Freigeben über

Sicherer Dev Tunnel-Zugriff mit bedingten Richtlinien

Dev Tunnels bieten eine optimierte Möglichkeit, eine direkte Verbindung mit Ihrem Dev Box aus Visual Studio Code herzustellen, ohne dass separate Anwendungen wie Windows-App oder ein Browser verwendet werden müssen. Diese Methode bietet eine direktere und integrierte Entwicklungserfahrung. Im Gegensatz zu herkömmlichen Verbindungsmethoden vereinfachen Dev Tunnels den Zugriff und verbessern die Produktivität.

Viele große Unternehmen, die Dev Box verwenden, verfügen über strenge Sicherheits- und Compliancerichtlinien, und ihr Code ist für ihr Unternehmen wertvoll. In diesem Artikel wird erläutert, wie Sie Richtlinien für bedingten Zugriff konfigurieren, um die Nutzung von Dev Tunnel in Ihrer Umgebung zu sichern.

Voraussetzungen

Bevor Sie fortfahren, stellen Sie folgendes sicher:

  • Zugriff auf eine Dev Box-Umgebung.
  • Visual Studio Code installiert.
  • PowerShell 7.x oder höher (jede Version der 7.x-Serie ist akzeptabel).
  • Geeignete Berechtigungen zum Konfigurieren von Richtlinien für bedingten Zugriff in der Microsoft Entra-ID.

Vorteile des bedingten Zugriffs für Dev Tunnels

Richtlinien für bedingten Zugriff für den Dev Tunnels-Dienst:

  • Ermöglichen Sie Dev Tunnels die Verbindung von verwalteten Geräten, aber verweigern Sie Verbindungen von nicht verwalteten Geräten.
  • Ermöglichen Sie Dev Tunnels die Verbindung von bestimmten IP-Bereichen, aber verweigern Sie Verbindungen aus anderen IP-Bereichen.
  • Unterstützen Sie andere reguläre Konfigurationen für bedingten Zugriff.
  • Gilt sowohl für die Visual Studio Code-Anwendung als auch für die Web-Version von VS Code.

Hinweis

Dieser Artikel konzentriert sich auf das Einrichten von Richtlinien für bedingten Zugriff speziell für Dev Tunnels. Wenn Sie Richtlinien für Dev Box umfassender konfigurieren, lesen Sie "Konfigurieren des bedingten Zugriffs für Dev Box".

Konfigurieren von Richtlinien für bedingten Zugriff

Um Dev Tunnels mit bedingtem Zugriff zu sichern, müssen Sie den Dev Tunnels-Dienst mit benutzerdefinierten Sicherheitsattributen als Ziel festlegen. Dieser Abschnitt führt Sie durch den Prozess der Konfiguration dieser Attribute und das Erstellen der entsprechenden Richtlinie für bedingten Zugriff.

Aktivieren des Entwicklertunneldiensts für die Auswahl für bedingten Zugriff

Das Microsoft Entra ID-Team arbeitet daran, die Notwendigkeit zu entfernen, Apps zu integrieren, damit sie im App-Auswahlmenü erscheinen, wobei die Bereitstellung im Mai erwartet wird. Daher integrieren wir den Entwicklertunneldienst nicht in die Auswahl für bedingten Zugriff. Richten Sie stattdessen den Dev-Tunneldienst in einer Richtlinie für bedingten Zugriff mit benutzerdefinierten Sicherheitsattributen aus.

  1. Befolgen Sie den Anweisungen zum Hinzufügen oder Deaktivieren benutzerdefinierter Sicherheitsattributdefinitionen in Microsoft Entra ID um die folgende Attributgruppe und neue Attribute hinzuzufügen.

    Screenshot des benutzerdefinierten Sicherheitsattribut-Definitionsprozesses in der Microsoft Entra ID.

    Screenshot der neuen Attributerstellung in Microsoft Entra ID.

  2. Folgen Sie Erstellen einer Richtlinie für bedingten Zugriff zum Erstellen einer Richtlinie für bedingten Zugriff.

    Screenshot des Erstellungsprozesses der Richtlinie für bedingten Zugriff für den Dev-Tunneldienst.

  3. Folgen Sie "Konfigurieren von benutzerdefinierten Attributen ", um das benutzerdefinierte Attribut für den Dev Tunnels-Dienst zu konfigurieren.

    Screenshot der Konfiguration von benutzerdefinierten Attributen für den Dev-Tunneldienst in microsoft Entra ID.

Testen

  1. Deaktivieren Sie die BlockDevTunnelCA-Richtlinie.

  2. Erstellen Sie eine Dev Box im Test-Tenant, und führen Sie darin die folgenden Befehle aus. Sie können externe Dev Tunnels erstellen und eine Verbindung herstellen.

    code tunnel user login --provider microsoft
code tunnel

  3. Aktivieren Sie die BlockDevTunnelCA-Richtlinie.

    1. Sie können keine neuen Verbindungen mit den vorhandenen Dev-Tunneln herstellen. Wenn bereits eine Verbindung hergestellt wurde, testen Sie mit einem alternativen Browser.

    2. Alle neuen Versuche, die Befehle in Schritt 2 auszuführen, schlagen fehl. Beide Fehler sind:

      Screenshot der Fehlermeldung, wenn die Verbindung zwischen Dev-Tunneln durch die Richtlinie für bedingten Zugriff blockiert wird.

  4. Die Anmeldeprotokolle der Microsoft Entra-ID zeigen diese Einträge an.

    Screenshot der Microsoft Entra ID-Anmeldeprotokolle mit Einträgen zur Richtlinie für den bedingten Zugriff bei Dev-Tunneln.

Einschränkungen

Bei Dev Tunnels gelten die folgenden Einschränkungen:

  • Richtlinienzuweisungseinschränkungen: Sie können keine Richtlinien für bedingten Zugriff für den Dev Box-Dienst konfigurieren, um Dev Tunnels für Dev Box-Benutzer zu verwalten. Konfigurieren Sie stattdessen Richtlinien auf Dienstebene von Dev Tunnels, wie in diesem Artikel beschrieben.
  • Selbst erstellte Dev-Tunnel: Sie können Dev-Tunnel, die nicht vom Dev Box-Dienst verwaltet werden, nicht einschränken. Wenn das Gruppenrichtlinienobjekt Dev-Tunnels im Kontext von Dev-Boxen so konfiguriert ist, bei der nur ausgewählte Microsoft Entra-Mandanten-IDs zugelassen werden, können Richtlinien für bedingten Zugriff auch selbst erstellte Dev-Tunnels einschränken.
  • Erzwingung von IP-Reichweiten: Dev Tunnels unterstützen möglicherweise keine granularen IP-Einschränkungen. Erwägen Sie die Verwendung von Steuerelementen auf Netzwerkebene, oder wenden Sie sich an Ihr Sicherheitsteam, um alternative Erzwingungsstrategien zu erhalten.

Verwandte Inhalte

  • Last updated on