Guia de implantação do Microsoft Dev Box

Neste artigo, você aprenderá sobre o processo, as opções de configuração e as considerações para planejar e implementar uma implantação do Microsoft Dev Box.

A implantação do Microsoft Dev Box requer o envolvimento de diferentes funções dentro da sua organização. Cada função tem responsabilidades e requisitos específicos. Antes de iniciar a implementação do Microsoft Dev Box, é importante coletar todos os requisitos das diferentes funções, pois eles influenciam as definições de configuração para os diferentes componentes no Microsoft Dev Box. Depois de descrever seus requisitos, você pode passar pelas etapas de implantação para implantar o Dev Box em sua organização.

Papéis e responsabilidades organizacionais

O serviço Dev Box foi projetado com três funções organizacionais em mente: engenheiros de plataforma, líderes de equipe de desenvolvimento e desenvolvedores. Dependendo do tamanho e da estrutura da sua organização, algumas dessas funções podem ser combinadas por uma pessoa ou equipe.

Cada uma dessas funções tem responsabilidades específicas durante a implantação do Microsoft Dev Box em sua organização:

• Engenheiro de plataforma: trabalha com os administradores de TI para configurar a infraestrutura e as ferramentas do desenvolvedor para as equipes de desenvolvedores. Isto consiste nas seguintes tarefas:

  • Configurar o ID do Microsoft Entra para habilitar a identidade e a autenticação para líderes e desenvolvedores da equipe de desenvolvimento
  • Criar e gerenciar um centro de desenvolvimento na assinatura do Azure da organização
  • Crie e gerencie conexões de rede, definições de caixa de desenvolvimento e galerias de computação em um centro de desenvolvimento
  • Crie e gerencie projetos em um centro de desenvolvimento
  • Criar e configurar outros recursos do Azure nas assinaturas do Azure da organização
  • Configurar a configuração de dispositivo do Microsoft Intune para caixas de desenvolvimento e atribuição de licenças a usuários da Caixa de Desenvolvimento
  • Definir configurações de rede para permitir o acesso seguro e a conectividade com recursos organizacionais
  • Definir configurações de segurança para autorizar o acesso a caixas de desenvolvimento

• Líder da equipe de desenvolvimento: auxilia na criação e gerenciamento da experiência do desenvolvedor. Isso inclui as seguintes tarefas:

  • Criar e gerenciar pools de caixas de desenvolvimento dentro de um projeto
  • Fornecer informações aos engenheiros de plataforma para criar e gerenciar definições de caixa de desenvolvimento no centro de desenvolvimento

• Desenvolvedor: autosserviço de uma ou mais caixas de desenvolvimento dentro de seus projetos atribuídos.

  • Criar e gerenciar uma caixa de desenvolvimento com base no pool de caixas de desenvolvimento do projeto a partir do portal do desenvolvedor
  • Conectar-se a uma caixa de desenvolvimento usando um cliente de Área de Trabalho Remota como o Windows App

Defina seus requisitos para o Microsoft Dev Box

À medida que você se prepara para uma implantação do Microsoft Dev Box em sua organização, é importante primeiro definir os requisitos de governança de TI e usuário final. Por exemplo, as equipes de desenvolvimento estão distribuídas geograficamente, você tem políticas de segurança em vigor, padroniza recursos de computação específicos e muito mais.

O Microsoft Dev Box oferece várias opções de configuração para cada um dos diferentes componentes para otimizar a implantação para seus requisitos específicos. Com base nesses requisitos, você pode ajustar o plano de implantação concreto da Caixa de Desenvolvimento e as etapas de implementação para sua organização.

Por exemplo, se suas equipes de desenvolvimento precisarem de acesso a recursos corporativos, como um banco de dados central, isso influenciará a configuração de rede para seu pool de caixas de desenvolvimento e poderá exigir componentes de rede adicionais do Azure.

A tabela a seguir lista os requisitos que podem influenciar a implantação do Microsoft Dev Box e as considerações ao configurar os componentes do Dev Box.

Implantar o Microsoft Dev Box

Depois de definir os requisitos, você pode iniciar a implantação do Microsoft Dev Box. O Microsoft Dev Box consiste em vários recursos do Azure, como um centro de desenvolvimento, projetos, definições de caixa de desenvolvimento e muito mais. O Dev Box também tem dependências em outros serviços do Azure e no Microsoft Intune. Saiba mais sobre a arquitetura Microsoft Dev Box.

Para implantar o Microsoft Dev Box envolve a criação e configuração de vários serviços, no Azure, Intune e sua infraestrutura. As seções a seguir fornecem as diferentes etapas para implantar o Microsoft Dev Box em sua organização. Algumas etapas são opcionais e dependem da sua configuração organizacional específica.

Etapa 1: Configurar a assinatura do Azure

As subscrições são uma unidade de gestão, faturação e dimensionamento no Azure. Você pode ter uma ou mais assinaturas do Azure devido ao design de organização e governança, cota e capacidade de recursos, gerenciamento de custos e muito mais. Saiba mais sobre as considerações para criar assinaturas do Azure.

Cada assinatura do Azure é vinculada a um único locatário do Microsoft Entra, que atua como um provedor de identidade (IdP) para sua assinatura do Azure. O locatário do Microsoft Entra é usado para autenticar usuários, serviços e dispositivos.

Cada usuário do Dev Box precisa de uma licença do Microsoft Intune. A assinatura do Azure que contém seus recursos do Azure Dev Box (centro de desenvolvimento, projeto e muito mais) precisa estar no mesmo locatário que o Microsoft Intune.

Etapa 2: Configurar componentes de rede

As caixas de desenvolvimento exigem uma conexão de rede para acessar recursos. Você pode escolher entre uma conexão de rede hospedada pela Microsoft e uma conexão de rede do Azure que você cria em sua própria assinatura. Ao usar uma conexão de rede do Azure, você precisa configurar os componentes de rede correspondentes no Azure e, potencialmente, na infraestrutura de rede da sua organização.

Exemplos de componentes de rede que você pode precisar configurar:

• Redes virtuais do Azure (VNET)
• Configurar emparelhamento de rede virtual
• Configurar grupos de segurança de rede (NSGs)
• Configurar firewalls, como o Firewall do Azure, ou outros
• Configurar o Azure ExpressRoute
• Configurar VPNs ou gateways

Quando você tiver os seguintes requisitos, precisará usar as conexões de rede do Azure e configurar sua rede de acordo:

• Acesso a recursos locais a partir de uma caixa de desenvolvimento, como um servidor de licenciamento, impressoras, sistema de controle de versão ou outros
• Acesso a outros recursos do Azure, como um banco de dados do Cosmos DB, cluster AKS e muito mais
• Restringir o acesso através de firewalls ou grupos de segurança de rede (NSGs)
• Definir regras de roteamento de rede personalizadas
• Gerenciamento de usuários não no Microsoft Entra ID

Ao conectar-se a recursos locais por meio de associações híbridas do Microsoft Entra, trabalhe com seu especialista em topologia de rede do Azure. A prática recomendada é implementar uma topologia de rede hub-and-spoke. O hub é o ponto central que se conecta à sua rede local; você pode usar uma Rota Expressa, uma VPN site a site ou uma VPN ponto a site. O spoke é a rede virtual que contém as caixas de desenvolvimento. Você emparelha a rede virtual da caixa de desenvolvimento com a rede virtual conectada local para fornecer acesso aos recursos locais. A topologia Hub and spoke pode ajudá-lo a gerenciar o tráfego e a segurança da rede.

O planejamento de rede deve incluir uma estimativa do número de endereços IP necessários e sua distribuição entre VNETs. Endereços IP gratuitos adicionais são necessários para a verificação de integridade da conexão de Rede do Azure. Você precisa de 1 endereço IP adicional por caixa de desenvolvimento e dois endereços IP para a verificação de integridade e a infraestrutura da Caixa de Desenvolvimento.

Saiba mais sobre os requisitos de rede do Microsoft Dev Box.

Etapa 3: Configurar grupos de segurança para controle de acesso baseado em função

O Microsoft Dev Box usa o controle de acesso baseado em função do Azure (Azure RBAC) para conceder acesso à funcionalidade no serviço:

• Conceder aos administradores de projeto acesso para executar tarefas administrativas em projetos do Microsoft Dev Box (função de administrador do projeto)
• Conceder acesso aos usuários da caixa de desenvolvimento para criar e gerenciar suas caixas de desenvolvimento em um projeto de caixa de desenvolvimento (função de usuário da caixa de desenvolvimento)

Considere a criação de grupos de segurança no Microsoft Entra ID para conceder ou revogar acesso para administradores e usuários para cada projeto. Usando um grupo de segurança, você pode delegar a tarefa de conceder acesso independentemente de suas permissões nos recursos do Azure. Por exemplo, você pode excluir a concessão de acesso para usuários da caixa de desenvolvimento ao líder da equipe de desenvolvimento desse projeto.

Saiba mais sobre os grupos de ID do Microsoft Entra.

Etapa 4: Criar centro de desenvolvimento

Para começar a usar o Microsoft Dev Box, primeiro crie um centro de desenvolvimento. Um centro de desenvolvimento no Microsoft Dev Box fornece um local centralizado para gerenciar uma coleção de projetos, a configuração de imagens e tamanhos de caixa de desenvolvimento disponíveis e as configurações de rede para habilitar o acesso aos recursos organizacionais.

Você pode considerar a criação de vários centros de desenvolvimento nos seguintes casos:

• Se você quiser que configurações específicas estejam disponíveis para um subconjunto de projetos. Todos os projetos em um centro de desenvolvimento compartilham as mesmas definições de caixa de desenvolvimento, conexão de rede, catálogos e galerias de computação.

• Se pessoas diferentes precisarem possuir e manter o recurso do centro de desenvolvimento no Azure.

Saiba mais sobre como criar um centro de desenvolvimento para o Microsoft Dev Box.

Etapa 5: Configurar conexões de rede

As conexões de rede controlam onde as caixas de desenvolvimento são criadas e hospedadas e permitem que você se conecte a outros recursos do Azure ou corporativos. Dependendo do seu nível de controle, você pode usar conexões de rede hospedadas pela Microsoft ou trazer suas próprias conexões de rede do Azure.

As conexões de rede hospedadas pela Microsoft fornecem conectividade de rede de maneira SaaS. A Microsoft gerencia a infraestrutura de rede e os serviços relacionados para suas caixas de desenvolvimento. As redes hospedadas pela Microsoft são uma implantação somente na nuvem com suporte para ingresso no Microsoft Entra. Esta opção não é compatível com o modelo de associação híbrida do Microsoft Entra.

Uma conexão de rede hospedada pela Microsoft é criada e atribuída a um projeto de centro de desenvolvimento específico. Você pode criar várias conexões de rede por projeto. As conexões de rede criadas em um projeto não são compartilhadas com outros projetos.

Você também pode usar conexões de rede do Azure (traga sua própria rede) para se conectar a redes virtuais do Azure e, opcionalmente, conectar-se a recursos corporativos. Com as conexões de rede do Azure, você gerencia e controla toda a instalação e configuração da rede. Você pode usar as opções de associação híbrida do Microsoft Entra ou do Microsoft Entra com conexões de rede do Azure, permitindo que você se conecte aos Serviços de Domínio Ative Directory do Azure locais.

Você cria conexões de rede do Azure e as atribui a um centro de desenvolvimento. Todos os projetos em um centro de desenvolvimento compartilham as conexões de rede no centro de desenvolvimento.

Considere a criação de uma conexão de rede separada nos seguintes cenários:

• Um desenvolvedor ou equipe está localizado em uma região geográfica diferente. A região de conexão de rede determina onde as caixas de desenvolvimento estão hospedadas.
• Um desenvolvedor ou equipe precisa de acesso aos recursos do Azure. Considere a criação de uma conexão de rede do Azure separada por cenário de uso (por exemplo, acesso a um servidor de controle de origem ou acesso a um aplicativo Web e servidor de banco de dados).
• Um desenvolvedor ou equipe precisa de acesso a recursos corporativos locais. Crie uma conexão de rede do Azure e configure-a para conectividade híbrida.
• Os usuários da caixa de desenvolvimento precisam se autenticar com sua conta do Ative Directory. Crie uma conexão de rede do Azure e configure-a para conectividade híbrida.

Etapa 6: Criar galerias de computação

Por padrão, as definições de caixa de desenvolvimento podem usar qualquer imagem de máquina virtual (VM) compatível com a Caixa de Desenvolvimento do Azure Marketplace. Você pode atribuir uma ou mais galerias de computação do Azure ao centro de desenvolvimento para controlar as imagens de VM disponíveis em todos os projetos do centro de desenvolvimento.

A Galeria de Computação do Azure é um serviço para gerenciar e compartilhar imagens. Uma galeria é um repositório armazenado na sua subscrição do Azure e ajuda-o a criar estrutura e organização em torno dos seus recursos de imagem.

Considere usar uma galeria de computação do Azure nos seguintes casos:

• As equipes de desenvolvimento podem padronizar uma versão de imagem suportada até que uma versão mais recente seja validada.
• As equipes de desenvolvimento podem usar a versão mais recente de uma definição de imagem para garantir que sempre recebam a imagem mais recente ao criar caixas de desenvolvimento.
• As equipes de desenvolvimento podem escolher entre imagens pré-configuradas com componentes de software e configurações para seu projeto ou cenário de uso. Por exemplo, imagens para projetos de ciência de dados, desenvolvimento web front-end e muito mais.
• Você deseja manter as imagens em um único local e usá-las em centros de desenvolvimento, projetos e pools.

Ao criar imagens de VM personalizadas, considere também o uso de tarefas de personalização de caixa de desenvolvimento para limitar o número de variantes de imagem de VM e permitir que os desenvolvedores ajustem eles mesmos a configuração da caixa de desenvolvimento. Por exemplo, você pode criar uma imagem de desenvolvimento de uso geral e usar a personalização para permitir que os desenvolvedores a configurem para tarefas de desenvolvimento específicas e pré-configurem seu repositório de código-fonte.

Saiba mais sobre como configurar uma galeria de computação para um centro de desenvolvimento.

Etapa 7: Anexar catálogo

Os usuários da caixa de desenvolvimento podem personalizar sua caixa de desenvolvimento usando tarefas de configuração, por exemplo, para instalar software adicional, clonar um repositório e muito mais. Essas tarefas são executadas como parte do processo de criação da caixa de desenvolvimento. Usando tarefas de personalização e configuração da caixa de desenvolvimento, você pode reduzir o número de imagens de VM que precisa manter para seus projetos.

As tarefas de instalação são definidas em um catálogo, que pode ser o repositório GitHub ou um repositório do Azure DevOps. Anexe um ou mais catálogos ao centro de desenvolvimento. Todas as tarefas estão disponíveis para todas as caixas de desenvolvimento criadas em todos os projetos em um centro de desenvolvimento.

A Microsoft fornece um catálogo de início rápido para ajudá-lo a começar com personalizações. Este catálogo inclui um conjunto padrão de tarefas que definem tarefas de configuração comuns, como instalar software com WinGet ou Chocolatey, clonar um repositório, configurar aplicativos ou executar scripts do PowerShell.

Considere anexar um catálogo nos seguintes casos:

• Os usuários da caixa de desenvolvimento têm requisitos de personalização individuais para sua caixa de desenvolvimento
• Você deseja fornecer às equipes de desenvolvimento um conjunto de opções padronizadas para personalizar sua caixa de desenvolvimento
• Você deseja limitar o número de imagens de VM e definições de caixa de desenvolvimento para manter

Considere a criação de um novo catálogo se as tarefas no catálogo de início rápido forem insuficientes. Você pode anexar o catálogo de início rápido e seus próprios catálogos ao centro de desenvolvimento.

Saiba como criar personalizações de caixa de desenvolvimento.

Etapa 8: Criar definições de caixa de desenvolvimento

Uma definição de caixa de desenvolvimento contém a configuração de uma caixa de desenvolvimento especificando a imagem da VM, recursos de computação, como memória e CPUs, e armazenamento.

Você configura definições de caixa de desenvolvimento no nível de um centro de desenvolvimento. Todos os projetos do centro de desenvolvimento compartilham as definições da caixa de desenvolvimento no centro de desenvolvimento.

Considere a criação de uma ou mais definições de caixa de desenvolvimento nos seguintes casos:

• As equipes de desenvolvimento precisam de imagens de VM diferentes porque precisam de outra versão do sistema operacional ou de outros aplicativos.
• As equipes de desenvolvimento têm diferentes requisitos de recursos de computação. Por exemplo, os administradores de banco de dados podem precisar de uma máquina com muito armazenamento e memória.

Considere o custo dos recursos de computação associados a uma definição de caixa de desenvolvimento para avaliar o custo total de sua implantação.

Etapa 9: Criar projetos

No Microsoft Dev Box, você cria e associa um projeto a um centro de desenvolvimento. Um projeto normalmente corresponde a um projeto de desenvolvimento dentro da sua organização. Por exemplo, você pode criar um projeto para o desenvolvimento de um aplicativo de linha de negócios e outro projeto para o desenvolvimento do site da empresa.

Dentro de um projeto, você define a lista de pools de caixas de desenvolvimento que estão disponíveis para os usuários da caixa de desenvolvimento criarem caixas de desenvolvimento. No nível do projeto, você pode especificar um limite para o número de caixas de desenvolvimento que um usuário de caixa de desenvolvimento pode criar.

O Microsoft Dev Box usa o controle de acesso baseado em função do Azure (Azure RBAC) para conceder acesso à funcionalidade no nível do projeto:

• Conceder aos administradores de projeto acesso para executar tarefas administrativas em projetos do Microsoft Dev Box (função de administrador do projeto)
• Conceder acesso aos usuários da caixa de desenvolvimento para criar e gerenciar suas caixas de desenvolvimento em um projeto de caixa de desenvolvimento (função de usuário da caixa de desenvolvimento)

Considere usar um grupo de ID do Microsoft Entra para gerenciar o acesso para usuários da caixa de desenvolvimento e administradores de um projeto.

Considere a criação de um projeto de centro de desenvolvimento nos seguintes casos:

• Você deseja fornecer a uma equipe de desenvolvimento um conjunto de estações de trabalho padronizadas para desenvolvedores em nuvem para seu projeto de desenvolvimento de software
• Você tem vários projetos de desenvolvimento que têm administradores de projeto separados e permissões de acesso

Saiba mais sobre como criar e gerenciar projetos.

Etapa 10: Criar pools de caixas de desenvolvimento

Dentro de um projeto, um administrador de projeto pode criar um ou mais pools de caixa de desenvolvimento. Os usuários da caixa de desenvolvimento usam o portal do desenvolvedor para selecionar um pool de caixa de desenvolvimento para criar sua caixa de desenvolvimento.

Um pool de caixa de desenvolvimento vincula uma definição de caixa de desenvolvimento a uma conexão de rede. Você pode escolher entre conexões hospedadas pela Microsoft ou suas próprias conexões de rede do Azure. O local da conexão de rede determina o local onde uma caixa de desenvolvimento está hospedada. Considere a criação de um pool de caixas de desenvolvimento com uma conexão de rede mais próxima dos usuários da caixa de desenvolvimento.

Para reduzir o custo de execução de caixas de desenvolvimento, você pode configurar caixas de desenvolvimento em um pool de caixas de desenvolvimento para desligar diariamente em um horário predefinido.

Considere a criação de um pool de caixas de desenvolvimento nos seguintes casos:

• Crie um pool de caixas de desenvolvimento para cada definição de caixa de desenvolvimento necessária para a equipe de desenvolvimento.
• Para reduzir a latência da rede, crie um pool de caixas de desenvolvimento para cada local geográfico onde você tem usuários de caixa de desenvolvimento. Escolha uma conexão de rede mais próxima do usuário da caixa de desenvolvimento.
• Crie um pool de caixa de desenvolvimento para desenvolvedores que precisam de acesso a outros recursos do Azure ou recursos locais. Selecione na lista de conexões de rede do Azure no centro de desenvolvimento ao configurar o pool de caixas de desenvolvimento.

Saiba mais sobre como criar e gerenciar pools de caixas de desenvolvimento.

Etapa 11: Configurar o Microsoft Intune

O Microsoft Dev Box usa o Microsoft Intune para gerenciar suas caixas de desenvolvimento. Use o Centro de Administração do Microsoft Intune para definir as configurações do Intune relacionadas à sua implantação da Caixa de Desenvolvimento.

Configuração do dispositivo

Depois que uma caixa de desenvolvimento é provisionada, você pode gerenciá-la como qualquer outro dispositivo Windows no Microsoft Intune. Por exemplo, você pode criar perfis de configuração de dispositivo para ativar e desativar diferentes configurações no Windows ou enviar aplicativos e atualizações por push para as caixas de desenvolvimento dos usuários.

Configurar políticas de acesso condicional

Você pode usar o Intune para configurar políticas de acesso condicional para controlar o acesso a caixas de desenvolvimento. Para a Caixa de Desenvolvimento, é comum configurar políticas de acesso condicional para restringir quem pode acessar a caixa de desenvolvimento, o que pode fazer e de onde pode acessar. Para configurar políticas de acesso condicional, pode utilizar o Microsoft Intune para criar grupos de dispositivos dinâmicos e políticas de acesso condicional.

Alguns cenários de uso para acesso condicional no Microsoft Dev Box incluem:

• Restringindo o acesso à caixa de desenvolvimento apenas a dispositivos gerenciados
• Restringindo a capacidade de copiar/colar da caixa de desenvolvimento
• Restringindo o acesso à caixa de desenvolvimento de apenas determinadas geografias

Saiba como você pode configurar políticas de acesso condicional para Dev Box.

Gestão de privilégios

Você pode configurar o Microsoft Intune Endpoint Privilege Management (EPM) para caixas de desenvolvimento para que os usuários da caixa de desenvolvimento não precisem de privilégios administrativos locais. O Gerenciamento de Privilégios de Ponto de Extremidade do Microsoft Intune permite que os usuários da sua organização sejam executados como um usuário padrão (sem direitos de administrador) e concluam tarefas que exigem privilégios elevados. As tarefas que geralmente exigem privilégios administrativos são instalações de aplicativos (como aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinados diagnósticos do Windows.

Saiba mais sobre como configurar o Privilégio de Ponto de Extremidade do Microsoft Intune para Microsoft Dev Box.

Conteúdos relacionados

• O que é o Microsoft Dev Box?
• Visão geral da arquitetura do Microsoft Dev Box