Udostępnij przez

Zabezpieczanie dostępu do tunelu deweloperskiego przy użyciu zasad warunkowych

Aplikacje Dev Tunnels oferują usprawniony sposób nawiązywania połączenia z usługą Dev Box bezpośrednio z poziomu programu Visual Studio Code, eliminując konieczność używania oddzielnych aplikacji, takich jak aplikacja systemu Windows lub przeglądarka. Ta metoda zapewnia bardziej natychmiastowe i zintegrowane środowisko programistyczne. W przeciwieństwie do tradycyjnych metod połączeń, tunele deweloperskie upraszczają dostęp i zwiększają produktywność.

Wiele dużych przedsiębiorstw korzystających z usługi Dev Box ma ścisłe zasady zabezpieczeń i zgodności, a ich kod jest cenny dla swojej firmy. W tym artykule wyjaśniono, jak skonfigurować zasady dostępu warunkowego w celu zabezpieczenia użycia tunelu deweloperskiego w środowisku.

Wymagania wstępne

Przed kontynuowaniem upewnij się, że masz następujące rzeczy:

  • Dostęp do środowiska usługi Dev Box.
  • Zainstalowany program Visual Studio Code.
  • Program PowerShell 7.x lub nowszy (dowolna wersja z serii 7.x jest akceptowalna).
  • Odpowiednie uprawnienia do konfigurowania zasad dostępu warunkowego w usłudze Microsoft Entra ID.

Korzyści z dostępu warunkowego dla tuneli deweloperskich

Zasady dostępu warunkowego dla usługi Dev Tunnels:

  • Zezwalaj aplikacjom Dev Tunnels na łączenie się z zarządzanych urządzeń, ale odmawianie połączeń z urządzeń niezarządzanych.
  • Zezwalaj aplikacjom Dev Tunnels na łączenie się z określonych zakresów adresów IP, ale odrzucanie połączeń z innych zakresów adresów IP.
  • Obsługa innych regularnych konfiguracji dostępu warunkowego.
  • Zastosuj zarówno do aplikacji Visual Studio Code, jak i wersji webowej programu VS Code.

Uwaga / Notatka

Ten artykuł koncentruje się na konfigurowaniu zasad dostępu warunkowego specjalnie dla tuneli deweloperskich. Jeśli szerzej konfigurujesz zasady dla usługi Dev Box, zobacz Konfigurowanie dostępu warunkowego dla usługi Dev Box.

Konfigurowanie zasad dostępu warunkowego

Aby zabezpieczyć tunele deweloperskie za pomocą dostępu warunkowego, należy celować w usługę Dev Tunnels, używając niestandardowych atrybutów zabezpieczeń. Ta sekcja przeprowadzi Cię przez proces konfigurowania tych atrybutów i tworzenia odpowiednich zasad dostępu warunkowego.

Włączanie usługi Dev Tunnels dla selektora dostępu warunkowego

Zespół Microsoft Entra ID pracuje nad usunięciem konieczności integracji aplikacji, aby były one wyświetlane w selektorze aplikacji, a zmiany są oczekiwane w maju. Z tego powodu nie włączamy usługi Dev tunnel do selektora warunkowego dostępu. Zamiast tego należy zastosować usługę Tunele deweloperskie w zasadach dostępu warunkowego przy użyciu niestandardowych atrybutów zabezpieczeń.

  1. Postępuj zgodnie z instrukcjami Dodaj lub dezaktywuj niestandardowe definicje atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft , aby dodać następujący zestaw atrybutów i nowe atrybuty.

    Zrzut ekranu przedstawiający niestandardowy proces definicji atrybutu zabezpieczeń w identyfikatorze Entra firmy Microsoft.

    Zrzut ekranu przedstawiający tworzenie nowego atrybutu w identyfikatorze Entra firmy Microsoft.

  2. Postępuj zgodnie z instrukcjami Tworzenie zasad dostępu warunkowego , aby utworzyć zasady dostępu warunkowego.

    Zrzut ekranu przedstawiający proces tworzenia zasad dostępu warunkowego dla usługi Tunele deweloperskie.

  3. Postępuj zgodnie z instrukcjami Konfigurowanie atrybutów niestandardowych , aby skonfigurować atrybut niestandardowy dla usługi Tunele deweloperskie.

    Zrzut ekranu przedstawiający konfigurowanie atrybutów niestandardowych dla usługi Tunele deweloperskie w usłudze Microsoft Entra ID.

Testowanie

  1. Wyłącz politykę BlockDevTunnelCA.

  2. Utwórz usługę Dev Box w dzierżawie testowej i uruchom w niej następujące polecenia. Możesz tworzyć tunele deweloperskie i łączyć się z nimi zewnętrznie.

    code tunnel user login --provider microsoft
code tunnel

  3. Włącz politykę BlockDevTunnelCA.

    1. Nie można ustanowić nowych połączeń z istniejącymi tunelami deweloperskimi. Jeśli połączenie zostało już nawiązane, przetestuj ją za pomocą alternatywnej przeglądarki.

    2. Wszelkie nowe próby wykonania poleceń w kroku 2 kończą się niepowodzeniem. Oba błędy to:

      Zrzut ekranu komunikatu o błędzie, gdy połączenie tuneli deweloperskich zostaje zablokowane przez zasady dostępu warunkowego.

  4. Dzienniki logowania Microsoft Entra ID pokazują te wpisy.

    Zrzut ekranu z dzienników logowania Microsoft Entra ID, pokazujący wpisy dotyczące zasad dostępu warunkowego dla tuneli deweloperskich.

Ograniczenia

W przypadku aplikacji Dev Tunnels obowiązują następujące ograniczenia:

  • Ograniczenia przypisywania zasad: nie można skonfigurować zasad dostępu warunkowego dla usługi Dev Box w celu zarządzania tunelami deweloperskimi dla użytkowników usługi Dev Box. Zamiast tego skonfiguruj zasady na poziomie usługi Dev Tunnels zgodnie z opisem w tym artykule.
  • Utworzone samodzielnie tunele deweloperskie: nie można ograniczyć tuneli deweloperskich, które nie są zarządzane przez usługę Dev Box. W kontekście Dev Boxes, jeśli obiekt zasad grupy Dev Tunnels jest skonfigurowany tak, aby zezwalał tylko na wybrane identyfikatory dzierżawy Microsoft Entra, zasady dostępu warunkowego mogą również ograniczać samodzielnie utworzone Dev Tunnels.
  • Wymuszanie zakresu adresów IP: tunele deweloperskie mogą nie obsługiwać szczegółowych ograniczeń adresów IP. Rozważ użycie mechanizmów kontroli na poziomie sieci lub skonsultowanie się z zespołem ds. zabezpieczeń w celu uzyskania alternatywnych strategii wymuszania.

Treści powiązane

  • Last updated on