Toepassingsverbinding en beveiligingsbeleid voor uw organisatie wijzigen
Belangrijk
Azure DevOps biedt geen ondersteuning meer voor verificatie met alternatieve referenties sinds begin 2 maart 2020. Als u nog steeds alternatieve referenties gebruikt, raden we u sterk aan over te schakelen naar een veiligere verificatiemethode (bijvoorbeeld persoonlijke toegangstokens). Meer informatie.
Meer informatie over het beheren van het beveiligingsbeleid van uw organisatie die bepalen hoe toepassingen toegang hebben tot services en resources in uw organisatie. U hebt toegang tot de meeste beleidsregels in organisatie Instellingen.
Vereisten
U moet lid zijn van de groep Projectverzameling Beheer istrators. Eigenaren van organisaties zijn automatisch lid van deze groep.
Een beleid beheren
Voer de volgende stappen uit om toepassingsverbinding, beveiliging en gebruikersbeleid voor uw organisatie in Azure DevOps te wijzigen.
Meld u aan bij uw organisatie (
https://dev.azure.com/{yourorganization}).Selecteer
Organisatie-instellingen.
Selecteer Beleid en verplaats de wisselknop naast uw beleid naar aan of uit.
Toepassingsverbindingsbeleid
Voor toegang tot uw organisatie zonder meerdere keren om gebruikersreferenties te vragen, gebruiken toepassingen vaak de volgende verificatiemethoden:
OAuth voor het genereren van tokens voor toegang tot REST API's voor Azure DevOps. Alle REST API's accepteren OAuth-tokens en dit is de voorkeursmethode voor integratie via persoonlijke toegangstokens (PAT's). De organisatie-, profielen- en PAT-beheer-API's ondersteunen alleen OAuth.
SSH voor het genereren van versleutelingssleutels voor het gebruik van Linux, macOS en Windows met Git voor Windows, maar u kunt geen Git-referentiebeheerders of PAT's gebruiken voor HTTPS-verificatie.
PAW's voor het genereren van tokens voor:
- Toegang tot specifieke resources of activiteiten, zoals builds of werkitems
- Clients, zoals Xcode en NuGet, die gebruikersnamen en wachtwoorden als basisreferenties vereisen en geen ondersteuning bieden voor Microsoft-account- en Microsoft Entra-functies, zoals meervoudige verificatie
- Toegang tot REST API's voor Azure DevOps
Standaard staat uw organisatie toegang toe voor alle verificatiemethoden.
U kunt de toegang voor OAuth- en SSH-sleutels beperken door de toegang tot dit toepassingsverbindingsbeleid uit te schakelen:
- Toepassing van derden via OAuth: schakel toepassingen van derden in voor toegang tot resources in uw organisatie via OAuth. Dit beleid is standaard uitgeschakeld voor alle nieuwe organisaties. Als u toegang wilt tot toepassingen van derden, schakelt u dit beleid in om ervoor te zorgen dat deze apps toegang hebben tot resources in uw organisatie.
- SSH-verificatie : schakel toepassingen in om via SSH verbinding te maken met de Git-opslagplaatsen van uw organisatie.
Wanneer u de toegang tot een verificatiemethode weigert, heeft geen toepassing via deze methode toegang tot uw organisatie. Elke toepassing die eerder toegang had, krijgt verificatiefouten en heeft geen toegang meer tot uw organisatie.
Als u de toegang voor PAW's wilt verwijderen, moet u deze intrekken.
Beleid voor voorwaardelijke toegang
Met Microsoft Entra ID kunnen tenants definiƫren welke gebruikers toegang mogen krijgen tot Microsoft-resources via hun functie voor beleid voor voorwaardelijke toegang (CAP). Via deze instellingen kan de tenantbeheerder vereisen dat leden aan een van de volgende voorwaarden voldoen, bijvoorbeeld de gebruiker:
- lid zijn van een specifieke beveiligingsgroep
- behoort tot een bepaalde locatie en/of netwerk
- een specifiek besturingssysteem gebruiken
- een ingeschakeld apparaat in een beheersysteem gebruiken
Afhankelijk van de voorwaarden waaraan de gebruiker voldoet, kunt u vervolgens meervoudige verificatie vereisen of verdere controles instellen om toegang te krijgen of de toegang helemaal blokkeren.
CAP-ondersteuning in Azure DevOps
Als u zich aanmeldt bij de webportal van een door Microsoft Entra ID ondersteunde organisatie, controleert Microsoft Entra-id altijd of u verder kunt gaan door validatie uit te voeren voor eventuele CAP's die zijn ingesteld door tenantbeheerders.
Azure DevOps kan ook extra CAP-validatie uitvoeren wanneer u bent aangemeld en door Azure DevOps navigeert in een door Microsoft Entra ID ondersteunde organisatie:
- Als het organisatiebeleid 'Validatie van IP-beleid voor voorwaardelijke toegang inschakelen' is ingeschakeld, controleren we het IP-afschermingsbeleid op zowel web- als niet-interactieve stromen, zoals wetenschappelijk stromen van derden, zoals het gebruik van een PAT met Git-bewerkingen.
- Aanmeldingsbeleid kan ook worden afgedwongen voor PAW's. Als u PAT's gebruikt om Microsoft Entra ID-aanroepen uit te voeren, moet de gebruiker zich houden aan het aanmeldingsbeleid dat is ingesteld. Als een aanmeldingsbeleid bijvoorbeeld elke zeven dagen vereist dat een gebruiker zich aanmeldt, moet u zich ook elke zeven dagen aanmelden als u PAW's wilt blijven gebruiken om aanvragen te doen bij Microsoft Entra-id.
- Als u geen CAPs wilt toepassen op Azure DevOps, verwijdert u Azure DevOps als resource voor het CAP. We gaan geen organisatie-by-org afdwingen van CAPs in Azure DevOps.
We ondersteunen alleen MFA-beleid op webstromen. Als niet-interactieve stromen niet voldoen aan het beleid voor voorwaardelijke toegang, wordt de gebruiker niet om MFA gevraagd en wordt deze in plaats daarvan geblokkeerd.
Voorwaarden op basis van IP
We ondersteunen beleid voor voorwaardelijke toegang voor ip-fencing voor zowel IPv4- als IPv6-adressen. Als u merkt dat uw IPv6-adres wordt geblokkeerd, raden we u aan te controleren of de tenantbeheerder CAPs heeft geconfigureerd die uw IPv6-adres toestaan. Op dezelfde manier kan het helpen het IPv4-adres op te nemen voor elk standaard IPv6-adres in alle CAP-voorwaarden.
Als gebruikers toegang hebben tot de aanmeldingspagina van Microsoft Entra via een ander IP-adres dan het adres dat wordt gebruikt voor toegang tot Azure DevOps-resources (gemeenschappelijk met VPN-tunneling), controleert u uw VPN-configuratie- of netwerkinfrastructuur om ervoor te zorgen dat alle IP-adressen die u gebruikt, zijn opgenomen in de CAPs van uw tenantbeheerder.
Verwante artikelen:
- Toegangsbeleid aanvragen uitschakelen
- Gebruikers beperken tot het maken van nieuwe organisaties met Microsoft Entra-beleid
- Team- en Project-Beheer beheerders beperken om nieuwe gebruikers uit te nodigen
- Wat is voorwaardelijke toegang in Microsoft Entra ID?
- Gedetailleerde instructies en vereisten voor voorwaardelijke toegang
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor