조직의 애플리케이션 연결 및 보안 정책 변경

Important

Azure DevOps는 2020년 3월 2일부터 더 이상 대체 자격 증명 인증을 지원하지 않습니다. 대체 자격 증명을 계속 사용하는 경우 보다 안전한 인증 방법(예: 개인 액세스 토큰)으로 전환하는 것이 좋습니다. 자세히 알아보기.

애플리케이션이 조직의 서비스 및 리소스에 액세스하는 방법을 결정하는 조직의 보안 정책을 관리하는 방법을 알아봅니다. 조직 설정 이러한 정책 대부분에 액세스할 수 있습니다.

필수 조건

Project Collection 관리istrators 그룹의 구성원이어야 합니다. 조직 소유자는 자동으로 이 그룹의 구성원입니다.

정책 관리

다음 단계를 완료하여 Azure DevOps에서 조직의 애플리케이션 연결, 보안 및 사용자 정책을 변경합니다.

1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

2. 조직 설정을 선택합니다.

   

3. 정책을 선택한 다음 정책 옆에 있는 토글을 켜거나 끕니다.

애플리케이션 연결 정책

사용자 자격 증명을 여러 번 요청하지 않고 조직에 액세스하기 위해 애플리케이션은 종종 다음 인증 방법을 사용합니다.

• Azure DevOps용 REST API에 액세스하기 위한 토큰을 생성하는 OAuth입니다. 모든 REST API는 OAuth 토큰을 허용하며 이는 개인용 액세스 토큰(PAT)을 통해 통합하는 기본 방법입니다. 조직, 프로필 및 PAT 관리 API는 OAuth만 지원합니다.

• SSH는 Windows용 Git을 실행하는 Linux, macOS 및 Windows를 사용하기 위한 암호화 키를 생성하지만 HTTPS 인증에는 Git 자격 증명 관리자 또는 PAT를 사용할 수 없습니다.

• 토큰을 생성하는 PAT:

  • 빌드 또는 작업 항목과 같은 특정 리소스 또는 작업에 액세스
  • Xcode 및 NuGet과 같은 클라이언트는 사용자 이름 및 암호를 기본 자격 증명으로 필요로 하고 다단계 인증과 같은 Microsoft 계정 및 Microsoft Entra 기능을 지원하지 않습니다.
  • Azure DevOps용 REST API 액세스

기본적으로 조직에서는 모든 인증 방법에 대한 액세스를 허용합니다.

다음 애플리케이션 연결 정책에 대한 액세스를 사용하지 않도록 설정하여 OAuth 및 SSH 키에 대한 액세스를 제한할 수 있습니다.

• OAuth를 통한 타사 애플리케이션 - 타사 애플리케이션이 OAuth를 통해 조직의 리소스에 액세스할 수 있도록 합니다. 이 정책은 모든 새 조직에 대해 기본적으로 해제됩니다. 타사 애플리케이션에 액세스하려면 이 정책을 사용하도록 설정하여 이러한 앱이 조직의 리소스에 액세스할 수 있도록 합니다.
• SSH 인증 - 애플리케이션이 SSH를 통해 조직의 Git 리포지토리에 연결할 수 있도록 합니다.

인증 방법에 대한 액세스를 거부하는 경우 어떤 애플리케이션도 이 방법을 통해 조직에 액세스할 수 없습니다. 이전에 액세스한 모든 애플리케이션은 인증 오류가 발생하며 더 이상 조직에 액세스할 수 없습니다.

PAT에 대한 액세스를 제거하려면 PAT를 해지해야 합니다.

조건부 액세스 정책

Microsoft Entra ID를 사용하면 테넌트가 CAP(조건부 액세스 정책) 기능을 통해 Microsoft 리소스에 액세스할 수 있는 사용자를 정의할 수 있습니다. 이러한 설정을 통해 테넌트 관리자는 멤버가 다음 조건을 준수하도록 요구할 수 있습니다. 예를 들어 사용자는 다음 조건을 준수해야 합니다.

• 특정 보안 그룹의 구성원이 될 수 있습니다.
• 특정 위치 및/또는 네트워크에 속합니다.
• 특정 운영 체제 사용
• 관리 시스템에서 사용 가능한 디바이스 사용

사용자가 충족하는 조건에 따라 다단계 인증을 요구하거나 액세스를 얻거나 액세스를 완전히 차단하기 위해 추가 검사 설정할 수 있습니다.

Azure DevOps의 CAP 지원

Microsoft Entra ID 지원 조직의 웹 포털에 로그인하는 경우 Microsoft Entra ID는 테넌트 관리자가 설정한 모든 CAP에 대한 유효성 검사를 수행하여 앞으로 이동할 수 있도록 항상 검사.

로그인하고 Microsoft Entra ID 기반 조직의 Azure DevOps를 탐색하면 Azure DevOps에서 추가 CAP 유효성 검사를 수행할 수도 있습니다.

• "IP 조건부 액세스 정책 유효성 검사 사용" 조직 정책을 사용하는 경우 git 작업과 함께 PAT를 사용하는 것과 같은 타사 cient 흐름과 같은 웹 및 비대화형 흐름 모두에서 IP 펜싱 정책을 검사.
• 로그인 정책도 PAT에 적용할 수 있습니다. PAT를 사용하여 Microsoft Entra ID 호출을 수행하려면 사용자가 설정된 로그인 정책을 준수해야 합니다. 예를 들어 로그인 정책에 따라 사용자가 7일마다 로그인해야 하는 경우, PAT를 사용하여 Microsoft Entra ID를 계속 요청하려면 7일마다 로그인해야 합니다.
• AZURE DevOps에 CAP를 적용하지 않으려면 CAP에 대한 리소스로 Azure DevOps를 제거합니다. Azure DevOps에서 CAP를 조직별로 적용하지 않습니다.

웹 흐름에서만 MFA 정책을 지원합니다. 비대화형 흐름의 경우 조건부 액세스 정책을 충족하지 않는 경우 사용자에게 MFA에 대한 메시지가 표시되지 않고 대신 차단됩니다.

IP 기반 조건

IPv4 및 IPv6 주소 모두에 대한 IP 펜싱 조건부 액세스 정책을 지원합니다. IPv6 주소가 차단되는 경우 테넌트 관리자가 IPv6 주소를 허용하는 CAP를 구성했음을 검사 것이 좋습니다. 마찬가지로 모든 CAP 조건에서 기본 IPv6 주소에 대한 IPv4 매핑 주소를 포함하는 것이 도움이 될 수 있습니다.

사용자가 Azure DevOps 리소스(VPN 터널링에서 공통)에 액세스하는 데 사용되는 IP 주소와 다른 IP 주소를 통해 Microsoft Entra 로그인 페이지에 액세스하는 경우 사용 중인 모든 IP 주소가 테넌트 관리자의 CAP에 포함되도록 VPN 구성 또는 네트워킹 인프라를 검사.

관련된 문서

• 요청 액세스 정책 사용 안 함
• 사용자가 Microsoft Entra 정책을 사용하여 새 조직을 만들지 못하도록 제한
• 팀 및 프로젝트 관리사용자가 새 사용자를 초대하지 못하도록 제한
• Microsoft Entra ID의 조건부 액세스란?
• 조건부 액세스에 대한 자세한 지침 및 요구 사항