Dev Box에 대한 조건부 액세스 정책 구성

이 문서에서는 조직에서 조건부 액세스 정책을 사용하여 개발 상자에 대한 액세스를 관리하는 방법을 보여 줍니다.

Microsoft Dev Box는 디바이스 관리에 Microsoft Intune을 사용하여 디바이스 구성, 규정 준수 정책 및 앱 배포에 대한 중앙 집중식 제어를 제공하여 회사 리소스에 안전하게 액세스할 수 있도록 합니다. 리소스에 대한 액세스를 보장하기 위해 Dev Box는 리소스를 만들 때 Intune에 새 개발 상자를 자동으로 등록합니다.

보안을 강화하기 위해 조건부 액세스 정책을 적용하여 개발자 상자에 액세스할 수 있는 사용자와 위치를 제어할 수 있습니다.

조건부 액세스는 콘텐츠에 대한 액세스 권한을 부여하기 전에 특정 조건을 충족하도록 요구하여 시스템에서 규제된 콘텐츠를 보호하는 것입니다. 가장 간단한 조건부 액세스 정책은 if-then 문입니다. 사용자가 리소스에 액세스하려는 경우 작업을 완료해야 합니다. 조건부 액세스 정책은 조직의 디바이스를 안전하게 유지하고 환경을 준수하는 데 도움이 되는 강력한 도구입니다.

• 디바이스 기반 조건부 액세스:

  • Intune 및 Microsoft Entra ID는 함께 작동하여 관리 및 규격 디바이스만 Dev Box를 사용할 수 있는지 확인합니다. 정책에는 네트워크 액세스 제어를 기반으로 하는 조건부 액세스가 포함됩니다.
  • Intune을 사용한 디바이스 기반 조건부 액세스에 대해 자세히 알아봅니다.

• 앱 기반 조건부 액세스:

  • Intune 및 Microsoft Entra ID는 개발자 상자 사용자만 Microsoft 개발자 포털과 같은 관리되는 앱에 액세스할 수 있도록 함께 작동합니다.
  • Intune을 사용하는 앱 기반 조건부 액세스에 대해 자세히 알아봅니다.

필수 조건

• Intune 라이선스
• Microsoft Entra ID P1 라이선스

Dev Box에 대한 액세스 제공

조직은 기본적으로 아무 것도 허용하지 않는 조건부 액세스 정책으로 시작할 수 있습니다. 개발자가 연결할 수 있는 조건을 지정하여 개발자가 개발 상자에 액세스할 수 있도록 하는 조건부 액세스 정책을 설정할 수 있습니다.

Intune 또는 Microsoft Entra ID를 통해 조건부 액세스 정책을 구성할 수 있습니다. 각 경로는 구성 창으로 연결됩니다.

시나리오 1: 신뢰할 수 있는 네트워크에서 개발 상자에 대한 액세스 허용

Office 또는 신뢰할 수 있는 공급업체의 위치와 같은 지정된 네트워크에서만 개발 상자 액세스를 허용하려고 합니다.

위치 정의

다음 단계를 수행합니다.

1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.

2. 보호>조건부 액세스>명명된 위치로 이동합니다.

3. 만들 위치 유형을 선택합니다.

   • 국가 위치
   • IP 범위 위치

4. 위치에 이름을 지정합니다.

5. IP 범위를 제공하거나 지정하는 위치에 대한 국가/지역을 선택합니다.

   • IP 범위를 선택하는 경우 필요에 따라 신뢰할 수 있는위치> 선택할 수 있습니다.
   • 국가/지역을 선택하는 경우 필요에 따라 알 수 없는 영역을 포함하도록 선택할 수 있습니다.

6. 선택하고생성합니다.

자세한 내용은 Microsoft Entra 조건부 액세스의 위치 조건이란?을 참조하세요.

새 정책 만들기

다음 단계를 수행합니다.

1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.

2. 보호>조건부 액세스>정책으로 이동합니다.

3. 새 정책을 선택합니다.

4. 정책에 이름을 지정합니다. 조건부 액세스 정책에 의미 있는 명명 규칙을 사용합니다.

5. 할당에서 사용자 또는 워크로드 ID를 선택합니다.

   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택합니다. 조직의 응급 액세스 계정을 선택합니다.

6. 대상 리소스>클라우드 앱>포함에서 모든 클라우드 앱을 선택합니다.

7. 네트워크 아래:

   1. 구성을 예로 설정합니다.
   2. 제외에서 선택한 네트워크 및 위치를 선택합니다.
   3. 조직을 위해 만든 위치를 선택합니다.
   4. 선택합니다.

8. 액세스 제어에서액세스 차단을>선택합니다.

9. 설정을 확인하고 정책 사용 설정을 보고서 전용으로 설정합니다.

10. 만들기를 선택하여 프로젝트를 만듭니다.

보고서 전용 모드를 사용하여 정책이 예상대로 작동하는지 확인합니다. 정책이 제대로 작동하는지 확인한 다음 사용하도록 설정합니다.

액세스를 차단하도록 조건부 액세스 정책을 구성하는 방법에 대한 자세한 내용은 조건부 액세스: 위치별 액세스 차단을 참조하세요.

시나리오 2: 개발자 포털에 대한 액세스 허용

개발자 포털에 대한 개발자 액세스만 허용하려고 합니다. 개발자는 개발자 포털을 통해 개발 상자에 액세스하고 관리해야 합니다.

새 정책 만들기

다음 단계를 수행합니다.

1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.

2. 보호>조건부 액세스>정책으로 이동합니다.

3. 새 정책을 선택합니다.

4. 정책에 이름을 지정합니다. 조건부 액세스 정책에 의미 있는 명명 규칙을 사용합니다.

5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.

   1. 포함에서 Dev Box 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 비상상 액세스 계정을 선택합니다.

6. 대상 리소스>클라우드 앱>포함에서 Microsoft 개발자 포털>Fidalgo 데이터 평면 공용>Windows Azure 서비스 관리 API를 선택합니다.

7. Access 컨트롤에서 액세스 허용을 선택하고 선택을 선택합니다.

8. 설정을 확인하고 정책 사용 설정을 보고서 전용으로 설정합니다.

9. 만들기를 선택하여 프로젝트를 만듭니다.

보고서 전용 모드를 사용하여 정책이 예상대로 작동하는지 확인합니다. 정책이 제대로 작동하는지 확인한 다음 사용하도록 설정합니다.

Dev Box에 필요한 앱

다음 표에서는 Dev Box와 관련된 앱에 대해 설명합니다. 이러한 앱을 허용하거나 차단하여 조직의 요구에 맞게 조건부 액세스 정책을 사용자 지정할 수 있습니다.

요구 사항에 따라 앱을 허용할 수 있습니다. 예를 들어 DevCenter REST API, Azure CLI 또는 Microsoft 개발자 포털을 사용하여 Fidalgo Dataplane Public에서 개발 상자 관리를 허용하도록 허용할 수 있습니다. 다음 표에서는 일반적인 시나리오에서 사용되는 앱을 나열합니다.

애플리케이션	개발자 포털에서 개발자 상자에 로그인 및 관리	개발 상자 관리(만들기/삭제/중지 등)	브라우저를 통해 연결	원격 데스크톱을 통해 연결
Microsoft 개발자 포털
피달고 데이터플레인 퍼블릭
Windows Azure 서비스 관리 API
Windows 365
Azure Virtual Desktop
Microsoft 원격 데스크톱

조건부 액세스 정책을 구성하는 방법에 대한 자세한 내용은 조건부 액세스: 사용자, 그룹 및 워크로드 ID를 참조하세요.

관련 콘텐츠

• 조건부 액세스 정책의 사용자 및 그룹
• 조건부 액세스 정책의 클라우드 앱, 작업 및 인증 컨텍스트
• 조건부 액세스 정책의 네트워크