Změna zásad připojení aplikací a zabezpečení pro vaši organizaci

  • Článek

Důležité

Azure DevOps už od 2. března 2020 nepodporuje ověřování alternativních přihlašovacích údajů. Pokud stále používáte alternativní přihlašovací údaje, důrazně doporučujeme přejít na bezpečnější metodu ověřování (například osobní přístupové tokeny). Další informace.

Zjistěte, jak spravovat zásady zabezpečení vaší organizace, které určují, jak můžou aplikace přistupovat ke službám a prostředkům ve vaší organizaci. K většině těchto zásad se dostanete v Nastavení organizace.

Požadavky

Musíte být členem skupiny Kolekce projektů Správa istrators. Vlastníci organizace jsou automaticky členy této skupiny.

Správa zásad

Pokud chcete změnit připojení aplikací, zabezpečení a zásady uživatelů pro vaši organizaci v Azure DevOps, proveďte následující kroky.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte gear iconNastavení organizace.

    Screenshot of Organization settings button, preview page.

  3. Vyberte Zásady a pak vedle zásad přesuňte přepínač na zapnuto nebo vypnuto.

Screenshot of select policy, and then turn On or Off.

Zásady připojení aplikací

Pokud chcete získat přístup k organizaci, aniž byste museli několikrát žádat o přihlašovací údaje uživatele, aplikace často používají následující metody ověřování:

  • OAuth pro generování tokenů pro přístup k rozhraním REST API pro Azure DevOps Všechna rozhraní REST API přijímají tokeny OAuth a toto je upřednostňovaná metoda integrace před tokeny patového přístupu (PAT). Organizace, profily a rozhraní PAT Management API podporují pouze OAuth.

  • SSH k vygenerování šifrovacích klíčů pro použití Linuxu, macOS a Windows s Gitem pro Windows, ale nemůžete pro ověřování HTTPS používat správce přihlašovacích údajů Git ani paty .

  • PATs pro generování tokenů pro:

    • Přístup ke konkrétním prostředkům nebo aktivitám, jako jsou buildy nebo pracovní položky
    • Klienti, jako je Xcode a NuGet, kteří jako základní přihlašovací údaje vyžadují uživatelská jména a hesla a nepodporují funkce účtu Microsoft a Microsoft Entra, jako je vícefaktorové ověřování
    • Přístup k rozhraním REST API pro Azure DevOps

Ve výchozím nastavení vaše organizace umožňuje přístup ke všem metodám ověřování.

Přístup pro klíče OAuth a SSH můžete omezit zakázáním přístupu k těmto zásadám připojení k aplikacím:

  • Aplikace třetích stran prostřednictvím OAuth – Povolte aplikacím třetích stran přistupovat k prostředkům v rámci vaší organizace prostřednictvím OAuth. Tato zásada je ve výchozím nastavení vypnutá pro všechny nové organizace. Pokud chcete mít přístup k aplikacím třetích stran, povolte tyto zásady, aby tyto aplikace mohly získat přístup k prostředkům v rámci vaší organizace.
  • Ověřování SSH – Umožňuje aplikacím připojit se k úložištím Git vaší organizace přes SSH.

Když odepřete přístup k metodě ověřování, nebude prostřednictvím této metody mít k vaší organizaci přístup žádná aplikace. Všechny aplikace, které dříve měly přístup, budou mít chyby ověřování a už nemají přístup k vaší organizaci.

Pokud chcete odebrat přístup pro pracovní stanice s privilegovaným přístupem, musíte je odvolat.

Zásady podmíněného přístupu

ID Microsoft Entra umožňuje tenantům definovat, kteří uživatelé mají povolený přístup k prostředkům Microsoftu prostřednictvím funkce Zásady podmíněného přístupu (CAP). Prostřednictvím těchto nastavení může správce tenanta vyžadovat, aby členové dodržovali některou z následujících podmínek, například musí:

  • být členem konkrétní skupiny zabezpečení
  • patří do určitého umístění nebo sítě.
  • používání konkrétního operačního systému
  • používání povoleného zařízení v systému pro správu

V závislosti na tom, které podmínky uživatel splňuje, můžete vyžadovat vícefaktorové ověřování nebo nastavit další kontroly pro získání přístupu nebo úplné blokování přístupu.

Podpora CAP v Azure DevOps

Pokud se přihlásíte k webovému portálu organizace založené na ID Microsoft Entra, id Microsoft Entra vždy zkontroluje, že se můžete posunout vpřed provedením ověření pro všechny certifikační autority nastavené správci tenanta.

Azure DevOps může také provést další ověření CAP, jakmile se přihlásíte a přejdete přes Azure DevOps v organizaci založené na ID Microsoftu Entra:

  • Pokud je povolená zásada "Povolit ověřování zásad podmíněného přístupu PROTOKOLU IP" , zkontrolujeme zásady přidělování IP adres na webových i neinteraktivních tocích, jako je použití patu s operacemi Gitu.
  • Zásady přihlašování se můžou vynucovat i pro paty. Použití PAT k volání Microsoft Entra ID vyžaduje, aby uživatel dodržoval všechny nastavené zásady přihlašování. Pokud například zásada přihlašování vyžaduje, aby se uživatel přihlásil každých sedm dní, musíte se přihlásit také každých sedm dní, pokud chcete dál používat PAT k odesílání žádostí na Microsoft Entra ID.
  • Pokud nechcete, aby se na Azure DevOps použily žádné certifikační autority, odeberte Azure DevOps jako prostředek pro CAP. Nebudeme vynucovat caPs v Azure DevOps podle organizace.

Zásady vícefaktorového ověřování podporujeme jenom u webových toků. V případě neinteraktivních toků, pokud nevyhovují zásadám podmíněného přístupu, nebude uživatel vyzván k vícefaktorové ověřování a místo toho bude blokovaný.

Podmínky založené na PROTOKOLU IP

Podporujeme zásady podmíněného přístupu pro ip adresy IPv4 i IPv6. Pokud zjistíte, že je vaše adresa IPv6 blokovaná, doporučujeme zkontrolovat, jestli správce tenanta nakonfiguroval certifikační autority, které vaši adresu IPv6 umožňují. Podobně může pomoct zahrnout IPv4 mapovanou adresu pro všechny výchozí IPv6 adresy ve všech podmínkách CAP.

Pokud uživatelé přistupují k přihlašovací stránce Microsoft Entra přes jinou IP adresu, než je adresa použitá pro přístup k prostředkům Azure DevOps (běžně s tunelováním VPN), zkontrolujte konfiguraci sítě VPN nebo síťovou infrastrukturu a ujistěte se, že všechny IP adresy, které používáte, jsou zahrnuté do certifikačních autorit vašeho správce tenanta.