Compartilhar via

Proteger o acesso ao Túnel de Desenvolvimento com políticas condicionais

Os Túneis de Desenvolvimento oferecem uma maneira simplificada de se conectar ao Seu Dev Box diretamente do Visual Studio Code, eliminando a necessidade de usar aplicativos separados, como o Aplicativo do Windows ou um navegador. Esse método fornece uma experiência de desenvolvimento mais imediata e integrada. Ao contrário dos métodos de conexão tradicionais, os Túneis de Desenvolvimento simplificam o acesso e aumentam a produtividade.

Muitas grandes empresas que usam o Dev Box têm políticas rigorosas de segurança e conformidade, e seu código é valioso para seus negócios. Este artigo explica como configurar políticas de acesso condicional para proteger o uso do Túnel de Desenvolvimento em seu ambiente.

Pré-requisitos

Antes de continuar, verifique se você tem:

  • Acesso a um ambiente "Dev Box".
  • Visual Studio Code instalado.
  • PowerShell 7.x ou posterior (qualquer versão da série 7.x é aceitável).
  • Permissões apropriadas para configurar políticas de acesso condicional na ID do Microsoft Entra.

Benefícios do acesso condicional para túneis de desenvolvimento

Políticas de acesso condicional para o serviço Dev Tunnels:

  • Permitir que os Túneis de Desenvolvimento se conectem a partir de dispositivos gerenciados, mas negar conexões de dispositivos não gerenciados.
  • Permitir que os Túneis de Desenvolvimento se conectem a partir de intervalos de IP específicos, mas negar conexões de outros intervalos de IP.
  • Dê suporte a outras configurações de acesso condicional regulares.
  • Aplicável ao aplicativo Visual Studio Code e à Web do VS Code.

Observação

Este artigo se concentra na configuração de políticas de acesso condicional especificamente para Túneis de Desenvolvimento. Se você estiver configurando políticas para o Dev Box de forma mais ampla, consulte Configurar o acesso condicional para o Dev Box.

Configurar políticas de acesso condicional

Para proteger túneis de desenvolvimento com acesso condicional, você precisa direcionar o serviço Dev Tunnels usando atributos de segurança personalizados. Esta seção orienta você pelo processo de configurar esses atributos e criar a política de acesso condicional apropriada.

Habilitar o serviço Dev Tunnels para o seletor de acesso condicional

A equipe do Microsoft Entra ID está trabalhando para remover a necessidade de integrar aplicativos para que eles apareçam no seletor de aplicativos, com entrega esperada para maio. Portanto, não estamos integrando o serviço de túnel do desenvolvedor ao seletor de acesso condicional. Em vez disso, direcione o serviço de túneis de desenvolvimento em uma política de acesso condicional usando atributos de segurança personalizados.

  1. Avance para Adicionar ou desativar atributos de segurança personalizados no Microsoft Entra ID para adicionar o Conjunto de atributos e os Novos atributos a seguir.

    Captura de tela do processo de definição de atributo de segurança personalizado na ID do Microsoft Entra.

    Captura de tela da criação do novo atributo na ID do Microsoft Entra.

  2. Para criar uma política de acesso condicional, siga Criar uma política de acesso condicional.

    Captura de tela do processo de criação da política de acesso condicional para o serviço de túneis de desenvolvimento.

  3. Siga Configurar atributos personalizados para configurar o atributo personalizado para o serviço de túneis de desenvolvimento.

    Captura de tela da configuração de atributos personalizados para o serviço Dev Tunnels no Microsoft Entra ID.

Testando

  1. Desative a política BlockDevTunnelCA.

  2. Crie uma Dev Box no locatário de teste e execute os comandos a seguir dentro dele. Você pode criar e conectar-se a túneis de desenvolvimento externamente.

    code tunnel user login --provider microsoft
code tunnel

  3. Ative a política BlockDevTunnelCA.

    1. Não é possível estabelecer novas conexões com os Túneis de Desenvolvimento existentes. Se uma conexão já estiver estabelecida, teste com um navegador alternativo.

    2. Todas as novas tentativas de executar os comandos na etapa 2 falham. Ambos os erros são:

      Captura de tela da mensagem de erro quando a conexão de túneis de desenvolvimento é bloqueada pela política de acesso condicional.

  4. Os logs de autenticação da Identidade Entra da Microsoft mostram essas entradas.

    Captura de tela dos logs de entrada do Microsoft Entra ID mostrando entradas relacionadas à política de acesso condicional de túneis do desenvolvedor.

Limitações

Com os Túneis de Desenvolvimento, as seguintes limitações se aplicam:

  • Restrições de atribuição de política: você não pode configurar políticas de acesso condicional para o serviço Dev Box para gerenciar túneis de desenvolvimento para usuários do Dev Box. Em vez disso, configure políticas no nível de serviço Dev Tunnels, conforme descrito neste artigo.
  • Túneis de Desenvolvimento auto-criados: você não pode limitar túneis de desenvolvimento que não são gerenciados pelo serviço Dev Box. No contexto dos Computadores de Desenvolvimento, se o GPO de Túneis do Desenvolvedor estiver configurado para permitir apenas IDs de locatário do Microsoft Entra selecionadas, as políticas de Acesso Condicional também poderão restringir Túneis do Desenvolvedor auto-criados.
  • Imposição do intervalo de IP: os Túneis de Desenvolvimento podem não dar suporte a restrições de IP granulares. Considere usar controles de nível de rede ou consulte sua equipe de segurança para obter estratégias alternativas de imposição.

Conteúdo relacionado

  • Last updated on