Bagikan melalui

Mengubah koneksi aplikasi & kebijakan keamanan untuk organisasi Anda

  • Artikel

Penting

Azure DevOps tidak mendukung autentikasi Kredensial Alternatif. Jika Anda masih menggunakan Kredensial Alternatif, kami sangat mendorong Anda untuk beralih ke metode autentikasi yang lebih aman.

Artikel ini memperlihatkan cara mengelola kebijakan keamanan organisasi Anda yang menentukan bagaimana aplikasi dapat mengakses layanan dan sumber daya di organisasi Anda. Anda dapat mengakses sebagian besar kebijakan ini di pengaturan Organisasi.

Prasyarat

Izin: Jadilah anggota grup Administrator Koleksi Proyek. Pemilik organisasi adalah anggota grup ini secara otomatis.

Mengelola kebijakan

Untuk mengubah koneksi aplikasi, keamanan, dan kebijakan pengguna untuk organisasi Anda, lakukan langkah-langkah berikut.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigi Pengaturan organisasi.

    Cuplikan layar tombol Pengaturan organisasi, halaman pratinjau.

  3. Pilih Kebijakan, lalu alihkan kebijakan Anda ke aktif atau nonaktif sesuai kebutuhan.

Cuplikan layar kebijakan pilih, lalu aktifkan atau Nonaktifkan.

Mengubah kebijakan koneksi aplikasi

Untuk mengizinkan akses tanpa hambatan ke organisasi Anda tanpa berulang kali meminta kredensial pengguna, aplikasi sering menggunakan metode autentikasi berikut:

  • OAuth: Menghasilkan token untuk mengakses REST API untuk Azure DevOps. Semua REST API menerima token OAuth, menjadikannya metode integrasi yang disukai daripada token akses pribadi (PATs). API Organisasi, Profil, dan MANAJEMEN PAT hanya mendukung OAuth. Anda juga dapat menggunakan token OAuth dengan ID Microsoft Entra untuk menyediakan autentikasi yang aman dan mulus bagi pengguna dalam organisasi Anda.

  • SSH: Hasilkan kunci enkripsi untuk digunakan dengan Linux, macOS, dan Windows yang menjalankan Git untuk Windows. Anda tidak dapat menggunakan pengelola kredensial Git atau PAT untuk autentikasi HTTPS dengan SSH.

  • PATS: Hasilkan token untuk:

    • Mengakses sumber daya atau aktivitas tertentu, seperti build atau item kerja.
    • Klien seperti Xcode dan NuGet yang memerlukan nama pengguna dan kata sandi sebagai kredensial dasar dan tidak mendukung akun Microsoft dan fitur Microsoft Entra, seperti autentikasi multifaktor.
    • Mengakses REST API untuk Azure DevOps.

Secara default, organisasi Anda mengizinkan akses untuk semua metode autentikasi.

Anda dapat membatasi akses untuk kunci OAuth dan SSH dengan menonaktifkan kebijakan koneksi aplikasi ini:

  • Aplikasi non-Microsoft melalui OAuth: Aktifkan aplikasi non-Microsoft untuk mengakses sumber daya di organisasi Anda melalui OAuth. Kebijakan ini default untuk nonaktif untuk semua organisasi baru. Jika Anda ingin akses ke aplikasi non-Microsoft, aktifkan kebijakan ini untuk memastikan aplikasi ini dapat mengakses sumber daya di organisasi Anda.
  • Autentikasi SSH: Mengaktifkan aplikasi untuk terhubung ke repositori Git organisasi Anda melalui SSH.

Saat Anda menolak akses ke metode autentikasi, tidak ada aplikasi yang dapat mengakses organisasi Anda melalui metode tersebut. Aplikasi apa pun yang sebelumnya memiliki akses mengalami kesalahan autentikasi dan kehilangan akses.

Untuk menghapus akses untuk PATS, cabut.

Mengubah kebijakan akses bersyarah

ID Microsoft Entra memungkinkan penyewa untuk menentukan pengguna mana yang dapat mengakses sumber daya Microsoft melalui fitur Kebijakan Akses Bersyar (CAP) mereka. Admin penyewa dapat mengatur kondisi yang harus dipenuhi pengguna untuk mendapatkan akses. Misalnya, pengguna harus:

  • Menjadi anggota grup keamanan tertentu
  • Milik lokasi dan/atau jaringan tertentu
  • Menggunakan sistem operasi tertentu
  • Menggunakan perangkat yang diaktifkan dalam sistem manajemen

Tergantung pada kondisi mana yang dipenuhi pengguna, Anda kemudian dapat memerlukan autentikasi multifaktor, mengatur pemeriksaan lebih lanjut untuk mendapatkan akses, atau memblokir akses sama sekali.

Dukungan CAP di Azure DevOps

Saat Anda masuk ke portal web organisasi yang didukung ID Microsoft Entra, ID Microsoft Entra selalu melakukan validasi untuk Kebijakan Akses Bersyarat (CAP) yang ditetapkan oleh administrator penyewa.

Azure DevOps juga dapat melakukan lebih banyak validasi CAP setelah Anda masuk dan menavigasi melalui organisasi yang didukung ID Microsoft Entra:

  • Jika kebijakan organisasi "Aktifkan Validasi kebijakan Akses Bersyar IP" diaktifkan, kami memeriksa kebijakan anggar IP pada alur web dan non-interaktif, seperti alur klien non-Microsoft seperti menggunakan PAT dengan operasi git.
  • Kebijakan masuk juga dapat diberlakukan untuk PAT. Menggunakan PAT untuk melakukan panggilan ID Microsoft Entra memerlukan kepatuhan terhadap kebijakan masuk apa pun yang ditetapkan. Misalnya, jika kebijakan masuk mengharuskan pengguna masuk setiap tujuh hari, Anda juga harus masuk setiap tujuh hari untuk terus menggunakan PAT untuk permintaan ID Microsoft Entra.
  • Jika Anda tidak ingin CAP diterapkan ke Azure DevOps, hapus Azure DevOps sebagai sumber daya untuk CAP. Kami tidak memberlakukan CAP di Azure DevOps berdasarkan organisasi demi organisasi.

Kami hanya mendukung kebijakan MFA pada alur web. Untuk alur non-interaktif, jika mereka tidak memenuhi kebijakan akses bersyarkat, pengguna tidak diminta untuk MFA dan diblokir sebagai gantinya.

Kondisi berbasis IP

Kami mendukung kebijakan akses bersyar ip (CAP) untuk alamat IPv4 dan IPv6. Jika alamat IPv6 Anda diblokir, pastikan administrator penyewa mengonfigurasi CAP untuk mengizinkan alamat IPv6 Anda. Selain itu, pertimbangkan untuk menyertakan alamat yang dipetakan IPv4 untuk alamat IPv6 default apa pun di semua kondisi CAP.

Jika pengguna mengakses halaman masuk Microsoft Entra melalui alamat IP yang berbeda dari yang digunakan untuk mengakses sumber daya Azure DevOps (umum dengan penerowongan VPN), periksa konfigurasi VPN atau infrastruktur jaringan Anda. Pastikan untuk menyertakan semua alamat IP yang digunakan dalam CAP administrator penyewa Anda.