Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Azure DevOps unterstützt keine alternative Anmeldeinformationenauthentifizierung. Wenn Sie noch alternative Anmeldeinformationen verwenden, empfehlen wir Ihnen dringend, zu einer sichereren Authentifizierungsmethode zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Sicherheitsrichtlinien Ihrer Organisation verwalten, die bestimmen, wie Benutzer und Anwendungen auf Dienste und Ressourcen in Ihrer Organisation zugreifen können. Sie können auf die meisten dieser Richtlinien in den Organisationseinstellungen zugreifen.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen |
|
Verwalten einer Richtlinie
Führen Sie die folgenden Schritte aus, um Anwendungsverbindung, Sicherheit oder Benutzerrichtlinien für Ihre Organisation zu aktualisieren:
Melden Sie sich unter
https://dev.azure.com/{Your_Organization}bei Ihrer Organisation an.Wählen Sie
Organisationseinstellungen.
Wählen Sie "Richtlinien" aus, und schalten Sie dann die gewünschte Richtlinie ein oder aus.
Einschränken von Authentifizierungsmethoden
Um nahtlosen Zugriff auf Ihre Organisation zu ermöglichen, ohne wiederholt zur Eingabe von Benutzeranmeldeinformationen aufzufordern, können Anwendungen Authentifizierungsmethoden wie OAuth, SSH und persönliche Zugriffstoken (PERSONAL Access Token, PATs) verwenden. Standardmäßig ermöglichen alle vorhandenen Organisationen den Zugriff auf alle Authentifizierungsmethoden.
Sie können den Zugriff auf diese Authentifizierungsmethoden einschränken, indem Sie die folgenden Anwendungsverbindungsrichtlinien deaktivieren:
- Zugriff auf Drittanbieteranwendungen über OAuth: Aktivieren Sie Azure DevOps OAuth-Apps, um in Ihrer Organisation über OAuth auf Ressourcen zugreifen zu können. Diese Richtlinie ist standardmäßig für alle neuen Organisationen deaktiviert. Wenn Sie auf Azure DevOps OAuth-Apps zugreifen möchten, aktivieren Sie diese Richtlinie, um sicherzustellen, dass diese Apps auf Ressourcen in Ihrer Organisation zugreifen können. Diese Richtlinie wirkt sich nicht auf den OAuth-App-Zugriff der Microsoft Entra-ID aus.
- SSH-Authentifizierung: Ermöglichen Sie Anwendungen, eine Verbindung mit dem Git-Repository Ihrer Organisation über SSH herzustellen.
- Mandantenadministratoren können die Erstellung von globalen persönlichen Zugriffstoken einschränken, die Erstellung von vollumfänglichen persönlichen Zugriffstoken einschränken und die maximale Lebensdauer des persönlichen Zugriffstokens über Richtlinien auf Mandantenebene auf der Microsoft Entra-Einstellungsseite erzwingen. Fügen Sie Microsoft Entra-Benutzer oder -Gruppen hinzu, um sie von diesen Richtlinien ausgenommen zu machen.
- Organisationsadministratoren können die Erstellung von persönlichen Zugriffstoken in ihren jeweiligen Organisationen einschränken. Unterrichtlinien ermöglichen Administratoren die Erstellung von nur für Verpackungen bestimmten PATs oder die Erstellung von PATs mit beliebigem Gültigkeitsbereich für freigegebene Microsoft Entra-Benutzer oder -Gruppen.
Wenn Sie den Zugriff auf eine Authentifizierungsmethode verweigern, kann keine Anwendung über diese Methode auf Ihre Organisation zugreifen. Jede Anwendung, die zuvor Zugriff hatte, tritt auf Authentifizierungsfehler auf und verliert den Zugriff.
Erzwingen von Richtlinien für bedingten Zugriff
Mit der Microsoft Entra-ID können Mandantenadministratoren steuern, welche Benutzer mithilfe von Richtlinien für bedingten Zugriff auf Microsoft-Ressourcen zugreifen können. Administratoren legen bestimmte Bedingungen fest, die Benutzer erfüllen müssen, um Zugriff zu erhalten, z. B.:
- Mitgliedschaft in einer bestimmten Microsoft Entra-Sicherheitsgruppe
- Standort- oder Netzwerkanforderungen
- Verwendung eines bestimmten Betriebssystems
- Verwendung eines verwalteten und aktivierten Geräts
Basierend auf diesen Bedingungen können Sie Zugriff gewähren, mehr Überprüfungen wie die mehrstufige Authentifizierung erfordern oder den Zugriff vollständig blockieren. Erfahren Sie mehr über Richtlinien für bedingten Zugriff und wie Sie eine für Azure DevOps in der Microsoft Entra-Dokumentation einrichten.
Unterstützung der Richtlinie für bedingten Zugriff in Azure DevOps
Wenn Sie sich beim Webportal einer Microsoft Entra-ID-gesicherten Organisation anmelden, überprüft die Microsoft Entra-ID alle von Mandantenadministratoren festgelegten Richtlinien für bedingten Zugriff. Nach der Modernisierung unseres Webauthentifizierungsstapels zur Verwendung von Microsoft Entra-Token erzwingt Azure DevOps jetzt die Richtlinienüberprüfung für den bedingten Zugriff auf alle interaktiven (Web)-Flüsse.
- Erfüllen Sie Anmelderichtlinien, wenn Sie PATs für REST-API-Aufrufe verwenden, die auf Microsoft Entra basieren.
- Entfernen Sie Azure DevOps als Ressource aus der Richtlinie für bedingten Zugriff, wodurch verhindert wird, dass Richtlinien für bedingten Zugriff angewendet werden.
- Erzwingen von MFA-Richtlinien nur für Webflüsse; Blockieren des Zugriffs für nicht-interaktive Abläufe, wenn Benutzer die Richtlinien für bedingten Zugriff nicht erfüllen.
IP-basierte Bedingungen
Wenn Sie die Überprüfung der Richtlinie für den bedingten Zugriff für nicht interaktive Flüsse aktivieren, überprüft Azure DevOps IP-Fencing-Richtlinien auf nicht interaktive Flüsse, z. B. wenn Sie einen PAT verwenden, um einen REST-API-Aufruf durchzuführen.
Azure DevOps unterstützt IP-Fencing-Richtlinien für bedingten Zugriff sowohl für IPv4- als auch für IPv6-Adressen. Wenn Richtlinien für bedingten Zugriff Ihre IPv6-Adresse blockieren, bitten Sie Ihren Mandantenadministrator, die Richtlinie zu aktualisieren, um Ihre IPv6-Adresse zuzulassen. Erwägen Sie außerdem, die IPv4-zugeordnete Adresse für jede standardmäßige IPv6-Adresse in alle Richtlinienbedingungen für bedingten Zugriff einzuordnen.
Wenn Benutzer von einer anderen IP-Adresse auf die Microsoft Entra-Anmeldeseite zugreifen als die, die für den Zugriff auf Azure DevOps-Ressourcen verwendet wird (was mit VPN-Tunneling geschehen kann), überprüfen Sie Die VPN-Konfiguration oder das Netzwerksetup. Stellen Sie sicher, dass Ihr Mandantenadministrator alle relevanten IP-Adressen in den Richtlinien für bedingten Zugriff enthält.
Azure Resource Manager-Benutzergruppe und Richtlinien für bedingten Zugriff
Azure DevOps hängt nicht von der Azure Resource Manager-Ressource (https://management.azure.comARM) ab, wenn Sie sich anmelden oder Microsoft Entra-Zugriffstoken aktualisieren. Zuvor erforderte Azure DevOps die ARM-Zielgruppe während der Anmelde- und Tokenaktualisierungsflüsse. Diese Anforderung bedeutete, dass Administratoren allen Azure DevOps-Benutzern erlauben mussten, ARM-Richtlinien für bedingten Zugriff zu umgehen, um den Zugriff sicherzustellen.
Token für Azure DevOps erfordern die ARM-Zielgruppe nicht mehr. Daher können Sie Richtlinien für den bedingten Zugriff effektiver verwalten, ohne bestimmte Benutzergruppeneinstellungen für ARM zu konfigurieren. Dieser Ansatz optimiert die Authentifizierung, reduziert die Komplexität der Tokenverwaltung und ermöglicht es Ihnen, Sicherheitsrichtlinien konsistenter auf Ihre Azure-Umgebungen anzuwenden. Organisationen können sich auf umfassendere Zugriffskontrollen konzentrieren, die Compliance und den Sicherheitsstatus verbessern, ohne durch zielgruppenspezifische Konfigurationen eingeschränkt zu werden.
Hinweis
Es gibt die folgenden Ausnahmen, bei denen der fortgesetzte Zugriff auf ARM noch erforderlich ist:
- Abrechnungsadministratoren benötigen Zugriff auf ARM, um Abrechnungs- und Zugriffsabonnements einzurichten.
- Dienstverbindungsersteller benötigen Zugriff auf ARM für ARM-Rollenzuweisungen und Updates für verwaltete Dienstidentitäten (MANAGED Service Identities, MSIs).