Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo las organizaciones usan directivas de acceso condicional para administrar el acceso a los cuadros de desarrollo.
Microsoft Dev Box usa Microsoft Intune para la administración de dispositivos, lo que proporciona control centralizado sobre la configuración del dispositivo, las directivas de cumplimiento y la implementación de aplicaciones para garantizar el acceso seguro a los recursos corporativos. Para garantizar el acceso a los recursos, Dev Box registra automáticamente nuevos cuadros de desarrollo en Intune al crearlos.
Para mejorar la seguridad, puede aplicar directivas de acceso condicional para controlar quién puede acceder a Dev Boxes y desde qué ubicaciones.
El acceso condicional exige el cumplimiento de determinados criterios antes de conceder acceso al contenido regulado del sistema para protegerlo. Las directivas del Acceso condicional, en su forma más simple, son declaraciones " if-then ". Si un usuario quiere acceder a un recurso, debe completar una acción. Las directivas de acceso condicional son herramientas eficaces para ayudar a mantener los dispositivos de su organización seguros y los entornos compatibles.
Acceso condicional basado en dispositivo:
- Intune y Microsoft Entra ID funcionan juntos para asegurarse de que solo los dispositivos administrados y compatibles pueden usar Dev Box. Las directivas incluyen el acceso condicional basado en el control de acceso de red.
- Obtenga más información sobre el acceso condicional basado en dispositivos con Intune.
Acceso condicional basado en aplicaciones:
- Intune y Microsoft Entra ID funcionan conjuntamente para asegurarse de que solo los usuarios del cuadro de desarrollo pueden acceder a aplicaciones administradas como el portal para desarrolladores de Microsoft.
- Más información sobre el acceso condicional basado en la aplicación con Intune.
Requisitos previos
Proporcionar acceso a Dev Box
Su organización puede empezar con directivas de acceso condicional que, de forma predeterminada, no permiten nada. Puede configurar una directiva de acceso condicional que permita a los desarrolladores acceder a sus cuadros de desarrollo especificando las condiciones en las que pueden conectarse.
Puede configurar directivas de acceso condicional a través de Intune o microsoft Entra ID. Cada ruta de acceso le lleva a un panel de configuración.
Escenario 1: Permitir el acceso a cajas de desarrollo desde redes de confianza
Quiere permitir el acceso al entorno de desarrollo, pero solo desde redes especificadas, como su oficina o la ubicación de un proveedor de confianza.
Definición de una ubicación
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección> Acceso condicional> Ubicaciones designadas.
Elija el tipo de ubicación que se va a crear:
- Ubicación de países
- Ubicación de intervalos IP
Asigne un nombre a la ubicación.
Proporcione los intervalos IP o seleccione el país o región para la ubicación que especifique.
- Si selecciona Intervalos IP, puede opcionalmente seleccionar Marcar como>ubicación de confianza.
- Si selecciona Países o regiones, opcionalmente puede elegir incluir áreas desconocidas.
Selecciona Crear.
Para obtener más información, consulte ¿Cuál es la condición de ubicación en el acceso condicional de Microsoft Entra?
Creación de una nueva directiva
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección>Acceso condicional>Directivas.
Seleccione Nueva directiva.
Asigne un nombre a la directiva. Use una convención de nomenclatura significativa para las directivas de acceso condicional.
En Asignaciones, seleccione Usuarios o identidades de carga de trabajo:
- En Incluir, selecciona Todos los usuarios.
- En Excluir, seleccione Usuarios y grupos. Elija las cuentas de acceso de emergencia de su organización.
En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Todas las aplicaciones en la nube.
En Red:
- Establece Configurar en Sí.
- En Excluir, seleccione Redes y ubicaciones seleccionadas.
- Seleccione la ubicación que creó para su organización.
- Elija Seleccione.
En Controles de acceso, seleccione Bloquear acceso>Seleccionar.
Confirme la configuración y establezca Habilitar directiva en Solo informe.
Seleccione Crear para crear la directiva.
Confirme que la directiva funciona según lo previsto mediante el modo de solo informe. Confirme que la directiva funciona correctamente y, a continuación, habilítela.
Para obtener información sobre cómo configurar una directiva de acceso condicional para bloquear el acceso, consulte Acceso condicional: Bloquear el acceso por ubicación.
Escenario 2: Permitir el acceso al portal para desarrolladores
Usted quiere permitir el acceso para desarrolladores únicamente al portal de desarrolladores. Los desarrolladores deben acceder a sus cuadros de desarrollo y administrarlos a través del portal para desarrolladores.
Creación de una nueva directiva
Nota:
El nombre de la aplicación Microsoft Developer Portal se cambió de Fidalgo Dev Portal Public, por lo que es posible que determinados clientes sigan viendo el nombre anterior. Aunque ven un nombre diferente, todavía tienen el mismo identificador de aplicación, por lo que es la aplicación correcta. Si quiere intentar corregir este problema de nomenclatura, puede eliminar y volver a agregar la entidad de servicio del inquilino de la aplicación.
Siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
Vaya a Protección>Acceso condicional>Directivas.
Seleccione Nueva directiva.
Asigne un nombre a la directiva. Use una convención de nomenclatura significativa para las directivas de acceso condicional.
En Asignaciones, selecciona Usuarios o identidades de carga de trabajo.
- En Incluir, seleccione Usuarios de Dev Box.
- En Excluir, seleccione Usuarios y grupos y elija las cuentas de acceso de emergencia de su organización.
En Recursos de destino>Aplicaciones en la nube>Incluir, seleccione Portal para desarrolladores de Microsoft>Fidalgo dataplane public>API de Administración de Servicios de Windows Azure.
En Controles de acceso, seleccione Permitir acceso y elija Seleccionar.
Confirme la configuración y establezca Habilitar directiva en Solo informe.
Seleccione Crear para crear la directiva.
Confirme que la directiva funciona según lo previsto mediante el modo de solo informe. Confirme que la directiva funciona correctamente y, a continuación, habilítela.
Precaución
La configuración incorrecta de una política de bloqueo puede provocar que las organizaciones queden bloqueadas. Puede configurar cuentas para el acceso de emergencia para evitar el bloqueo de cuenta a nivel de arrendatario. En el improbable caso de que todos los administradores estén bloqueados fuera del inquilino, puede usar la cuenta administrativa de acceso de emergencia para iniciar sesión en el inquilino y realizar los pasos para recuperar el acceso.
Aplicaciones necesarias para Dev Box
En la tabla siguiente se describen las aplicaciones que son relevantes para Dev Box. Puede personalizar las directivas de acceso condicional para satisfacer las necesidades de su organización al permitir o bloquear estas aplicaciones.
| Nombre de la aplicación | Id. de la aplicación | Descripción |
|---|---|---|
| Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Se usa cuando se abre Escritorio remoto de Microsoft para recuperar la lista de recursos del usuario y cuando los usuarios inician acciones en su cuadro de desarrollo, como Reiniciar. |
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Se usa para autenticarse en la puerta de enlace durante la conexión y cuando el cliente envía información de diagnóstico al servicio. También puede aparecer como Windows Virtual Desktop. |
| Escritorio remoto de Microsoft | a4a365df-50f1-4397-bc59-1a1564b8bb9c | Se usa para autenticar a los usuarios en el equipo de desarrollo. Obligatorio al configurar el inicio de sesión único en una directiva de aprovisionamiento. |
| Inicio de sesión en la nube de Windows | 270efc09-cd0d-444b-a71f-39af4910ec45 | Se usa para autenticar a los usuarios en el equipo de desarrollo. Esta aplicación reemplaza a la aplicación Escritorio remoto de Microsoft. Obligatorio al configurar el inicio de sesión único en una directiva de aprovisionamiento. |
| API de Administración de servicios de Windows Azure | 797f4846-ba00-4fd7-ba43-dac1f8f63013 | Se usa para consultar proyectos de DevCenter en los que el usuario puede crear cuadros de desarrollo. |
| Fidalgo Dataplane Public | e526e72f-ffae-44a0-8dac-cf14b8bd40e2 | Se usa para administrar cuadros de desarrollo y otros recursos de DevCenter a través de las API REST de DevCenter, la CLI de Azure o el portal para desarrolladores de Microsoft. |
| Portal para desarrolladores de Microsoft | 0140a36d-95e1-4df5-918c-ca7ccd1fafc9 | Se usa para iniciar sesión en la aplicación web del portal para desarrolladores de Microsoft. |
Puede permitir aplicaciones en función de sus requisitos. Por ejemplo, puede permitir que Fidalgo Dataplane Public permita la administración de cuadros de desarrollo mediante las API rest de DevCenter, la CLI de Azure o el portal para desarrolladores de Microsoft. En la tabla siguiente se enumeran las aplicaciones que se usan en escenarios comunes.
| Aplicación | Acceder a y administrar las cajas de desarrollo en el portal del desarrollador | Administración de Dev Box (crear/borrar/detener, etc.) | Conexión a través del explorador | Conexión a través de Escritorio remoto |
|---|---|---|---|---|
| Portal para desarrolladores de Microsoft | 
|
|
|
|
| Fidalgo Dataplane Public |
|
|
|
|
| API de Administración de servicios de Windows Azure |
|
|
|
|
| Windows 365 |
|
|
|
|
| Azure Virtual Desktop |
|
|
|
|
| Escritorio remoto de Microsoft |
|
|
|
|
Para obtener más información sobre cómo configurar directivas de acceso condicional, consulte Acceso condicional: usuarios, grupos e identidades de carga de trabajo.