Zjistěte, jak nakonfigurovat nastavení zabezpečení pro spravované fondy DevOps. Nastavení zabezpečení můžete nakonfigurovat dvěma způsoby:
- Při vytváření fondu pomocí karty Zabezpečení
- Po vytvoření fondu pomocí podokna nastavení zabezpečení
Ve výchozím nastavení se fondy vytvořené pomocí spravovaných fondů DevOps konfigurují pro všechny projekty v jedné organizaci. Volitelně můžete omezit přístup k určitým projektům v organizaci a můžete také udělit přístup k jiným organizacím.
Pokud nakonfigurujete fond a udělíte přístup ke všem projektům, fond se přidá do projektů, pro které máte příslušná oprávnění. Pokud nakonfigurujete fond a udělíte přístup konkrétním projektům, musíte mít oprávnění přidat fond do všech určených projektů nebo vytvoření fondu selže.
Informace o oprávněních potřebných ke konfiguraci spravovaných fondů DevOps ve vaší organizaci a projektech najdete v tématu Požadavky: Ověření oprávnění Azure DevOps.
Použití fondu s jednou organizací
Spravované fondy DevOps se ve výchozím nastavení konfigurují s jednou organizací Azure DevOps, kterou zadáte při vytváření fondu. Když je fond nakonfigurovaný pro jednu organizaci, zobrazí se název organizace a nakonfiguruje se v nastavení fondu .
Ve výchozím nastavení je nastavení Přidat fond do všech projektů nastaveno na Ano a přístup ke spravovanému fondu DevOps se uděluje všem projektům v organizaci. Pokud chcete omezit, které projekty ve vaší organizaci mohou fond používat, zvolte Ne a pak určete, které projekty by měly mít přístup.
Organizace můžete nakonfigurovat ve organizationProfile vlastnosti prostředku Spravované fondy DevOps.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"name": "fabrikam-managed-pool",
"type": "microsoft.devopsinfrastructure/pools",
"apiVersion": "2025-09-20",
"location": "eastus",
"properties": {
...
"organizationProfile": {
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"parallelism": 4
}
],
"permissionProfile": {
"kind": "CreatorOnly"
},
"kind": "AzureDevOps"
}
}
]
}
Oddíl organizationProfile má následující vlastnosti.
| Vlastnost |
Popis |
organizations |
Seznam organizací, které mohou používat váš zdroj. Vlastnost url určuje adresu URL organizace. Vlastnost projects je seznam názvů projektů, které mohou využívat pool (prázdný seznam podporuje všechny projekty v organizaci). Vlastnost parallelism určuje počet agentů, které může organizace používat. Součet paralelismu pro organizace musí odpovídat maximálnímu nastavení počtu agentů pro fond. |
permissionProfile |
Tato hodnota určuje oprávnění, která při vytváření udělíte fondu Azure DevOps. Tuto hodnotu můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts. Pokud zadáte specificAccounts, zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost. Jinak vynechejte users. Další informace najdete v tématu Oprávnění pro správu fondu. |
kind |
Tato hodnota určuje typ organizace pro fond a musí být nastavena na Azure DevOps hodnotu. |
Organizace v parametru organization-profile můžete nakonfigurovat při vytváření či aktualizaci fondu.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Následující příklad ukazuje organization-profile objekt, který je nakonfigurován pro všechny projekty v fabrikam-tailspin organizaci s hodnotou nastavenou parallelism na 1.
{
"AzureDevOps":
{
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"parallelism": 1
}
]
}
}
Oddíl organizationProfile má následující vlastnosti.
| Vlastnost |
Popis |
AzureDevOps |
Tato hodnota je název objektu definovaného v organization-profile a musí být nastaven na Azure DevOps. |
organizations |
Seznam organizací, které mohou používat váš zdroj.
openAccess Určuje, jestli spravované DevOps fondy konfigurují otevřený přístup pro fond během vytváření fondu. Vlastnost url určuje adresu URL organizace. Vlastnost projects je seznam názvů projektů, které mohou využívat pool (prázdný seznam podporuje všechny projekty v organizaci). Vlastnost parallelism určuje počet agentů, které může tato organizace používat. Součet paralelismu pro organizace musí odpovídat maximálnímu nastavení počtu agentů pro fond. |
permissionProfile |
Tato vlastnost určuje oprávnění, která při vytváření udělíte fondu Azure DevOps. Tuto hodnotu můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts. Pokud zadáte specificAccounts, zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost. Jinak vynechejte users. Další informace najdete v tématu Oprávnění pro správu fondu. |
Organizace můžete nakonfigurovat ve organizationProfile vlastnosti prostředku Spravované fondy DevOps.
resource managedDevOpsPools 'Microsoft.DevOpsInfrastructure/pools@2025-09-20' = {
name: 'fabrikam-managed-pool'
location: 'eastus'
properties: {
organizationProfile: {
organizations: [
{
url: 'https://dev.azure.com/fabrikam-tailspin'
projects: []
parallelism: 4
}
]
permissionProfile: {
kind: 'CreatorOnly'
}
kind: 'AzureDevOps'
}
}
}
Oddíl organizationProfile má následující vlastnosti.
| Vlastnost |
Popis |
organizations |
Seznam organizací, které mohou používat váš zdroj. Vlastnost url určuje adresu URL organizace. Vlastnost projects je seznam názvů projektů, které mohou využívat pool (prázdný seznam podporuje všechny projekty v organizaci). Vlastnost parallelism určuje počet agentů, které může tato organizace používat. Součet paralelismu pro organizace musí odpovídat maximálnímu nastavení počtu agentů pro fond. |
permissionProfile |
Tato vlastnost určuje oprávnění, která při vytváření udělíte fondu Azure DevOps. Tuto hodnotu můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts. Pokud specificAccounts je zadána, zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost. Jinak vynechejte users. Další informace najdete v tématu Oprávnění pro správu fondu. |
kind |
Tato hodnota určuje typ organizace pro fond a musí být nastavena na Azure DevOps hodnotu. |
Použití fondu ve více organizacích
Pokud chcete fond používat s několika organizacemi Azure DevOps, povolte použití fondu ve více organizacích. Pro každou organizaci zadejte projekty, které mají povoleno používat fond, nebo nechte toto pole prázdné, aby bylo možné povolit všechny projekty. Konfigurujte paralelismus pro každou organizaci tím, že určíte, jaké části souběžnosti, definované maximálním počtem agentů pro fond agentů, přidělíte jednotlivým organizacím. Součet paralelismu pro všechny organizace musí odpovídat maximální souběžnosti fondu. Pokud je například maximální počet agentů nastaven na pět, musí být součet paralelismu pro zadané organizace pět. Pokud je hodnota Maximální počet agentů nastavená na jednu, můžete fond použít pouze s jednou organizací.
V následujícím příkladu je fond nakonfigurovaný tak, aby byl dostupný pro projekty FabrikamResearch a FabrikamTest v organizaci fabrikam-tailspin a pro všechny projekty v organizaci fabrikam-blue.
Pokud se zobrazí chyba podobná The sum of parallelism for all organizations must equal the max concurrency, ujistěte se, že maximální počet agentů pro fond odpovídá součtu sloupce Paralelismus .
Pokud chcete fond nakonfigurovat tak, aby ho mohlo používat více organizací, přidejte do seznamu organizací další organizace. V následujícím příkladu jsou nakonfigurované dvě organizace. První organizace je nakonfigurovaná tak, aby používala spravované fondy DevOps pro všechny projekty a druhá organizace ji může používat jenom se dvěma projekty. V tomto příkladu je nastavení maximálního počtu agentů pro skupinu čtyři, a každá organizace může používat dva z těchto čtyř agentů.
"organizationProfile": {
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"parallelism": 2
},
{
"url": "https://dev.azure.com/fabrikam-prime",
"projects": [ "fabrikam-dev", "fabrikam-test" ],
"parallelism": 2
}
],
"permissionProfile": {
"kind": "CreatorOnly"
},
"kind": "AzureDevOps"
}
Organizace v parametru organization-profile můžete nakonfigurovat při vytváření či aktualizaci fondu.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Pokud chcete fond nakonfigurovat tak, aby ho mohlo používat více organizací, přidejte do seznamu organizací další organizace. V následujícím příkladu jsou nakonfigurované dvě organizace. První organizace je nakonfigurovaná tak, aby používala spravované fondy DevOps pro všechny projekty a druhá organizace ji může používat jenom se dvěma projekty. V tomto příkladu je nastavení maximálního počtu agentů pro skupinu čtyři, a každá organizace může používat dva z těchto čtyř agentů.
{
"AzureDevOps":
{
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"parallelism": 2
},
{
"url": "https://dev.azure.com/fabrikam-prime",
"projects": [ "fabrikam-dev", "fabrikam-test" ],
"parallelism": 2
}
]
}
}
Pokud chcete fond nakonfigurovat tak, aby ho mohlo používat více organizací, přidejte do seznamu organizací další organizace. V následujícím příkladu jsou nakonfigurované dvě organizace. První organizace je nakonfigurovaná tak, aby používala spravované fondy DevOps pro všechny projekty a druhá organizace ji může používat jenom se dvěma projekty. V tomto příkladu je nastavení maximálního počtu agentů pro skupinu čtyři, a každá organizace může používat dva z těchto čtyř agentů.
organizationProfile: {
organizations: [
{
url: 'https://dev.azure.com/fabrikam-tailspin'
projects: []
parallelism: 2
}
{
url: 'https://dev.azure.com/fabrikam-prime'
projects: ['fabrikam-dev', 'fabrikam-test']
parallelism: 2
}
]
permissionProfile: {
kind: 'CreatorOnly'
}
kind: 'AzureDevOps'
}
Pokud chcete nakonfigurovat otevřený přístup pro kanály, musíte mít kromě oprávnění popsaných v požadavcích následující oprávnění: Ověřte oprávnění Azure DevOps:
Ve výchozím nastavení musíte explicitně autorizovat každou definici pipeline, aby běžela ve fondu agentů s vlastním hostováním (jako je fond vytvořený pomocí spravovaných DevOps fondů), než se poprvé spustí v daném fondu.
Azure DevOps poskytuje následující režimy pro autorizaci spuštění kanálů ve fondu agentů.
-
Autorizace konkrétních procesů (výchozí): Individuálně autorizujte konkrétní procesy z projektu Azure DevOps ke spuštění ve fondu.
-
Otevřený přístup: Nakonfigurujte fond agentů na úrovni projektu, aby byl dostupný pro všechny kanály v daném projektu.
Povolte Allow all pipelines to run on the pool without an approval (open access) pro konfiguraci nastavení fondu agenta Open Access v Azure DevOps při vytváření fondu.
Nastavení Povolit spuštění všech kanálů ve fondu bez schválení (otevřeného přístupu) ve spravovaných fondech DevOps můžete nakonfigurovat pouze při vytváření fondu. Po vytvoření fondu můžete zobrazit a nakonfigurovat otevřený přístup pro odpovídající fond agentů v Azure DevOps pro každý projekt, který fond používá.
Pokud chcete nakonfigurovat přístup k fondu ze všech potrubí v určených projektech, povolte povolit spuštění všech potrubí ve fondu bez schválení (otevřený přístup).
- Pokud je možnost Přidat fond do všech projektů nastavená na Ano, spravované fondy DevOps nakonfigurují otevřený přístup pro všechny kanály ve všech projektech.
- Pokud je možnost Přidat fond do všech projektů nastavená na Ne, spravované fondy DevOps konfigurují otevřený přístup pro všechny kanály pouze v uvedených projektech.
Pokud povolíte možnost Použít fond ve více organizacích, můžete zadat otevřený přístup jednotlivě pro každou organizaci.
Poznámka:
Nastavení Otevřít přístup je k dispozici, když používáte api-version 2025-01-21 a vyšší.
Organizace můžete nakonfigurovat ve organizationProfile vlastnosti prostředku Spravované fondy DevOps. Následující příklad má nakonfigurované dvě organizace:
- Organizace
fabrikam-tailspin je nakonfigurována s otevřeným přístupem na všech projektech.
- Organizace
fabrikam-prime je nakonfigurována pro dostupnost se dvěma projekty, přičemž otevřený přístup je povolen pouze u těchto dvou projektů.
"organizationProfile": {
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"openAccess": true,
"parallelism": 2
},
{
"url": "https://dev.azure.com/fabrikam-prime",
"projects": [ "fabrikam-dev", "fabrikam-test" ],
"openAccess": true,
"parallelism": 2
}
],
"permissionProfile": {
"kind": "CreatorOnly"
},
"kind": "AzureDevOps"
}
Open Access můžete nakonfigurovat jen při vytváření fondu. Pokud chcete změnit nastavení otevřít přístup po vytvoření fondu (včetně přidání nebo odebrání projektů z konfigurace spravovaných fondů DevOps), musíte ručně nakonfigurovat přístup Open pro odpovídající fond agentů v Azure DevOps pro každý projekt, který fond používá.
Můžete nakonfigurovat nastavení openAccess v parametru organization-profile při vytváření fondu.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
orgaization-profile Následující příklad má nakonfigurované dvě organizace:
- Organizace
fabrikam-tailspin je nakonfigurována s otevřeným přístupem na všech projektech.
- Organizace
fabrikam-prime je nakonfigurována pro dostupnost se dvěma projekty, přičemž otevřený přístup je povolen pouze u těchto dvou projektů.
{
"AzureDevOps":
{
"organizations": [
{
"url": "https://dev.azure.com/fabrikam-tailspin",
"projects": [],
"parallelism": 2
},
{
"url": "https://dev.azure.com/fabrikam-prime",
"projects": [ "fabrikam-dev", "fabrikam-test" ],
"parallelism": 2
}
]
}
}
Open Access můžete nakonfigurovat jen při vytváření fondu. Pokud chcete změnit nastavení Open access po vytvoření fondu (včetně přidání nebo odebrání projektů z konfigurace spravovaných fondů DevOps), musíte ručně nakonfigurovat Open access na odpovídajícím fondu agentů v Azure DevOps pro každý projekt využívající tento fond.
Poznámka:
Nastavení otevřeného přístupu je k dispozici při použití a api-version 2025-01-21 vyšší.
Organizace můžete nakonfigurovat ve organizationProfile vlastnosti prostředku Spravované fondy DevOps. Následující příklad má nakonfigurované dvě organizace:
- Organizace
fabrikam-tailspin je nakonfigurována s otevřeným přístupem na všech projektech.
- Organizace
fabrikam-prime je nakonfigurována pro dostupnost se dvěma projekty, přičemž otevřený přístup je povolen pouze u těchto dvou projektů.
organizationProfile: {
organizations: [
{
url: 'https://dev.azure.com/fabrikam-tailspin'
projects: []
openAccess: true
parallelism: 2
}
{
url: 'https://dev.azure.com/fabrikam-prime'
projects: ['fabrikam-dev', 'fabrikam-test']
openAccess: true
parallelism: 2
}
]
permissionProfile: {
kind: 'CreatorOnly'
}
kind: 'AzureDevOps'
}
Open Access můžete nakonfigurovat jen při vytváření fondu. Pokud chcete změnit nastavení otevřít přístup po vytvoření fondu (včetně přidání nebo odebrání projektů z konfigurace spravovaných fondů DevOps), musíte ručně nakonfigurovat přístup Open pro odpovídající fond agentů v Azure DevOps pro každý projekt, který fond používá.
Pokud se pokusíte spustit kanál, který nemá oprávnění pro přístup k vašemu fondu agentů, zobrazí se chyba typu Tento kanál potřebuje oprávnění pro přístup k prostředku, aby mohl pokračovat. Tento problém můžete vyřešit konfigurací otevřeného přístupu, jak je popsáno v předchozí části, nebo explicitním autorizací kanálu pro spuštění ve fondu agentů.
Pokud vaše testy potřebují interaktivní přihlášení pro testování uživatelského rozhraní, povolte interaktivní přihlašování povolením nastavení EnableInteractiveMode .
Interaktivní režim můžete nakonfigurovat v osProfile části fabricProfile vlastnosti. Nastavte logonType na Interactive povolení interaktivního režimu nebo Service zakázat interaktivní režim.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"name": "fabrikam-managed-pool",
"type": "microsoft.devopsinfrastructure/pools",
"apiVersion": "2025-09-20",
"location": "eastus",
"properties": {
...
"fabricProfile": {
"sku": {...},
"images": [...],
"osProfile": {
"secretsManagementSettings": {...},
"logonType": "Interactive"
},
"storageProfile": {...},
"kind": "Vmss"
}
}
]
}
Interaktivní režim můžete nakonfigurovat pomocí logonType vlastnosti v oddílu osProfile v parametru fabric-profile při vytváření nebo aktualizaci fondu.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
Následující příklad ukazuje osProfile část souborufabric-profile.json s povoleným režimem Interactive .
{
"vmss": {
"sku": {...},
"images": [...],
"osProfile": {
"secretsManagementSettings": {...},
"logonType": "Interactive"
},
"storageProfile": {...}
}
}
Interaktivní režim je nakonfigurován v osProfile části fabricProfile vlastnosti. Nastavte logonType na Interactive povolení interaktivního režimu nebo Service zakázat interaktivní režim.
resource managedDevOpsPools 'Microsoft.DevOpsInfrastructure/pools@2025-09-20' = {
name: 'fabrikam-managed-pool'
location: 'eastus'
properties: {
fabricProfile: {
sku: {...}
images: [...]
osProfile: {
secretsManagementSettings: {...}
logonType: 'Interactive'
}
storageProfile: {...}
kind: 'Vmss'
}
}
}
V rámci procesu vytváření spravovaného fondu DevOps se vytvoří fond agentů na úrovni organizace Azure DevOps a v každém určeném projektu se vytvoří fond agentů na úrovni projektu. Nastavení oprávnění pro správu fondu určuje, kteří uživatelé mají oprávnění správce k nově vytvořeným fondům agentů v Azure DevOps. Pokud chcete zobrazit a spravovat oprávnění fondu agentů Azure DevOps po vytvoření spravovaného fondu DevOps, přečtěte si téma Vytvoření a správa fondů agentů: Zabezpečení fondů agentů.
-
Pouze autor: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Vypnuto . Výchozí nastavení je jenom tvůrce.
-
Dědit oprávnění z projektu: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Zapnuto .
-
Konkrétní účty: Pomocí tohoto nastavení můžete určit účty, které chcete přidat jako správce fondu agentů v Azure DevOps. Ve výchozím nastavení je tvůrce fondu zahrnut.
Nastavení oprávnění pro správu fondu můžete nakonfigurovat na kartě Zabezpečení při vytváření fondu. Po vytvoření fondu se v nastavení zabezpečení nezobrazí. Pokud chcete zobrazit a spravovat oprávnění fondu agentů Azure DevOps po vytvoření fondu, přečtěte si téma Vytvoření a správa fondů agentů – Zabezpečení fondů agentů.
Konfiguraci oprávnění pro správu fondu můžete provést ve vlastnosti permissionsProfile v oddílu organizationProfile prostředku Spravované fondy DevOps.
{
"organizationProfile": {
"organizations": [...],
"permissionProfile": {
"kind": "CreatorOnly"
},
"kind": "AzureDevOps"
}
Vlastnost permissionProfile můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts.
-
CreatorOnly: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Vypnuto . Výchozí nastavení je jenom tvůrce.
-
Inherit: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Zapnuto .
-
SpecificAccounts: Toto nastavení můžete použít k určení účtů, které chcete přidat jako správce fondu agentů v Azure DevOps. Ve výchozím nastavení je tvůrce fondu zahrnut.
"organizationProfile": {
"organizations": [...],
"permissionProfile": {
"kind": "SpecificAccounts",
"users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
},
"kind": "AzureDevOps"
}
Při organization-profile fondu můžete nakonfigurovat oprávnění pro správu fondu v parametru.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
{
"AzureDevOps":
{
"organizations": [...],
"permissionProfile": {
"kind": "CreatorOnly"
}
}
}
Vlastnost permissionProfile můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts.
-
CreatorOnly: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Vypnuto . Výchozí nastavení je jenom tvůrce.
-
Inherit: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Zapnuto .
-
SpecificAccounts: Toto nastavení můžete použít k určení účtů, které chcete přidat jako správce fondu agentů v Azure DevOps. Ve výchozím nastavení je tvůrce fondu zahrnut. Zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost. Jinak vynechejte users.
{
"AzureDevOps" : {
"organizationProfile": {
"organizations": [...],
"permissionProfile": {
"kind": "SpecificAccounts",
"users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
}
}
}
}
Konfiguraci oprávnění pro správu fondu můžete provést ve vlastnosti permissionsProfile v oddílu organizationProfile prostředku Spravované fondy DevOps.
organizationProfile: {
organizations: [...]
permissionProfile: {
kind: 'CreatorOnly'
}
kind: 'AzureDevOps'
}
Vlastnost permissionProfile můžete nastavit pouze při vytváření fondu. Povolené hodnoty jsou Inherit, CreatorOnlya SpecificAccounts.
-
CreatorOnly: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Vypnuto . Výchozí nastavení je jenom tvůrce.
-
Inherit: Toto nastavení přidá uživatele, který vytvořil spravovaný fond DevOps jako správce fondu agentů Azure DevOps, a v nastavení zabezpečení fondu agentů nastaví dědičnost na Zapnuto .
-
SpecificAccounts: Toto nastavení můžete použít k určení účtů, které chcete přidat jako správce fondu agentů v Azure DevOps. Ve výchozím nastavení je tvůrce fondu zahrnut. Zadejte jednu e-mailovou adresu nebo seznam e-mailových adres pro users vlastnost. Jinak vynechejte users.
organizationProfile: {
organizations: [...]
permissionProfile: {
kind: 'SpecificAccounts'
users: ['User1@fabrikam.com', 'User2@fabrikam.com']
}
kind: 'AzureDevOps'
}
Spravované fondy DevOps nabízejí možnost načítat certifikáty z trezoru klíčů Azure během zřizování. Certifikáty už na stroji existují v době, kdy spouští vaše procesy.
Pokud chcete tuto funkci použít, musíte:
Nakonfigurujte identitu na vašem fondu. Musíte udělit této identitě Key Vault Secrets User oprávnění k načtení tajemství z vašeho trezoru klíčů. Pokud chcete přiřadit svou identitu k roli uživatele tajných kódů služby Key Vault , přečtěte si téma Poskytnutí přístupu k klíčům trezoru klíčů, certifikátům a tajným kódům pomocí řízení přístupu na základě role v Azure.
Objekt zabezpečení, který konfiguruje nastavení integrace trezoru klíčů (váš účet, pokud konfigurujete nastavení trezoru klíčů), musí mít v trezoru klíčů, kde jsou certifikáty uložené, přiřazenu roli uživatele certifikátu služby Key Vault.
Pokud chcete vynutit izolaci sítě pro instanci služby Azure Key Vault tak, aby povolovat přístup pouze k autorizovaným prostředkům, musíte do seznamu povolených služby Azure Key Vault přidat následující IP adresy. Následující rozsahy IP adres jsou ve značce služby Azure s názvem DevOpsInfrastructure.
| Umístění |
Rozsah IP adres |
| australiaeast |
4.198.194.192/28 |
| Brazíliesouth |
74.163.143.32/28 |
| kanadacentral |
130.107.66.0/28 |
| centralindia |
98.70.255.112/28 |
| centralus |
72.152.33.16/28 |
| eastus2 |
72.153.21.192/28 |
| germanywestcentral |
131.189.121.128/28 |
| northeurope |
72.145.24.48/28 |
| jihovýchodní Asie |
135.171.33.48/28 |
| switzerlandnorth |
74.161.82.192/28 |
| uksouth |
131.145.107.64/28 |
| westus3 |
57.154.125.208/28 |
Poznámka:
api-version 2025-01-21Pokud tuto funkci používáte, můžete v rámci fondu použít pouze jednu identitu.
K načtení tajných kódů z trezoru klíčů můžete použít jenom jednu identitu.
Nastavení certifikátů spravovaných fondů DevOps nastavíte na úrovni fondu a některá nastavení jsou specifická pro Windows nebo Linux. Pokud váš pracovní postup vyžaduje image Linuxu i Windows, možná je budete muset rozdělit do více fondů, pokud nemůžete najít společnou sadu nastavení certifikátů, která fungují pro Windows i Linux.
Následující nastavení nakonfiguruje certifikáty načtené z trezoru klíčů:
-
Certifikáty (
observedCertificates): Toto nastavení určuje certifikáty, které se mají načíst z trezoru klíčů a nainstalovat na všechny počítače ve fondu.
-
Umístění úložiště certifikátů (
certificateStoreLocation): Toto nastavení určuje umístění pro instalaci certifikátů do vašeho agenta.
-
Agenti systému Windows: Zadejte
LocalMachine nebo CurrentUser.
-
Agenti Linuxu: Nastavení umístění úložiště certifikátů je podporováno pouze v distribucích Ubuntu. Zadejte cestu k disku pro uložení certifikátů (například
/var/lib/waagent/Microsoft.Azure.KeyVault/app1).
Pokud u distribucí Ubuntu zadáte umístění důvěryhodného úložiště (například /usr/local/share/ca-certificates), certifikát se do úložiště certifikátů přidá jako kořen. Další informace najdete v tématu Instalace kořenového certifikátu certifikační autority v úložišti důvěryhodnosti.
-
Název úložiště certifikátů (
certificateStoreName)
-
Agenti systému Windows: Toto nastavení určuje název úložiště certifikátů. Je to buď
My (místní úložiště certifikátů, což je výchozí nastavení, pokud není zadán žádný název) nebo Root (důvěryhodné kořenové umístění).
-
Agenti Pro Linux: Toto nastavení se nepoužívá v agentech Linuxu.
-
Exportovatelné privátní klíče (
keyExportable): Toto nastavení určuje, jestli je možné exportovat klíč certifikátů. Výchozí hodnota je false.
Integraci trezoru klíčů můžete nakonfigurovat v nastavení>Zabezpečení.
Nastavení integrace trezoru klíčů můžete nakonfigurovat až po vytvoření fondu. Při vytváření fondu nemůžete konfigurovat nastavení integrace trezoru klíčů. Na kartě Zabezpečení se při vytváření fondu nezobrazují.
Službu Azure Key Vault můžete nakonfigurovat v osProfile části fabricProfile vlastnosti. Nastavte secretManagementSettings , aby měl přístup k požadovanému certifikátu.
Poznámka:
Vlastnost osProfile.certificateStoreName je k dispozici pouze v apiVersion 2025-01-21 a novějších verzích.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"name": "fabrikam-managed-pool",
"type": "microsoft.devopsinfrastructure/pools",
"apiVersion": "2025-09-20",
"location": "eastus",
"properties": {
...
"fabricProfile": {
"sku": {...},
"images": [...],
"osProfile": {
"secretsManagementSettings": {
"certificateStoreLocation": "LocalMachine",
"certificateStoreName": "Root",
"observedCertificates": [
"https://<keyvault-uri>/secrets/<certificate-name>"
],
"keyExportable": false
}
},
"storageProfile": {...},
"kind": "Vmss"
}
}
]
}
Azure Key Vault můžete nakonfigurovat v osProfile části fabricProfile vlastnosti při vytváření nebo aktualizaci fondu. Nastavte secretManagementSettings tak, aby měl přístup k požadovanému certifikátu.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
Následující příklad ukazuje osProfile část souboru fabric-profile.json s nakonfigurovaným secretsManagementSettings.
{
"vmss": {
"sku": {...},
"images": [...],
"osProfile": {
"secretsManagementSettings": {
"certificateStoreLocation": "LocalMachine",
"observedCertificates": [
"https://<keyvault-uri>/secrets/<certificate-name>"
],
"keyExportable": false
},
"logonType": "Interactive"
},
"storageProfile": {...}
}
}
Službu Azure Key Vault můžete nakonfigurovat v osProfile části fabricProfile vlastnosti. Nastavte secretManagementSettings , aby měl přístup k požadovanému certifikátu.
Poznámka:
Vlastnost osProfile.certificateStoreName je k dispozici pouze v apiVersion 2025-01-21 a novějších verzích.
resource managedDevOpsPools 'Microsoft.DevOpsInfrastructure/pools@2025-09-20' = {
name: 'fabrikam-managed-pool'
location: 'eastus'
properties: {
fabricProfile: {
sku: {...}
images: [...]
osProfile: {
secretsManagementSettings: {
certificateStoreLocation: 'LocalMachine'
certificateStoreName: 'Root'
observedCertificates: 'https://<keyvault-uri>/secrets/<certificate-name>'
keyExportable: false
}
}
kind: 'Vmss'
}
}
}
Certifikáty, které se načítají z fondu SecretManagementSettings, se automaticky synchronizují s nejnovějšími verzemi, které jsou publikovány v trezoru klíčů. Tyto tajné údaje jsou na počítači v době, kdy spouští svůj první pipeline, což znamená, že můžete ušetřit čas a odstranit úlohy spojené se získáváním certifikátů.
Důležité
Zřízení virtuálních počítačů agenta selže, pokud se tajný klíč nedá načíst z trezoru klíčů kvůli oprávněním nebo problému se sítí.
Pro Windows můžete nastavit umístění úložiště certifikátů na LocalMachine nebo CurrentUser. Toto nastavení zajistí, že se tajný klíč nainstaluje v tomto umístění na počítači. Konkrétní chování fungování načítání tajných kódů najdete v rozšíření Azure Key Vault pro Windows.
Související obsah
