Azure Dev Box に実装できるセキュリティ機能について調べたので備忘録として記載しておきます

Azure Dev Box とは？

クラウド内の開発に最適化されたワークステーションを提供する Azure のソリューションです
プロジェクトごとに払い出すワークステーションのテンプレートを決めたり、開発者自身でワークステーションを作ったり消したり、ユーザー自身で様々なカスタマイズも行えるので簡単に自由度の高い環境を提供できます
https://azure.microsoft.com/ja-jp/products/dev-box/

Azure Dev Box 環境に M365 のセキュリティ機能を実装してみる

1.Entra ID

Dev Box の Pool 作成時に SSO するかを求められます。
SSO を有効にすると Entra ID を利用した SSO を利用することができ、利便性を高めることが可能です

https://learn.microsoft.com/ja-jp/azure/dev-box/how-to-enable-single-sign-on

また Dev Box のアクセス制御は Entra ID による RBAC で実装を行います
Dev Box 管理作業やユーザー向けの Dev Box 作成や管理するためのアクセス権付与はプロジェクトレベルで行います

1. プロジェクト管理者
   IAM メニューから DevCenter Project Admin を割り当て
   https://learn.microsoft.com/ja-jp/azure/dev-box/how-to-project-admin
2. ユーザー
   IAM メニューから DevCenter Box User を割り当て
   https://learn.microsoft.com/ja-jp/azure/dev-box/how-to-dev-box-user

更に条件付きアクセスポリシーを構成し、アクセス制御をより細かく実装することが可能です
例えば Dev Box アクセス時に MFA を強制したり、Identity Protection を利用したリスクベース認証が実装できます
https://learn.microsoft.com/ja-jp/azure/dev-box/how-to-configure-intune-conditional-access-policies

2. Intune

Dev Box を作成すると自動的に Intune へのデバイス登録がされます
但し、 Dev Box の命名規則とは違うデバイス名で表示がされます

登録されたデバイスの概要を見ると Dev Box のリソースという事が分かります

Intune から各種ポリシーなどを設定しておけば後述の Defender for Endpoint の自動オンボーディングなどが可能です

あとは Intune P1 の Add-on 機能である Intune Suite 内の EPM 機能についても使えるようです（ライセンスが無く未検証）
https://learn.microsoft.com/ja-jp/azure/dev-box/how-to-elevate-privilege-dev-box

3. Defender for Endpoint

今回は Intune に折角自動登録されていますので Intune から自動で配布したいと思います
Dev Box がユーザーにより作られたり、削除されることを想定し Dev Box のリソースであれば自動的に Defender for Endpoint がオンボーディングされるポリシーにします

デバイスフィルターを作成

デバイスフィルターでデバイスのモデルが Microsoft Dev Box でスタートするデバイスを抽出するフィルターを作成します
（(device.model -startsWith "Microsoft Dev Box") という条件が該当）

作成する際にフィルターのプレビューで正しくデバイスが表示されるか確認も可能

Defender for Endpoint をオンボードするポリシーを作成

エンドポイントでの検出と対応というメニューから Defender for Endpoint を Dev Box にオンボードするためのポリシーを作成します

ここでは先ほど作成したデバイスフィルターを利用し Dev Box に割当たるよう構成します

正しくオンボードが出来ているか確認したい場合には PowerShell スクリプトを実行し確認することが可能です

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

実行して数分待つとテストアラート・インシデントが Microsoft Defender XDR ポータルの方で確認することができ、正常に動いていることが確認できます

https://learn.microsoft.com/ja-jp/defender-endpoint/run-detection-test#verify-microsoft-defender-for-endpoint-onboarding-of-a-device-using-a-powershell-detection-test

Defender for Cloud Apps を利用したい場合にも Defender for Endpoint と連携する機能を利用しスマートに構成することが可能です。プロジェクト上認められた SaaS しか使いたくない場合やシャドー IT の検知などに利用することが可能です
設定＞エンドポイント＞高度な機能　から連携可否を選択できます

https://learn.microsoft.com/ja-jp/defender-cloud-apps/mde-integration

4.（オマケ）Defender for Cloud は利用できる？？

Azure 上の製品なので Defender for Cloud も利用できるか検証してみました。
悲しいかな、Dev Box を立ち上げる簡単な初期設定しかしていないためかインベントリに全く表示がされませんでした

余談ですがリソースも VirtualMachine 扱いではないので仮想マシンの方にも特に Dev Box のリソースは表示されません

Defender for Cloud の推奨事項で利用されている Microsoft Cloud Security Benchmark の対象ソリューションとしてまだ名前が無いので、これからきっと何か出来るようになることを期待します。
https://learn.microsoft.com/ja-jp/security/benchmark/azure/overview

まとめ

Dev Box でもマイクロソフトのゼロトラストセキュリティを実装するための基本的な製品のデプロイ可否について検証してきました。
Entra ID / Intune / Defender for Endpoint を利用することでリスクベース認証や端末の準拠状況い応じたアクセス制御、EDR といった ID ベースのゼロトラストセキュリティを実装することが可能です。また、オプションでシャドー IT 検出などの Dender for Cloud Apps の利用ができることについても確認しました。
Dev Box のセキュリティ強化をご検討の際は上記の製品が含まれいてる Microsoft 365 E5 をご検討ください