在 Microsoft Intune 中使用條件式存取原則限制對開發箱的存取

在本文中，您將瞭解如何在 Microsoft Intune 中設定條件式存取原則，以控制對開發箱的存取。針對開發箱，設定條件式存取原則來限制誰可以存取開發箱、其用途，以及他們可以從何處存取。若要設定條件式存取原則，可以使用 Microsoft Intune 來建立動態裝置群組和條件式存取原則。

Microsoft 開發箱中條件式存取的一些使用案例包括：

條件式存取是對系統內受管制內容的保護措施，其要求滿足特定條件才能授予對內容的訪問權。條件式存取原則最簡單就是 if-then 語句。如果使用者想要存取某個資源，則必須完成動作。條件式存取原則是一個功能強大的工具，可讓您的組織裝置安全且符合環境規範。

必要條件

動態群組會使用規則，根據使用者或裝置屬性來判斷群組成員資格。本節說明如何在 Microsoft Intune 中設定動態群組的規則。

若要建立以開發箱裝置為目標的條件式存取原則，必須先建立包含您的開發箱的動態裝置群組。要建立包含所有開發箱的動態安全性裝置群組，可以使用電腦的裝置模型中指定的關鍵詞來識別開發箱。

登入 Microsoft Intune 系統管理中心。
選取群組。
選取 [新增群組]。
提供新群組的名稱。
選擇性地新增描述。
將 [成員資格類型] 設定為 [動態裝置]。
選取 [新增動態查詢] 以指定群組的規則。
在 [屬性] 中，選取 [deviceModel]。
在 [操作員]中，選取 [開頭為]。
在 [值] 中，輸入 [Microsoft 開發箱]。

所有開發箱都會將製造商列為「Microsoft Corporation」，並將模型列為「Microsoft 開發箱 8vCPU/32GB/1024GB」，其中規格會反映為該開發箱選擇的 VM SKU。
驗證群組，然後選取 [建立]。
建立動態裝置群組之後，便可以在 Microsoft Intune 系統管理中心的 [群組] 窗格上檢視和管理現有群組。

建立裝置群組並驗證您的開發箱裝置為成員之後，可以繼續為案例建立條件式存取原則。在此範例中，您會建立條件式存取原則來限制指定地理區域以外的連線。

重要

使用 [報告專用] 功能將條件式存取原則放入生產環境之前，請先徹底測試條件式存取原則。如果設定錯誤，條件式存取原則可能會限制對開發箱的所有存取。

在 [選取] 窗格中，搜尋並選取您案例所需的應用程式：

應用程式名稱	應用程式識別碼	描述
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	用於擷取使用者的資源清單，以及當使用者在其開發箱上起始動作時，例如重新啟動。
Azure 虛擬桌面	9cdead84-a844-4324-93f2-b2e6bb768d07	用來在連線期間向閘道進行驗證，以及客戶端將診斷資訊傳送至服務時進行驗證。也可能顯示為 Windows 虛擬桌面。
Microsoft Remote Desktop	a4a365df-50f1-4397-bc59-1a1564b8bb9c	用來向開發箱驗證使用者。只有在您在布建原則中設定單一登錄時才需要。
Microsoft 開發人員入口網站	0140a36d-95e1-4df5-918c-ca7ccd1fafc9	用來管理開發箱入口網站。

您應該符合這些應用程式之間的條件式存取原則，以確保原則適用於開發人員入口網站、與閘道的連線以及開發箱，以取得一致的體驗。如果您想要排除應用程式，也必須選擇所有這些應用程式。
在 [條件] > [位置] > [已排除] 下，選取允許使用者從中進行連線的位置。>
在 [授與] 下，選取 [封鎖存取]。
在 [工作階段] 底下，選取選取 [已選取 0 個控件]。
若要測試條件式存取原則，請使用 [啟用原則] 底下的 [報告專用] 功能。
選取 [建立] 來建立原則。
建立條件式存取原則之後，便可以在 Microsoft Intune 系統管理中心的 [條件式存取 - 原則] 窗格中檢視和管理現有的原則。