Partager via

Sécuriser l’accès à Dev Tunnel avec des stratégies conditionnelles

Dev Tunnels offre un moyen simplifié de se connecter à votre Dev Box directement à partir de Visual Studio Code, ce qui élimine la nécessité d’utiliser des applications distinctes telles que l’application Windows ou un navigateur. Cette méthode offre une expérience de développement plus immédiate et intégrée. Contrairement aux méthodes de connexion traditionnelles, Dev Tunnels simplifie l’accès et améliore la productivité.

De nombreuses grandes entreprises qui utilisent Dev Box ont des stratégies de sécurité et de conformité strictes, et leur code est précieux pour leur entreprise. Cet article explique comment configurer des stratégies d’accès conditionnel pour sécuriser l’utilisation de Dev Tunnel dans votre environnement.

Prerequisites

Avant de continuer, vérifiez que vous disposez des points suivants :

  • Accès à un environnement Dev Box.
  • Visual Studio Code installé.
  • PowerShell 7.x ou version ultérieure (toute version de la série 7.x est acceptable).
  • Autorisations appropriées pour configurer des stratégies d’accès conditionnel dans l’ID Microsoft Entra.

Avantages de l’accès conditionnel pour Dev Tunnels

Stratégies d’accès conditionnel pour le service Dev Tunnels :

  • Laissez Dev Tunnels se connecter à partir d’appareils gérés, mais refuser les connexions à partir d’appareils non gérés.
  • Laissez Dev Tunnels se connecter à partir de plages d’adresses IP spécifiques, mais refuser les connexions à partir d’autres plages d’adresses IP.
  • Prendre en charge d’autres configurations d’accès conditionnel standard.
  • Appliquez cela à la fois à l'application Visual Studio Code et à la version web de VS Code.

Note

Cet article se concentre sur la configuration des stratégies d’accès conditionnel spécifiquement pour Dev Tunnels. Si vous configurez des stratégies pour Dev Box plus largement, consultez Configurer l’accès conditionnel pour Dev Box.

Configurer des stratégies d’accès conditionnel

Pour sécuriser dev Tunnels avec accès conditionnel, vous devez cibler le service Dev Tunnels à l’aide d’attributs de sécurité personnalisés. Cette section vous guide tout au long du processus de configuration de ces attributs et de la création de la stratégie d’accès conditionnel appropriée.

Activer le service Dev Tunnels pour le sélecteur d’accès conditionnel

L’équipe Microsoft Entra ID travaille à la suppression de la nécessité d’intégrer des applications pour qu’elles apparaissent dans le sélecteur d’applications, avec livraison prévue en mai. Par conséquent, nous n'intégrons pas le service Dev Tunnel au sélecteur d'accès conditionnel. Au lieu de cela, ciblez le service Dev tunnels dans une stratégie d’accès conditionnel à l’aide d’attributs de sécurité personnalisés.

  1. Suivez Ajouter ou désactiver des définitions d’attributs de sécurité personnalisées dans Microsoft Entra ID pour ajouter les éléments suivants : le jeu d’attributs et les nouveaux attributs.

    Capture d’écran du processus de définition d’attribut de sécurité personnalisé dans Microsoft Entra ID.

    Capture d’écran de la création d’un nouvel attribut dans Microsoft Entra ID.

  2. Suivez Créer une stratégie d’accès conditionnel pour créer une stratégie d’accès conditionnel.

    Capture d’écran du processus de création de stratégie d’accès conditionnel pour le service Dev tunnels.

  3. Suivez Configurer des attributs personnalisés pour configurer l’attribut personnalisé pour le service de tunnels dev.

    Capture d’écran de la configuration d’attributs personnalisés pour le service Dev tunnels dans Microsoft Entra ID.

Essai

  1. Désactivez la stratégie BlockDevTunnelCA.

  2. Créez une Dev Box dans le locataire de test et exécutez les commandes suivantes à l’intérieur de celle-ci. Vous pouvez créer et vous connecter à Dev Tunnels en externe.

    code tunnel user login --provider microsoft
code tunnel

  3. Activez la stratégie BlockDevTunnelCA.

    1. Vous ne pouvez pas établir de nouvelles connexions aux tunnels de développement existants. Si une connexion est déjà établie, testez avec un autre navigateur.

    2. Toutes les nouvelles tentatives d’exécution des commandes à l’étape 2 échouent. Les deux erreurs sont les suivantes :

      Capture d’écran du message d’erreur lorsque la connexion dev tunnels est bloquée par la stratégie d’accès conditionnel.

  4. Les journaux de connexion de Microsoft Entra ID affichent ces entrées.

    Capture d’écran des journaux de connexion de Microsoft Entra ID montrant les entrées liées à la stratégie d'accès conditionnel des tunnels Dev.

Limites

Avec Dev Tunnels, les limitations suivantes s’appliquent :

  • Restrictions d’attribution de stratégie : vous ne pouvez pas configurer de stratégies d’accès conditionnel pour le service Dev Box afin de gérer dev Tunnels pour les utilisateurs Dev Box. Au lieu de cela, configurez des stratégies au niveau du service Dev Tunnels comme décrit dans cet article.
  • Tunnels dev créés automatiquement : vous ne pouvez pas limiter les tunnels de développement qui ne sont pas gérés par le service Dev Box. Dans le contexte des Dev Boxes, si le GPO Dev Tunnels est configuré pour n’autoriser que certains identifiants de locataire Microsoft Entra, les stratégies d’accès conditionnel peuvent également restreindre les tunnels Dev créés par l’utilisateur(-trice).
  • Application de la plage d’adresses IP : Les Dev Tunnels pourraient ne pas supporter les restrictions IP granulaires. Envisagez d’utiliser des contrôles au niveau du réseau ou de consulter votre équipe de sécurité pour obtenir d’autres stratégies d’application.

Contenu connexe

  • Last updated on