Modifier la connexion d’application et les stratégies de sécurité pour votre organisation
Important
Azure DevOps ne prend plus en charge l’authentification d’autres informations d’identification depuis le 2 mars 2020. Si vous utilisez toujours d’autres informations d’identification, nous vous encourageons vivement à passer à une méthode d’authentification plus sécurisée (par exemple, les jetons d’accès personnels). Plus d’informations
Découvrez comment gérer les stratégies de sécurité de votre organisation qui déterminent comment les applications peuvent accéder aux services et aux ressources de votre organisation. Vous pouvez accéder à la plupart de ces stratégies dans l’organisation Paramètres.
Prérequis
Vous devez être membre du groupe Administrateurs de collection de projets. Les propriétaires d’organisation sont automatiquement membres de ce groupe.
Gérer une stratégie
Effectuez les étapes suivantes pour modifier la connexion d’application, la sécurité et les stratégies utilisateur pour votre organisation dans Azure DevOps.
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.
Sélectionnez Stratégies, puis en regard de votre stratégie, déplacez le bouton bascule vers activé ou désactivé.
Stratégies de connexion d’application
Pour accéder à votre organisation sans demander plusieurs fois des informations d’identification utilisateur, les applications utilisent souvent les méthodes d’authentification suivantes :
OAuth pour générer des jetons pour accéder aux API REST pour Azure DevOps. Toutes les API REST acceptent des jetons OAuth et il s’agit de la méthode d’intégration préférée par rapport aux jetons d’accès personnels (PAT). Les API de gestion des organisations, des profils et des PAT prennent uniquement en charge OAuth.
SSH pour générer des clés de chiffrement pour l’utilisation de Linux, macOS et Windows exécutant Git pour Windows, mais vous ne pouvez pas utiliser les gestionnaires d’informations d’identification Git ou les PAT pour l’authentification HTTPS.
PaTs pour générer des jetons pour :
- Accéder à des ressources ou activités spécifiques, telles que des builds ou des éléments de travail
- Les clients, tels que Xcode et NuGet, qui nécessitent des noms d’utilisateur et des mots de passe en tant qu’informations d’identification de base et ne prennent pas en charge les fonctionnalités de compte Microsoft Entra, telles que l’authentification multifacteur
- Accès aux API REST pour Azure DevOps
Par défaut, votre organisation autorise l’accès à toutes les méthodes d’authentification.
Vous pouvez limiter l’accès aux clés OAuth et SSH en désactivant l’accès à ces stratégies de connexion d’application :
- Application tierce via OAuth : activez les applications tierces pour accéder aux ressources de votre organisation via OAuth. Cette stratégie est désactivée par défaut pour toutes les nouvelles organisations. Si vous souhaitez accéder à des applications tierces, activez cette stratégie pour vous assurer que ces applications peuvent accéder aux ressources de votre organisation.
- Authentification SSH : permettre aux applications de se connecter aux dépôts Git de votre organisation via SSH.
Lorsque vous refusez l’accès à une méthode d’authentification, aucune application ne peut accéder à votre organisation via cette méthode. Toute application qui avait précédemment accès obtient des erreurs d’authentification et n’a plus accès à votre organisation.
Pour supprimer l’accès aux PAT, vous devez les révoquer.
Stratégies d'accès conditionnel
L’ID Microsoft Entra permet aux locataires de définir les utilisateurs autorisés à accéder aux ressources Microsoft via leur fonctionnalité de stratégie d’accès conditionnel (CAP). Par le biais de ces paramètres, l’administrateur client peut exiger que les membres adhèrent à l’une des conditions suivantes, par exemple, l’utilisateur doit :
- être membre d’un groupe de sécurité spécifique
- appartiennent à un certain emplacement et/ou réseau
- utiliser un système d’exploitation spécifique
- utiliser un appareil activé dans un système de gestion
Selon les conditions que l’utilisateur satisfait, vous pouvez ensuite exiger une authentification multifacteur ou définir d’autres case activée pour obtenir l’accès, ou bloquer complètement l’accès.
Prise en charge de CAP sur Azure DevOps
Si vous vous connectez au portail web d’une organisation associée à l’ID Microsoft Entra, l’ID Microsoft Entra est toujours case activée que vous pouvez avancer en effectuant une validation pour les fournisseurs de certification définis par les administrateurs clients.
Azure DevOps peut également effectuer une validation CAP supplémentaire une fois que vous êtes connecté et que vous accédez à Azure DevOps sur une organisation Microsoft Entra sauvegardée par ID :
- Si la stratégie d’organisation « Activer la validation de stratégie d’accès conditionnel IP » est activée, nous allons case activée stratégies d’authentification IP sur des flux web et non interactifs, telles que des flux cient tiers comme l’utilisation d’un paternel avec des opérations Git.
- Les stratégies de connexion peuvent également être appliquées pour les PAT. L’utilisation de PAT pour effectuer des appels d’ID Microsoft Entra exige que l’utilisateur adhère à toutes les stratégies de connexion définies. Par exemple, si une stratégie de connexion nécessite qu’un utilisateur se connecte tous les sept jours, vous devez également vous connecter tous les sept jours, si vous souhaitez continuer à utiliser des PAT pour effectuer des demandes à Microsoft Entra ID.
- Si vous ne souhaitez pas qu’aucune autorité de certification ne soit appliquée à Azure DevOps, supprimez Azure DevOps en tant que ressource pour le CAP. Nous ne ferons pas de mise en œuvre d’organisations par organisation des fournisseurs de certification sur Azure DevOps.
Nous prenons uniquement en charge les stratégies MFA sur les flux web. Pour les flux non interactifs, s’ils ne répondent pas à la stratégie d’accès conditionnel, l’utilisateur ne sera pas invité à entrer l’authentification multifacteur et sera bloqué à la place.
Conditions basées sur IP
Nous prenons en charge les stratégies d’accès conditionnel de délimitation IP pour les adresses IPv4 et IPv6. Si vous trouvez que votre adresse IPv6 est bloquée, nous vous recommandons d’case activée que l’administrateur du locataire a configuré des adresses CAP qui autorisent votre adresse IPv6 via. De même, il peut aider à inclure l’adresse Mappée IPv4 pour n’importe quelle adresse IPv6 par défaut dans toutes les conditions CAP.
Si les utilisateurs accèdent à la page de connexion Microsoft Entra via une adresse IP différente de celle utilisée pour accéder aux ressources Azure DevOps (communes au tunneling VPN), case activée votre configuration VPN ou votre infrastructure réseau pour vous assurer que toutes les adresses IP que vous utilisez sont incluses dans les adresses IP de votre administrateur client.
Articles connexes
- Désactiver la stratégie d’accès aux demandes
- Restreindre les utilisateurs de la création de nouvelles organisations avec la stratégie Microsoft Entra
- Empêcher les administrateurs d’équipe et de projet d’inviter de nouveaux utilisateurs
- Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ?
- Instructions détaillées et exigences relatives à l’accès conditionnel
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour