Compartir a través de

Asegurar el acceso al túnel de desarrollo con políticas condicionales

Los túneles de desarrollo ofrecen una manera simplificada de conectarse directamente a Su Dev Box desde Visual Studio Code, lo que elimina la necesidad de usar aplicaciones independientes como La aplicación de Windows o un explorador. Este método proporciona una experiencia de desarrollo más inmediata e integrada. A diferencia de los métodos de conexión tradicionales, los túneles de desarrollo simplifican el acceso y mejoran la productividad.

Muchas grandes empresas que usan Dev Box tienen estrictas directivas de seguridad y cumplimiento, y su código es valioso para su negocio. En este artículo se explica cómo configurar directivas de acceso condicional para proteger el uso de Dev Tunnel en su entorno.

Prerrequisitos

Antes de continuar, asegúrese de que tiene:

  • Acceso a un entorno de Dev Box.
  • Visual Studio Code instalado.
  • PowerShell 7.x o posterior (cualquier versión de la serie 7.x es aceptable).
  • Permisos adecuados para configurar directivas de acceso condicional en microsoft Entra ID.

Ventajas del acceso condicional para túneles de desarrollo

Directivas de acceso condicional para el servicio Túneles de desarrollo:

  • Permitir que los túneles de desarrollo se conecten desde dispositivos administrados, pero denieguen conexiones desde dispositivos no administrados.
  • Permitir que los túneles de desarrollo se conecten desde intervalos IP específicos, pero denieguen las conexiones de otros intervalos IP.
  • Admite otras configuraciones de acceso condicional normales.
  • Se aplica tanto a la aplicación de Visual Studio Code como a la web de VS Code.

Nota:

Este artículo se centra en la configuración de directivas de acceso condicional específicamente para túneles de desarrollo. Si va a configurar directivas para Dev Box de forma más amplia, consulte Configuración del acceso condicional para Dev Box.

Configure directivas de acceso condicional

Para proteger los túneles dev con acceso condicional, debe tener como destino el servicio de túneles dev mediante atributos de seguridad personalizados. Esta sección le guía por el proceso de configuración de estos atributos y la creación de la directiva de acceso condicional adecuada.

Habilitar el servicio Túneles de Desarrollo para el selector de acceso condicional

El equipo de Microsoft Entra ID está trabajando para quitar la necesidad de incorporar aplicaciones para que aparezcan en el selector de aplicaciones, con la entrega esperada en mayo. Por lo tanto, no estamos incorporando el servicio de túnel dev al selector de acceso condicional. En su lugar, diríjase al servicio de túneles de desarrollo en una directiva de acceso condicional utilizando atributos de seguridad personalizados.

  1. Siga Agregar o desactivar las definiciones de atributos de seguridad personalizados en Microsoft Entra ID para agregar el siguiente conjunto de atributos y nuevos atributos.

    Captura de pantalla del proceso de definición de atributo de seguridad personalizado en Microsoft Entra ID.

    Captura de pantalla de la creación de nuevos atributos en Microsoft Entra ID.

  2. Siga Crear una directiva de acceso condicional para crear una directiva de acceso condicional.

    Captura de pantalla del proceso de creación de directivas de acceso condicional para el servicio Túneles de desarrollo.

  3. Siga Configuración de atributos personalizados para configurar el atributo personalizado para el servicio de túneles de desarrollo.

    Captura de pantalla de la configuración de atributos personalizados para el servicio Túneles de desarrollo en Microsoft Entra ID.

Ensayo

  1. Desactive la directiva BlockDevTunnelCA.

  2. Cree un Dev Box en el inquilino de prueba y ejecute los siguientes comandos dentro de él. Puede crear y conectarse a túneles de desarrollo externamente.

    code tunnel user login --provider microsoft
code tunnel

  3. Active la directiva BlockDevTunnelCA.

    1. No se pueden establecer nuevas conexiones a los túneles de desarrollo existentes. Si ya se ha establecido una conexión, pruebe con un explorador alternativo.

    2. Se producirá un error en los nuevos intentos de ejecutar los comandos del paso 2. Ambos errores son:

      Captura de pantalla del mensaje de error cuando la directiva de acceso condicional bloquea la conexión de túneles de desarrollo.

  4. Los registros de inicio de sesión de Microsoft Entra ID muestran estas entradas.

    Captura de pantalla de los registros de inicio de sesión de Microsoft Entra ID que muestran entradas relacionadas con la directiva de acceso condicional de túneles de desarrollo.

Limitaciones

Con los túneles de desarrollo, se aplican las siguientes limitaciones:

  • Restricciones de asignación de directivas: no se pueden configurar directivas de acceso condicional para el servicio Dev Box para administrar túneles de desarrollo para usuarios de Dev Box. En su lugar, configure las políticas al nivel del servicio de Dev Tunnels, tal como se describe en este artículo.
  • Túneles de desarrollo creados automáticamente: no se pueden limitar los túneles de desarrollo que no están administrados por el servicio Dev Box. En el contexto de los cuadros de desarrollo, si el GPO de túneles dev está configurado para permitir solo identificadores del inquilino de Microsoft Entra seleccionados, las directivas de acceso condicional también pueden restringir los túneles dev creados automáticamente.
  • Cumplimiento de intervalos IP: podría ser que los túneles dev no admitan restricciones de IP detalladas. Considere la posibilidad de usar controles de nivel de red o consulte al equipo de seguridad para obtener estrategias alternativas de cumplimiento.

Contenido relacionado

  • Last updated on