使用条件策略保护开发隧道访问

开发隧道提供了一种简化的方法，可直接从 Visual Studio Code 连接到 Dev Box，而无需使用单独的应用程序（如 Windows 应用或浏览器）。 此方法提供更直接的集成开发体验。 与传统的连接方法不同，Dev Tunnel 简化了访问并提高工作效率。

许多使用 Dev Box 的大型企业都有严格的安全性和合规性策略，其代码对他们的业务很有价值。 本文介绍如何配置条件访问策略来保护环境中的开发隧道使用情况。

先决条件

在继续之前，请确保你有：

• 访问 Dev Box 环境。
• 已安装 Visual Studio Code。
• PowerShell 7.x 或更高版本（7.x 系列中的任何版本都是可接受的）。
• 在 Microsoft Entra ID 中配置条件访问策略的适当权限。

开发隧道条件访问的优势

开发隧道服务的条件访问策略：

• 让开发隧道从托管设备进行连接，但拒绝来自非托管设备的连接。
• 让开发隧道从特定的 IP 范围进行连接，但拒绝来自其他 IP 范围的连接。
• 支持其他常规条件访问配置。
• 适用于 Visual Studio Code 应用程序和 VS Code Web。

注释

本文重点介绍如何专门为开发隧道设置条件访问策略。 如果要更广泛地为 Dev Box 配置策略，请参阅 为 Dev Box 配置条件访问。

配置条件访问策略

要用条件访问来保护 Dev Tunnels，需要使用自定义安全属性来针对 Dev Tunnels 服务进行配置。 本部分将指导你完成配置这些属性和创建适当的条件访问策略的过程。

为条件访问选取器启用 Dev Tunnels 服务

Microsoft Entra ID 团队正在努力去除应用需要经过载入才能出现在应用选取器中的要求，预计将在5月份实现这一目标。 因此，我们不会将开发隧道服务加入条件访问选取器。 转而请使用自定义安全属性，在条件访问策略中面向开发隧道服务。

1. 按照在 Microsoft Entra ID 中添加或停用自定义安全属性定义，添加以下属性集和新属性。

   

   

2. 请按照 创建条件访问策略 的步骤来创建一个条件访问策略。

   

3. 要为开发隧道服务配置自定义属性，请按照 配置自定义属性。

   

正在测试

1. 关闭 BlockDevTunnelCA 策略。

2. 在测试租户中创建 Dev Box，并在其中运行以下命令。 可以在外部创建和连接到开发隧道。

   code tunnel user login --provider microsoft
   code tunnel
   

3. 打开 BlockDevTunnelCA 策略。

   1. 无法建立与现有开发隧道的新连接。 如果已建立连接，请使用备用浏览器进行测试。

   2. 执行步骤 2 中命令的任何新尝试都失败。 这两个错误都是：

      

4. Microsoft Entra ID 登录日志显示这些条目。

   

局限性

使用开发隧道时，需遵守以下限制：

• 策略分配限制：无法为 Dev Box 服务配置条件访问策略来管理 Dev Box 用户的开发隧道。 相反，请按照本文中所述在 Dev Tunnels 服务层级配置策略。
• 自创建的开发隧道：不能限制 Dev Box 服务不托管的开发隧道。 在 Dev Boxes 的上下文中，如果开发隧道 GPO 配置为仅允许选定的Microsoft Entra 租户 ID，条件访问策略还可以限制自创建的开发隧道。
• IP 范围强制实施：开发隧道可能不支持精细 IP 限制。 请考虑使用网络级控制或咨询安全团队，了解替代强制策略。

相关内容

• 在 VS Code 中打开开发框
• 条件访问策略