Настройка политик условного доступа для Dev Box

В этой статье показано, как организации используют политики условного доступа для управления доступом к полям разработки.

Microsoft Dev Box использует Microsoft Intune для управления устройствами, обеспечивая централизованный контроль над конфигурацией устройств, политиками соответствия требованиям и развертыванием приложений, чтобы обеспечить безопасный доступ к корпоративным ресурсам. Чтобы обеспечить доступ к ресурсам, Dev Box автоматически регистрирует новые поля разработки в Intune при создании.

Чтобы повысить безопасность, вы можете применять политики условного доступа для управления тем, кто может получить доступ к Dev Boxes и из каких мест.

Условный доступ — это защита регулируемого содержимого в системе путем контроля выполнения определенных условий перед предоставлением доступа к содержимому. Простейшие политики условного доступа — это конструкции типа "если-то". Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие. Политики условного доступа — это мощные средства для обеспечения безопасности устройств вашей организации и соответствия вашим средам.

• Условный доступ с учетом устройств:

  • Интюн и Microsoft Entra ID работают вместе, чтобы убедиться, что только управляемые и соответствующие требованиям устройства могут использовать Dev Box. Политики включают условный доступ на основе управления доступом к сети.
  • Дополнительные сведения об условном доступе на основе устройств см. в Intune.

• Условный доступ на основе приложений:

  • Идентификатор Intune и Microsoft Entra работают вместе, чтобы убедиться, что доступ к управляемым приложениям, таким как портал разработчика Майкрософт, могут только пользователи поля разработки.
  • Дополнительные сведения об условном доступе на основе приложений см. в Intune.

Предварительные условия

• Лицензии Intune
• Лицензии Microsoft Entra ID P1

Предоставление доступа к Dev Box

Ваша организация может начинаться с политик условного доступа, которые по умолчанию не разрешают ничего. Вы можете настроить политику условного доступа, которая позволяет разработчикам получать доступ к своим полям разработки, указывая условия, в которых они могут подключаться.

Политики условного доступа можно настроить с помощью Intune или Идентификатора Microsoft Entra. Каждый путь приводит вас к области конфигурации.

Сценарий 1. Разрешить доступ к полям разработки из доверенных сетей

Вы хотите разрешить доступ к полям разработки, но только из указанных сетей, таких как офис или расположение доверенного поставщика.

Определение расположения

Выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

2. Перейдите к защите>условному доступу>именованным расположениям.

3. Выберите тип расположения для создания:

   • Расположение стран
   • Расположение диапазонов IP-адресов

4. Присвойте расположению имя.

5. Укажите диапазоны IP-адресов или выберите страну или регион для указанного расположения.

   • При выборе диапазонов IP-адресов можно при необходимости выбрать Mark в качестве надежного>расположения.
   • При выборе стран или регионов можно также включить неизвестные области.

6. Выберите Создать.

Дополнительные сведения см. в разделе "Что такое условие расположения в условном доступе Microsoft Entra?".

Создание новой политики

Выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

2. Перейдите к политикам условного доступа>.

3. Выберите Новая политика.

4. Присвойте политике имя. Используйте понятное соглашение об именовании для политик условного доступа.

5. В разделе "Назначения" выберите "Пользователи" или удостоверения рабочей нагрузки:

   1. В разделе Включить выберите Все пользователи.
   2. В разделе "Исключить" выберите "Пользователи" и "Группы". Выберите учетные записи аварийного доступа вашей организации.

6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>

7. В разделе "Сеть"

   1. Задайте для параметра Настроить значение Да.
   2. В разделе "Исключить" выберите выбранные сети и расположения.
   3. Выберите расположение, созданное для вашей организации.
   4. Выберите Выбрать.

8. В разделе "Элементы управления доступом" выберите "Блокировать доступ>".

9. Подтвердите параметры и задайте для политики значение "Толькоотчет".

10. Выберите "Создать", чтобы создать политику.

Убедитесь, что политика работает должным образом с помощью режима только для отчетов. Убедитесь, что политика работает правильно, а затем включите ее.

Сведения о настройке политики условного доступа для блокировки доступа см. в статье "Условный доступ" — блокировка доступа по расположению.

Сценарий 2. Разрешить доступ к порталу разработчика

Вы хотите разрешить доступ разработчика только к порталу разработчика. Разработчики должны получать доступ к своим полям разработки и управлять ими с помощью портала разработчика.

Создание новой политики

Примечание.

Портал разработчика Microsoft был переименован из общедоступного портала разработки Fidalgo, поэтому для некоторых клиентов по-прежнему отображается предыдущее имя. Несмотря на то, что они видят другое имя, у них всё ещё тот же идентификатор приложения, так что это верное приложение. Если вы хотите устранить эту проблему именования, удалите и снова добавьте служебный принципал арендатора для приложения.

Выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.

2. Перейдите к политикам условного доступа>.

3. Выберите Новая политика.

4. Присвойте политике имя. Используйте понятное соглашение об именовании для политик условного доступа.

5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе Включить выберите Dev Box Users.
   2. В разделе "Исключить" выберите "Пользователи и группы " и выберите учетные записи экстренного доступа вашей организации.

6. В разделе "Целевые ресурсы">Облачные приложения>Включить, выберите Портал разработчика Microsoft>, публичный дата-план Fidalgo>, и API управления службами Windows Azure.

7. В разделе "Элементы управления доступом" выберите "Разрешить доступ" и нажмите кнопку "Выбрать".

8. Подтвердите параметры и задайте для политики значение "Толькоотчет".

9. Выберите "Создать", чтобы создать политику.

Убедитесь, что политика работает должным образом с помощью режима только для отчетов. Убедитесь, что политика работает правильно, а затем включите ее.

Внимание

Неправильное настройка политики блоков может привести к блокировке организаций. Вы можете настроить учетные записи для аварийного доступа , чтобы предотвратить блокировку учетной записи на уровне клиента. В маловероятном сценарии, когда все администраторы заблокированы из вашего клиента, вы можете использовать учетную запись администратора аварийного доступа для входа в клиент, чтобы выполнить действия по восстановлению доступа.

Приложения, необходимые для Dev Box

В следующей таблице описываются приложения, относящиеся к Dev Box. Политики условного доступа можно настроить в соответствии с потребностями организации, разрешая или блокируя эти приложения.

Название приложения	ИД приложения	Описание
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Используется при открытии удаленного рабочего стола Майкрософт для получения списка ресурсов для пользователя, а также при запуске действий в поле разработки, например перезапуска.
Виртуальный рабочий стол Azure	9cdead84-a844-4324-93f2-b2e6bb768d07	Используется для проверки подлинности в шлюзе во время подключения и при отправке клиентом диагностических сведений в службу. Может также отображаться как виртуальный рабочий стол Windows.
Удаленный рабочий стол (Майкрософт)	a4a365df-50f1-4397-bc59-1a1564b8bb9c	Используется для аутентификации пользователей в dev-box. Требуется при настройке единого входа в рамках политики управления доступом.
Вход в Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Используется для аутентификации пользователей в dev-box. Это приложение заменяет приложение Удаленный рабочий стол (Майкрософт). Требуется при настройке единого входа в рамках политики управления доступом.
API управления службами Windows Azure	797f4846-ba00-4fd7-ba43-dac1f8f63013	Используется для запроса проектов DevCenter, где пользователь может создавать поля разработки.
Общедоступный план данных Fidalgo	e526e72f-ffae-44a0-8dac-cf14b8bd40e2	Используется для управления полями разработки и другими ресурсами DevCenter с помощью REST API DevCenter, Azure CLI или портала разработчика Майкрософт.
Портал разработчика Майкрософт	0140a36d-95e1-4df5-918c-ca7ccd1fafc9	Используется для входа на веб-приложение портала разработчика Майкрософт.

Приложения можно разрешить на основе ваших требований. Например, вы можете разрешить fidalgo Dataplane Public разрешить управление полями разработки с помощью REST API DevCenter, Azure CLI или портала разработчика Майкрософт. В следующей таблице перечислены приложения, используемые в распространенных сценариях.

Приложение	Вход в поля разработки и управление ими на портале разработчика	Управление полем разработки (создание, удаление и остановка и т. д.)	Подключение через браузер	Подключение через удаленный рабочий стол
Портал разработчика Майкрософт
Общедоступный план данных Fidalgo
API управления службами Windows Azure
Windows 365
Виртуальный рабочий стол Azure
Удаленный рабочий стол (Майкрософт)

Дополнительные сведения о настройке политик условного доступа см. в разделе Условный доступ: пользователи, группы и удостоверения рабочей нагрузки.

Связанный контент

• Пользователи и группы в политике условного доступа
• Облачные приложения, действия и контекст проверки подлинности в политике условного доступа
• Сеть в политике условного доступа