Modificare i criteri di connessione e sicurezza delle applicazioni per l'organizzazione
Importante
Azure DevOps non supporta più l'autenticazione delle credenziali alternative dall'inizio del 2 marzo 2020. Se si usano ancora credenziali alternative, è consigliabile passare a un metodo di autenticazione più sicuro, ad esempio token di accesso personale. Altre informazioni.
Informazioni su come gestire i criteri di sicurezza dell'organizzazione che determinano come le applicazioni possono accedere a servizi e risorse nell'organizzazione. È possibile accedere alla maggior parte di questi criteri in Impostazioni organizzazione.
Prerequisiti
È necessario essere membri del gruppo Project Collection Amministrazione istrators. I proprietari dell'organizzazione sono automaticamente membri di questo gruppo.
Gestire un criterio
Completare i passaggi seguenti per modificare la connessione dell'applicazione, la sicurezza e i criteri utente per l'organizzazione in Azure DevOps.
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}).Seleziona
Impostazioni organizzazione.
Selezionare Criteri e quindi accanto al criterio, spostare l'interruttore su attivato o disattivato.
Criteri di connessione delle applicazioni
Per accedere all'organizzazione senza richiedere più volte le credenziali utente, le applicazioni usano spesso i metodi di autenticazione seguenti:
OAuth per generare token per l'accesso alle API REST per Azure DevOps. Tutte le API REST accettano token OAuth e questo è il metodo preferito per l'integrazione rispetto ai token di accesso personali (PTS). Le API di gestione di Organizzazioni, Profili e PAT supportano solo OAuth.
SSH per generare chiavi di crittografia per l'uso di Linux, macOS e Windows che eseguono Git per Windows, ma non è possibile usare gli strumenti di gestione delle credenziali Git o LET per l'autenticazione HTTPS.
TOKEN per la generazione di token per:
- Accedere a risorse o attività specifiche, ad esempio compilazioni o elementi di lavoro
- Client, come Xcode e NuGet, che richiedono nomi utente e password come credenziali di base e non supportano le funzionalità dell'account Microsoft e di Microsoft Entra, ad esempio l'autenticazione a più fattori
- Accesso alle API REST per Azure DevOps
Per impostazione predefinita, l'organizzazione consente l'accesso a tutti i metodi di autenticazione.
È possibile limitare l'accesso per le chiavi OAuth e SSH disabilitando l'accesso a questi criteri di connessione dell'applicazione:
- Applicazione di terze parti tramite OAuth: consente alle applicazioni di terze parti di accedere alle risorse dell'organizzazione tramite OAuth. Questo criterio è disattivato per impostazione predefinita per tutte le nuove organizzazioni. Se si vuole accedere ad applicazioni di terze parti, abilitare questo criterio per assicurarsi che queste app possano accedere alle risorse dell'organizzazione.
- Autenticazione SSH: consente alle applicazioni di connettersi ai repository Git dell'organizzazione tramite SSH.
Quando si nega l'accesso a un metodo di autenticazione, nessuna applicazione può accedere all'organizzazione tramite questo metodo. Qualsiasi applicazione che in precedenza aveva accesso otterrà errori di autenticazione e non avrà più accesso all'organizzazione.
Per rimuovere l'accesso per i token di accesso, è necessario revocarli.
Criteri di accesso condizionale
Microsoft Entra ID consente ai tenant di definire gli utenti autorizzati ad accedere alle risorse Microsoft tramite la funzionalità Criteri di accesso condizionale. Tramite queste impostazioni, l'amministratore del tenant può richiedere che i membri siano conformi a una delle condizioni seguenti, ad esempio l'utente deve:
- essere un membro di un gruppo di sicurezza specifico
- appartenere a una determinata posizione e/o rete
- usare un sistema operativo specifico
- usare un dispositivo abilitato in un sistema di gestione
A seconda delle condizioni soddisfatte dall'utente, è quindi possibile richiedere l'autenticazione a più fattori o impostare ulteriori controlli per ottenere l'accesso o bloccare completamente l'accesso.
Supporto cap in Azure DevOps
Se si accede al portale Web di un'organizzazione supportata da Microsoft Entra ID, Microsoft Entra ID verificherà sempre che sia possibile procedere eseguendo la convalida per eventuali CAP impostati dagli amministratori tenant.
Azure DevOps può anche eseguire una convalida aggiuntiva cap dopo aver eseguito l'accesso e spostarsi in Azure DevOps in un'organizzazione supportata da Microsoft Entra ID:
- Se i criteri dell'organizzazione "Abilita convalida dei criteri di accesso condizionale IP" sono abilitati, verranno controllati i criteri di isolamento IP nei flussi Web e non interattivi, ad esempio flussi di terze parti come l'uso di un token di accesso personale con operazioni Git.
- I criteri di accesso possono essere applicati anche per le reti PAW. L'uso di token di accesso per effettuare chiamate a MICROSOFT Entra ID richiede all'utente di rispettare i criteri di accesso impostati. Ad esempio, se un criterio di accesso richiede che un utente esemplivi l'accesso ogni sette giorni, è necessario eseguire l'accesso ogni sette giorni, se si desidera continuare a usare i token di accesso per effettuare richieste all'ID Microsoft Entra.
- Se non si vuole applicare le CAP ad Azure DevOps, rimuovere Azure DevOps come risorsa per il cap. Non verrà eseguita l'applicazione org-by-org di CAP in Azure DevOps.
Sono supportati solo i criteri MFA nei flussi Web. Per i flussi non interattivi, se non soddisfano i criteri di accesso condizionale, all'utente non verrà richiesta l'autenticazione a più fattori e verrà invece bloccato.
Condizioni basate su IP
Sono supportati i criteri di accesso condizionale ip-fencing per indirizzi IPv4 e IPv6. Se si rileva che l'indirizzo IPv6 è bloccato, è consigliabile verificare che l'amministratore tenant abbia configurato le CAP che consentono l'indirizzo IPv6. Analogamente, può essere utile includere l'indirizzo mappato IPv4 per qualsiasi indirizzo IPv6 predefinito in tutte le condizioni CAP.
Se gli utenti accedono alla pagina di accesso di Microsoft Entra tramite un indirizzo IP diverso da quello usato per accedere alle risorse di Azure DevOps (comune con il tunneling VPN), controllare la configurazione VPN o l'infrastruttura di rete per assicurarsi che tutti gli indirizzi IP in uso siano inclusi nelle CAP dell'amministratore del tenant.
Articoli correlati
- Disabilitare i criteri di accesso alle richieste
- Limitare gli utenti alla creazione di nuove organizzazioni con i criteri di Microsoft Entra
- Limitare i Amministrazione istratori team e project a invitare nuovi utenti
- Che cos'è l'accesso condizionale in Microsoft Entra ID?
- Istruzioni dettagliate e requisiti per l'accesso condizionale
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per