Partilhar via

Acesso seguro ao túnel de desenvolvimento com políticas condicionais

Os Túneis de Desenvolvimento oferecem uma maneira simplificada de se conectar à sua Caixa de Desenvolvimento diretamente do Visual Studio Code, eliminando a necessidade de usar aplicativos separados, como o Aplicativo do Windows ou um navegador. Este método proporciona uma experiência de desenvolvimento mais imediata e integrada. Ao contrário dos métodos de conexão tradicionais, os Dev Tunnels simplificam o acesso e aumentam a produtividade.

Muitas grandes empresas que usam o Dev Box têm políticas rígidas de segurança e conformidade, e seu código é valioso para seus negócios. Este artigo explica como configurar políticas de acesso condicional para proteger o uso do Túnel de Desenvolvimento em seu ambiente.

Pré-requisitos

Antes de prosseguir, certifique-se de que tem:

  • Acesso a um ambiente Dev Box.
  • Visual Studio Code instalado.
  • PowerShell 7.x ou posterior (qualquer versão da série 7.x é aceitável).
  • Permissões apropriadas para configurar políticas de acesso condicional no Microsoft Entra ID.

Benefícios do acesso condicional para Dev Tunnels

Políticas de acesso condicional para o serviço Dev Tunnels:

  • Permita que os Dev Tunnels se conectem a partir de dispositivos gerenciados, mas negue conexões de dispositivos não gerenciados.
  • Permita que os Dev Tunnels se conectem a partir de intervalos IP específicos, mas neguem conexões de outros intervalos IP.
  • Suporta outras configurações regulares de acesso condicional.
  • Aplicar tanto à aplicação Visual Studio Code como à versão web do VS Code.

Observação

Este artigo se concentra na configuração de políticas de acesso condicional especificamente para Dev Tunnels. Se você estiver configurando políticas para Dev Box de forma mais ampla, consulte Configurar acesso condicional para Dev Box.

Configurar políticas de acesso condicional

Para proteger Dev Tunnels com acesso condicional, você precisa direcionar o serviço Dev Tunnels usando atributos de segurança personalizados. Esta seção orienta você pelo processo de configuração desses atributos e criação da política de acesso condicional apropriada.

Habilite o serviço Dev Tunnels para o seletor de acesso condicional

A equipe do Microsoft Entra ID está trabalhando para remover a necessidade de integrar aplicativos para que eles apareçam no seletor de aplicativos, com entrega prevista para maio. Portanto, não estamos integrando o serviço de túnel de desenvolvimento ao seletor de acesso condicional. Em vez disso, direcione o serviço de túneis de desenvolvimento em uma política de acesso condicional usando atributos de segurança personalizados.

  1. Siga o guia para adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID para adicionar o seguinte conjunto de atributos e novos atributos.

    Captura de ecrã do processo de definição de atributo de segurança personalizado no Microsoft Entra ID.

    Captura de tela da criação do novo atributo no Microsoft Entra ID.

  2. Siga Criar uma política de acesso condicional para criar uma política de acesso condicional.

    Captura de tela do processo de criação da política de acesso condicional para o serviço de túneis de desenvolvimento.

  3. Siga Configurar atributos personalizados para configurar o atributo personalizado para o serviço de túneis de desenvolvimento.

    Captura de tela da configuração de atributos personalizados para o serviço de túneis de desenvolvimento no Microsoft Entra ID.

Testes

  1. Desative a política BlockDevTunnelCA.

  2. Crie uma Caixa de Desenvolvimento no locatário de teste e execute os seguintes comandos dentro dela. Você pode criar e conectar-se a Dev Tunnels externamente.

    code tunnel user login --provider microsoft
code tunnel

  3. Ative a política BlockDevTunnelCA.

    1. Não é possível estabelecer novas conexões com os Túneis de Desenvolvimento existentes. Se uma conexão já estiver estabelecida, teste com um navegador alternativo.

    2. Todas as novas tentativas de executar os comandos na etapa 2 falham. Ambos os erros são:

      Captura de tela da mensagem de erro quando a conexão de túneis de desenvolvimento é bloqueada pela política de acesso condicional.

  4. Os registos de entrada do Microsoft Entra ID apresentam estas entradas.

    Captura de ecrã dos registos de início de sessão do Microsoft Entra ID que mostra entradas relacionadas com a política de acesso condicional Dev Tunnels.

Limitações

Com os Dev Tunnels, aplicam-se as seguintes limitações:

  • Restrições de atribuição de política: não é possível configurar políticas de acesso condicional para o serviço Caixa de Desenvolvimento para gerenciar Túneis de Desenvolvimento para usuários da Caixa de Desenvolvimento. Em vez disso, configure políticas no nível de serviço Dev Tunnels, conforme descrito neste artigo.
  • Túneis de desenvolvimento criados automaticamente: não é possível limitar os túneis de desenvolvimento que não são gerenciados pelo serviço Caixa de desenvolvimento. No contexto das Caixas de Desenvolvimento, se o GPO de Túneis de Desenvolvimento estiver configurado para permitir apenas IDs de locatário do Microsoft Entra selecionados, as políticas de acesso condicional também poderão restringir os Túneis de Desenvolvimento criados automaticamente.
  • Aplicação do intervalo de IP: os túneis de desenvolvimento podem não suportar restrições granulares de IP. Considere o uso de controles no nível da rede ou consulte sua equipe de segurança para obter estratégias alternativas de aplicação.

Conteúdo relacionado

  • Last updated on