Konfigurera principer för villkorlig åtkomst för Dev Box

Den här artikeln visar hur organisationer använder principer för villkorsstyrd åtkomst för att hantera åtkomst till dev-rutor.

Microsoft Dev Box använder Microsoft Intune för enhetshantering, vilket ger centraliserad kontroll över enhetskonfiguration, efterlevnadsprinciper och appdistribution för att säkerställa säker åtkomst till företagsresurser. För att säkerställa åtkomst till resurser registrerar Dev Box automatiskt nya dev-rutor i Intune när du skapar dem.

För att förbättra säkerheten kan du använda principer för villkorsstyrd åtkomst för att styra vem som kan komma åt Dev Boxes och från vilka platser.

Villkorsstyrd åtkomst är skydd av reglerat innehåll i ett system genom att kräva att vissa kriterier uppfylls innan åtkomst till innehållet beviljas. De enklaste principerna för villkorsstyrd åtkomst är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Principer för villkorlig åtkomst är kraftfulla verktyg som hjälper dig att skydda organisationens enheter och dina miljöer.

• Enhetsbaserad villkorlig åtkomst:

  • Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast hanterade och kompatibla enheter kan använda Dev Box. Principer inkluderar villkorsstyrd åtkomst baserat på nätverksåtkomstkontroll.
  • Läs mer om enhetsbaserad villkorlig åtkomst med Intune.

• Appbaserad villkorlig åtkomst:

  • Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast dev box-användare kan komma åt hanterade appar som Microsofts utvecklarportal.
  • Läs mer om appbaserad villkorlig åtkomst med Intune.

Förutsättningar

• Intune-licenser
• Microsoft Entra ID P1-licenser

Ge åtkomst till Dev Box

Din organisation kan börja med principer för villkorsstyrd åtkomst som som standard inte tillåter någonting. Du kan konfigurera en princip för villkorsstyrd åtkomst som gör att dina utvecklare kan komma åt sina utvecklingsrutor genom att ange under vilka villkor de kan ansluta.

Du kan konfigurera principer för villkorlig åtkomst via Intune- eller Microsoft Entra-ID. Varje sökväg tar dig till ett konfigurationsfönster.

Scenario 1: Tillåt åtkomst till dev-rutor från betrodda nätverk

Du vill tillåta dev box-åtkomst, men bara från angivna nätverk, till exempel ditt kontor eller en betrodd leverantörs plats.

Definiera en plats

Följ de här stegen:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

2. Bläddra till Skydd>Villkorlig åtkomst>Namngivna platser.

3. Välj vilken typ av plats du vill skapa:

   • Plats för länder
   • IP-intervallplats

4. Ge platsen ett namn.

5. Ange IP-intervallen eller välj land/region för den plats som du anger.

   • Om du väljer IP-intervall kan du välja Markera som betrodd>plats.
   • Om du väljer Länder/regioner kan du välja att inkludera okända områden.

6. Välj Skapa.

Mer information finns i Vad är platsvillkoret i Villkorsstyrd åtkomst i Microsoft Entra?.

Skapa en ny policy

Följ de här stegen:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

2. Bläddra till Skydd>Villkorsstyrd åtkomst>Principer.

3. Välj Ny princip.

4. Ge principen ett namn. Använd en meningsfull namngivningskonvention för principer för villkorsstyrd åtkomst.

5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter:

   1. Under Inkludera väljer du Alla användare.
   2. Under Exkludera väljer du Användare och grupper. Välj organisationens konton för nödåtkomst.

6. Under Målresurser>Molnappar>Inkludera väljer du Alla molnappar.

7. Under Nätverk:

   1. Ställ in Konfigurera på Ja.
   2. Under Exkludera väljer du Valda nätverk och platser.
   3. Välj den plats som du skapade för din organisation.
   4. Välj Välj.

8. Under Åtkomstkontroller väljer du Blockera åtkomst>välj.

9. Bekräfta inställningarna och sätt Aktivera policy till Endast rapport.

10. Välj Skapa för att skapa din policy.

Bekräfta att principen fungerar som förväntat med hjälp av läget Endast rapport. Bekräfta att principen fungerar korrekt och aktivera den sedan.

Information om hur du konfigurerar en princip för villkorlig åtkomst för att blockera åtkomst finns i Villkorsstyrd åtkomst: Blockera åtkomst efter plats.

Scenario 2: Tillåt åtkomst till utvecklarportalen

Du vill endast ge utvecklare åtkomst till utvecklarportalen. Utvecklare bör komma åt och hantera sina utvecklingsrutor via utvecklarportalen.

Skapa en ny policy

Kommentar

Programmet Microsoft Developer Portal har bytt namn från Fidalgo Dev Portal Public, så det är möjligt för vissa klienter att fortfarande se det tidigare namnet. Även om de ser ett annat namn har de fortfarande samma program-ID, så det är rätt app. Om du vill försöka åtgärda det här namngivningsproblemet tar du bort och lägger till igen tjänsthuvudnamnet för klientorganisationens app.

Följ de här stegen:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

2. Bläddra till Skydd>Villkorsstyrd åtkomst>Principer.

3. Välj Ny princip.

4. Ge principen ett namn. Använd en meningsfull namngivningskonvention för principer för villkorsstyrd åtkomst.

5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.

   1. Under Inkludera väljer du Dev Box-användare.
   2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst.

6. Under Målresurser>Molnappar>Inkludera väljer du Microsoft Developer Portal>Fidalgo dataplane public>Windows Azure Service Management API.

7. Under Åtkomstkontroller väljer du Tillåt åtkomst och väljer Välj.

8. Bekräfta inställningarna och sätt Aktivera policy till Endast rapport.

9. Välj Skapa för att skapa din policy.

Bekräfta att principen fungerar som förväntat med hjälp av läget Endast rapport. Bekräfta att principen fungerar korrekt och aktivera den sedan.

Varning

Felkonfiguration av en blockeringsprincip kan leda till att organisationer blir utelåst. Du kan konfigurera konton för nödåtkomst för att förhindra kontoutelåsning i hela klientorganisationen. I det osannolika scenariot att alla administratörer är utelåst från din klientorganisation kan du använda ditt administrationskonto för nödåtkomst för att logga in på klientorganisationen för att vidta åtgärder för att återställa åtkomsten.

Appar som krävs för Dev Box

I följande tabell beskrivs de appar som är relevanta för Dev Box. Du kan anpassa principer för villkorsstyrd åtkomst så att de passar organisationens behov genom att tillåta eller blockera dessa appar.

Appnamn	Program-ID	beskrivning
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Används när Microsoft Remote Desktop öppnas för att hämta listan över resurser för användaren och när användare initierar åtgärder på sin utvecklingsruta, till exempel Starta om.
Virtuellt Azure-skrivbord	9cdead84-a844-4324-93f2-b2e6bb768d07	Används för att autentisera till gatewayen under anslutningen och när klienten skickar diagnostikinformation till tjänsten. Kan också visas som Windows Virtual Desktop.
Microsoft Fjärrskrivbord	a4a365df-50f1-4397-bc59-1a1564b8bb9c	Används för att autentisera användare till utvecklingsrutan. Krävs när du konfigurerar enkel inloggning i en tillhandahållandepolicy.
Inloggning i Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Används för att autentisera användare till utvecklingsrutan. Den här appen ersätter den Microsoft Fjärrskrivbord appen. Krävs när du konfigurerar enkel inloggning i en tillhandahållandepolicy.
Windows Azure Service Management API	797f4846-ba00-4fd7-ba43-dac1f8f63013	Används för att fråga efter DevCenter-projekt där användaren kan skapa dev-rutor.
Offentligt Fidalgo-dataplan	e526e72f-ffae-44a0-8dac-cf14b8bd40e2	Används för att hantera dev-rutor och andra DevCenter-resurser via DevCenter REST API:er, Azure CLI eller Microsoft-utvecklarportalen.
Microsofts utvecklarportal	0140a36d-95e1-4df5-918c-ca7ccd1fafc9	Används för att logga in på Microsoft Developer Portal-webbappen.

Du kan tillåta appar baserat på dina krav. Du kan till exempel tillåta att Fidalgo Dataplane Public tillåter dev box-hantering med hjälp av DevCenter REST-API:er, Azure CLI eller Microsoft Developer Portal. I följande tabell visas de appar som används i vanliga scenarier.

Applikation	Logga in på och hantera utvecklingsrutor i utvecklarportalen	Dev box-hantering (skapa/ta bort/stoppa osv.)	Ansluta via webbläsare	Ansluta via fjärrskrivbord
Microsofts utvecklarportal
Offentligt Fidalgo-dataplan
Windows Azure Service Management API
Windows 365
Virtuellt Azure-skrivbord
Microsoft Fjärrskrivbord

Mer information om hur du konfigurerar principer för villkorsstyrd åtkomst finns i Villkorlig åtkomst: Användare, grupper och arbetsbelastningsidentiteter.

Relaterat innehåll

• Användare och grupper i principen för villkorsstyrd åtkomst
• Molnappar, åtgärder och autentiseringskontext i principen för villkorsstyrd åtkomst
• Nätverk inom policy för villkorsstyrd åtkomst