Udostępnij za pośrednictwem

Zmienianie zasad zabezpieczeń i połączeń aplikacji dla organizacji

  • Artykuł

Ważne

Usługa Azure DevOps nie obsługuje uwierzytelniania poświadczeń alternatywnych. Jeśli nadal używasz alternatywnych poświadczeń, zdecydowanie zachęcamy do przełączenia się na bardziej bezpieczną metodę uwierzytelniania.

W tym artykule pokazano, jak zarządzać zasadami zabezpieczeń organizacji, które określają, jak aplikacje mogą uzyskiwać dostęp do usług i zasobów w organizacji. Większość tych zasad można uzyskać w ustawieniach organizacji.

Wymagania wstępne

Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów. Właściciele organizacji są automatycznie członkami tej grupy.

Zarządzanie zasadami

Aby zmienić połączenie aplikacji, zabezpieczenia i zasady użytkownika dla organizacji, wykonaj następujące kroki.

  1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję ikona koła zębatego Ustawienia organizacji.

    Zrzut ekranu przedstawiający przycisk Ustawienia organizacji, stronę podglądu.

  3. Wybierz pozycję Zasady, a następnie włącz lub wyłącz zasady zgodnie z potrzebami.

Zrzut ekranu przedstawiający wybieranie zasad, a następnie włączanie lub wyłączanie.

Zmienianie zasad połączenia aplikacji

Aby umożliwić bezproblemowy dostęp do organizacji bez wielokrotnego monitowania o poświadczenia użytkownika, aplikacje często używają następujących metod uwierzytelniania:

  • OAuth: generowanie tokenów na potrzeby uzyskiwania dostępu do interfejsów API REST dla usługi Azure DevOps. Wszystkie interfejsy API REST akceptują tokeny OAuth, dzięki czemu jest to preferowana metoda integracji za pośrednictwem osobistych tokenów dostępu (PATs). Interfejsy API organizacji, profilów i interfejsów API zarządzania pat obsługują tylko uwierzytelnianie OAuth. Możesz również użyć tokenów OAuth z identyfikatorem Entra firmy Microsoft, aby zapewnić bezpieczne i bezproblemowe uwierzytelnianie dla użytkowników w organizacji.

  • SSH: Generuj klucze szyfrowania do użycia z systemami Linux, macOS i Windows z systemem Git dla systemu Windows. Nie można używać menedżerów poświadczeń usługi Git ani paTs do uwierzytelniania HTTPS za pomocą protokołu SSH.

  • PaTs: generowanie tokenów dla:

    • Uzyskiwanie dostępu do określonych zasobów lub działań, takich jak kompilacje lub elementy robocze.
    • Klienci, tacy jak Xcode i NuGet, którzy wymagają nazw użytkowników i haseł jako podstawowych poświadczeń i nie obsługują kont Microsoft i funkcji Microsoft Entra, takich jak uwierzytelnianie wieloskładnikowe.
    • Uzyskiwanie dostępu do interfejsów API REST dla usługi Azure DevOps.

Domyślnie organizacja zezwala na dostęp do wszystkich metod uwierzytelniania.

Dostęp dla kluczy OAuth i SSH można ograniczyć, wyłączając następujące zasady połączenia aplikacji:

  • Aplikacja firmy innej niż Microsoft za pośrednictwem protokołu OAuth: umożliwia aplikacjom firm innych niż Microsoft uzyskiwanie dostępu do zasobów w organizacji za pośrednictwem protokołu OAuth. Te zasady są domyślnie wyłączone dla wszystkich nowych organizacji. Jeśli chcesz uzyskać dostęp do aplikacji innych niż microsoft, włącz te zasady, aby upewnić się, że te aplikacje mogą uzyskiwać dostęp do zasobów w organizacji.
  • Uwierzytelnianie SSH: umożliwia aplikacjom łączenie się z repozytoriami Git w organizacji za pośrednictwem protokołu SSH.

W przypadku odmowy dostępu do metody uwierzytelniania żadna aplikacja nie może uzyskać dostępu do organizacji za pośrednictwem tej metody. Każda aplikacja, która wcześniej miała dostęp, napotka błędy uwierzytelniania i utraci dostęp.

Aby usunąć dostęp dla stacji roboczych z dostępem uprzywilejowanym, odwołaj je.

Zmienianie zasad dostępu warunkowego

Identyfikator entra firmy Microsoft umożliwia dzierżawcom definiowanie, którzy użytkownicy mogą uzyskiwać dostęp do zasobów firmy Microsoft za pośrednictwem funkcji zasad dostępu warunkowego ( CAP). Administratorzy dzierżawy mogą ustawić warunki, które użytkownicy muszą spełnić, aby uzyskać dostęp. Na przykład użytkownik musi:

  • Być członkiem określonej grupy zabezpieczeń
  • Należy do określonej lokalizacji i/lub sieci
  • Korzystanie z określonego systemu operacyjnego
  • Używanie włączonego urządzenia w systemie zarządzania

W zależności od warunków, które spełnia użytkownik, możesz wymagać uwierzytelniania wieloskładnikowego, ustawić dalsze kontrole w celu uzyskania dostępu lub całkowicie zablokować dostęp.

Obsługa cap w usłudze Azure DevOps

Po zalogowaniu się do portalu internetowego organizacji opartej na identyfikatorze Entra firmy Microsoft identyfikator Entra zawsze przeprowadza walidację dla wszystkich zasad dostępu warunkowego ustawionego przez administratorów dzierżawy.

Usługa Azure DevOps może również przeprowadzić większą walidację cap po zalogowaniu się i przejściu do organizacji opartej na identyfikatorze Entra firmy Microsoft:

  • Jeśli zasady organizacji "Włącz weryfikację zasad dostępu warunkowego ip" są włączone, sprawdzamy zasady ogrodzenia adresów IP zarówno w przepływach internetowych, jak i nieinterakcyjnych, takich jak przepływy klientów innych niż Microsoft, takie jak używanie tokenu dostępu warunkowego z operacjami git.
  • Zasady logowania mogą być również wymuszane dla sieci PAT. Używanie numerów PAT do tworzenia wywołań identyfikatora Entra firmy Microsoft wymaga przestrzegania wszystkich ustawionych zasad logowania. Jeśli na przykład zasady logowania wymagają, aby użytkownik zalogował się co siedem dni, musisz również zalogować się co siedem dni, aby nadal korzystać z numerów PATs dla żądań identyfikatorów Entra firmy Microsoft.
  • Jeśli nie chcesz, aby jakiekolwiek adresy DOSTĘPU były stosowane do usługi Azure DevOps, usuń usługę Azure DevOps jako zasób dla cap. Nie wymuszamy adresów CAPs w usłudze Azure DevOps na podstawie organizacji.

Obsługujemy tylko zasady uwierzytelniania wieloskładnikowego w przepływach internetowych. W przypadku przepływów nieinterakcyjnych, jeśli nie spełniają one zasad dostępu warunkowego, użytkownik nie jest monitowany o uwierzytelnianie wieloskładnikowe i zostanie zablokowany.

Warunki oparte na adresach IP

Obsługujemy zasady dostępu warunkowego adresów IP (CAPS) zarówno dla adresów IPv4, jak i IPv6. Jeśli adres IPv6 jest blokowany, upewnij się, że administrator dzierżawy skonfigurował adresy CAPs, aby zezwolić na adres IPv6. Ponadto rozważ uwzględnienie adresu IPv4-mapowanego dla dowolnego domyślnego adresu IPv6 we wszystkich warunkach CAP.

Jeśli użytkownicy uzyskują dostęp do strony logowania microsoft Entra za pośrednictwem innego adresu IP niż ten używany do uzyskiwania dostępu do zasobów usługi Azure DevOps (często z tunelowaniem sieci VPN), sprawdź konfigurację sieci VPN lub infrastrukturę sieciową. Upewnij się, że wszystkie używane adresy IP znajdują się w adresach CAPS administratora dzierżawy.