt accounts configureren voor toegang tot noodgevallen om accountvergrendeling voor de hele tenant te voorkomen. In het onwaarschijnlijke scenario zijn alle beheerders uitgesloten van uw tenant, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden bij de tenant om stappen te ondernemen om de toegang te herstellen.
Apps die vereist zijn voor Dev Box
In de volgende tabel worden de apps beschreven die relevant zijn voor Microsoft Dev Box. U kunt beleid voor voorwaardelijke toegang aanpassen aan de behoeften van uw organisatie door deze apps toe te staan of te blokkeren.
| App-naam | App-id | Beschrijving |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Wordt gebruikt wanneer Microsoft Extern bureaublad wordt geopend, om de lijst met resources voor de gebruiker op te halen en wanneer gebruikers acties initiëren in hun ontwikkelvak, zoals Opnieuw opstarten. |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Wordt gebruikt voor verificatie bij de gateway tijdens de verbinding en wanneer de client diagnostische gegevens naar de service verzendt. Kan ook worden weergegeven als Windows Virtual Desktop. |
| Microsoft Extern bureaublad | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Wordt gebruikt om gebruikers te verifiëren bij het ontwikkelaarsvak. Alleen nodig wanneer u eenmalige aanmelding configureert in een inrichtingsbeleid. |
| Aanmelding bij Windows Cloud | 270efc09-cd0d-444b-a71f-39af4910ec45 | Wordt gebruikt om gebruikers te verifiëren bij het ontwikkelaarsvak. Deze app vervangt de Microsoft Extern bureaublad-app. Alleen nodig wanneer u eenmalige aanmelding configureert in een inrichtingsbeleid. |
| Windows Azure Service Management-API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | Wordt gebruikt om query's uit te voeren voor DevCenter-projecten waar de gebruiker dev-vakken kan maken. |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | Wordt gebruikt voor het beheren van dev-vakken en andere DevCenter-resources via de DevCenter REST API's, Azure CLI of Dev Portal. |
| Microsoft Developer Portal | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | Wordt gebruikt om u aan te melden bij de web-app van de ontwikkelaarsportal. |
U kunt apps toestaan op basis van uw vereisten. U kunt bijvoorbeeld Fidalgo Dataplane Public toestaan om beheer van dev boxs toe te staan met behulp van de DevCenter REST API's, Azure CLI of Dev Portal. De volgende tabel bevat de apps die worden gebruikt in veelvoorkomende scenario's.
| App | Aanmelden bij en beheren van ontwikkelvakken in de ontwikkelaarsportal | Beheer van dev-boxen (maken/verwijderen/stoppen, enzovoort) | Verbinding maken via browser | Verbinding maken via Extern bureaublad |
|---|---|---|---|---|
| Microsoft Developer Portal | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure Service Management-API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Microsoft Extern bureaublad |
|
|
|
|
Zie voor meer informatie over het configureren van beleid voor voorwaardelijke toegang: Voorwaardelijke toegang: Gebruikers, groepen en workloadidentiteiten.