本文說明組織如何使用條件式存取原則來管理開發方塊的存取權。
Microsoft Dev Box 使用 Microsoft Intune 進行裝置管理,提供裝置設定、合規性原則和應用程式部署的集中控制,以確保公司資源的安全存取。 為了確保資源的存取權,當您建立資源時,Dev Box 會自動在 Intune 中註冊新的開發方塊。
若要增強安全性,您可以套用條件式存取原則來控制誰可以存取開發方塊和位置。
條件式存取是系統中受規範內容的保護,方法是要求在授與內容存取權之前,先符合特定準則。 最簡單的條件式存取原則是 if-then 陳述式。 如果使用者想要存取資源,他們必須完成動作。 條件式存取原則是功能強大的工具,可協助保護組織的裝置安全,並符合您的環境規範。
裝置型條件式存取:
- Intune 和Microsoft Entra ID 一起運作,以確保只有受管理且相容的裝置可以使用 Dev Box。 這些原則包括以網路存取控制為基礎的條件式存取。
- 深入瞭解 使用 Intune 進行裝置型條件式存取。
以應用程式為基礎的條件式存取:
- Intune 和Microsoft Entra ID 一起運作,以確保只有開發人員方塊使用者才能存取受管理的應用程式,例如Microsoft開發人員入口網站。
- 深入了解使用 Intune 進行應用程式型條件式存取。
必要條件
提供開發箱的存取權
您的組織可能會從默認不允許任何存取的條件式存取原則開始。 您可以設定條件式存取原則,讓您的開發人員藉由指定可連線的條件來存取其開發方塊。
您可以透過 Intune 或 Microsoft Entra ID 來設定條件式存取原則。 每個路徑都會帶您前往組態窗格。
案例 1:允許從信任的網路存取開發箱
您想要允許開發箱存取,但只能從指定的網路存取,例如您的辦公室或受信任廠商的位置。
定義一個位置
執行下列步驟:
以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[條件式存取]>[具名位置]。
選擇要建立的位置類型:
- 國家/地區位置
- IP 範圍位置
為您的位置命名。
提供IP範圍,或針對您要指定的位置選取國家/地區。
- 如果您選取 [IP 範圍],您可以選擇性地選取 [標示為信任>的位置]。
- 如果您選取 [國家/地區],您可以選擇包含未知的區域。
選取 ,創建。
如需詳細資訊,請參閱 Microsoft Entra 條件式存取中的位置條件為何?。
建立新的原則
執行下列步驟:
以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]> [條件式存取]> [原則]。
選取 [新增原則]。
為您的原則命名。 針對條件式存取原則使用有意義的命名慣例。
在 [指派] 底下,選取 [使用者或工作負載身分識別]:
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 底下,選取 [使用者和群組]。 選擇貴組織的緊急存取帳戶。
在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]。
在 [網络] 底下:
- 將 [設定] 設定為 [是]。
- 在 [排除] 下,選取 [選取的網络和位置]。
- 選取您為組織建立的位置。
- 選擇 [] 選取 []。
在 [訪問控制] 底下,選取 [ 封鎖存取>選取]。
確認您的設定,並將 [ 啟用原則 ] 設定為 [僅報告]。
選取 [建立] 以建立您的原則。
使用僅限報告模式確認您的原則如預期般運作。 確認原則正常運作,然後將其啟用。
如需如何設定條件式存取原則以封鎖存取的資訊,請參閱條件式 存取:依位置封鎖存取。
案例 2:允許存取開發人員入口網站
您想要只允許開發人員存取開發人員入口網站。 開發人員應該透過開發人員入口網站存取並管理其開發箱。
建立新的原則
注意
應用程式 Microsoft 開發人員入口網站已從 "Fidalgo Dev Portal Public" 重新命名,因此某些租戶仍可能看到先前的名稱。 即使他們看到不同的名稱,它們仍然具有相同的應用程式識別碼,因此這是正確的應用程式。 如果您想要嘗試修正此命名問題,請刪除並讀取應用程式的租使用者服務主體。
執行下列步驟:
以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]> [條件式存取]> [原則]。
選取 [新增原則]。
為您的原則命名。 針對條件式存取原則使用有意義的命名慣例。
在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [開發箱使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取帳戶。
在 [目標資源>雲端應用程式>包含] 底下,選取 [Microsoft開發人員入口網站>Fidalgo 數據平面公用>Windows Azure 服務管理 API。
在 [存取] 底下,選取 [ 允許存取 ],然後選擇 [ 選取]。
確認您的設定,並將 [ 啟用原則 ] 設定為 [僅報告]。
選取 [建立] 以建立您的原則。
使用僅限報告模式確認您的原則如預期般運作。 確認原則正常運作,然後將其啟用。
警告
封鎖原則設定錯誤可能會導致組織遭到鎖定。您可以設定用於緊急存取的帳戶,以防止整個租用戶帳戶遭到鎖定。 在極少見的情況下,若所有系統管理員都被鎖在租用戶帳戶外,您可以使用緊急存取系統管理帳戶登入租用戶,以執行恢復存取的操作。
開發箱所需的應用程式
下表描述與開發箱相關的應用程式。 您可以藉由允許或封鎖這些應用程式,自定義條件式存取原則以符合組織的需求。
| 應用程式名稱 | 應用程式識別碼 | 描述 |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | 當 Microsoft 遠端桌面被開啟以擷取使用者的資源清單,或者使用者在他們的開發環境上執行動作時使用,例如重新啟動。 |
| Azure 虛擬桌面 | 9cdead84-a844-4324-93f2-b2e6bb768d07 | 用來在連線期間向閘道進行驗證,以及客戶端將診斷資訊傳送至服務時。 也可能顯示為 Windows 虛擬桌面。 |
| Microsoft 遠端桌面 | a4a365df-50f1-4397-bc59-1a1564b8bb9c | 用來向開發箱驗證使用者。 在佈建政策中設定單一登錄時,須要此設定。 |
| Windows Cloud 登入 | 270efc09-cd0d-444b-a71f-39af4910ec45 | 用來向開發箱驗證使用者。 此應用程式取代了 Microsoft 遠端桌面應用程式。 在佈建政策中設定單一登錄時,須要此設定。 |
| Windows Azure 服務管理 API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | 用來查詢使用者可在其中建立開發箱的 DevCenter 專案。 |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | 用來透過DevCenterREST API、Azure CLI或Microsoft開發人員入口網站來管理開發方塊和其他DevCenter資源。 |
| Microsoft開發人員入口網站 | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | 用來登入Microsoft開發人員入口網站 Web 應用程式。 |
您可以根據您的需求允許應用程式。 例如,您可以允許 Fidalgo Dataplane Public 使用 DevCenter REST API、Azure CLI 或Microsoft開發人員入口網站,允許開發方塊管理。 下表列出常見案例中使用的應用程式。
| 應用程式 | 在開發人員入口網站中登入和管理開發方塊 | 開發箱管理 (建立/刪除/停止等) | 透過瀏覽器連線 | 使用遠端桌面連線 |
|---|---|---|---|---|
| Microsoft開發人員入口網站 | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure 服務管理 API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure 虛擬桌面 |
|
|
|
|
| Microsoft 遠端桌面 |
|
|
|
|
如需如何設定條件式存取原則的詳細資訊,請參閱條件式 存取:使用者、群組和工作負載身分識別。