Delen via

Beleid voor voorwaardelijke toegang configureren voor Dev-tunnels

Microsoft Dev Box biedt u een alternatieve connectiviteitsmethode boven op Dev-tunnels. U kunt zich op afstand ontwikkelen tijdens het lokaal coderen of de ontwikkeling behouden tijdens AVD-storingen (Azure Virtual Desktop) of slechte netwerkprestaties. Veel grote ondernemingen die Dev Box gebruiken, hebben een strikt beveiligings- en nalevingsbeleid en hun code is waardevol voor hun bedrijf. Het beperken van Dev-tunnels met beleid voor voorwaardelijke toegang is van cruciaal belang voor deze besturingselementen.

Beleid voor voorwaardelijke toegang voor de Dev Tunnels-service:

  • Laat Dev-tunnels verbinding maken vanaf beheerde apparaten, maar verbindingen van niet-beheerde apparaten weigeren.
  • Laat Dev-tunnels verbinding maken vanuit specifieke IP-bereiken, maar weiger verbindingen van andere IP-bereiken.
  • Ondersteuning voor andere reguliere configuraties voor voorwaardelijke toegang.
  • Toepassen op zowel de Visual Studio Code-toepassing als de VS Code-web.

Voorwaardelijke toegang configureren

Het beleid voor voorwaardelijke toegang werkt correct voor de Dev Tunnels-service. Omdat het registreren van de Dev Tunnels Service-app voor een tenant en het beschikbaar maken van de voorwaardelijke toegangskiezer uniek is, worden de stappen in dit artikel beschreven.

Dev tunnels-service registreren bij een tenant

Volgens toepassings- en service-principalobjecten in Microsoft Entra-id wordt er een service-principal gemaakt in elke tenant waarin een toepassing wordt gebruikt. Dit geldt echter niet voor de Dev Tunnels-service. De Dev Tunnels-service is een Microsoft-service en de service-principal wordt gemaakt in de Microsoft Entra ID-tenant waarin de Dev Tunnels-service is geregistreerd. De Service-app Dev Tunnels is niet standaard geregistreerd bij uw tenant, dus u moet deze handmatig registreren.

Daarom gebruiken we Microsoft.Graph PowerShell om de app te registreren bij een tenant.

  1. PowerShell 7.x installeren

  2. Volg De Microsoft Graph PowerShell SDK installeren | Microsoft Learn voor het installeren van Microsoft.Graph PowerShell.

  3. Voer de volgende opdrachten uit:

    # Connect to Microsoft Graph
Connect-MgGraph -TenatnId <TenantID> -Scopes "Application.ReadWrite.All"

# Register the Dev tunnels service app to the tenant
$TunnelServiceAppId = "46da2f7e-b5ef-422a-88d4-2a7f9de6a0b2"
New-MgServicePrincipal -AppId $TunnelServiceAppId

  4. Ga naar 'Microsoft Entra ID' -> 'Beheren' -> 'Bedrijfstoepassingen' om te controleren of de Dev Tunnels-service is geregistreerd.

    Schermopname van de pagina Bedrijfstoepassingen in Microsoft Entra-id, met de registratie van de Dev Tunnels-service.

De Dev Tunnels-service inschakelen voor de voorwaardelijke toegangskiezer

Het Microsoft Entra IDteam werkt aan het verwijderen van de noodzaak om apps te onboarden zodat ze worden weergegeven in de appkiezer, met de verwachte levering in mei. Daarom wordt de Dev-tunnelservice niet toegevoegd aan de keuzemogelijkheden voor voorwaardelijke toegang. Richt u in plaats daarvan de Dev Tunnels-service in een beleid voor voorwaardelijke toegang met behulp van aangepaste beveiligingskenmerken.

  1. Volg aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra ID om de volgende kenmerkenset en nieuwe kenmerken toe te voegen.

    Schermopname van het definitieproces van het aangepaste beveiligingskenmerk in Microsoft Entra-id.

    Schermopname van het maken van het nieuwe kenmerk in Microsoft Entra ID.

  2. Volg Een beleid voor voorwaardelijke toegang maken om een beleid voor voorwaardelijke toegang te maken.

    Schermopname van het proces voor het maken van beleid voor voorwaardelijke toegang voor de Dev Tunnels-service.

  3. Volg Aangepaste kenmerken configureren om het aangepaste kenmerk voor de Dev Tunnels-service te configureren.

    Schermopname van het configureren van aangepaste kenmerken voor de Dev Tunnels-service in Microsoft Entra-id.

Testen

  1. BlockDevTunnelCA uitschakelen

  2. Maak een DevBox in de testtenant en voer daarin de volgende opdrachten uit. Dev-tunnels kunnen extern worden gemaakt en verbonden.

code tunnel user login --provider microsoft
code tunnel

  1. Schakel de BlockDevTunnelCA in.

    1. Er kunnen geen nieuwe verbindingen met de bestaande Dev-tunnels tot stand worden gebracht. Test met een alternatieve browser als er al een verbinding tot stand is gebracht.

    2. Nieuwe pogingen om de opdrachten uit te voeren in stap 2 mislukken. Beide fouten zijn:

      Schermopname van het foutbericht wanneer de verbinding met Dev Tunnels wordt geblokkeerd door beleid voor voorwaardelijke toegang.

  2. In de aanmeldingslogboeken van Microsoft Entra ID worden deze vermeldingen weergegeven.

    Schermopname van aanmeldingslogboeken van Microsoft Entra ID met vermeldingen met betrekking tot het beleid voor voorwaardelijke toegang voor Dev-tunnels.

Beperkingen

Bij Dev Tunnels gelden de volgende beperkingen:

  • U kunt geen beleid voor voorwaardelijke toegang configureren voor de Dev Box-service voor het beheren van Dev Tunnels voor Dev Box-gebruikers.
  • U kunt Dev-tunnels die niet worden beheerd door de Dev Box-service niet beperken. Als in de context van Dev Boxes het GPO voor dev-tunnels is geconfigureerd om alleen geselecteerde Microsoft Entra-tenant-id's toe te staan, kan beleid voor voorwaardelijke toegang ook zelf gemaakte Dev-tunnels beperken.

Verwante inhoud

  • beleid voor voorwaardelijke toegang