Změna zásad připojení aplikací a zabezpečení pro vaši organizaci

Důležité

Azure DevOps nepodporuje ověřování alternativních přihlašovacích údajů. Pokud stále používáte alternativní přihlašovací údaje, přepněte na bezpečnější metodu ověřování.

Důležité

Veřejné projekty v Azure DevOps jsou vyřazeny. Od roku 2027 se stávající veřejné projekty převedou na soukromé. Další informace najdete v tématu Vyřazení veřejných projektů a Migrace z veřejného projektu do GitHub.

Tento článek ukazuje, jak spravovat zásady zabezpečení vaší organizace, které určují, jak uživatelé a aplikace mají přístup ke službám a prostředkům ve vaší organizaci. K většině těchto zásad se dostanete v nastavení organizace.

Požadavky

Kategorie	Požadavky
Oprávnění	Zásady na úrovni organizace: Správce kolekce projektů Zásady na úrovni tenanta: Správce Azure DevOps

Správa zásad

Pokud chcete aktualizovat zásady připojení, zabezpečení nebo uživatele aplikace pro vaši organizaci, postupujte takto:

1. Přihlaste se k vaší organizaci na adrese https://dev.azure.com/{Your_Organization}.

2. Vyberte nastavení organizace.

   

3. Vyberte Zásady a pak zapněte nebovypněte požadovanou zásadu.

   

Omezení metod ověřování

Aby aplikace mohly umožnit bezproblémový přístup k vaší organizaci bez opakovaných výzev k zadání uživatelských přihlašovacích údajů, mohou používat metody ověřování jako je OAuth, SSH a osobní přístupové tokeny (PATs). Ve výchozím nastavení všechny existující organizace povolují přístup pro všechny metody ověřování.

Přístup k těmto metodám ověřování můžete omezit zakázáním následujících zásad připojení aplikací:

• Přístup k aplikacím třetích stran prostřednictvím OAuth: Povolit aplikacím Azure DevOps OAuth přístup k prostředkům ve vaší organizaci prostřednictvím OAuth. Tato zásada je ve výchozím nastavení vypnutá pro všechny nové organizace. Pokud chcete získat přístup k aplikacím Azure DevOps OAuth, povolte tuto zásadu, abyste zajistili, že tyto aplikace budou mít přístup k prostředkům ve vaší organizaci. Tato zásada nemá vliv na přístup k aplikaci Microsoft Entra ID OAuth.
• Ověřování SSH: Povolte aplikacím připojení k úložištím Git vaší organizace přes SSH.
• Správci tenantů můžou omezit vytváření globálního osobního přístupového tokenu, omezit vytváření osobních přístupových tokenů s úplným rozsahem a vynutit maximální dobu platnosti osobních přístupových tokenů prostřednictvím zásad na úrovni tenantů na stránce nastavení Microsoft Entra. Přidejte uživatele nebo skupiny Microsoft Entra, abyste je z těchto zásad vyloučili.
• Správci organizace můžou v příslušných organizacích omezit vytváření osobních přístupových tokenů. Podpolitiky umožňují správcům povolit vytváření osobních přístupových tokenů určených pouze pro balení nebo vytváření osobních přístupových tokenů s libovolným rozsahem pro schválené uživatele nebo skupiny Microsoft Entra.

Když odepřete přístup k metodě ověřování, žádná aplikace nebude mít prostřednictvím této metody přístup k vaší organizaci. U jakékoli aplikace, která dříve měla přístup, dochází k chybám ověřování a ke ztrátě přístupu.

Podpora zásad podmíněného přístupu v Azure DevOps

Conditional Access (CA) v Azure DevOps se vynucuje prostřednictvím Microsoft Entra ID a podporuje interaktivní i neinteraktivní toky (přihlašovací údaje klienta), ověřování zásad, jako jsou MFA, omezení IP adres a dodržování předpisů zařízením během přihlašování a pravidelné kontroly tokenů.

Zásady klíčů SSH

Ověřování SSH

Zásady ověřování SSH řídí, jestli organizace umožňuje používat klíče SSH.

Ověření vypršení platnosti klíče SSH

Pokud se chcete vyhnout ztrátě přístupu z důvodu vypršení platnosti klíče SSH, vytvořte a nahrajte nový klíč před vypršením platnosti aktuálního klíče. Systém odesílá automatizovaná oznámení 7 dní před vypršením platnosti a znovu po vypršení platnosti , aby vám pomohl zůstat v předstihu. Další informace najdete v kroku 1: Vytvoření klíčů SSH.

Ve výchozím nastavení je povolená zásada ověření vypršení platnosti klíče SSH . Když je aktivní, vynutí datum vypršení platnosti – klíče s vypršenou platností se okamžitě stanou neplatnými.

Pokud zásadu zakážete, systém už nekontroluje data vypršení platnosti a klíče s vypršenou platností zůstanou použitelné.

Zásady podle úrovně

Policy	Úroveň organizace	Úroveň tenanta
Přístup k aplikacím třetích stran prostřednictvím OAuth	✅
Ověřování SSH	✅
Ověření vypršení platnosti klíče SSH	✅
Protokolování událostí auditu	✅
Omezit vytváření tokenů osobního přístupu	✅
Povolit veřejné projekty	✅
Další ochrana při používání veřejných registrů balíčků	✅
Povolení ověřování zásad podmíněného přístupu IP u neinteraktivních toků	✅
Externí přístup hosta	✅
Povolit správcům týmů a projektů pozvat nové uživatele	✅
Žádost o přístup umožňuje uživatelům požádat o přístup k organizaci s poskytnutou interní adresou URL.	✅
Povolit Microsoftu shromažďovat zpětnou vazbu od uživatelů	✅
Omezení vytváření organizace		✅
Omezit globální tvorbu osobních přístupových tokenů		✅
Zákaz vytváření osobních přístupových tokenů s úplným oborem		✅
Vynutit maximální životnost osobního přístupového tokenu		✅