Alkalmazáskapcsolati & biztonsági szabályzatok módosítása a szervezet számára

Fontos

Az Azure DevOps nem támogatja az alternatív hitelesítő adatok hitelesítését. Ha továbbra is alternatív hitelesítő adatokat használ, határozottan javasoljuk, hogy váltson biztonságosabb hitelesítési módszerre.

Ez a cikk bemutatja, hogyan kezelheti a szervezet biztonsági szabályzatait, amelyek meghatározzák, hogy a felhasználók és alkalmazások hogyan férhetnek hozzá a szervezet szolgáltatásaihoz és erőforrásaihoz. A legtöbb szabályzatot a Szervezeti beállításokban érheti el.

Előfeltételek

Kategória	Követelmények
Jogosultságok	Szervezeti szintű szabályzatok: Projektgyűjtemény-rendszergazda Bérlőszintű szabályzatok: Azure DevOps-rendszergazda

Szabályzat kezelése

A szervezet alkalmazáskapcsolati, biztonsági vagy felhasználói házirendjeinek frissítéséhez kövesse az alábbi lépéseket:

1. Sign in to your organization at https://dev.azure.com/{Your_Organization}

2. Válassza a Szervezeti beállítások lehetőséget.

   

3. Válassza a Szabályzatok lehetőséget, majd kapcsolja ki vagy be a kívánt szabályzatot.

   

Hitelesítési módszerek korlátozása

Annak érdekében, hogy a felhasználók hitelesítő adatainak ismételt kérése nélkül zökkenőmentes hozzáférést biztosíthasson a szervezethez, az alkalmazások használhatnak hitelesítési módszereket, például OAuth, SSH és személyes hozzáférési jogkivonatokat (PAT-okat). Alapértelmezés szerint minden meglévő szervezet engedélyezi az összes hitelesítési módszer elérését.

Az alábbi alkalmazáskapcsolati szabályzatok letiltásával korlátozhatja a hitelesítési módszerekhez való hozzáférést:

• külső alkalmazáshozzáférés OAuth-keresztül: Engedélyezze az Azure DevOps OAuth-alkalmazások számára, hogy oAuth-on keresztül férhessenek hozzá a szervezet erőforrásaihoz. Ez a szabályzat alapértelmezés szerint ki van kapcsolva az összes új szervezet esetében. Ha hozzá szeretne férni Azure DevOps OAuth-alkalmazásokhoz, engedélyezze ezt a szabályzatot, hogy ezek az alkalmazások hozzáférhessenek a szervezet erőforrásaihoz. Ez a szabályzat nem befolyásolja a Microsoft Entra ID OAuth-alkalmazáshozzáférést.
• SSH-hitelesítés: Lehetővé teszi az alkalmazások számára, hogy SSH-val csatlakozzanak a szervezet Git-adattáraihoz.
• A bérlői rendszergazdák korlátozhatják a globális személyes hozzáférési jogkivonatok létrehozását, korlátozhatják a teljes hatókörű személyes hozzáférési jogkivonat létrehozását, és a Microsoft Entra beállítások lapján bérlőszintű szabályzatok használatával maximális személyes hozzáférési jogkivonat-élettartamot kényszeríthetnek ki. Vegye fel a Microsoft Entra-felhasználókat vagy -csoportokat, hogy kivételt képezhessenek ezek alól a szabályzatok alól.
• A szervezeti rendszergazdák korlátozhatják a személyes hozzáférési jogkivonatok létrehozását a saját szervezetükben. Az alpolitikák lehetővé teszik a rendszergazdák számára, hogy engedélyezzék a kizárólag csomagolásra szolgáló PAT-k vagy bármilyen hatókörű PAT-k létrehozását az engedélyezett Microsoft Entra-felhasználók vagy -csoportok számára.

Ha megtagadja a hozzáférést egy hitelesítési módszerhez, egyetlen alkalmazás sem férhet hozzá a szervezethez ezen a módszeren keresztül. A korábban hozzáféréssel rendelkező alkalmazások hitelesítési hibákba ütköznek, és elveszítik a hozzáférést.

Feltételes hozzáférési szabályzat támogatása az Azure DevOpsban

Az Azure DevOps feltételes hozzáférése (CA) a Microsoft Entra-azonosítón keresztül van kényszerítve, és támogatja az interaktív (webes) és a nem interaktív (ügyfél-hitelesítő adatok) folyamatokat, a szabályzatok (például MFA, IP-korlátozások és eszközmegfelelőség) érvényesítését a bejelentkezés során, valamint a jogkivonat-ellenőrzések révén rendszeres időközönként.

SSH-kulcsszabályzatok

SSH-hitelesítés

Az SSH hitelesítési házirendje szabályozza, hogy egy szervezet engedélyezi-e az SSH-kulcsok használatát.

SSH-kulcs lejáratának ellenőrzése

A lejárt SSH-kulcs miatti hozzáférés elvesztésének elkerülése érdekében hozzon létre és töltsön fel egy új kulcsot, mielőtt az aktuális lejár. A rendszer 7 nappal a lejárat előtt és a lejárat után is automatikus értesítéseket küld, hogy ön továbbra is előrébb járhasson. További információ : 1. lépés: SSH-kulcsok létrehozása.

Az SSH-kulcs lejárati szabályzatának érvényesítése alapértelmezés szerint engedélyezve van. Ha aktív, kényszeríti a lejárati dátumot – a lejárt kulcsok azonnal érvénytelenné válnak.

Ha letiltja a szabályzatot, a rendszer már nem ellenőrzi a lejárati dátumokat, és a lejárt kulcsok továbbra is használhatóak maradnak.

Szabályzatok szint szerint

Policy	Szervezeti szintű	Bérlői szint
Külső alkalmazáshozzáférés az OAuthon keresztül	✅
SSH-hitelesítés	✅
SSH-kulcs lejáratának ellenőrzése	✅
Naplónaplózási események	✅
Személyes hozzáférési jogkivonat létrehozásának korlátozása	✅
Nyilvános projektek engedélyezése	✅
További védelem a nyilvános csomagregisztrációs adatbázisok használatakor	✅
IP feltételes hozzáférési szabályzat érvényesítésének engedélyezése nem interaktív folyamatokon	✅
Külső vendéghozzáférés	✅
Új felhasználók meghívásának engedélyezése a csapat- és projektgazdák számára	✅
A hozzáférés kérése lehetővé teszi, hogy a felhasználók hozzáférést kérjenek a szervezethez egy megadott belső URL-címmel	✅
Visszajelzések gyűjtésének engedélyezése a Microsoftnak a felhasználóktól	✅
Szervezet létrehozásának korlátozása		✅
Globális személyes hozzáférési jogkivonat létrehozásának korlátozása		✅
Teljes hatókörű személyes hozzáférési jogkivonat létrehozásának korlátozása		✅
Személyes hozzáférési jogkivonat maximális élettartamának kényszerítése		✅