Configurar políticas de Acesso Condicional para Microsoft Dev Box
O acesso condicional é a proteção de conteúdos regulamentados num sistema, exigindo o cumprimento de determinados critérios antes de conceder acesso aos conteúdos. As políticas de acesso condicional em sua forma mais simples são instruções if-then. Se um usuário quiser acessar um recurso, ele deverá concluir uma ação. As políticas de acesso condicional são uma ferramenta poderosa para manter os dispositivos da sua organização seguros e os ambientes compatíveis.
Este artigo fornece exemplos de como as organizações podem usar políticas de acesso condicional para gerenciar o acesso a caixas de desenvolvimento. Para o Microsoft Dev Box, é comum configurar políticas de acesso condicional para restringir quem pode acessar a caixa de desenvolvimento, a partir de quais locais eles podem acessar suas caixas de desenvolvimento.
Acesso Condicional com base em dispositivos
- O Microsoft Intune e o Microsoft Entra ID trabalham juntos para garantir que apenas dispositivos gerenciados e compatíveis possam Dev Box. As políticas incluem Acesso Condicional com base no controle de acesso à rede.
- Saiba mais sobre o Acesso Condicional baseado em dispositivo com o Intune
Acesso condicional baseado em aplicativo
- O Intune e o Microsoft Entra ID trabalham juntos para garantir que apenas os usuários da caixa de desenvolvimento possam acessar aplicativos gerenciados, como o portal do desenvolvedor.
- Saiba mais sobre o Acesso Condicional baseado em aplicações com o Intune.
Pré-requisitos
Fornecer acesso ao Dev Box
Sua organização pode começar com políticas de acesso condicional que, por padrão, não permitem nada. Você pode configurar uma política de acesso condicional que permita que seus desenvolvedores acessem suas caixas de desenvolvimento especificando as condições sob as quais eles podem se conectar.
Pode configurar políticas de acesso condicional através do Microsoft Intune ou através do Microsoft Entra ID. Cada caminho leva você a um painel de configuração, cujo exemplo é mostrado na captura de tela a seguir:
Cenário 1: Permitir o acesso a caixas de desenvolvimento a partir de redes fidedignas
Você deseja permitir o acesso à caixa de desenvolvimento, mas apenas de redes especificadas, como seu escritório ou a localização de um fornecedor confiável.
Definir um local
Siga estes passos:
Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
Navegue até Locais nomeados de acesso>condicional de proteção.>
Escolha o tipo de local a ser criado.
- Localização dos países ou localização dos intervalos de IP.
Dê um nome à sua localização.
Forneça os intervalos de IP ou selecione os Países/Regiões para o local que você está especificando.
Se você selecionar intervalos de IP, poderá opcionalmente Marcar como local confiável>.
Se escolher Países/Regiões, pode opcionalmente optar por incluir áreas desconhecidas.
Selecione Criar
Para obter mais informações, consulte Qual é a condição de local no Acesso Condicional do Microsoft Entra.
Criar nova política
Siga estes passos:
Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
Navegue até Políticas de Acesso>Condicional de Proteção.>
Selecione Nova política.
Dê um nome à sua política. Use uma convenção de nomenclatura significativa para políticas de acesso condicional.
Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
a. Em Incluir, selecione Todos os usuários.
b. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência da sua organização.
Em Recursos de destino>Incluir aplicações>na nuvem, selecione Todas as aplicações na nuvem.
Em Rede.
a. Definir Configurar como Sim
b. Em Excluir, selecione Redes e locais selecionados
c. Selecione o local que você criou para sua organização.
d. Selecione Selecionar.
Em Controles de> acesso, selecione Bloquear acesso e selecione Selecionar.
Confirme suas configurações e defina Habilitar política como Somente relatório.
Selecione Criar para criar sua política.
Confirme se sua política funciona conforme o esperado usando o modo somente relatório. Confirme se a política está a funcionar corretamente e, em seguida, ative-a.
Para obter informações sobre como configurar a política de acesso condicional para bloquear o acesso, consulte Acesso condicional: bloquear o acesso por local.
Cenário 2: Permitir acesso ao portal do desenvolvedor
Você deseja permitir o acesso do desenvolvedor somente ao portal do desenvolvedor. Os desenvolvedores devem acessar e gerenciar suas caixas de desenvolvimento através do portal do desenvolvedor.
Criar uma nova política
Siga estes passos:
Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
Navegue até Políticas de Acesso>Condicional de Proteção.>
Selecione Nova política.
Dê um nome à sua política. Use uma convenção de nomenclatura significativa para políticas de acesso condicional.
Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
a. Em Incluir, selecione Usuários da Caixa de Desenvolvimento.
b. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência da sua organização.
Em Recursos de destino>Aplicativos>de nuvem incluem, selecione Portal do desenvolvedor da Microsoft, plano de dados Fidalgo público, API de gerenciamento de serviços do Windows Azure.
Em Controles de> acesso, selecione Permitir acesso e selecione Selecionar.
Confirme suas configurações e defina Habilitar política como Somente relatório.
Selecione Criar para criar para habilitar sua política.
Confirme se sua política funciona conforme o esperado usando o modo somente relatório. Confirme se a política está a funcionar corretamente e, em seguida, ative-a.
Atenção
A configuração incorreta de uma política de bloqueio pode levar ao bloqueio das organizações. Você pode configurar contas para acesso de emergência para evitar o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
Aplicativos necessários para o Dev Box
A tabela a seguir descreve os aplicativos relevantes para o Microsoft Dev Box. Você pode personalizar as políticas de acesso condicional para atender às necessidades da sua organização, permitindo ou bloqueando esses aplicativos.
| Nome da aplicação | ID da Aplicação | Description |
|---|---|---|
| Windows 365 | 0AF06DC6-E4B5-4F28-818E-E78E62D137A5 | Usado quando a Área de Trabalho Remota da Microsoft é aberta, para recuperar a lista de recursos para o usuário e quando os usuários iniciam ações em sua caixa de desenvolvimento, como Reiniciar. |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Usado para autenticar no Gateway durante a conexão e quando o cliente envia informações de diagnóstico para o serviço. Também pode aparecer como Área de Trabalho Virtual do Windows. |
| Área de Trabalho Remota da Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Usado para autenticar usuários na caixa de desenvolvimento. Necessário apenas quando você configura o logon único em uma política de provisionamento. |
| Windows Cloud Login | 270efc09-CD0D-444B-A71F-39AF4910EC45 | Usado para autenticar usuários na caixa de desenvolvimento. Esta aplicação substitui a aplicação Ambiente de Trabalho Remoto da Microsoft. Necessário apenas quando você configura o logon único em uma política de provisionamento. |
| API de Gestão do Serviço do Microsoft Azure | 797F4846-BA00-4FD7-BA43-DAC1F8F63013 | Usado para consultar projetos do DevCenter onde o usuário pode criar caixas de desenvolvimento. |
| Avião de Dados Fidalgo Público | E526E72F-FFAE-44A0-8DAC-CF14B8BD40E2 | Usado para gerenciar caixas de desenvolvimento e outros recursos do DevCenter por meio das APIs REST do DevCenter, CLI do Azure ou Portal de Desenvolvimento. |
| Portal do Desenvolvedor da Microsoft | 0140A36D-95E1-4DF5-918C-CA7CCD1FAFC9 | Usado para entrar no aplicativo Web do portal do desenvolvedor. |
Pode permitir aplicações com base nos seus requisitos. Por exemplo, você pode permitir que o Fidalgo Dataplane Public permita o gerenciamento de caixas de desenvolvimento usando as APIs REST do DevCenter, a CLI do Azure ou o Portal de Desenvolvimento. A tabela a seguir lista os aplicativos usados em cenários comuns.
| Aplicação | Faça login e gerencie caixas de desenvolvimento no portal do desenvolvedor | Gerenciamento de caixa de desenvolvimento (criar/excluir/parar, etc.) | Conecte-se através do navegador | Ligar através do Ambiente de Trabalho Remoto |
|---|---|---|---|---|
| Portal do Desenvolvedor da Microsoft | 
|
|
|
|
| Avião de Dados Fidalgo Público |
|
|
|
|
| API de Gestão do Serviço do Microsoft Azure |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Área de Trabalho Remota da Microsoft |
|
|
|
|
Para obter mais informações sobre como configurar políticas de acesso condicional, consulte: Acesso condicional: usuários, grupos e identidades de carga de trabalho.