為 Microsoft 開發箱設定條件式存取原則
條件式存取是對系統內受管制內容的保護措施,其要求滿足特定條件才能授予對內容的訪問權。 條件式存取原則最簡單就是 if-then 語句。 如果使用者想要存取某個資源,則必須完成動作。 條件式存取原則是一個功能強大的工具,可讓您的組織裝置安全且符合環境規範。
本文會提供一些範例,說明組織如何使用條件式存取原則,管理對開發箱的存取。 針對 Microsoft 開發箱,設定條件式存取原則來限制誰可以存取開發箱,以及他們可以從哪些位置存取其開發箱。
裝置型條件式存取
- Microsoft Intune 和 Microsoft Entra ID 會一起運作,以確保只有受控及符合規範的裝置才能存取開發箱。 這些原則包括以網路存取控制為基礎的條件式存取。
- 深入了解使用 Intune 進行裝置型條件式存取
應用程式型條件式存取
- Intune 和 Microsoft Entra ID 會一起運作,以確保只有開發箱使用者才能存取受控應用程式,例如開發人員入口網站。
- 深入了解使用 Intune 進行應用程式型條件式存取。
必要條件
提供開發箱的存取權
您的組織可能會從預設不允許任何內容的條件式存取原則開始。 您可以設定一個條件式存取原則,允許您的開發人員藉由指定他們可在其下連線的條件來存取其開發箱。
您可以透過 Microsoft Intune 或透過 Microsoft Entra ID 來設定條件式存取原則。 每個路徑都會帶您前往設定窗格,其範例顯示在下列螢幕擷取畫面中:
案例 1:允許從信任的網路存取開發箱
您想要允許開發箱存取,但只能從指定的網路存取,例如您的辦公室或受信任廠商的位置。
定義一個位置
執行下列步驟:
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[條件式存取]>[具名位置]。
選擇要建立之位置類型。
- [國家/地區位置] 或 [IP 範圍位置]。
為您的位置命名。
提供 IP 範圍,或選取您要指定之位置的 [國家/地區]。
如果您選取 IP 範圍,則可選擇性地標記為信任的 > 位置。
如果您選擇 [國家/地區],則可以選擇是否要包含未知的區域。
選取 [建立]
如需詳細資訊,請參閱什麼是 Microsoft Entra 條件式存取中的位置條件。
建立新原則
執行下列步驟:
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [原則]。
選取 [新增原則]。
為您的原則命名。 為條件式存取原則使用有意義的命名慣例。
在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
a. 在 [包含] 下,選取 [所有使用者]。
b. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取帳戶。
在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]。
在 [網路] 下。
a. 將 [設定] 設定為 [是]
b. 在 [排除] 下,選取 [選取的網路和位置]
c. 選取您已針對組織建立的位置。
d. 選取選取。
在 [存取控制] 下 > 選取 [封鎖存取],然後選取 [選取]。
確認您的設定,並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立您的原則。
使用僅限報告模式確認您的原則如預期般運作。 確認原則正常運作,然後將其啟用。
如需設定條件式存取原則以封鎖存取的相關資訊,請參閱條件式存取:依位置封鎖存取。
案例 2:允許存取開發人員入口網站
您想要只允許開發人員存取開發人員入口網站。 開發人員應該透過開發人員入口網站存取並管理其開發箱。
建立新的原則
執行下列步驟:
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [原則]。
選取 [新增原則]。
為您的原則命名。 為條件式存取原則使用有意義的命名慣例。
在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
a. 在 [包含] 下,選取 [開發箱使用者]。
b. 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取帳戶。
在 [目標資源]>[雲端應用程式]>[包含] 下,選取 [Microsoft 開發人員入口網站]、[Fidalgo Dataplane Public]、[Windows Azure 服務管理 API]。
在 [存取控制] 下 > 選取 [允許存取],然後選取 [選取]。
確認您的設定,並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立並啟用您的原則。
使用僅限報告模式確認您的原則如預期般運作。 確認原則正常運作,然後將其啟用。
警告
封鎖原則設定錯誤可能會導致組織遭到鎖定。您可以設定用於緊急存取的帳戶,以防止整個租用戶帳戶遭到鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
開發箱所需的應用程式
下表描述與 Microsoft 開發箱相關的應用程式。 您可以藉由允許或封鎖這些應用程式,自訂條件式存取原則以符合組織的需求。
| 應用程式名稱 | 應用程式識別碼 | 描述 |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | 用於下列情況:Microsoft 遠端桌面開啟、擷取使用者的資源清單,以及使用者在其開發箱上起始動作,例如重新啟動。 |
| Azure 虛擬桌面 | 9cdead84-a844-4324-93f2-b2e6bb768d07 | 用來在連線期間向閘道進行驗證,以及客戶端將診斷資訊傳送至服務時進行驗證。 也可能顯示為 Windows 虛擬桌面。 |
| Microsoft Remote Desktop | a4a365df-50f1-4397-bc59-1a1564b8bb9c | 用來向開發箱驗證使用者。 只有在您在布建原則中設定單一登錄時才需要。 |
| Windows Cloud Login | 270efc09-cd0d-444b-a71f-39af4910ec45 | 用來向開發箱驗證使用者。 此應用程式取代了 Microsoft 遠端桌面應用程式。 只有在您在布建原則中設定單一登錄時才需要。 |
| Windows Azure 服務管理 API | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | 用來查詢使用者可在其中建立開發箱的 DevCenter 專案。 |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | 用來透過 DevCenter REST API、Azure CLI 或開發人員入口網站管理開發箱和其他 DevCenter 資源。 |
| Microsoft 開發人員入口網站 | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | 用來登入開發人員入口網站 Web 應用程式。 |
您可以根據您的需求允許應用程式。 例如,您可以允許 Fidalgo Dataplane Public 使用 DevCenter REST API、Azure CLI 或 Dev 入口網站來允許開發箱管理。 下表列出常見案例中使用的應用程式。
| App | 在開發人員入口網站中登入和管理開發箱 | 開發箱管理 (建立/刪除/停止等) | 透過瀏覽器連線 | 使用遠端桌面連線 |
|---|---|---|---|---|
| Microsoft 開發人員入口網站 | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| Windows Azure 服務管理 API |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure 虛擬桌面 |
|
|
|
|
| Microsoft 遠端桌面 |
|
|
|
|
如需設定條件式存取原則的詳細資訊,請參閱:條件式存取:使用者、群組和工作負載身分識別。