Condividi tramite

Proteggere l'accesso a Dev Tunnel con criteri condizionali

Dev Tunnels offre un modo semplificato per connettersi direttamente a Dev Box da Visual Studio Code, eliminando la necessità di usare applicazioni separate come App di Windows o un browser. Questo metodo offre un'esperienza di sviluppo più immediata e integrata. A differenza dei metodi di connessione tradizionali, Dev Tunnels semplifica l'accesso e migliora la produttività.

Molte aziende di grandi dimensioni che usano Dev Box hanno criteri di sicurezza e conformità rigorosi e il codice è utile per l'azienda. Questo articolo illustra come configurare i criteri di accesso condizionale per proteggere l'utilizzo di Dev Tunnel nell'ambiente in uso.

Prerequisiti

Prima di procedere, assicurarsi di disporre di:

  • Accesso a un ambiente Dev Box.
  • Visual Studio Code installato.
  • PowerShell 7.x o versione successiva (qualsiasi versione della serie 7.x è accettabile).
  • Autorizzazioni appropriate per configurare i criteri di accesso condizionale in Microsoft Entra ID.

Vantaggi dell'accesso condizionale per Dev Tunnels

Criteri di accesso condizionale per il servizio Dev Tunnels:

  • Consentire a Dev Tunnels di connettersi dai dispositivi gestiti, ma negare le connessioni da dispositivi non gestiti.
  • Consentire ai dev tunnel di connettersi da intervalli IP specifici, ma negare le connessioni da altri intervalli IP.
  • Supportare altre configurazioni di accesso condizionale regolari.
  • Applicare sia all'applicazione Visual Studio Code che al Web VS Code.

Annotazioni

Questo articolo è incentrato sulla configurazione di criteri di accesso condizionale specifici per i tunnel di sviluppo. Se si configurano i criteri per Dev Box in modo più ampio, vedere Configurare l'accesso condizionale per Dev Box.

Configurare criteri di accesso condizionale

Per proteggere i tunnel di sviluppo con accesso condizionale, è necessario specificare come destinazione il servizio Dev Tunnels usando attributi di sicurezza personalizzati. Questa sezione illustra il processo di configurazione di questi attributi e la creazione dei criteri di accesso condizionale appropriati.

Abilitare il servizio Dev Tunnels per la selezione dell'accesso condizionale

Il team di Microsoft Entra ID sta lavorando per rimuovere la necessità di eseguire l'onboarding delle app affinché vengano visualizzate nella selezione delle app, con il recapito previsto a maggio. Di conseguenza, non viene eseguita l'integrazione del servizio Tunnel dev nello strumento di selezione per l'accesso condizionale. Specificare invece come destinazione il servizio Dev tunnels in un criterio di accesso condizionale usando attributi di sicurezza personalizzati.

  1. Seguire il collegamento Aggiungi o disattiva definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID per aggiungere il set di attributi ed i nuovi attributi indicati di seguito.

    Screenshot del processo di definizione dell'attributo di sicurezza personalizzato in Microsoft Entra ID.

    Screenshot della creazione di un nuovo attributo in Microsoft Entra ID.

  2. Seguire le istruzioni in Creare un criterio di accesso condizionale per creare un criterio di accesso condizionale.

    Screenshot del processo di creazione dei criteri di accesso condizionale per il servizio Dev tunnels.

  3. Seguire Configurare gli attributi personalizzati per configurare l'attributo personalizzato per il servizio Dev tunnels.

    Screenshot della configurazione di attributi personalizzati per il servizio Dev tunnels in Microsoft Entra ID.

Test

  1. Disattivare il criterio BlockDevTunnelCA.

  2. Creare un Dev Box nel tenant di test ed eseguire i comandi seguenti al suo interno. È possibile creare e connettersi esternamente a Dev Tunnels.

    code tunnel user login --provider microsoft
code tunnel

  3. Attivare il criterio BlockDevTunnelCA.

    1. Non è possibile stabilire nuove connessioni ai tunnel di sviluppo esistenti. Se è già stata stabilita una connessione, eseguire il test con un browser alternativo.

    2. Eventuali nuovi tentativi di esecuzione dei comandi nel passaggio 2 hanno esito negativo. Entrambi gli errori sono:

      Screenshot del messaggio di errore quando la connessione di Dev Tunnels è bloccata dai criteri di accesso condizionale.

  4. I registri di accesso di Microsoft Entra ID mostrano queste registrazioni.

    Screenshot dei log di accesso di Microsoft Entra ID che mostra le voci correlate ai criteri di accesso condizionale di Dev Tunnels.

Limitazioni

Con Dev Tunnels, si applicano le limitazioni seguenti:

  • Restrizioni di assegnazione dei criteri: non è possibile configurare i criteri di accesso condizionale per il servizio Dev Box per gestire Dev Tunnels per gli utenti di Dev Box. Configurare invece i criteri a livello di servizio Dev Tunnels come descritto in questo articolo.
  • Tunnel di sviluppo creati automaticamente: non è possibile limitare i tunnel di sviluppo non gestiti dal servizio Dev Box. Nel contesto di Macchine di sviluppo, se l'oggetto Criteri di gruppo Tunnel dev è configurato per consentire solo gli ID tenant di Microsoft Entra selezionati, i criteri di accesso condizionale possono anche limitare i tunnel dev creati automaticamente.
  • Imposizione dell'intervallo IP: i tunnel di sviluppo potrebbero non supportare restrizioni IP granulari. Prendere in considerazione l'uso di controlli a livello di rete o consultare il team di sicurezza per strategie di imposizione alternative.

Contenuti correlati

  • Last updated on