Delen via

Toegang tot Dev Tunnel beveiligen met voorwaardelijk beleid

Dev Tunnels bieden een gestroomlijnde manier om rechtstreeks vanuit Visual Studio Code verbinding te maken met uw Dev Box, waardoor u geen afzonderlijke toepassingen zoals Windows App of een browser hoeft te gebruiken. Deze methode biedt een meer onmiddellijke en geïntegreerde ontwikkelervaring. In tegenstelling tot traditionele verbindingsmethoden vereenvoudigen Dev Tunnels de toegang en verbetert de productiviteit.

Veel grote ondernemingen die Dev Box gebruiken, hebben strikt beveiligings- en nalevingsbeleid en hun code is waardevol voor hun bedrijf. In dit artikel wordt uitgelegd hoe u beleid voor voorwaardelijke toegang configureert om het gebruik van Dev Tunnel in uw omgeving te beveiligen.

Vereiste voorwaarden

Voordat u doorgaat, moet u het volgende doen:

  • Toegang tot een Dev Box-omgeving.
  • Visual Studio Code is geïnstalleerd.
  • PowerShell 7.x of hoger (elke versie in de 7.x-serie is acceptabel).
  • Juiste machtigingen voor het configureren van beleid voor voorwaardelijke toegang in Microsoft Entra-id.

Voordelen van voorwaardelijke toegang voor Dev Tunnels

Beleid voor voorwaardelijke toegang voor de Dev Tunnels-service:

  • Laat Dev Tunnels verbinding maken vanaf beheerde apparaten, maar verbindingen van niet-beheerde apparaten weigeren.
  • Laat Dev Tunnels verbinding maken vanuit specifieke IP-bereiken, maar weiger verbindingen van andere IP-bereiken.
  • Ondersteuning voor andere reguliere configuraties voor voorwaardelijke toegang.
  • Toepassen op zowel de Visual Studio Code-toepassing als de VS Code-web.

Opmerking

Dit artikel is gericht op het instellen van beleid voor voorwaardelijke toegang, specifiek voor Dev Tunnels. Als u beleidsregels voor Dev Box breder configureert, raadpleegt u Voorwaardelijke toegang configureren voor Dev Box.

Beleid voor voorwaardelijke toegang configureren

Als u Dev Tunnels met voorwaardelijke toegang wilt beveiligen, moet u de Dev Tunnels-service richten met behulp van aangepaste beveiligingskenmerken. In deze sectie wordt u begeleid bij het configureren van deze kenmerken en het maken van het juiste beleid voor voorwaardelijke toegang.

De Dev Tunnels-service inschakelen voor het selectiehulpmiddel voor voorwaardelijke toegang

Het Microsoft Entra ID-team werkt aan het verwijderen van de noodzaak om apps te onboarden zodat ze worden weergegeven in de app-kiezer, met de verwachte levering in mei. Daarom wordt de Dev-tunnelservice niet toegevoegd aan de keuzemogelijkheden voor voorwaardelijke toegang. Richt u in plaats daarvan de Dev Tunnels-service in een beleid voor voorwaardelijke toegang met behulp van aangepaste beveiligingskenmerken.

  1. Volg aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra ID om de volgende kenmerkenset en nieuwe kenmerken toe te voegen.

    Schermopname van het definitieproces van het aangepaste beveiligingskenmerk in Microsoft Entra-id.

    Schermopname van het maken van het nieuwe kenmerk in Microsoft Entra ID.

  2. Volg Een beleid voor voorwaardelijke toegang maken om een beleid voor voorwaardelijke toegang te maken.

    Schermopname van het proces voor het maken van beleid voor voorwaardelijke toegang voor de Dev Tunnels-service.

  3. Volg Aangepaste kenmerken configureren om het aangepaste kenmerk voor de Dev Tunnels-service te configureren.

    Schermopname van het configureren van aangepaste kenmerken voor de Dev Tunnels-service in Microsoft Entra-id.

Testen

  1. Schakel het BlockDevTunnelCA-beleid uit.

  2. Maak een Dev Box in de testtenant en voer daarin de volgende opdrachten uit. U kunt extern Dev Tunnels maken en er verbinding mee maken.

    code tunnel user login --provider microsoft
code tunnel

  3. Schakel het BlockDevTunnelCA-beleid in.

    1. U kunt geen nieuwe verbindingen tot stand brengen met de bestaande Dev Tunnels. Als er al een verbinding tot stand is gebracht, test u met een alternatieve browser.

    2. Nieuwe pogingen om de opdrachten uit te voeren in stap 2 mislukken. Beide fouten zijn:

      Schermopname van het foutbericht wanneer de verbinding met Dev Tunnels wordt geblokkeerd door beleid voor voorwaardelijke toegang.

  4. In de aanmeldingslogboeken van Microsoft Entra ID worden deze vermeldingen weergegeven.

    Schermopname van aanmeldingslogboeken van Microsoft Entra ID met vermeldingen met betrekking tot het beleid voor voorwaardelijke toegang voor Dev-tunnels.

Beperkingen

Bij Dev Tunnels gelden de volgende beperkingen:

  • Beperkingen voor beleidstoewijzing: u kunt geen beleid voor voorwaardelijke toegang configureren voor de Dev Box-service voor het beheren van Dev Tunnels voor Dev Box-gebruikers. Configureer in plaats daarvan beleidsregels op het serviceniveau Dev Tunnels, zoals beschreven in dit artikel.
  • Zelf gemaakte Dev Tunnels: U kunt Dev Tunnels die niet worden beheerd door de Dev Box-service niet beperken. Als in de context van Dev Boxes het GPO dev tunnels is geconfigureerd om alleen geselecteerde Microsoft Entra-tenant-id's toe te staan, kan beleid voor voorwaardelijke toegang ook zelf gemaakte Dev Tunnels beperken.
  • Afdwingen van IP-bereiken: Dev Tunnels bieden mogelijk geen ondersteuning voor gedetailleerde IP-beperkingen. Overweeg het gebruik van besturingselementen op netwerkniveau of raadpleeg uw beveiligingsteam voor alternatieve afdwingingsstrategieën.

Verwante inhoud

  • Last updated on