你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Microsoft Dev Box 配置条件访问策略
条件访问通过在授予内容访问权限之前要求满足某些条件来保护系统中受监管的内容。 最简单的条件访问策略是 if-then 语句。 如果用户想要访问资源,那么他们必须完成某项操作。 条件访问策略是一种功能强大的工具,可用于确保组织的设备安全和环境合规。
本文提供了组织如何使用条件访问策略来管理对开发箱的访问的示例。 对于 Microsoft Dev Box,我们通常会配置条件访问策略来限制谁可以访问开发箱,以及他们可以从哪些位置访问开发箱。
基于设备的条件访问
- Microsoft Intune 和 Microsoft Entra ID 协同工作,确保只有受管且合规的设备能够访问 Dev Box。 策略包括基于网络访问控制的条件访问。
- 详细了解 Intune 的基于设备的条件访问
基于应用的条件访问
- Intune 和 Microsoft Entra ID 协同工作,确保只有开发箱用户能够访问开发人员门户等受管应用。
- 详细了解 Intune 的基于应用的条件访问。
先决条件
提供对 Dev Box 的访问权限
你的组织最初可能设置了默认不允许进行任何访问的条件访问策略。 你可以设置一个允许开发人员访问其开发箱的条件访问策略,方法是指定他们需要满足哪些条件才能进行连接。
可以通过 Microsoft Intune 或 Microsoft Entra ID 配置条件访问策略。 选择每个路径会转到配置窗格,以下屏幕截图显示了该窗格的示例:
方案 1:允许从受信任网络访问开发箱
你想要允许访问开发箱,但仅限从指定的网络(例如办公室或受信任供应商的位置)进行访问。
定义位置
执行以下步骤:
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“命名位置”。
选择要创建的位置类型。
- 国家/地区位置或 IP 范围位置。
为位置命名。
为要指定的位置提供“IP 范围”或选择“国家/地区”。
如果选择 IP 范围,可选择性地标记为“受信任位置”。
如果选择“国家/地区”,可以选择包含未知区域。
选择“创建”
有关详细信息,请参阅 Microsoft Entra 条件访问中的位置条件是什么。
创建新策略
执行以下步骤:
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略”。
为策略指定名称。 对条件访问策略使用有意义的命名约定。
在“分配”下,选择“用户或工作负载标识” 。
a. 在“包括”下,选择“所有用户”。
b. 在“排除”下选择“用户和组”,并选择组织的紧急访问帐户。
在“目标资源”>“云应用”>“包括”下,选择“所有云应用”。
在“网络”下。
a. 将“配置”设置为“是”
b. 在“排除”下,选择“所选网络和位置”
c. 选择你为组织创建的位置。
d. 选择“选择” 。
在“访问控制”下,依次选择“阻止访问”和“选择”。
确认设置,然后将“启用策略”设置为“仅限报告”。
选择“创建”以创建策略。
使用“仅报告”模式确认策略是否按预期工作。 确认策略是否正常工作,然后启用它。
有关配置条件访问策略以阻止访问的信息,请参阅条件访问:按位置阻止访问。
方案 2:允许访问开发人员门户
你希望仅允许开发人员访问开发人员门户。 开发人员应该通过开发人员门户访问和管理其开发箱。
创建新策略
执行以下步骤:
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“条件访问”>“策略”。
选择“新策略”。
为策略指定名称。 对条件访问策略使用有意义的命名约定。
在“分配”下,选择“用户或工作负载标识” 。
a. 在“包括”下,选择“Dev Box 用户”。
b. 在“排除”下选择“用户和组”,并选择组织的紧急访问帐户。
在“目标资源”“云应用”下,选择“Microsoft 开发人员门户”、“Fidalgo Dataplane Public”、“Windows Azure 服务管理 API”>>。
在“访问控制”下,依次选择“允许访问”和“选择”。
确认设置,然后将“启用策略”设置为“仅限报告”。
选择“创建” ,以便创建启用策略所需的项目。
使用“仅报告”模式确认策略是否按预期工作。 确认策略是否正常工作,然后启用它。
注意
阻止策略配置不当可能会导致组织被锁定。可以配置紧急访问帐户,以防止出现租户范围的帐户锁定。 在极少数情况下,所有管理员都被锁定在租户外,紧急访问管理帐户可用于登录租户,以采取措施来恢复访问。
Dev Box 所需的应用
下表描述了与 Microsoft Dev Box 相关的应用。 可以通过允许或阻止这些应用来自定义条件访问策略,以满足组织的需求。
| 应用名称 | 应用 ID | 说明 |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | 打开 Microsoft 远程桌面时使用,以检索用户的资源列表;以及当用户在其开发箱上启动操作(例如重启)时使用。 |
| Azure 虚拟桌面 | 9cdead84-a844-4324-93f2-b2e6bb768d07 | 用于在连接期间以及客户端向服务发送诊断信息时向网关进行身份验证。 也可能显示为 Windows 虚拟桌面。 |
| Microsoft 远程桌面 | a4a365df-50f1-4397-bc59-1a1564b8bb9c | 用于对开发箱的用户进行身份验证。 仅在预配策略中配置单一登录时才需要。 |
| Windows 云登录 | 270efc09-cd0d-444b-a71f-39af4910ec45 | 用于对开发箱的用户进行身份验证。 此应用取代了 Microsoft 远程桌面应用。 仅在预配策略中配置单一登录时才需要。 |
| Windows Azure 服务管理 API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | 用于查询用户可在其中创建开发箱的 DevCenter 项目。 |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | 用于通过 DevCenter REST API、Azure CLI 或开发门户管理开发箱和其他 DevCenter 资源。 |
| Microsoft 开发人员门户 | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | 用于登录到开发人员门户 Web 应用。 |
你可以根据自己的要求允许应用。 例如,可以允许 Fidalgo Dataplane Public 使用 DevCenter REST API、Azure CLI 或 Dev Portal 进行开发箱管理。 下表列出了常见方案中使用的应用。
| 应用 | 在管理开发人员门户中登录和管理开发箱 | 开发箱管理(创建/删除/停止等) | 通过浏览器进行连接 | 通过远程桌面进行连接 |
|---|---|---|---|---|
| Microsoft 开发人员门户 | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure 服务管理 API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure 虚拟桌面 |
|
|
|
|
| Microsoft 远程桌面 |
|
|
|
|
有关配置条件访问策略的详细信息,请参阅:条件访问:用户、组和工作负载标识。